Voip

辨識 VoIP 使用者

  • December 2, 2011

我正在尋找一種方法來使用數據包分析在我的 ISP 網路上辨識盡可能多的消費者 VoIP 使用者。

我的設置是這樣的:

在我的核心交換機上,所有進出 gigabit1 的流量都是SPAN到 gigabit2,在那裡我連接了一個 linux 伺服器。

這是我一直在嘗試的:

我執行 tshark 來過濾我的網路和標準 SIP 埠。就像是:

tshark -i eth0 -f "(net 1.2.3.4/24 or net 4.5.6.7/24) and (port 5060 or port 5061)" -w ./outfile

執行了一個多星期,然後在輸出文件中搜尋唯一 IP 列表。

我以這種方式看到了一些 SIP 使用者,但沒有我應該的那麼多。這種方法有問題嗎?據我了解,大多數主要的消費類 VoIP 產品,例如 Vonage,都使用 SIP 來發送信號。

我想要什麼(我認為):

我想實際對協議進行分類,尋找 SIP、RTP 等。如果我安裝L7 過濾器,我可以使用 iptables 標記我感興趣的流量,但我不知道我會從哪裡獲得唯一的列表IP。

我願意接受任何建議。

監控流量的最佳選擇可能是 sflow - 查看網路設備製造商的文件以在交換機上進行配置。對於聚合器,請查看Argus之類的東西,或者如果您只是想為流程擷取 sflow 數據,請參閱 Inmon 的 sflow 工具包。

還有其他協議在廣泛使用,主要是逐步淘汰 MGCP,您可能會看到 SCCP 或更可能是一些 IAX 中繼。另外,請注意 Skype 使用完全專有的 P2P 協議。

我過去曾使用過像 Packeteer 這樣的設備來分析和優先考慮這些流量,但你的描述告訴我,這對你來說可能在商業上不可行。

是什麼讓您認為使用 VoIP 的使用者比您看到的要多?

引用自:https://serverfault.com/questions/159078