¿Detectar H.323 por sniffing simple?
-
20-09-2019 - |
Pregunta
¿Es posible detectar si una conexión H.323 (llamada telefónica) está arriba por tráfico de olfateo simple en un nodo adyacente?
Solución
La forma más efectiva parece olfatear todo el tráfico TCP al puerto 1719 (RAS) y 1720 (señalización H.225). Obtiene señalización con alta probabilidad. Otras formas son mucho más difíciles.
Otra alternativa:
- Verifique las nuevas conexiones TCP con el tráfico TPKT desde el principio.
- Si el encabezado es bueno (4 bytes para verificar) y PDU parece un tamaño razonable, debe decodificar esto como señalización H.225 (ASN1) Esto no es una operación tan simple y relativa de consumo de recursos.
Lo peor que puede enfrentar es la seguridad H.235 con la señalización protegida. Casi nada te ayudará en este caso;).
Otros consejos
Si solo atrapa 1719 (RAS) y 1720 (señalización H.225), se perderá y H.245 si hay una sesión H.245 que se negocia dinámicamente.
Le sugiero que capturó todas las sesiones TCP y las sesiones UDP 1719 entre llamadas/llamadas/guardianes.
Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow