技術標籤：linux運維siplinux網路運維

1、tcpdump抓包去重

editcap -d 123.pcap filter.pcap
其中 123.pcap是要去重的包，filter.pcap是輸出的去重之後的包

2、過濾sip訊息

	1、過濾所有invite的響應訊息
		tshark -r quchong.pcap -Y "sip.CSeq.method eq INVITE"  -w gliu.pcap
	2、過濾所有sip訊息
		tshark -r quchong.pcap -Y "sip"  -w gliu.pcap
	3、檢視所有rtp（效果如圖）
		tshark -r quchong.pcap -q -z rtp,streams
 

3、tcpdump常用抓包命令

tcpdump -s 0 --i bond1 --buffer-size=1209600 -X -w 123.pcap
其中 -s 代表不限制單個包的大小
-buffer-size 代表 將作業系統捕獲緩衝區大小設定為buffer_size 40960，單位為KiB（1024位元組）。
-i 指定哪張網絡卡
-X    當分析和列印時, tcpdump 會列印每個包的頭部資料, 同時會以16進位制和ASCII碼形式打印出每個包的資料(但不包括連線層的頭部).這對於分析一些新協議的資料包很方便.
-w 儲存到指定檔案 123.pcap