Svn pcapsipdump未保存捕获文件
我正在尝试使用一个名为pcapsipdump的程序,但无论我尝试了什么,它都没有效果。不知道我做错了什么 我使用这种方法从SVN安装了它Svn pcapsipdump未保存捕获文件,svn,voip,wireshark,pcap,Svn,Voip,Wireshark,Pcap,我正在尝试使用一个名为pcapsipdump的程序,但无论我尝试了什么,它都没有效果。不知道我做错了什么 我使用这种方法从SVN安装了它 apt-get install subversion libpcap0.8 libpcap-dev build-essential svn checkout svn://svn.code.sf.net/p/pcapsipdump/code/trunk pcapsipdump-code cd pcapsipdump-code ma
apt-get install subversion libpcap0.8 libpcap-dev build-essential
svn checkout svn://svn.code.sf.net/p/pcapsipdump/code/trunk pcapsipdump-code
cd pcapsipdump-code
make all
make install-debian
update-rc.d pcapsipdump defaults
nano /etc/default/pcapsipdump
设置文件如下所示
PCAPSIDUMP_ENABLE=true
DEVICE=eth3
SPOOLDIR=/var/spool/pcapsipdump
RETENTION=7
这个过程似乎正在运行
sudo service pcapsipdump status
pcapsipdump (pid 1457) is running
ps -ax | grep pcapsipdump
1457 ttyS0 S 0:00 /usr/sbin/pcapsipdump -d /var/spool/pcapsipdump -i eth3
1617 ttyS0 S+ 0:00 grep --color=auto pcapsipdump
它似乎正在访问所需的库
sudo lsof | grep pcapsip
pcapsipdu 1457 root cwd DIR 252,0 4096 8653224 /var/spool/pcapsipdump
pcapsipdu 1457 root rtd DIR 252,0 4096 2 /
pcapsipdu 1457 root txt REG 252,0 28832 24260551 /usr/sbin/pcapsipdump
pcapsipdu 1457 root mem REG 0,7 10167 socket:[10167] (stat: No such file or directory)
pcapsipdu 1457 root mem REG 252,0 1071552 4980955 /lib/x86_64-linux-gnu/libm-2.19.so
pcapsipdu 1457 root mem REG 252,0 1845024 4980944 /lib/x86_64-linux-gnu/libc-2.19.so
pcapsipdu 1457 root mem REG 252,0 90080 4980754 /lib/x86_64-linux-gnu/libgcc_s.so.1
pcapsipdu 1457 root mem REG 252,0 56016 4980988 /lib/x86_64-linux-gnu/libbsd.so.0.6.0
pcapsipdu 1457 root mem REG 252,0 979056 24253260 /usr/lib/x86_64-linux-gnu/libstdc++.so.6.0.19
pcapsipdu 1457 root mem REG 252,0 249096 24255058 /usr/lib/x86_64-linux-gnu/libpcap.so.1.5.3
pcapsipdu 1457 root mem REG 252,0 149120 4980942 /lib/x86_64-linux-gnu/ld-2.19.so
pcapsipdu 1457 root 0u CHR 4,64 0t0 8214 /dev/ttyS0
pcapsipdu 1457 root 1u CHR 4,64 0t0 8214 /dev/ttyS0
pcapsipdu 1457 root 2u CHR 4,64 0t0 8214 /dev/ttyS0
pcapsipdu 1457 root 3u pack 10167 0t0 ALL type=SOCK_RAW
wireshark似乎在这个系统上工作得很好。我不知道我做错了什么
这里有一些关于这个系统的更多信息
cat /proc/version
Linux version 3.13.0-44-generic (buildd@lamiak) (gcc version 4.8.2 (Ubuntu 4.8.2-19ubuntu1) ) #73-Ubuntu SMP Tue Dec 16 00:22:43 UTC 2014
cat /etc/*-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=14.04
DISTRIB_CODENAME=trusty
DISTRIB_DESCRIPTION="Ubuntu 14.04.1 LTS"
NAME="Ubuntu"
VERSION="14.04.1 LTS, Trusty Tahr"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 14.04.1 LTS"
VERSION_ID="14.04"
HOME_URL="http://www.ubuntu.com/"
SUPPORT_URL="http://help.ubuntu.com/"
BUG_REPORT_URL="http://bugs.launchpad.net/ubuntu/"
任何帮助都将不胜感激!这也是我在这里的第一篇帖子,如果我遗漏了任何规则,请让我知道。多谢各位
编辑1:
有关系统的更多信息。该机箱有4个以太网端口。eth2和eth3在br1中使用brctl工具。正在pcapsipdump的端口是两个交换机之间的中继端口。盒子在他们之间。所有的车辆都通过这台机器。VLAN是否有可能干扰应用程序
sudo brctl show
bridge name bridge id STP enabled interfaces
br0 8000.0050c22508bc no eth0
eth1
br1 8000.0050c22508be no eth2
eth3
br1 Link encap:Ethernet HWaddr 00:50:c2:25:08:be
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:175550 errors:0 dropped:11309 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:10625462 (10.6 MB) TX bytes:0 (0.0 B)
eth2 Link encap:Ethernet HWaddr 00:50:c2:25:08:be
UP BROADCAST RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:379365 errors:0 dropped:520 overruns:0 frame:0
TX packets:318668 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:244877902 (244.8 MB) TX bytes:40942935 (40.9 MB)
Interrupt:18 Memory:dfc00000-dfc20000
eth3 Link encap:Ethernet HWaddr 00:50:c2:25:08:bf
UP BROADCAST RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:320221 errors:0 dropped:0 overruns:0 frame:0
TX packets:378233 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:41042572 (41.0 MB) TX bytes:244621993 (244.6 MB)
Interrupt:19 Memory:dfb00000-dfb20000
编辑2:
是的,就是这样。使用镜像端口进行测试,而不是通过机箱传递所有VLAN。它开始工作了
现在有一个问题,有没有办法让VLAN起作用?还是我被卡住了?pcapsipdump似乎不支持VLAN。除了测试的证据外,我似乎找不到任何文件来证明或反驳这一点 解决方案:使用wireshark捕获并去除vlan标记。将捕获文件发送到pcapsipdump进行处理 在此处找到一些用于重新写入捕获文件的工具
http://tcpreplay.synfin.net/wiki/tcprewrite
去掉标签
ls | xargs -I pcapfile tcprewrite --enet-vlan=del --infile=/wireshark/wireshark3/pcapfile --outfile=/wireshark/calls/pcapfile
然后将捕获文件推送到pcapsipdump中
ls | xargs -I pcapfile pcapsipdump -r /wireshark/calls/pcapfile
一切顺利。只需不时添加一些脚本即可完成此操作。支持在一个或多个802.1Q子接口的父接口上捕获,因为SVN版本101: 请参见此处如何从SVN安装最新的开发版本:
是否/var/spool/pcapsipdump完全为空?由于此工具转储SIP控制流量,您是否生成了一些?如果使用wireshark进行嗅探,wireshark是否正确显示端口5060的通信量?是的,目录为空。sip是5060,几乎是纯sip。它们确实在正常情况下出现。我有更多的设置信息要添加到这个。我将编辑我的主要帖子hey@Aex-Aey。欢迎来到S.O.请为您的链接添加一些上下文。如果这些链接将来断开,它们将毫无用处。有关更多详细信息,请参阅“提供链接的上下文”一节。哇@Aex Aey谢谢,看起来你是补丁的作者吗?我会尽快更新SVN并测试,我会在这里发布我的测试结果。嘿@Aex Aey。我被转移到另一个项目。这可能晚了几年,但修复确实起了作用。