论坛: 系统集成 标题: [转]VoIP电信封杀与反封杀 复制本贴地址    
作者: TecZm [teczm]    版主   登录
一、封软交换平台的端口

国际电联定义的IP通信信令端口是1719、1720等,终端(不管是软电话、ip电话还是语音网关)连上网后都需要注册到软交换平台,就像QQ上网要注册到QQ的服务器一样,这样系统才知道这个终端上线了,终端的ip和端口号是多少,并记录下来。有别的终端呼叫这个终端系统就会在数据库中找出这个终端注册后记录下来的ip和端口号,把数据发往这个地址。

1、    电信封杀手段

电信可以封了1719、1720端口,就是在数据包中目的地址的端口为1719的数据包,把这样的数据包处理掉,使终端无法在软交换平台进行数据交换,这个时候,你听到电话连接不通的声音,在平台查看网关注册在线,但是信令不通,电话也就拨打不通。

2、  反封杀手段

可以不使用H323约定的1719端口,使用别的端口,这样就规避了电信的封杀端口的手段。不过这需要终端的配合,终端中设置软交换平台的端口号改成软交换平台设置的端口号。

有人建议把端口改成80,这样可以在有防火墙并且只开放少数常有端口(比如http的80、ftp的21、邮件的13和10)的环境中使用 ,但是需要你的平台和终端都支持端口的修改和调整。

二、封软交换平台的ip

软交换平台是IP通信系统的核心,指挥中心,它负责用户的管理、终端的注册、通话的管理等。

1、    电信的封杀手段

电信不仅可以封端口,还可以把整个软交换平台的ip地址给封掉,就是在数据包中目的地址的ip为软交换平台的ip的数据包,把这样的数据包处理掉,使终端无法注册到软交换平台。

2、  反封杀手段

这个手段十分毒辣,把所有发往软交换平台的数据包都处理掉,数据无法到达软交换平台。换端口是没有用了,只能是换ip,就是换软交换平台的ip。一般软交换平台都是安装在托管的服务器,拥有一个固定的ip地址,要换软交换平台的ip还是比较麻烦的。有两个方法:

2.1、  多个软交换平台备份

多准备几个软交换平台服务器,不同的ip地址,几个软交换平台同时工作。需要终端具有支持主从备份的功能,终端中可以设置多个软交换平台,自动备份,一个注册不上自动换另一个注册。这样可以部分的对付封杀软交换平台的ip问题,当然,如果几个软交换平台同时被封,还是玩完。

2.2、  采用动态ip的软交换平台服务器

一般拨号上网的方式都是动态的ip,每次拨号后都会被分配一个不同ip地址,像ADSL,小区宽带用虚拟拨号的都是这样。可以采用带宽较宽的小区宽带(一般有10M的带宽)来做动态软交换平台服务器。申请一个域名,用花生壳之类的动态域名系统做动态域名的解析,不管这个软交换平台服务器的ip怎么变,这个域名解析出来的ip总是软交换平台服务器目前的ip。

这样可以人为的让软交换平台服务器定期的重新拨号获取不同的ip地址,电信估计抓也来不及。

不过这个做法需要终端的配合,终端软交换平台的设置只能设置成软交换平台的域名,如果只能设置软交换平台为ip形式的终端就不适用了。

注意:还是不要给他发现你的软交换IP是关键,不要使用特殊端口传输数据。

三、            封落地网关的ip

voip系统是由终端、软交换平台、中继网关、PSTN共同组成的,其中中继网关是voip语音从网络通往普通电话网的桥梁。

一般的,终端注册到软交换平台,终端呼叫某个电话时,软交换平台会控制通话双方的信令传送,送振铃、忙音等信号,一旦通话双方连接上后,语音信号会在软交换平台的指引下直接从终端到中继网关之间传送。

1、    电信的封杀手段

电信可以把中继网关(落地网关)的ip给封掉,跟封软交换平台的ip一样,在数据包中目的地址的ip为中继网关的ip的数据包,把这样的数据包处理掉。这样的话,一般的结果就是,终端注册到软交换平台正常,但是一拨电话就会断,因为通往中继网关的语音数据走不到中继网关。

2、  反封杀手段
使用具有中继网关备份功能的软交换平台系统,然后多找几个落地服务商,多个落地备份使用。在一个网关走不通时自动走下一个网关,再不行再换。

四、            封杀voip的协议
目前为止,voip的协议大概有三种:H323、SIP、MGCP。

其中SIP跟TCP一样是传输层的协议,H323是一个协议族,部分协议是在TCP之上的应用层协议,部分是在UDP之上的应用协议,对MGCP是一个专门的voip可控协议,信令端口和媒体流端口可以调整。这些协议都是有标准的,都是建立在ip协议之上的,用ip数据包传送的。

1、    电信的封杀手段

电信可以把经过电信网络的数据进行过滤,发现包含上述协议的数据包就处理掉。这就需要电信解开数据包就行处理了,至于电信那采用什么方法去每个数据包都解开分析,比较困难。

2、  反封杀手段
封杀协议是要分析数据包,找到其中协议的特征字段来判断的,是标准的协议,就能根据协议的标准来判断一个数据包是不是这个协议的数据包。但是可以将标准的协议数据重新编码,然后将数据包中的协议标志字段改成一个非标准的标志,然后在接受端将数据重新解码,恢复成原来的协议数据。这样,电信就不会认得你传送的是什么协议的数据包,也无从封杀了。

五、            UDP端口的封杀
一般IP通信都是采用UDP端口来传输媒体流数据包,一般采用大的UDP端口数来传输,所以电信可以在自己的网络上封住这些端口。

1、    电信的封杀手段

电信一般是设置20000以上的UDP端口或者30000以上的UDP端口的数据包给处理掉,这样一来,你的电话可以拨打通,双方听不到声音。

2、    反封杀手段
改变你的语音包在UDP端口传输的端口,一般电信不敢把自己用户的UDP端口都封,因为那样封,上网的很多功能都无法实现,电信是很难给其网络用户交待,所以你只要改变这些端口就可以解决,改变是需要你的软交换平台和终端都支持才可以。

六、目前超级解决办法

建立IP通信用户的私网或者VPN,但是成本太高。尤其是虚拟运营商,需要在用户端、软交换平台、落地网关都建立这种私网或者VPN,成本还是很高。

总之,只要做IP通信技术的公司做了技术准备,你的IP通信注册、信令、语音所使用的端口可以随意调整,最好是可以自己寻找端口来传输,做虚拟运营的时候考虑得周到一些,全面一些,电信一般还是比较在流量众多的IP网络里把你的包给纠出来,查找你的IP再封杀的。



地主 发表时间: 06-05-25 09:24

回复: 芹菜 [wangq1738]   论坛用户   登录
谢谢!!  您的详细解说!  在这里我像菜鸟们像你们致敬

B1层 发表时间: 06-05-31 09:34

回复: 20cn忘记一切 [sunye]   论坛用户   登录
这样说就几个字还简单
他封杀的都是软件默认的端口
你改一下 端口就行了
只要不使用默认的哈哈

B2层 发表时间: 06-08-04 16:41

回复: bluetooth [bluetooth]   论坛用户   登录
不是随便改几个端口的问题,LZ之所以这样大篇幅的来阐述,楼上的朋友应该明白的是,如果更该默认端口的话,是需要软交换平台和终端的同时支持的。 如果电信封杀软交换平台的话,可以在终端上设置代理服务器功能,通过代理服务器来连接软交换平台,不过这样的话,建议软交换平台的服务器一定是放在国外的比较好。

B3层 发表时间: 06-09-19 16:39

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号