disappointed Posted February 25, 2019 · Report post Время от времени, раз в пару месяцев, вижу в CDR странные записи где в src указан один из моих номеров, а в dst номер к примеру Великобритании, пробуют 810 и 9810 в начале номера. Контекст, где это происходит - входящие звонки, куда валятся вызовы от вышестоящего, в lastapp я вижу последнюю функцию где вызов зарубается в GotoIf, и часть аргументов, это ещё раз подтверждает, что вызов приходит легальным путём. Вышестоящий оператор направление таких INVITE не подтверждает. Что это может быть за мусор и каким путём он попадает в входящий контекст? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted February 25, 2019 · Report post 2 часа назад, disappointed сказал: Контекст, где это происходит - входящие звонки, куда валятся вызовы от вышестоящего, видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию. звонит вам, а дальше что-то жмакает. смотрите какие у вас расширеныные функции в входящем голосоом меню разрешены Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
disappointed Posted February 25, 2019 · Report post 46 минут назад, LostSoul сказал: видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию. На входе нигде T нет. Вываливается на GotoIf где я проверяю, на какой номер пришёл вызов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted February 25, 2019 · Report post 2 часа назад, LostSoul сказал: видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию. Скорей ботнеты перебором как-то пробиваются. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted February 25, 2019 · Report post я примерно вот такие переборы постоянно вижу: 810441933420549 810441933420549 9810441933420540 441933420549 441933420549 8810441933420540 7810441933420540 6810441933420540 5810441933420540 4810441933420540 3810441933420540 2810441933420540 1810441933420540 90810441933420500 80810441933420500 70810441933420500 60810441933420500 50810441933420500 40810441933420500 идут с разных ip, вышепоказанное было с 37.187.153.118 причем всегда почему-то используются именно английские номера! :) имхо, боты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexmern Posted February 25, 2019 · Report post 6 hours ago, disappointed said: Что это может быть за мусор и каким путём он попадает в входящий контекст? Фейковый пакет с SRC IP вашего вышестоящего -> вы приняли вызов в обработку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted February 25, 2019 · Report post 23 минуты назад, Andrei сказал: причем всегда почему-то используются именно английские номера! :) Просто не так экзотически как Куба, Алжир или Сан-Томе... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted February 25, 2019 · Report post 28 минут назад, Andrei сказал: причем всегда почему-то используются именно английские номера! :) куда им звонить надо, туда и пробуют. логично как бы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted February 25, 2019 · Report post Логично в случае успешного выявления дыры по-быстрей (пока на очухались и не закрыли) и по-больше назвонить на какую-нибудь дорогую экзотику типа вышеупомянутых Кубы и т.п.. Или на премиум-номера, которые платят за входящие на них вызовы - тут целый отдельный бизнес вокруг таких номеров крутится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
disappointed Posted February 25, 2019 · Report post Пока что, по совету вышестоящих телефонистов буду писать в CDR айпишник инициатора. Дальше будет ясно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
disappointed Posted June 23, 2019 · Report post Посмотрел собранные за месяцы recvip в логах на таких попытках звонков, адреса все левые, забугор, один был московский. insecure=invite убрать с транка на вышестоящего не могу, host указан, раз recvip левые, то это не спуфинг src. Как они попадают в контекст обработки входящих вызовов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted June 23, 2019 · Report post ИМХО робот простукивает подсетки ip на предмет открытого на серверах порта 5060 и потом пытается через вычисленные ip протолкнуть трафик с собранных вами ip. Номера А и префиксы перед номером Б обычно пытаются подобрать по словарям. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
disappointed Posted June 23, 2019 · Report post 3 часа назад, Andrei сказал: ИМХО робот простукивает подсетки ip на предмет открытого на серверах порта 5060 и потом пытается через вычисленные ip протолкнуть трафик с собранных вами ip. Номера А и префиксы перед номером Б обычно пытаются подобрать по словарям. Я сейчас собрал в перле сырой пакет-копию инвайта от присоеденяющего, и попосылал его астеру, поиграл параметрами хедера и src адресом. Астериск игнорирует INVITE, если src не равно host в транке, recvip, всё же это оказался настоящий адрес отправителя пакета, а не как я предпологал, что это подставной адрес из секции rtp а инвайты вливались через спуфинг. Вопрос остаётся нерешённым, каким образом инвайт с левых ip попадает в обработку входящего контекста, если астериск НЕ принимает их ни от кого кроме как указанного в host. P/S Получилось. Сымитировал атаку. С левого ip влил инвайт, просто указал в From свой же, другой номер на этом астере. Буду разбираться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
disappointed Posted June 23, 2019 · Report post Короче решение. При insecure=invite на транке, указать в нём дополнительно deny=0.0.0.0/0.0.0.0 permit=тоже что и host Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...