Я ищу способ идентифицировать как можно больше пользователей VoIP-потребителей в моей сети Интернет-провайдера с помощью анализа пакетов.
Моя установка такая:
На моем основном коммутаторе весь входящий и исходящий трафик Gigabit1 SPAN'd на гигабит2, где у меня подключен Linux-сервер.
Вот что я пробовал:
Я запустил tshark с поиском фильтрации для своих сетей и стандартных портов SIP. Что-то вроде:
tshark -i eth0 -f "(net 1.2.3.4/24 or net 4.5.6.7/24) and (port 5060 or port 5061)" -w ./outfile
Прогнал это более недели, затем поискал в выходном файле список уникальных IP-адресов.
Я вижу несколько таких пользователей SIP, но не так много, как следовало бы. Что-то не так с этим подходом? Насколько я понимаю, большинство основных потребительских продуктов VoIP, таких как Vonage, используют SIP для передачи сигналов.
Что (я думаю) я хочу:
Я хочу классифицировать протоколы, ища SIP, RTP и т. Д. Если я установлю L7 фильтр Я могу использовать iptables, чтобы отмечать интересующий меня трафик, но я не знаю, куда бы я пошел оттуда, чтобы получить список уникальных IP-адресов.
Я открыт для любых предложений.
Лучшим выбором для мониторинга трафика, вероятно, будет sflow - посмотрите документацию производителей сетевого оборудования, чтобы настроить его на коммутаторах. Для агрегаторов обратите внимание на что-то вроде Аргус или если вы просто хотите получить данные о потоках для процесса, см. Набор инструментов Inmon sflow.
Существуют и другие протоколы, которые используются в дикой природе, с постепенным отказом от MGCP, вы можете увидеть SCCP или, что более вероятно, некоторые транки IAX. Также обратите внимание, что Skype использует полностью проприетарный протокол P2P.
В прошлом я использовал такое оборудование, как Packeteer, для анализа и определения приоритетности этого трафика, но ваше описание подсказывает мне, что это, вероятно, не будет для вас коммерчески выгодным.
Что заставляет вас думать, что у вас больше пользователей, использующих VoIP, чем вы видели?
Итак, настоящий вопрос в том, что вы пытаетесь отследить? Если это обычная телефонная система, я бы поддержал предложение Zypher о проверке АТС, если это не вариант, я бы предложил подтвердить, что рассматриваемые устройства действительно используют SIP. Я поддерживал среду с телефонами Shoretel VOIP и обнаружил, что хотя некоторые телефоны для конференц-связи используют протокол SIP, подавляющее большинство телефонов используют протокол MGCP.