Какие-то непонятные звонки, в обход asterisk... [закрыт]

Question

Уважаемое сообщество!!! Нужна помощь...

Что есть, система FreeBSD 8.4 + Asterisk 1.8.31.0: На внутренние телефонные номера приходят звонки, как юзер снимает трубку, идет сброс.

В консоле астера эти звонки не отображаются, в при включении sip debug on, видно что входящего звонка, как такового нет. Такое ощущение что сам сервак выборочно звонит на внутренние номера с периодичностью 1-2-3 секунды. При этом на экране телефона отображаются совершенно непонятные номера телефонов типа: '11122', '4441' ну и т.д. В принципе, дозвону клиентов это особо не мешает, юзеры нервничают...

Лог с телефона клиента:

GXP2100_PHONE:[00:0b:82:2c:f3:11][1.0.1.66] SIPStack::receiveMessage: Received message: (557)OPTIONS sip:3502@XXX.XXX.50.58:1027 SIP/2.0  Via: SIP/2.0/UDP YYY.YYY.239.145:5060;branch=z9hG4bK1dc3ad3d;rport  Max-Forwards: 70  From: "Unknown" <sip:Unknown@62.168.
GXP2100_PHONE:[00:0b:82:2c:f3:11][1.0.1.66] SIPStack::receiveMessage: Mark server YYY.YYY.239.145 available
GXP2100_PHONE:[00:0b:82:2c:f3:11][1.0.1.66] SIPStack::cb_rcvreq: Received SIP request OPTIONS (0)
GXP2100_PHONE:[00:0b:82:2c:f3:11][1.0.1.66] SIPStack::snd_message: Sending message:SIP/2.0 200 OK  Via: SIP/2.0/UDP YYY.YYY.239.145:5060;branch=z9hG4bK1dc3ad3d;rport=5060  From: "Unknown" <sip:Unknown@YYY.YYY.239.145>;tag=as4988345c  To: <sip:3502@XXX.XXX.50.58
GXP2100_PHONE:[00:0b:82:2c:f3:11][1.0.1.66] SIPStack::cb_nist_kill_transaction: Kill NIST transaction 78
GXP2100_PHONE:[00:0b:82:2c:f3:11][1.0.1.66] SIPStack::run: Deleting transaction 0:78(OPTIONS)

Лог verbose с астера:

[Oct 22 18:33:45] VERBOSE[-1] chan_sip.c: Reliably Transmitting (NAT) to XXX.XXX.50.58:1027:
OPTIONS sip:3502@XXX.XXX.50.58:1027 SIP/2.0
Via: SIP/2.0/UDP YYY.YYY.239.145:5060;branch=z9hG4bK1dc3ad3d;rport
Max-Forwards: 70
From: "Unknown" <sip:Unknown@YYY.YYY.239.145>;tag=as4988345c
To: <sip:3502@XXX.XXX.50.58:1027>
Contact: <sip:Unknown@YYY.YYY.239.145:5060>
Call-ID: 0cb29f4e1c01b75216f683ed2c15154f@YYY.YYY.239.145:5060
CSeq: 102 OPTIONS
User-Agent: Asterisk PBX 1.8.31.0
Date: Wed, 22 Oct 2014 12:33:45 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 0

---
[Oct 22 18:33:45] VERBOSE[-1] chan_sip.c: 
<--- SIP read from UDP:XXX.XXX.50.58:1027 --->
SIP/2.0 200 OK
Via: SIP/2.0/UDP YYY.YYY.239.145:5060;branch=z9hG4bK1dc3ad3d;rport=5060
From: "Unknown" <sip:Unknown@YYY.YYY.239.145>;tag=as4988345c
To: <sip:3502@XXX.XXX.50.58:1027>;tag=1227275179
Call-ID: 0cb29f4e1c01b75216f683ed2c15154f@YYY.YYY.239.145:5060
CSeq: 102 OPTIONS
Supported: replaces, path, timer
User-Agent: Grandstream GXP2100 1.0.1.66
Allow: INVITE, ACK, OPTIONS, CANCEL, BYE, SUBSCRIBE, NOTIFY, INFO, REFER, UPDATE, MESSAGE
Content-Length: 0

<------------->
[Oct 22 18:33:45] VERBOSE[-1] chan_sip.c: --- (10 headers 0 lines) ---
[Oct 22 18:33:45] VERBOSE[-1] chan_sip.c: Really destroying SIP dialog '0cb29f4e1c01b75216f683ed2c15154f@YYY.YYY.239.145:5060' Method: OPTIONS

TCPDUMP'ом cнял входящие пакеты на 5060 порт с внешнего интерфейса:

FaEI>0>2:5OPTIONS sip:3502@XXX.XXX.50.58:1027 SIP/2.0
Via: SIP/2.0/UDP YYY.YYY.239.145:5060;branch=z9hG4bK1dc3ad3d;rport
Max-Forwards: 70
From: "Unknown" <sip:Unknown@YYY.YYY.239.145>;tag=as4988345c
To: <sip:3502@XXX.XXX.50.58:1027>
Contact: <sip:Unknown@YYY.YYY.239.145:5060>
Call-ID: 0cb29f4e1c01b75216f683ed2c15154f@YYY.YYY.239.145:5060
CSeq: 102 OPTIONS
User-Agent: Asterisk PBX 1.8.31.0
Date: Wed, 22 Oct 2014 12:33:45 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 0

FaEN5c=2:>1SIP/2.0 200 OK
Via: SIP/2.0/UDP YYY.YYY.239.145:5060;branch=z9hG4bK1dc3ad3d;rport=5060
From: "Unknown" <sip:Unknown@YYY.YYY.239.145>;tag=as4988345c
To: <sip:3502@XXX.XXX.50.58:1027>;tag=1227275179
Call-ID: 0cb29f4e1c01b75216f683ed2c15154f@YYY.YYY.239.145:5060
CSeq: 102 OPTIONS
Supported: replaces, path, timer
User-Agent: Grandstream GXP2100 1.0.1.66
Allow: INVITE, ACK, OPTIONS, CANCEL, BYE, SUBSCRIBE, NOTIFY, INFO, REFER, UPDATE, MESSAGE
Content-Length: 0

всё, больше ничего нет.

... да, телефоны подключены к внешнему интерфейсу. Соответственно, телефоны настроены через NAT и подключаются на внешний интерфейс сервака.

Из вне порт UDP/5060 доступен только для 3х IP-адресов, 2х провайдеров и 1х внешний адрес сети, где стоят телефоны, остальное рубится.

Может ли это быть какой-нибудь SIP DDoS, или же всё таки это сам сервак "балуется"?

UPDATE... Да, забыл добавить, такую конфигурацию использую ещё в двух офисах, с теми же версиями ОС и астериск, одинаковыми настройками астериска. Там всё нормально, никаких проблем.

Как вариант, через одного из провайдеров идут постоянные звонки, но, почему тогда эти пакеты в Астериске не отображаются, и уж тем более в TCPDUMP'е?

Accepted Answer

1

Версия 1.0.1.66 firmware телефонов GXP2100 - довольно старая!

Советую обновить прошивку на более свежую, например 1.0.6.11

ссылка удалить спам редактировать

ответил 2014-10-22 18:27:00 +0400

Zavr2008

2886 ● 11 ● 9 ● 40
http://mh.otx.ru/

Comments

С удовольствием бы... :( Одна беда, GS'овцы перешли на другой тип прошивки, новые прошивки устанавливаются одним файлом, а старых (переходных) на сайте GS нет. Я обратился в форуме GS по поводу переходной прошивки для этого типа телефонов, но, они молчат как партизаны.

update... Сейчас оставил ticket на GS'овском helpdesk'е... Может там чего ответят...

Krasnov ( 2014-10-22 20:04:53 +0400 )редактировать

Ок. если на софтфоне не наблюдается подобного, вероятно дело в прошивке.. так что думаю стоит еще и в GS просто позвонить и попинать..

Zavr2008 ( 2014-10-23 13:06:15 +0400 )редактировать

Ставил в той сети Wireshark, снимал dump, долго и много читал этот dump... ничего нет... вообще...

Пинал GS, получил прошивки, обновил... Народ говорит что звонки прекратились на следующий день после моего последнего сообщения здесь. Прошивал телефоны дня два/три назад... Может с новыми прошивками такого не повторится?... неизвестно.

Ладно, будем надеяться что это был совершенно непонятный глюк системы... На работе не сказался, помешал только работе немного и всё... Вообщем, шайтан...

Всем спасибо за участие.

update... Кстати, ставил qualify в no, ничего не поменялось...

Krasnov ( 2014-10-30 17:42:07 +0400 )редактировать

Я бы на Вашем месте на машине с Астером запустил долговременную запись порта 5060 в tcpdump, на недельку. "Береженого Бог Бережет" - есть поговорка.

Zavr2008 ( 2014-10-30 19:51:47 +0400 )редактировать

Answer 2

0

Однозначно надо ставить вместо телефона ноутбук+софтфон+wireshark, картина сразу же прояснится.

ссылка удалить спам редактировать

ответил 2014-10-23 11:31:30 +0400

glukinho
661 ● 4 ● 3 ● 12

Answer 3

0

что может быть:

роутер делает динамический проброс портов для работы SIP, чтоб NAT проходил нормально. Поэтому извне телефоны фактически доступны
внутри сети на компах есть троян, который долбит все что умеет UDP, шлет инвайты на все адреса сети, подбирает пароли.

ссылка удалить спам редактировать

ответил 2014-10-22 21:57:29 +0400

switch
8334 ● 11 ● 7 ● 92
http://lynks.ru/

Comments

Не, это вряд ли... Подцепился к удаленной сети по PPTP, на моём компе теперь IP-шник той сети в которой подобный бардак творится. Запустил у себя sjphone и указал ему один из номеров на который идут такие звонки, а телефону присвоил номер 3504. Звонки стали идти на номер 3504 (снимаю логи непосредственно с телефона), а у меня на софтфоне всё нормально, приходят только те звонки которые передаются из очереди астера. Думаю если бы троян долбил бы ВСЕ IP-шники сети, то и мой бы он тоже "прихватил", однако, всё тихо, никакой подозрительной активности не замечаю.

Krasnov ( 2014-10-23 07:41:58 +0400 )редактировать

Ну дык снимайте дамп и смотрите откуда пакеты прибегают-то.

switch ( 2014-10-23 07:43:23 +0400 )редактировать

Какие-то непонятные звонки, в обход asterisk... [закрыт]

Comments

3 Ответа

Comments

Comments

Закладки и информация

Статистика

Похожие вопросы: