[disappointed]

Время от времени, раз в пару месяцев, вижу в CDR странные записи где в src указан один из моих номеров,

а в dst номер к примеру Великобритании, пробуют 810 и 9810 в начале номера.

Контекст, где это происходит - входящие звонки, куда валятся вызовы от вышестоящего,

в lastapp я вижу последнюю функцию где вызов зарубается в GotoIf, и часть аргументов, это ещё раз подтверждает, что вызов приходит

легальным путём.

 

Вышестоящий оператор направление таких INVITE не подтверждает.

Что это может быть за мусор и каким путём он попадает в входящий контекст?

[LostSoul]

2 часа назад, disappointed сказал:

Контекст, где это происходит - входящие звонки, куда валятся вызовы от вышестоящего,

видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию.

звонит вам, а дальше что-то жмакает.

смотрите какие у вас расширеныные функции в входящем голосоом меню разрешены

 

 

[disappointed]

46 минут назад, LostSoul сказал:

видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию.

На входе нигде T нет. Вываливается на GotoIf где я проверяю, на какой номер пришёл вызов.

[TheUser]

2 часа назад, LostSoul сказал:

видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию.

Скорей ботнеты перебором как-то пробиваются.

[Andrei]

я примерно вот такие переборы постоянно вижу:

810441933420549
810441933420549
9810441933420540
441933420549
441933420549
8810441933420540
7810441933420540
6810441933420540
5810441933420540
4810441933420540
3810441933420540
2810441933420540
1810441933420540
90810441933420500
80810441933420500
70810441933420500
60810441933420500
50810441933420500
40810441933420500

идут с разных ip, вышепоказанное было с 37.187.153.118

причем всегда почему-то используются именно английские номера! :)

имхо, боты.

[alexmern]

6 hours ago, disappointed said:

Что это может быть за мусор и каким путём он попадает в входящий контекст?

Фейковый пакет с SRC IP вашего вышестоящего -> вы приняли вызов в обработку.

[TheUser]

23 минуты назад, Andrei сказал:

причем всегда почему-то используются именно английские номера! :)

Просто не так экзотически как Куба, Алжир или Сан-Томе...

[LostSoul]

28 минут назад, Andrei сказал:

причем всегда почему-то используются именно английские номера! :)

куда им звонить надо, туда и пробуют. логично как бы

 

[Andrei]

Логично в случае успешного выявления дыры по-быстрей (пока на очухались и не закрыли) и по-больше назвонить на какую-нибудь дорогую экзотику типа вышеупомянутых Кубы и т.п.. Или на премиум-номера, которые платят за входящие на них вызовы - тут целый отдельный бизнес вокруг таких номеров крутится.

[disappointed]

Пока что, по совету вышестоящих телефонистов буду писать в CDR айпишник инициатора.

Дальше будет ясно.

[disappointed]

Посмотрел собранные за месяцы recvip в логах на таких попытках звонков,

адреса все левые, забугор, один был московский.

 

insecure=invite убрать с транка на вышестоящего не могу, host указан, раз recvip левые, то это не спуфинг src.

 

Как они попадают в контекст обработки входящих вызовов?

[Andrei]

ИМХО робот простукивает подсетки ip на предмет открытого на серверах порта 5060 и потом пытается через вычисленные ip протолкнуть трафик с собранных вами ip. Номера А и префиксы перед номером Б обычно пытаются подобрать по словарям.

[disappointed]

3 часа назад, Andrei сказал:

ИМХО робот простукивает подсетки ip на предмет открытого на серверах порта 5060 и потом пытается через вычисленные ip протолкнуть трафик с собранных вами ip. Номера А и префиксы перед номером Б обычно пытаются подобрать по словарям.

Я сейчас собрал в перле сырой пакет-копию инвайта от присоеденяющего, и попосылал его астеру, поиграл параметрами хедера и src адресом.

Астериск игнорирует INVITE, если src не равно host в транке,

recvip, всё же это оказался настоящий адрес отправителя пакета, а не как я предпологал, что это подставной адрес из секции rtp а инвайты вливались через спуфинг.

 

Вопрос остаётся нерешённым, каким образом инвайт с левых ip попадает в обработку входящего контекста, если астериск НЕ принимает их ни от кого кроме как

указанного в host.

 

P/S

Получилось. Сымитировал атаку.

С левого ip влил инвайт, просто указал в From свой же, другой номер на этом астере.

Буду разбираться.

[disappointed]

Короче решение.

 

При insecure=invite на транке,

указать в нём дополнительно

deny=0.0.0.0/0.0.0.0

permit=тоже что и host