DoubleSH 2018-10

host 옵션으로 특정 IP 만 저장합니다
e.g.) tcpdump -i any host 1.1.1.1 and tcp port 80

dragoune 2018-10

답변 감사합니다.
해당 방법에 대해서는 알고 있습니다만, 어느 IP에서 올지를 알 수가 없기 때문에 문제가 되는 상황입니다.
그렇다고 전체 패킷덤프를 사용하기에는 파일이 비대해져서 해석이 어려워져서 문제가 되고요

자동으로 IP 별로 캡쳐하는 옵션이 있으면 좋을 것 같인데 힘들런지요?

DoubleSH 2018-10

요즘 PC사양이면 대략 30MB 정도로 자르면 될겁니다.
tcpdump -C 30 -w capfile

분할된거 열어볼땐 append 해서 붙여서 볼 수 있구요.


그리고 어느 IP 에서 올지 모른다면서 필터링 한다는건 욕심입니다 ㄷㄷㄷㄷ
따로 툴을 만드셔야 가능할듯

DoubleSH 2018-10

분할된 파일내에서 특정IP 필터링 건 다음 export 해놓고
다른 분할파일에서도 똑같이 export 해서
각각을 append 해서 확인하시는게 좋을것같아요

dragoune 2018-10

감사합니다. 역시 자동으로 하는건 무리가 있었나보네요...
전화용 서버에서 패킷을 캡쳐하다보니 10초에 20MB 이상 쌓이기도 해서 뭔가 방법이 없을까 찾아보고 있습니다.
SIP 패킷은 UDP로 포트 지정만 하면 되다보니 1시간에 100MB 이하로 쌓이는데
RTP 패킷은 순식간에 용량이 커져서 어렵네요 ^^;

DoubleSH 2018-10

ㅎㅎ 저도 SIP 엔지니어입니다.
물론 사용량에 따라 다르겠지만 ~
30MB 로 10개 정도 로테이션 돌리면 보통 하루는 커버될겁니다. W옵션이었나... tcpdump -W 10 -C 30 -w capfile 
시간대별로 저장이 되니 해당하는 시간만 열어서 필터링 하시고
덤프뜰때도 rtp 포트 지정해서 받으세요.

아시겠지만??? 그냥 적자면
asterisk 기준으로는 rtp.conf 에 있고
rtpstart=10000
rtpend=20000
이런식으로 세팅이 되니
tcpdump udp port 10000-20000 처럼 걸면 되겠죠

아참.. 와이어샤크 돌리는 PC 사양이 낮은편이면 15MB 정도로 줄이세요 ㅋㅋ

dragoune 2018-10

감사합니다. 다니는 회사 욕이라 좀 그런데
서버 한대에 고객을 많이 밀어넣다보니 30분에 700MB 이상 쌓이고 있습니다. ㅠ_ㅠ

요런 옵션을 쓰고 있고요.
tcpdump -vv udp port 5060 or udp portrange 10000-20000 -G 1800 -z /usr/bin/gzip -w /tcpdump/%Y%m%d_%H%M.pcap
역시 좀 더 짧게 끊어서 저장하는 수 밖에 없겠네요

PC는 i5-8250u 에 8GB / 256GB ...PC도 안사줘서 제돈으로 사서 씁니다. ㅎㅎ;

원래 일본이 인터넷이 엉망인건지, 고객사에서 오는 패킷에 손실이 좀 있는 편이라
한국 집으로 VPN 연결해서 전화거는 편이 깨끗할 정도로 인터넷이 엉망인데요

이제는 상위 회선사업자 서버에서 오는 음성까지 무음상태라 그걸 좀 캡쳐해서 보내려는데
아주 환장하겠습니다. ㅠ_ㅠ

DoubleSH 2018-10

하...엔지니어 환장하는 서버네요 ㅋㅋㅋ
회선에 무음으로 온다고 보내면, "우리는 bypass 하는데?' 라고 하지 않을까요 하하... 아니라면 다행...

확인해보니 전에 VM 으로 삽질당하시던 그분이군요.......
사관학교인가봅니다.. 경험쌓고 도망가야하는 회사 ㅎㅎㅎㅎ

dragoune 2018-10

더 이상 답글이 안달리네요 ㅎ;

@DoubleSH님
문의 해보면 너네가 보낸 패킷이랑 우리가 보낸 패킷 수에 차이가 없으니까 우리는 문제 없다! 라고 하더군요.

사실 클라우드밴더도 의심스럽긴합니다.
통신을 안하던 외부서버에서 UDP로 패킷을 보내면 어째서인지 하나도 도착하지를 않거든요.
무슨 VM이 NAT 동작하는 것도 아니고 원 -_-;; 문의해보면 맨날 자기네는 문제 없다고 하고 말이죠...
그래서 패킷이 오는건지 안오는건지, 왔다면 무음인건지 를 파악하려 합니다. ^^;;