Страница 1 из 1
Обнаружения rtp
Добавлено: 14 июл 2023, 18:01
Iskatel
Такой вопрос, rtp-трафик ведь не привязан к номеру порта, любой UDP-пакет может содержать rtp? Можно ли по содержимому пакета (сигнатуры какие-нибудь) определить что пакет содержит rtp, чтобы, например, использовать для написания acl для разрешения rtp?
Re: Обнаружения rtp
Добавлено: 14 июл 2023, 18:22
ded
Только если использовать firewall с приблудой DPI (deep packet inspection) AFAIK.
Чехи написали интересную работу по этой теме 9 лет назад
https://commons.erau.edu/cgi/viewconten ... text=jdfsl
Китайцы в 2018 году предложили алгоритм детектирования RTP
RTP Stream Identification Algorithm
Step 0. The algorithm will query the UDP monitoring table. If the query is successful, it returns the
stream type flag in the monitoring table, and deletes the monitoring node from the monitoring table.
And then it goes to step5. If the query fails, the UDP payload length is first determined. If the length is
less than 12 bytes, no judgment is made. Otherwise, it goes to step1.
Step 1. The algorithm will check whether the upper two bits of the first byte of the UDP payload is
2 or not. If yes, it goes to step2. Otherwise, it goes to step6.
Step 2. The algorithm will record the value of PT, SSRC, timestamp, sequence number, and packet
direction into the stream table for comparison with subsequent packets. And then, it goes to step3.
Step 3. The algorithm will extract the PT, SSRC, timestamp, sequence number and direction of the
subsequent packet, and compare them with the saved values. If all the conditions in Formula (1-5) are
satisfied, it goes to step4. Otherwise, it goes to step6.
Step 4. The algorithm will compare the following n-1 packets according to the method of step3. If
there is a packet that does not satisfy the Formula (1-5), it goes to step6. If all the packets satisfy the
Formula (1-5), it goes to step5.
и собрали демо::
https://iopscience.iop.org/article/10.1 ... 052033/pdf
Re: Обнаружения rtp
Добавлено: 15 июл 2023, 14:12
Zavr2008
Довольно элементарно можно детектировать.
Заголовок RTP простой, 12 байтов.
Как правило при PT алав G711 сам payload 160 байтов.
Если ничего другого не ждете, можно смело резать.
Re: Обнаружения rtp
Добавлено: 20 авг 2023, 12:59
Iskatel
Не понятно. Вот тут описана структура пакета
https://en.wikipedia.org/wiki/Real-time ... ket_header Ни одно из полей не является сигнатурой, свойственной именно для RTP.
Re: Обнаружения rtp
Добавлено: 21 авг 2023, 00:04
Zavr2008
Почему?
Почитайте внимательно просто RFC. Например про PayloadType (обычно G.711A ) или TS. Вместе с длиной обычной PT 160 резать всё что не совпадает если другие кодеки не используете.
Также RTP отличается регулярностью, тот же Alaw по 20ms итого 50 пакетов в секунду.
Так то можно и проще сделать - RTP то двухсторонний, от Вас в сеть тоже идут пакеты. Добавить в белый список всех кому Вы отправляете. Правда в этом случае можно налететь что вторая сторона молчит также). Правда можно в белый список добавить всех тех, кому Вы посылаете по SIP инвайт или ACK на него, или кто у Вас зареган.
Так честно говоря блокировать RTP смысла то и нет, поскольку угадать сложно и у всех стоит фильтр по IP источника и сам Астер пошлет эти пакеты..