VoIP Sniffer

Achtung
Die ist keine Anleitung zum "Hacken", sondern eine Demonstration auf einem absichtlich "unsicher" angebundenen Exchange Server und funktioniert mit den meisten SIP-Telefonen, die ihre Daten nicht verschlüsseln oder deren Netzwerkadministrator diese Endgeräte nicht gegen fremde Zugriffe schützt.

Was vielen Administratoren nicht bewusst ist, ist die oft schwache Schutzfunktion von VoIP gegen Mithörer. Selbst ein voll geswitchtes Netzwerk ist kein Schutz gegen Lauscher, da mittels ARP-Spoofing auch in solchen Umgebungen Pakete "umgeleitet" werden können. Ein Musterprogramm finden Sie z.B. auch in Cain&Abel auf www.oxid.it

Microsoft hat mit dem Programm NetMon ein Werkzeug, um Pakete auf dem Ethernet mitzuschneiden. Das gleich kann man auch mit der Open Source Alternative WireShark machen. WireShark erlaubt aber sogar die Analyse des Audiostreams (RTP). Dazu schneidet man erst die Pakete alle mit und über die Statistik Funktion kann man sich alle erkannten Streams anzeigen lassen.

Wireshark RTP-Streams

Mit der linken Maustaste und "Shift-Linke Maustaste" wählt man Hin- und Rückrichtung der Kommunikation aus um dann über die Funktion "Analyze" die Verbindung genauer zu betrachten. Die Grafikfunktion erlaubt sehr einfach Laufzeitprobleme und Jitter zu erkennen.

Wireshark RTP Jitter

So können Sie quasi "Knacksen" und Aussetzer genauer analysieren.

Interessanter ist aber die Funktion "Save Payload", welche die reinen Nutzdaten exportiert.

Wireshark exportiert RTP

WireShark erlaubt direkt den Export in eine ".au" Datei, welche mit den gängigsten Programmen (Mediaplayer, WinAmp) ausgegeben werden kann. So kann WireShark helfen, eventuelle Probleme bei der Audioübertragung (Falscher Codec, Aussetzer etc.) zu erkennen. Wenn Sie WireShark und WinPCAP nicht auf dem Server selbst installieren wollen, dann schneiden Sie die Pakete einfach mit NETMON mit und öffnen die CAP-Datei auf ihrem Arbeitsplatz mit WireShark.

Interessant ist auch die Funktion, einen Mitschnitt nach VoIP-Verbindungen abzusuchen und diese gleich anzuhören. Über die Funktion "Statistics - VoIP-Calls" sucht WireShark alle Verbindungen

Wählen Sie dann einfach die Verbindung aus und lassen Sie sich entweder das SIP-Diagramme anzeigen oder einfach direkt die Audiodaten wiedergeben:

SIp Handshake Wireshark VoIP Audio Player

Nun verstehen Sie auch, dass VoIP eigentlich sehr einfach "abzuhören" ist, wenn man die Netzwerke nicht über VLANs oder TLS absichert.

SIP "Scanner

Übrigens sollten Sie furchtbar "vorsichtig" sein, einen SIP-Server über das Internet zu betreiben. Stellen Sie einfach mal einen gut gesicherten Windows Server ins Internet und betrachten Sie, wer Sie so alles abscannt. RDP und SMB ist ja schon lange bekannt. Aber auch SIP wird gerne gescannt. Ob das folgende Beispiel wirklich ein "FriendlyScanner" ist oder nur die Voranfrage um kostenfrei zu telefonieren lasse ich bewusst offen

Da wäre ich ja schon fast mal neugierig einen Honeypot aufzustellen, und zu sehen, welche Ziele wohl angerufen werden würden. Die IP-Adresse war ja schon wie selbstverständlich aus China. LeastCostRouting auf Chinesisch.

Wer auf so eine Anfrage natürlich antwortet oder sogar noch eine Verbindung zulässt, braucht sich nicht zu wundern. Vielleicht ist es mal Zeit ihre Firewalls auf dazu gehörige TCP-ACK-Pakete zu prüfen ?

Weitere Links