Признаюсь, мой сервак был взломан, очень жестоко трафик гоняли туда сюда, только вот обошлось без банкротства. Видимо они не догадались что именно они взломали.

У меня когда-то было несколько успешных попыток звонков на российские номера в виде 781289217654321.
У меня номер тупо уходил по потокам в PSTN, где отсекалось 7812 и оператору уходил уже номер 89217654321.
Нагрели рублей на 100-200 ;-)
С тех пор на многие направления у меня жесткие ограничения по длине номера, остальные отбиваются с q931=28 ну и другие ограничения на несуществующие номера.

Причем вызовы шли через доверенного партнера, поэтому в black-лист его занести было нельзя.

Так что вариантов может быть много и методов борьбы с ними тоже.

Ок, сделаю локальный "банно-прачечный" комбинат.
Только всё равно интересно, через какой сервис было бы удобно выплевывать эти адреса в случае если кто-то захочет публично воспользоваться?
Сейчас пока сделаю передачу по REST адресов на свои сервера и глобальный Fail2Ban.

Буквально вчера началась кратковременная бомбежка моего сервака
2010-03-29 20:25:50 sip s SIP/113.105.152.126-00002568 ANSWERED 14
2010-03-29 20:25:50 sip s SIP/113.105.152.126-00002567 ANSWERED 15
2010-03-29 20:25:50 sip s SIP/113.105.152.126-0000256a ANSWERED 15
2010-03-29 20:25:50 sip s SIP/113.105.152.126-00002569 ANSWERED 15
2010-03-29 20:25:50 sip s SIP/113.105.152.126-0000256b ANSWERED 15
2010-03-29 20:25:51 sip s SIP/113.105.152.126-0000256c ANSWERED 15
2010-03-29 20:25:52 sip s SIP/113.105.152.126-0000256d ANSWERED 15
2010-03-29 20:25:53 sip s SIP/113.105.152.126-0000256e ANSWERED 15
2010-03-29 20:25:54 sip s SIP/113.105.152.126-00002571 ANSWERED 15
2010-03-29 20:25:53 sip s SIP/113.105.152.126-00002570 ANSWERED 16
2010-03-29 20:25:53 sip s SIP/113.105.152.126-0000256f ANSWERED 16
2010-03-29 20:25:55 sip s SIP/113.105.152.126-00002572 ANSWERED 15
2010-03-29 20:25:56 sip s SIP/113.105.152.126-00002573 ANSWERED 15
2010-03-29 20:29:34 sip s SIP/113.105.152.131-00002574 ANSWERED 15
2010-03-29 20:29:35 sip s SIP/113.105.152.131-00002575 ANSWERED 15
2010-03-29 20:29:36 sip s SIP/113.105.152.131-00002576 ANSWERED 15
2010-03-29 20:29:37 sip s SIP/113.105.152.131-00002577 ANSWERED 15
2010-03-29 20:29:37 sip s SIP/113.105.152.131-00002578 ANSWERED 15
2010-03-29 20:29:38 sip s SIP/113.105.152.131-00002579 ANSWERED 15
2010-03-29 20:29:38 sip s SIP/113.105.152.131-0000257a ANSWERED 15
2010-03-29 20:29:39 sip s SIP/113.105.152.131-0000257c ANSWERED 16
2010-03-29 20:29:39 sip s SIP/113.105.152.131-0000257b ANSWERED 16
2010-03-29 20:30:52 sip s SIP/117.41.228.232-0000257d ANSWERED 15
2010-03-29 20:30:54 sip s SIP/117.41.228.232-0000257f ANSWERED 14
2010-03-29 20:30:54 sip s SIP/117.41.228.232-0000257e ANSWERED 15
2010-03-29 20:30:55 sip s SIP/117.41.228.232-00002581 ANSWERED 14
2010-03-29 20:30:54 sip s SIP/117.41.228.232-00002580 ANSWERED 16
2010-03-29 20:30:55 sip s SIP/117.41.228.232-00002582 ANSWERED 15
2010-03-29 20:30:57 sip s SIP/117.41.228.232-00002583 ANSWERED 14
2010-03-29 20:30:57 sip s SIP/117.41.228.232-00002584 ANSWERED 15
2010-03-29 20:30:57 sip s SIP/117.41.228.232-00002585 ANSWERED 16
2010-03-29 20:30:58 sip s SIP/117.41.228.232-00002586 ANSWERED 16
2010-03-29 20:30:59 sip s SIP/117.41.228.232-00002587 ANSWERED 15
2010-03-29 20:30:59 sip s SIP/117.41.228.232-00002588 ANSWERED 16
2010-03-29 20:30:59 sip s SIP/117.41.228.232-00002589 ANSWERED 17
2010-03-29 20:31:00 sip s SIP/117.41.228.232-0000258a ANSWERED 17
2010-03-29 20:32:10 sip s SIP/113.105.153.55-0000258b ANSWERED 15
2010-03-29 20:32:11 sip s SIP/113.105.153.55-0000258c ANSWERED 15
2010-03-29 20:32:11 sip s SIP/113.105.153.55-0000258d ANSWERED 15
2010-03-29 20:32:12 sip s SIP/113.105.153.55-0000258e ANSWERED 15
2010-03-29 20:32:12 sip s SIP/113.105.153.55-0000258f ANSWERED 15
2010-03-29 20:32:13 sip s SIP/113.105.153.55-00002590 ANSWERED 15
2010-03-29 20:32:13 sip s SIP/113.105.153.55-00002592 ANSWERED 15
2010-03-29 20:32:14 sip s SIP/113.105.153.55-00002593 ANSWERED 15
2010-03-29 20:32:13 sip s SIP/113.105.153.55-00002591 ANSWERED 16
2010-03-29 20:32:15 sip s SIP/113.105.153.55-00002594 ANSWERED 16
2010-03-29 20:32:16 sip s SIP/113.105.153.55-00002595 ANSWERED 15
2010-03-29 20:33:25 sip s SIP/113.105.153.52-00002596 ANSWERED 14
2010-03-29 20:33:26 sip s SIP/113.105.153.52-00002597 ANSWERED 14
2010-03-29 20:33:27 sip s SIP/113.105.153.52-00002598 ANSWERED 15
Кто знает что это? может кто то из вас мутит?

http://ddos-hacker.clan.su/news/2009-05-08-61

и у нас это уже эпидемия.

113.105.153.55 - это китайцы

inetnum: 113.96.0.0 - 113.111.255.255
netname: CHINANET-GD
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: IC83-AP
remarks: service provider
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-GD
mnt-routes: MAINT-CHINANET-GD
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20081103
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: dingsy@cndata.com 20070416
mnt-by: MAINT-CHINANET
source: APNIC

Повторюсь -
1) банить при помощи iptables
2) Fail2ban
3) писать провам anti-spam@ns.chinanet.cn.net dingsy@cndata.com

у меня пока примитивно белый список IP адресов (настоял в свое время, чтобы не жадничали 5 баксов на аренду).

Но от белых и черных списков все к этому идет:
1) пул белых адресов;
2) пул черных;
3) пул серых, надо искать алгоритмы вычисления, свой, или чужой.

С серыми, по логике, у кого исходящий IP не из российской сети, можно рубить (китай, пендосия, *home*, *dsl*. Зарубежных партнеров добавлять в белый список (по возможности).

все что не разрешено, то запрещено
явно указывать кому можно allow udp from "table(таблица_доверенных)" to ${sip_gw_ip} 5060
создавать подобие PBR для исходящих, создавая для этого конструкции вида (в примере AEL):

context my_partner
{
includes { my_partner_settings; }
includes { my_partner_policy; }
}

использовать call-limit в разумных значениях
использовать LCR в доступном Вам виде ( простейший { switch (..): case (..): .. brake; default: .. break; } )

для общего развития прочесть

2010-04-14 01:01:18 asterisk s SIP/119.147.116.158-00003c81 ANSWERED 16
2010-04-14 07:28:46 asterisk s SIP/59.53.92.221-00003c82 ANSWERED 16
2010-04-14 08:46:42 asterisk s SIP/121.14.149.145-00003c83 ANSWERED 15
2010-04-14 09:06:08 asterisk s SIP/119.147.116.157-00003c84 ANSWERED 15
2010-04-14 09:10:08 asterisk s SIP/121.14.149.145-00003c85 ANSWERED 16
2010-04-14 11:51:26 asterisk s SIP/117.41.168.235-00003ccd ANSWERED 16
2010-04-14 12:49:29 asterisk s SIP/121.14.149.145-00003cdb ANSWERED 16
2010-04-14 12:56:23 asterisk s SIP/119.147.116.157-00003ce0 ANSWERED 13
2010-04-14 12:57:51 asterisk s SIP/119.147.116.143-00003ce1 ANSWERED 13
2010-04-14 12:58:24 asterisk s SIP/117.41.168.235-00003ce2 ANSWERED 13
2010-04-14 13:12:18 asterisk s SIP/117.41.229.145-00003ce6 ANSWERED 14
2010-04-14 13:22:47 asterisk s SIP/119.147.116.157-00003ce9 ANSWERED 13
2010-04-14 13:26:29 asterisk s SIP/117.41.168.235-00003cea ANSWERED 14
2010-04-14 13:49:58 asterisk s SIP/117.41.229.74-00003ced ANSWERED 14
2010-04-14 13:53:06 asterisk s SIP/117.41.229.145-00003cf1 ANSWERED 14
2010-04-14 13:57:44 asterisk s SIP/119.147.116.143-00003cf5 ANSWERED 13
2010-04-14 14:06:23 asterisk s SIP/119.147.116.157-00003cf6 ANSWERED 13
2010-04-14 14:14:02 asterisk s SIP/117.41.168.235-00003cfa ANSWERED 13
2010-04-14 14:23:42 asterisk s SIP/121.14.149.145-00003d06 ANSWERED 15


По рекомендации нашего гуру я уделил им внимание по пункту №2.

iptables -A INPUT -s 117.41.229.74 -j DROP не сработало почему то. Этот пудель снова пытался набрать номер 999...... и тд. Ded, что я не так набрал?