installe ngrep, et lance un
ngrep -O fichierquivagrossir.pcap port 5060 >/dev/null

ensuite, attends, dès que tu vois qu'une intrusion a eu lieu, interrompt par ctrl-c, et
ngrep -I fichierquivagrossir.pcap
tu verras d'ou ça vient précisément

alternativement, rajoute le keyword security dans logger.conf à console et messages, et tu auras peut être aussi l'info dans le fichier de log d'asterisk

mais je doute que ca vienne d'ippi, plutot un firewall mal configuré