辨識 VoIP 使用者

我正在尋找一種方法來使用數據包分析在我的 ISP 網路上辨識盡可能多的消費者 VoIP 使用者。

我的設置是這樣的：

在我的核心交換機上，所有進出 gigabit1 的流量都是SPAN到 gigabit2，在那裡我連接了一個 linux 伺服器。

這是我一直在嘗試的：

我執行 tshark 來過濾我的網路和標準 SIP 埠。就像是：

tshark -i eth0 -f "(net 1.2.3.4/24 or net 4.5.6.7/24) and (port 5060 or port 5061)" -w ./outfile

執行了一個多星期，然後在輸出文件中搜尋唯一 IP 列表。

我以這種方式看到了一些 SIP 使用者，但沒有我應該的那麼多。這種方法有問題嗎？據我了解，大多數主要的消費類 VoIP 產品，例如 Vonage，都使用 SIP 來發送信號。

我想要什麼（我認為）：

我想實際對協議進行分類，尋找 SIP、RTP 等。如果我安裝L7 過濾器，我可以使用 iptables 標記我感興趣的流量，但我不知道我會從哪裡獲得唯一的列表IP。

我願意接受任何建議。

監控流量的最佳選擇可能是 sflow - 查看網路設備製造商的文件以在交換機上進行配置。對於聚合器，請查看Argus之類的東西，或者如果您只是想為流程擷取 sflow 數據，請參閱 Inmon 的 sflow 工具包。

還有其他協議在廣泛使用，主要是逐步淘汰 MGCP，您可能會看到 SCCP 或更可能是一些 IAX 中繼。另外，請注意 Skype 使用完全專有的 P2P 協議。

我過去曾使用過像 Packeteer 這樣的設備來分析和優先考慮這些流量，但你的描述告訴我，這對你來說可能在商業上不可行。

是什麼讓您認為使用 VoIP 的使用者比您看到的要多？

引用自：https://serverfault.com/questions/159078