Подключение Wiresharkна Windowsк удаленному Linuxхосту, для захвата и анализа SIPи RTPтрафика.

"C:\Program Files\putty\PLINK.EXE" -ssh -pw PASSWORD USER@HOST -P 22 "tcpdump -ni eth0 -s 0 -w - not port 22" | "C:\Program Files\Wireshark\wireshark.exe" -k -i -

"C:\Program Files\putty\PLINK.EXE" -ssh -pw PASSWORD USER@HOST -P 22 "tcpdump -ni eth0 -s 0 -w - udp port 5060 " | "C:\Program Files\Wireshark\wireshark.exe" -k -i -

"C:\Program Files\putty\PLINK.EXE" -ssh -pw PASSWORD USER@HOST -P 22 "tcpdump -ni eth0 -s 0 -w - udp port 5060 or udp portrange 10000-20000" | "C:\Program Files\Wireshark\wireshark.exe" -k -i -

где:

"C:\Program Files\putty\PLINK.EXE" - Путь к приложению plinkв вашей системе.

"C:\Program Files\Wireshark\wireshark.exe" - Путь к приложению Wireshark.

PASSWORD USER@HOST - ssh пароль, имя пользователя и адрес

-P - порт ssh (22)

eth0 - ethernet интерфейс со стороны Linux

udp port 5060 or udp portrange 10000-20000 - протокол и порт сигнализации SIP и протокол и диапазон портов RTP (tcp port 5061 or tcp portrange 10500-38000)

примеры:

Request INVITE to IP

 (ip.dst == 192.168.0.111) && (sip.Method == "INVITE")

Request REGISTER from IP

 (ip.src == 192.168.0.111) && (sip.Method == "REGISTER")

Wireshark SIP Filter reference

SIP response codes (Busy here)

 sip.Status-Code == 486

Not 1XX & 2XX response

 sip.Status-Code > 200

List of SIP response codes

SIP user 3944

 sip contains  "sip:3944"   

SIP user range 3944 & 3945

 sip matches  "sip:394[45]"

SIP user range 3…

 sip matches  "sip:3"

Extensions 810…

sip contains "INVITE sip:810" 

Если захвачен RTP трафик, можно прослушать разговор.