Как защитится от этого? [закрыт]

Question

В CLI все время ошибка такого типа:

 WARNING[1809]: chan_sip.c:4130 retrans_pkt: Timeout on df4322a8acec0284dbc276147180190f on non-critical invite transaction.

Дамп:

sip:xx.xx.xx.xx SIP/2.0
Via: SIP/2.0/UDP 212.83.175.95:55616;branch=z9hG4bKcf1cef32-4548-4e05-92d5-74fba22bb6a3;rport
To: "4572"<sip:4572@xx.xx.xx.xx>
From: "4572"<sip:4572@xx.xx.xx.xx>;tag=wqkbjldt
CSeq: 1 REGISTER
Call-ID: xgduglrxkpllcwgqbkraamdjeoyuraamuhoylfifgvvhlahxqh
Max-Forwards: 70
Contact: <sip:4572@212.83.175.95:55616;rinstance=1484dbc2fd2b9f47>
User-Agent: VoIP SIP v11.0.0
Content-Length: 0
Expires: 3600
Supported: 100rel
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, SUBSCRIBE, NOTIFY, REFER, INFO, MESSAGE

Естественно, никаких юзеров "4572" у меня нет. Сделал:

iptables -I INPUT -s 212.83.175.95 -j DROP

Не помогает...

Accepted Answer

1

iptables умеет анализировать текст пакета. закрываете все, что содержит вот такой кусок

User-Agent: VoIP SIP v11.0.0

и все. Ревалентный кусок из моего скрипта

for l in $PROTOCOLS
do
for line in friendly-scanner sipvicious 'sipcli/' sundayddr sipsak iWar sip-scan
do
# friendly-scanner
$IPTABLES -I INPUT -i $i -m $l -p $l --dport $SPORT -m string --string "$line" --algo bm --to 65535 -j REJECT --reject-with icmp-host-unreachable
done;
$IPTABLES -D INPUT -i $i -m $l -p $l --dport $SPORT -j sipdos 2>/dev/null
$IPTABLES -A INPUT -i $i -m $l -p $l --dport $SPORT -j sipdos

done

ссылка удалить спам редактировать

ответил 2017-03-02 14:33:17 +0400

meral

23347 ● 24 ● 20 ● 177
http://pro-sip.net/

обновил 2017-03-02 14:35:56 +0400

Comments

C iptables еще плохо разобрался, а куда этот кусок прописать, в тот файл который iptables генерирует при сохранении настроек?

fedorchuk ( 2017-03-02 14:47:19 +0400 )редактировать

тогда сначала надо разобраться. или нанять когото, кто разобрался. это кусок bash-скрипта. его никуда не прицепишь. им можно воспользоваться, чтоб понять как именно делать.

meral ( 2017-03-02 15:55:06 +0400 )редактировать

Ага, там очень сложно в сканере выставить User Agent на Asterisk :) "Почем опиум для народа?" (с) О. Бендер

Zavr2008 ( 2017-03-03 15:48:01 +0400 )редактировать

не поверите, вот этот кусок срабатывает по статистике в 1000 раз чаще любых других кусков. тоесть - не меняют.

meral ( 2017-03-03 17:57:56 +0400 )редактировать

это не дает гарантии. НИКАКОЙ. не пудрите народу мозк. Это аналогично просто изменению номера порта с 5060. Нужно ставить нормальный fail2ban, а Ваш трик лишь просто позволяет снизить нагрузку на fail2ban.

Zavr2008 ( 2017-03-06 11:57:50 +0400 )редактировать

Ну это снижает количество инциндентов с 10 в день до пары в месяц. У меня стоит скрипт, банящий через iptables. fail2ban без iptables-log тоже ничем не помогает особо.

meral ( 2017-03-06 14:41:50 +0400 )редактировать

Answer 2

1

Изучайте тему fail2ban, коль открыли порт 5060 всему миру.

ссылка удалить спам редактировать

ответил 2017-03-02 13:37:23 +0400

Zavr2008

2886 ● 11 ● 9 ● 40
http://mh.otx.ru/

Comments

файл2бан стоит, если идет попытка регистрации с одного ip он срабатывает. А здесь нет попытки регистрации (может не вижу)...

fedorchuk ( 2017-03-02 14:31:53 +0400 )редактировать

..то для всех внутренних пиров нужно ОБЯЗАТЕЛЬНО ограничить списки deny/permit!

Zavr2008 ( 2017-03-03 15:46:51 +0400 )редактировать

о каком ограничении идет речь?

fedorchuk ( 2017-03-05 03:05:16 +0400 )редактировать

В настройкак каждого extension - deny=0.0.0.0/0.0.0.0 permit=192.168.0.0/255.255.0.0

awsswa ( 2017-03-13 14:58:44 +0400 )редактировать

Как защитится от этого? [закрыт]

2 Ответа

Comments

Comments

Закладки и информация

Статистика

Похожие вопросы: