Наиболее эффективный способ, по-видимому, - перехватить весь трафик TCP на порты 1719 (RAS) и 1720 (сигнализация H.225). Вы получаете сигнал с высокой вероятностью. Другие пути намного сложнее.
Другая альтернатива:
- Проверка новых соединений TCP с трафиком TPKT с самого начала.
- Если заголовок хорош (4 байта для проверки) и PDU кажется разумным размером, вам нужно декодировать его как сигнализацию H.225 (ASN1), это не так просто и требует относительно много ресурсов.
Худшее, с чем вы можете столкнуться, это безопасность H.235 с защищенной сигнализацией. В этом случае вам почти ничего не поможет;).