Сети

Сигнатуры TURN протокола для VoIP трафика

Узнайте ключевые сигнатуры TURN протокола для идентификации и фильтрации VoIP трафика через ретрансляторы. Порты, атрибуты и методы анализа.

Авторы: НейроАгент

Какая сигнатура протокола TURN используется для идентификации VoIP трафика к ретрансляторам? Мне необходимо определить сигнатуру протокола для фильтрации и анализа трафика VoIP, проходящего через TURN ретрансляторы в сети.

TURN протокол использует специфические сигнатуры для идентификации VoIP трафика, проходящего через ретрансляторы. Основные сигнатуры включают стандартные порты UDP 3478 и 5349 для TLS, а также характерные атрибуты в пакетах, такие как BINDING REQUESTS и данные ретрансляции.

Содержание

Основные порты TURN протокола

TURN протокол использует стандартные порты для идентификации трафика:

  • UDP порт 3478 - основной порт для TURN серверов
  • TCP порт 3478 - альтернативный транспорт
  • UDP порт 5349 - TURN поверх TLS (защищенное соединение)

Согласно Wikipedia, стандартный прослушивающий порт для STUN сервера составляет 3478 для UDP и TCP, а 5349 - для TLS. TURN использует аналогичные порты, так как он основан на STUN протоколе.

Система фильтрации должна отслеживать трафик на этих портах, чтобы идентифицировать потенциальное использование TURN ретрансляторов.

Сигнатуры в пакетах данных

TURN пакеты содержат характерные атрибуты, которые можно использовать для идентификации:

  1. BINDING REQUESTS - клиенты отправляют запросы связывания для определения своего публичного IP и порта
  2. DATA INDICATION - используется для передачи данных через ретранслятор
  3. CREATE PERMISSION - запросы на создание разрешений для конкретных IP адресов
  4. ALLOCATE REQUEST - запросы на выделение ресурсов для ретрансляции

Как объясняется в 3CX documentation, клиент TURN отправляет BINDING REQUEST на TURN сервер через UDP, и сервер анализирует исходный IP адрес и порт запроса.

Для VoIP трафика через TURN ретрансляторы будут присутствовать:

  • SIP сообщения, инкапсулированные в TURN DATA пакеты
  • RTP потоки, проходящие через ретранслятор
  • Характерные заголовки TURN в транспортном слое

Методы идентификации VoIP трафика

Для эффективной идентификации VoIP трафика через TURN ретрансляторы используются следующие методы:

1. Сигнатурный анализ

Signature-based network inspection is a method used to classify and characterize traffic, primarily using DPI techniques.

Согласно исследованию из PMC, сигнатурный сетевой анализ является основным методом классификации трафика с использованием техник глубокого анализа пакетов (DPI).

2. Распознавание протоколов

Системы фильтрации должны распознавать:

  • SIP протокол - для сигнального трафика
  • RTP протокол - для медиа трафика
  • RTCP протокол - для контроля качества

Как указано в Flowmon documentation, решение распознает SIP, RTP и RTCP протоколы, извлекает и сохраняет информацию из этих пакетов как часть записей о потоках.

3. Анализ поведения трафика

VoIP трафик через TURN ретрансляторы имеет характерные поведенческие паттерны:

  • Постоянные UDP сессии
  • Определенные интервалы пакетов
  • Характерные размеры пакетов

Анализ трафика с помощью DPI

Deep packet inspection (DPI) является ключевым инструментом для идентификации TURN VoIP трафика:

Deep packet inspection (DPI) is a data processing technique that analyzes both the headers and payload contents of network packets as they traverse inspection points, allowing for identification of specific applications, protocols, and embedded…

Согласно Grokipedia, DPI анализирует как заголовки, так и содержимое payload сетевых пакетов, что позволяет идентифицировать конкретные приложения и протоколы.

Для TURN VoIP трафика фильтрация должна включать:

  1. Анализ заголовков транспортного уровня

    • Идентификация UDP портов 3478/5349
    • Распознавание характерных структур пакетов TURN

  2. Анализ содержимого пакетов

    • Поиск TURN атрибутов в payload
    • Распознавание инкапсулированных SIP/RTP сообщений
    • Идентификация TURN DATA индикаторов

  3. Мониторинг потоков

    • Отслеживание сессий TURN
    • Анализ паттернов передачи данных
    • Классификация трафика по типу (аудио/видео)

Практическое применение для фильтрации

Настройка фильтрации TURN VoIP трафика включает следующие шаги:

1. Настройка правил для портов

bash
# Базовые правила для TURN портов
iptables -A INPUT -p udp --dport 3478 -j LOG --log-prefix "TURN-TRAFFIC: "
iptables -A INPUT -p udp --dport 5349 -j LOG --log-prefix "TURN-TLS: "

2. Создание фильтров для анализа

Для глубокого анализа можно использовать Wireshark с фильтрами:

# Фильтр для TURN трафика
stun or turn

Как описано в Wireshark Wiki, для подготовки фильтра для конкретного вызова можно выбрать нужный вызов и нажать “Prepare Filter” для создания фильтра в основном окне Wireshark.

3. Мониторинг и анализ

Системы мониторинга трафика, такие как Flowmon, могут автоматически распознавать VoIP протоколы через TURN ретрансляторы:

The solution recognizes SIP, RTP and RTCP protocols, extracts and stores information from these packets as a part of flow records.

Рекомендации по настройке

Для эффективной идентификации и фильтрации TURN VoIP трафика рекомендуется:

  1. Использовать современные системы DPI с поддержкой анализа протоколов реального времени
  2. Настроить логирование TURN трафика для последующего анализа
  3. Реализовать мониторинг качества VoIP вызовов через ретрансляторы
  4. Регулярно обновлять сигнатуры для распознавания новых версий протоколов
  5. Интегрировать с системами QoS для приоритизации VoIP трафика

Как отмечается в Allot documentation, бесшовные обновления поддерживают DART двигатель внутри каждой платформы в актуальном состоянии по всем измерениям осведомленности.

Для более точной настройки рекомендуется провести дополнительный анализ конкретной реализации TURN ретрансляторов в вашей сети, так как разные реализации могут иметь отличия в сигнатурах и поведении.

Заключение

  1. TURN протокол для VoIP трафика использует стандартные порты UDP 3478 и 5349 для TLS, которые являются основными точками мониторинга.

  2. Ключевые сигнатуры включают BINDING REQUESTS, DATA INDICATION и специфические атрибуты TURN в пакетах данных, которые позволяют идентифицировать ретрансляционный трафик.

  3. Для эффективной фильтрации необходимо сочетать анализ заголовков транспортного уровня, глубокий анализ содержимого пакетов (DPI) и мониторинг поведенческих паттернов VoIP трафика.

  4. Современные системы сетевой безопасности с поддержкой глубокого анализа пакетов могут автоматически распознавать SIP, RTP и RTCP протоколы, даже когда они проходят через TURN ретрансляторы.

  5. Рекомендуется регулярно обновлять сигнатуры и правила фильтрации для обеспечения защиты от новых технологий обхода NAT и ретрансляции VoIP трафика.

Источники

  1. STUN - Wikipedia
  2. What Are STUN, TURN, and ICE? - LiveSwitch Server Documentation
  3. The STUN Protocol Explained - 3CX
  4. Deep packet inspection - Grokipedia
  5. VoIP traffic monitoring use-case - Flowmon
  6. Encrypted Network Traffic Analysis and Classification - PMC
  7. Data Traffic Classification - Allot
  8. VoIP_calls - Wireshark Wiki
Авторы
НейроАгент
Автор
Проверено модерацией
НейроОтветы
Модерация
Сигнатуры TURN протокола для VoIP трафика