VoIP-Gespräche mitschneiden (VoIP-Sniffing)

Aus Twilight-Networks Wiki
VoIP-Gespraeche mitschneiden (VoIP-Sniffing)
Wechseln zu:Navigation, Suche


Vorwort

Diese Dokumentation beschreibt das Mitschneiden (Sniffing) von VoIP-Gesprächen mit Hilfe von ARP-Spoofing.

Bitte vergewissern Sie sich, dass Ihr System über die nötigen Voraussetzungen verfügt, wie in der Infobox beschrieben. Weiterhin sind Grundkenntnisse im Umgang mit Linux erforderlich, da die Vorgehensweise, wie sie hier beschrieben ist, in manchen Teilen abweichen kann. Kein System ist wie das Andere. Die Dokumentation wurde sorgfältig von mir geprüft. Dennoch kann ich keinerlei Haftung für Schäden an Ihrem System oder eine Gewährleistung übernehmen. Bitte verwenden Sie diese Dokumentation auf eigene Gefahr.

Diese Dokumentation beschreibt Methoden, mit denen gezielt die Verwundbarkeit eines Netzwerks oder IT-Systems gegenüber Hacking- und Manipulationsversuchen analysiert werden kann.
Ohne die ausdrückliche Zustimmung der zu testenden Organisation und/oder der betroffenen Personen sind diese Methoden illegal und können eine Straftat darstellen.




VoIP-Gespraeche mitschneiden (VoIP-Sniffing)
Stand: 08/2019



Verwendete Software:


Voraussetzungen:

  • physikalischer Zugriff auf das VoIP-Subnetz


Weitere, empfohlene Dokumentationen:

















Schritt für Schritt

Die folgende Beschreibung bezieht sich auf Kali Linux. In dieser Distribution sind die benötigten Programme bereits vorinstalliert.

Wichtig ist, dass eine funktionierende Netzwerkverbindung besteht. Falls eine virtuelle Maschine (VM) eingesetzt wird, sollte diese im Bridge Mode laufen. Als weitere Einschränkung gilt, dass man sich im selben Netzwerk (Subnetz) wie die abzuhörenden VoiP-Telefone befinden muss!



ARP-Spoofing mit Ettercap

Damit der Netzwerkverkehr mitgeschnitten werden kann, muss zunächst ein Man-In-The-Middle-Angriff durchgeführt werden. Wir verwenden Ettercap, um mittels ARP-Spoofing, den Netzwerkverkehr auf unser Netzwerk-Interface umzuleiten.


In unserem Beispiel wird das Netzwerk-Interface eth0 verwendet. Natürlich kann auch ein anderes Interface, z.B ein WLAN-Interface verwendet werden.

Es werden folgende Parameter verwendet: 

-T  Text-Only-Interface, Ausgabe direkt auf der Kommandozeile
-M  Man-in-the-Middle-Methode, ARP-Spoofing
-i  Interface, eth0
/// Gesamtes Subnetz, alle MACs/IPs/Ports


In der Praxis muss allerdings nicht das gesamte Subnetz angegriffen werden, da wir ja nur prüfen möchten, ob ein VoIP-Sniffing grundsätzlich möglich ist. In diesem Fall verwenden wir nur die IP-Adresse eines bestimmten VoiP-Endgerätes (z.B. 192.0.2.42): 

# ettercap -T -M ARP -i eth0 /192.0.2.42// (Alle MACs/Nur IP 192.0.2.42/Alle Ports)


Öffnen Sie ein Terminal-Fenster und rufen Sie ettercap auf. 

# ettercap -T -M ARP -i eth0 ///



VoIP-Sniffing mit Wireshark

Öffnen Sie Wireshark in der GUI und wählen Sie das Netzwerk-Interface eth0 aus:

Wireshark voip sniff 01.png


Klicken Sie auf die blaue Haifischflosse oben links oder wählen Sie in der Menü-Leiste Aufzeichnen --> Starten (Strg + E) um den Netzwerkverkehr mitzuschneiden:

Wireshark voip sniff 02.png


Der Netzwerk-Verkehr wird solange mitgeschnitten, bis Sie die Aufzeichnung durch Klicken auf das rote Quadrat oben links oder durch Auswahl von Aufzeichnung --> Stoppen (Strg + E) beenden. Alle VoIP-Telefonate, die in dieser Zeit geführt werden, können im nächsten Schritt wiedergegeben werden. Nachdem die Aufnahme beendet wurde, kann auch Ettercap beendet werden.



VoIP-Telefonate und Teilnehmer identifizieren

Nachdem die Aufzeichung beendet wurde, wählen Sie in der Menü-Leiste Telephonie --> VoiP Anrufe:

Wireshark voip sniff 03.png


Im Fenster VoIP Anrufe werden alle, während der Aufzeichnung geführten, VoIP-Telefonate aufgelistet. Die Spalten Von und Nach geben Auskunft über die verwendeten Telefonnummern bzw. internen Durchwahlen und IP-Adressen. So lassen sich gezielt, einzelne Teilnehmer identifizieren. Wählen Sie das gewünschte Telefonat (den RTP-Stream) aus und klicken Sie aus Streams abspielen:

Wireshark voip sniff 04.png



VoIP-Telefonat wiedergeben

Der RTP Player gibt den RTP-Stream oft nicht sauber wieder. Es kann passieren, dass der Stream entweder sehr abgehackt oder auch zu langsam wiedergegeben wird. In diesem Fall kann der gewünschte RTP-Stream auch ganz einfach in das Au-Format konvertiert werden und anschliessend z.B. mit dem VLC-Player wiedergegeben werden.


Im RTP Player kann nun das ausgewählte Telefonat wiedergegeben werden:

Wireshark voip sniff 05.png



VoIP-Telefonat in Audio-Format konvertieren und als Datei speichern

Um den gewünschten RTP-Stream zu konvertieren wählen Sie zunächst in der Menü-Leiste Telephonie --> RTP --> RTP Streams aus:

Wireshark voip sniff 06.png


Im Fenster RTP Stream müssen nun beide RTP-Streams des Telefonats, nämlich der Hin- und der Rückweg, ausgewählt werden. Beispiel: 

Quelladresse    Zieladresse
192.0.2.42      198.51.100.25
198.51.100.25   192.0.2.42


Wenn beide RTP-Streams ausgewählt wurden, klicken Sie auf Analysieren:

Wireshark voip sniff 07.png


Wählen Sie im Fenster RTP Stream Analyse unten rechts Speichern --> Audiostream des Hin- und Rückweges speichern aus. Die gespeicherte Datei kann nun im z.B. VLC-Player angehört werden.

Wireshark voip sniff 08.png




Abgerufen von „https://www.twilight-networks.com/wiki/index.php?title=VoIP-Gespraeche_mitschneiden_(VoIP-Sniffing)&oldid=6182