VoIP Sniffer
Achtung
Die ist keine Anleitung zum "Hacken", sondern eine Demonstration auf
einem absichtlich "unsicher" angebundenen Exchange Server und
funktioniert mit den meisten SIP-Telefonen, die ihre Daten nicht
verschlüsseln oder deren Netzwerkadministrator diese Endgeräte nicht
gegen fremde Zugriffe schützt.
Informationen zu Videocodes und deren Analyse per Wireshark finden Sie auf Video-Codec
Was vielen Administratoren nicht bewusst ist, ist die oft schwache Schutzfunktion von VoIP gegen Mithörer. Selbst ein voll geswitchtes Netzwerk ist kein Schutz gegen Lauscher, da mittels ARP-Spoofing auch in solchen Umgebungen Pakete "umgeleitet" werden können. Ein Musterprogramm finden Sie z.B. auch in Cain&Abel auf www.oxid.it
Microsoft hat mit dem Programm NetMon ein Werkzeug, um Pakete auf dem Ethernet mitzuschneiden. Das gleich kann man auch mit der Open Source Alternative Wireshark machen. Wireshark erlaubt aber sogar die Analyse des Audiostreams (RTP). Dazu schneidet man erst die Pakete alle mit und über die Statistik Funktion kann man sich alle erkannten Streams anzeigen lassen.
Mit der linken Maustaste und "Shift-Linke Maustaste" wählt man Hin- und Rückrichtung der Kommunikation aus um dann über die Funktion "Analyze" die Verbindung genauer zu betrachten. Die Grafikfunktion erlaubt sehr einfach Laufzeitprobleme und Jitter zu erkennen.
So können Sie quasi "Knacksen" und Aussetzer genauer analysieren.
Auch die "RTP Stream Analyse" hilft bei der Erkennung von Aussetzern. Hier Ein Beispiel, bei dem der Stream für ca. 629ms abbricht und dann verzögert nachgeliefert wird. Der "Versatz" nimmt danach wieder ab.
Der Anwender bemerkt dies durch eine kurze Stille mit nachfolgender beschleunigter Wiedergabe.
Interessanter ist auch die Funktion "Save Payload", welche die reinen Nutzdaten exportiert.
Wireshark erlaubt direkt den Export in eine ".au" Datei, welche mit den gängigsten Programmen (Mediaplayer, WinAmp) ausgegeben werden kann. So kann Wireshark helfen, eventuelle Probleme bei der Audioübertragung (Falscher Codec, Aussetzer etc.) zu erkennen. Wenn Sie Wireshark und WinPcap nicht auf dem Server selbst installieren wollen, dann schneiden Sie die Pakete einfach mit NETMON mit und öffnen die CAP-Datei auf ihrem Arbeitsplatz mit Wireshark.
Interessant ist auch die Funktion, einen Mitschnitt nach VoIP-Verbindungen abzusuchen und diese gleich anzuhören. Über die Funktion "Statistics - VoIP-Calls" sucht Wireshark alle Verbindungen
Wählen Sie dann einfach die Verbindung aus und lassen Sie sich entweder das SIP-Diagramme anzeigen oder einfach direkt die Audiodaten wiedergeben:
Nun verstehen Sie auch, dass VoIP eigentlich sehr einfach "abzuhören" ist, wenn man die Netzwerke nicht über VLANs oder TLS absichert.
SIP "Scanner
Übrigens sollten Sie furchtbar "vorsichtig" sein, einen SIP-Server über das Internet zu betreiben. Stellen Sie einfach mal einen gut gesicherten Windows Server ins Internet und betrachten Sie, wer Sie so alles abscannt. RDP und SMB ist ja schon lange bekannt. Aber auch SIP wird gerne gescannt. Ob das folgende Beispiel wirklich ein "FriendlyScanner" ist oder nur die Voranfrage um kostenfrei zu telefonieren lasse ich bewusst offen
Da wäre ich ja schon fast mal neugierig einen Honeypot aufzustellen, und zu sehen, welche Ziele wohl angerufen werden würden. Die IP-Adresse war ja schon wie selbstverständlich aus China. LeastCostRouting auf Chinesisch.
Wer auf so eine Anfrage natürlich antwortet oder sogar noch eine Verbindung zulässt, braucht sich nicht zu wundern. Vielleicht ist es mal Zeit ihre Firewalls auf dazu gehörige TCP-ACK-Pakete zu prüfen ?
Weitere Links
- Wireshark
- Video-Codec
- How to Capture and Decrypt
Lync Server 2010 TLS Traffic using Microsoft Tools
http://blogs.technet.com/b/nexthop/archive/2012/02/15/how-to-decrypt-lync-2010-tls-traffic-using-microsoft-network-monitor.aspx - Wireshark tips and tricks für VoIP/SIP (Shhhh Don't tell
the Feds)
http://blog.lyncdialog.com/2010/10/wireshark-tips-and-tricks-for-voipsip.html - http://wiki.wireshark.org/HowToDecodeG729
- http://wiki.wireshark.org/RTP_statistics
- http://blog.lyncdialog.com/2013/11/using-wireshark-to-decrypt-lync.html
- Getting Started With Lync
and Wireshark: Tips & Quirks
http://windowspbx.blogspot.de/2013/11/getting-started-with-lync-and-wireshark.html - Mitschneiden und Auswertung von VoIP-Paketen
http://wiki.wireshark.org/RTP_statistics
http://wiki.wireshark.org/VoIP_calls - Network Monitor Parsers für Lync
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=8a1847fe-c1ad-41e4-98ab-e25e6f62542c
-
NetMon
Mitschneiden von Paketen auf dem Server -
VoIP
Hintergründe zu VoiceoverIP -
PCD Pre-Call Diagnostics
Hilfsprogramm für jeden Desktop zur Überwachung der Netzwerkqualität für VoIP mit OCS -
Silence
VoIP Optimierung bei "Ruhe" -
MSXFAQ.DE -UM - DIVA SIP
Gateway
PC-gestütztes UM-Gateway mit ISDN-Karte -
Ferrari
OfficeMaster
externe Box als UM-Gateway zwischen ISDN und Exchange - Exchange 2007 Diagnoseprotokoll
- Diversion ist die Rufnummer des originär angerufenen Users
http://tools.ietf.org/id/draft-levy-sip-diversion-08.txt -
http://oreka.sourceforge.net
The open source, cross-platform audio stream recording and retrieval system - SIP Print - Sprachaufzeichnung für VoIP
http://sipprint.com/certified-voip.php