Rilevare H.323 mediante semplice sniffing?
-
20-09-2019 - |
Domanda
È possibile rilevare se una connessione H.323 (chiamata telefonica) è aumentata dal semplice traffico di fiuto su un nodo adiacente?
Soluzione
Il modo più efficace sembra annusare tutto il traffico TCP alla porta 1719 (RAS) e 1720 (H.225 Signaling). Ottieni segnalazioni con alta probabilità. Altri modi sono molto più difficili.
Altra alternativa:
- Controllare le nuove connessioni TCP con il traffico TPKT direttamente dall'inizio.
- Se l'intestazione è buona (4 byte da controllare) e la PDU sembra dimensione ragionevole, è necessario decodifica come segnalazione H.225 (ASN1) non è così semplice e relativa operazione di consumo di risorse.
La cosa peggiore che puoi affrontare è la sicurezza H.235 con la segnalazione protetta. Quasi nulla ti aiuterà in questo caso;).
Altri suggerimenti
Se catturi solo 1719 (RAS) e 1720 (segnalazione H.225), ti perderai e H.245 se c'è una sessione H.245 che viene negoziata in modo dinamico.
Ti suggerirei che catturato tutte le sessioni TCP e le sessioni UDP 1719 tra chiamante/chiamante/gate-custode.