通过简单的嗅探来检测H.323?

时间:2009-10-12 15:40:25

标签: networking protocols voip sniffing h.323

是否可以通过简单嗅探相邻节点上的流量来检测H.323连接(电话呼叫)是否已启动?

2 个答案:

答案 0 :(得分:4)

最有效的方法似乎是将所有TCP流量嗅到1719(RAS)和1720(H.225信令)端口。你很有可能获得信号。其他方式更难。

其他选择:

  • 从一开始就检查与TPKT流量的新TCP连接。
  • 如果标头好(要检查4个字节)并且PDU看起来合理,则需要将其解码为H.225信令(ASN1),这不是那么简单且耗费相对资源的操作。

您可以面对的最糟糕的事情是具有信令保护的H.235安全性。在这种情况下几乎没有任何东西可以帮助你;)。

答案 1 :(得分:0)

如果您只捕获1719(RAS)和1720(H.225信令),如果存在动态协商的H.245会话,您将错过和H.245。

我建议您在调用者/来电者/门卫之间捕获所有TCP会话和UDP 1719会话。

相关问题
最新问题