Voip
辨識 VoIP 使用者
我正在尋找一種方法來使用數據包分析在我的 ISP 網路上辨識盡可能多的消費者 VoIP 使用者。
我的設置是這樣的:
在我的核心交換機上,所有進出 gigabit1 的流量都是SPAN到 gigabit2,在那裡我連接了一個 linux 伺服器。
這是我一直在嘗試的:
我執行 tshark 來過濾我的網路和標準 SIP 埠。就像是:
tshark -i eth0 -f "(net 1.2.3.4/24 or net 4.5.6.7/24) and (port 5060 or port 5061)" -w ./outfile
執行了一個多星期,然後在輸出文件中搜尋唯一 IP 列表。
我以這種方式看到了一些 SIP 使用者,但沒有我應該的那麼多。這種方法有問題嗎?據我了解,大多數主要的消費類 VoIP 產品,例如 Vonage,都使用 SIP 來發送信號。
我想要什麼(我認為):
我想實際對協議進行分類,尋找 SIP、RTP 等。如果我安裝L7 過濾器,我可以使用 iptables 標記我感興趣的流量,但我不知道我會從哪裡獲得唯一的列表IP。
我願意接受任何建議。
監控流量的最佳選擇可能是 sflow - 查看網路設備製造商的文件以在交換機上進行配置。對於聚合器,請查看Argus之類的東西,或者如果您只是想為流程擷取 sflow 數據,請參閱 Inmon 的 sflow 工具包。
還有其他協議在廣泛使用,主要是逐步淘汰 MGCP,您可能會看到 SCCP 或更可能是一些 IAX 中繼。另外,請注意 Skype 使用完全專有的 P2P 協議。
我過去曾使用過像 Packeteer 這樣的設備來分析和優先考慮這些流量,但你的描述告訴我,這對你來說可能在商業上不可行。
是什麼讓您認為使用 VoIP 的使用者比您看到的要多?