.titleBar { margin-bottom: 5px!important; }

Wireshark - Nur RTP und SIP sniffen

Dieses Thema im Forum "Sonstiges" wurde erstellt von s.plötz, 18 Jan. 2007.

  1. s.plötz

    s.plötz Neuer User

    Registriert seit:
    18 Jan. 2007
    Beiträge:
    2
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    wir haben bei uns ein Problem. Und zwar wollen wir mit dem Tool 'Wireshark' (ehemals Ethereal) Telefonate mitsniffen.
    Uns interessieren jedoch nur die RTP und SIP Protokolle die aufgezeichnet werden.
    Wir wollen auch nur diese sniffen, das heisst es reicht nicht, dass wir den Display Filter benutzen.
    Wir wollen den Capturing Filter so einstellen, dass wir nur RTP und SIP sniffen, da sonst das Datenvolumen zu hoch ist. Es soll an einer PIX Firewall gesnifft werden.
    Nun fehlt uns allerdings der passende string, damit das Programm auch wirklich nur dieses tut.

    Wir haben es bereits versucht mit: proto sip or rtp; proto (sip or rtp); sip or rtp, (sip or rtp) u.a.
    Dabei sagt er uns aber, dass wir einen 'invalid string' haben.

    Es wäre klasse wenn sich jemand damit auskennt und uns weiterhelfen kann.

    Mfg

    s.plötz

    P.S.: Ich hoffe ich habe das richtige Forum erwischt.
     
  2. wichard

    wichard IPPF-Promi

    Registriert seit:
    16 Juni 2005
    Beiträge:
    6,954
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Aachen
    http://wiki.wireshark.org/SIP:
    Na ja, wireshark ist nicht gerade ein Softphone...


    Gruß,
    Wichard

    P.S.: Willkommen im Forum!
     
  3. Ghostwalker

    Ghostwalker IPPF-Promi

    Registriert seit:
    20 Juni 2005
    Beiträge:
    6,385
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Rastede
    Thread verschoben nach Technik -> Sonstiges.
     
  4. s.plötz

    s.plötz Neuer User

    Registriert seit:
    18 Jan. 2007
    Beiträge:
    2
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke schonmal dafür. Wir haben es jetzt hinbekommen, dass wir nur SIP Protokolle sniffen, indem wir den Port 5060 als Filter eingeben.

    Nun will ich aber auch noch RTP Protokolle sniffen. Diese befinden sich allerdings in ganz anderen Portdimensionen.

    Weiss jemand wie ich es hinbekomme, dass ich einen größeren Raum von Ports in den Filter miteinbeziehe?
    Versucht habe ich schon: port xxx to xxx, port [xxx:xxx] und ein paar andere, aber da sagt er mir wieder, dass das ein invalider Filter string ist.

    Danke & Bis dann...
     
  5. gandalf94305

    gandalf94305 Guest

    "proto" bezieht sich auf Netzwerkprotokolle, d.h. SIP ist kein Protokoll in diesem Sinne. Siehe /etc/protocols

    Ein Filter für einen Portbereich wäre z.B.
    udp[2:2] >= 16384 and udp[2:2] <= 16512

    Die Syntax ist die von libpcap. http://www.winpcap.org/docs/docs_40b3/html/main.html

    --gandalf.