Jump to content
Калькуляторы

Asterisk. Левые INVITE от сканеров

Время от времени, раз в пару месяцев, вижу в CDR странные записи где в src указан один из моих номеров,

а в dst номер к примеру Великобритании, пробуют 810 и 9810 в начале номера.

Контекст, где это происходит - входящие звонки, куда валятся вызовы от вышестоящего,

в lastapp я вижу последнюю функцию где вызов зарубается в GotoIf, и часть аргументов, это ещё раз подтверждает, что вызов приходит

легальным путём.

 

Вышестоящий оператор направление таких INVITE не подтверждает.

Что это может быть за мусор и каким путём он попадает в входящий контекст?

Share this post


Link to post
Share on other sites

2 часа назад, disappointed сказал:

Контекст, где это происходит - входящие звонки, куда валятся вызовы от вышестоящего,

видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию.

звонит вам, а дальше что-то жмакает.

смотрите какие у вас расширеныные функции в входящем голосоом меню разрешены

 

 

Share this post


Link to post
Share on other sites

46 минут назад, LostSoul сказал:

видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию.

На входе нигде T нет. Вываливается на GotoIf где я проверяю, на какой номер пришёл вызов.

Share this post


Link to post
Share on other sites

2 часа назад, LostSoul сказал:

видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию.

Скорей ботнеты перебором как-то пробиваются.

Share this post


Link to post
Share on other sites

я примерно вот такие переборы постоянно вижу:

810441933420549
810441933420549
9810441933420540
441933420549
441933420549
8810441933420540
7810441933420540
6810441933420540
5810441933420540
4810441933420540
3810441933420540
2810441933420540
1810441933420540
90810441933420500
80810441933420500
70810441933420500
60810441933420500
50810441933420500
40810441933420500

идут с разных ip, вышепоказанное было с 37.187.153.118

причем всегда почему-то используются именно английские номера! :)

имхо, боты.

Share this post


Link to post
Share on other sites

6 hours ago, disappointed said:

Что это может быть за мусор и каким путём он попадает в входящий контекст?

Фейковый пакет с SRC IP вашего вышестоящего -> вы приняли вызов в обработку.

Share this post


Link to post
Share on other sites

23 минуты назад, Andrei сказал:

причем всегда почему-то используются именно английские номера! :)

Просто не так экзотически как Куба, Алжир или Сан-Томе...

Share this post


Link to post
Share on other sites

28 минут назад, Andrei сказал:

причем всегда почему-то используются именно английские номера! :)

куда им звонить надо, туда и пробуют. логично как бы

 

Share this post


Link to post
Share on other sites

Логично в случае успешного выявления дыры по-быстрей (пока на очухались и не закрыли) и по-больше назвонить на какую-нибудь дорогую экзотику типа вышеупомянутых Кубы и т.п.. Или на премиум-номера, которые платят за входящие на них вызовы - тут целый отдельный бизнес вокруг таких номеров крутится.

Share this post


Link to post
Share on other sites

Пока что, по совету вышестоящих телефонистов буду писать в CDR айпишник инициатора.

Дальше будет ясно.

Share this post


Link to post
Share on other sites

Посмотрел собранные за месяцы recvip в логах на таких попытках звонков,

адреса все левые, забугор, один был московский.

 

insecure=invite убрать с транка на вышестоящего не могу, host указан, раз recvip левые, то это не спуфинг src.

 

Как они попадают в контекст обработки входящих вызовов?

Share this post


Link to post
Share on other sites

ИМХО робот простукивает подсетки ip на предмет открытого на серверах порта 5060 и потом пытается через вычисленные ip протолкнуть трафик с собранных вами ip. Номера А и префиксы перед номером Б обычно пытаются подобрать по словарям.

Share this post


Link to post
Share on other sites

3 часа назад, Andrei сказал:

ИМХО робот простукивает подсетки ip на предмет открытого на серверах порта 5060 и потом пытается через вычисленные ip протолкнуть трафик с собранных вами ip. Номера А и префиксы перед номером Б обычно пытаются подобрать по словарям.

Я сейчас собрал в перле сырой пакет-копию инвайта от присоеденяющего, и попосылал его астеру, поиграл параметрами хедера и src адресом.

Астериск игнорирует INVITE, если src не равно host в транке,

recvip, всё же это оказался настоящий адрес отправителя пакета, а не как я предпологал, что это подставной адрес из секции rtp а инвайты вливались через спуфинг.

 

Вопрос остаётся нерешённым, каким образом инвайт с левых ip попадает в обработку входящего контекста, если астериск НЕ принимает их ни от кого кроме как

указанного в host.

 

P/S

Получилось. Сымитировал атаку.

С левого ip влил инвайт, просто указал в From свой же, другой номер на этом астере.

Буду разбираться.

Share this post


Link to post
Share on other sites

Короче решение.

 

При insecure=invite на транке,

указать в нём дополнительно

deny=0.0.0.0/0.0.0.0

permit=тоже что и host

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.