Detectar H.323 por cheirar simples?
https://stackoverflow.com/questions/1555287
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
É possível detectar se uma conexão H.323 (chamada telefônica) está acordada por tráfego simples de farejo em um nó adjacente?
Solução
A maneira mais eficaz parece cheirar todo o tráfego TCP para a porta 1719 (RAS) e 1720 (sinalização H.225). Você obtém sinalização com alta probabilidade. Outras maneiras são muito mais difíceis.
Outra alternativa:
- Verifique novas conexões TCP com o tráfego TPKT desde o início.
- Se o cabeçalho for bom (4 bytes para verificar) e a PDU parece ter um tamanho razoável, você precisa decodificar isso como sinalização H.225 (ASN1), isso não é tão simples e relativa a operação de consumo de recursos.
A pior coisa que você pode enfrentar é a segurança H.235 com a sinalização protegida. Quase nada o ajudará neste caso;).
Outras dicas
Se você pegar apenas 1719 (RAS) e 1720 (sinalização H.225), você perderá e H.245 se houver uma sessão de H.245 que seja negociada dinamicamente.
Eu sugeriria que você capturou todas as sessões do TCP e as sessões UDP 1719 entre chamadas/chamadas/guardas.
