使用sngrep跟踪分析sip信令

sngrep 是一款专业的sip抓包工具，且可以解析tcpdump抓出来的包。
sip协议（会话初始协议），是一种多媒体通信协议；
sip协议的消息主体（报文部分）一般使用的是SDP消息格式。
RTP是一种数据传输协议

tcpdunmp的基本抓包命令：tcpdump -s 0 -i eth0 udp -w outbound_m_22.pcap

• -i指定了网卡
• -w 抓包后的文件名

sngrep也存在抓包命令，但是没有具体用过。这里记录几个用过的命令

• sngrep -d eth0 指定网卡抓包，仅抓通过网卡eth0的信息；
• sngrep -I in.pcap 用sngrep打开用tcpdump打开的抓包

前台使用sngrep

注： sngrep需单独安装，这里不描述安装过程
在命令行输入sngrep，进入到主页面

最下面的一行展示了一些用法介绍

• Esc退出当前工具
• Enter进入了消息详情
• space 选中当前数据,再次点击取消选择
• F1进入帮助页面
• F2保存符合条件列（比如选中的列，符合筛选条件的列等）
• F3进入搜索页面，可以按条件进行搜索
• F4将选中行的信息在一个屏幕内进行拼接展示
• F5清除当前页面的内容
• F7进行筛选条件的设置
• F10 自定义设置需要展示的列

保存文件

扩展拼接展示

自定义设置需要展示的列之后的效果

请求详情页面

最下面的一行展示了一些用法介绍

• Esc返回上一层
• Enter上下滑动，选择消息后，点击进入了消息详情
• space 选中当前数据,滑动再次选择一条数据，会将这两条的数据进行对比
• F1进入帮助页面
• F2显示SDP消息格式的一些信息。包括： 地址信息，每天类型，占用端口，编码方式，频率等信息
• F3打开RTP流的信息，展示了当前rtp流的编码，媒体传输数量，双方端口号，若是正在进行的会话。会显示是否有数据流传输
• F4回到第一个消息
• s修改地址栏是否展示地址端口
• F6以Raw格式展示协议
• c 进行颜色的调整
• 9向左移动报文，0向右移动报文
• SDP文本信息中，a=sendrecv表示消息是有效的；a=inacative表示消息是无效的；
• 媒体端口是0,也表示消息是无效的；
• a=rtpmap:101 telephone-event/16000表示按键信息，但是sngrep不会展示按键信息；=rtpmap:18 G729/8000 协商的一种编码信息

数据对比

响应页面

附件

sip信令的格式及状态码参考文章： https://www.cnblogs.com/11sgXL/p/13553517.html

请求消息类型及含义

响应状态码及含义