Jump to content

Asterisk. Левые INVITE от сканеров

disappointed
 Share

Recommended Posts

disappointed

disappointed

Posted
Posted

Время от времени, раз в пару месяцев, вижу в CDR странные записи где в src указан один из моих номеров,

а в dst номер к примеру Великобритании, пробуют 810 и 9810 в начале номера.

Контекст, где это происходит - входящие звонки, куда валятся вызовы от вышестоящего,

в lastapp я вижу последнюю функцию где вызов зарубается в GotoIf, и часть аргументов, это ещё раз подтверждает, что вызов приходит

легальным путём.

 

Вышестоящий оператор направление таких INVITE не подтверждает.

Что это может быть за мусор и каким путём он попадает в входящий контекст?

LostSoul

LostSoul

Posted
Posted
2 часа назад, disappointed сказал:

Контекст, где это происходит - входящие звонки, куда валятся вызовы от вышестоящего,

видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию.

звонит вам, а дальше что-то жмакает.

смотрите какие у вас расширеныные функции в входящем голосоом меню разрешены

 

 

disappointed

disappointed

Posted
  • Author
Posted
46 минут назад, LostSoul сказал:

видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию.

На входе нигде T нет. Вываливается на GotoIf где я проверяю, на какой номер пришёл вызов.

TheUser

TheUser

Posted
Posted
2 часа назад, LostSoul сказал:

видимо кто-то хитрожопый пытается перевести входящий звонок на великобританию.

Скорей ботнеты перебором как-то пробиваются.

Andrei

Andrei

Posted
Posted

я примерно вот такие переборы постоянно вижу: 

810441933420549
810441933420549
9810441933420540
441933420549
441933420549
8810441933420540
7810441933420540
6810441933420540
5810441933420540
4810441933420540
3810441933420540
2810441933420540
1810441933420540
90810441933420500
80810441933420500
70810441933420500
60810441933420500
50810441933420500
40810441933420500

идут с разных ip, вышепоказанное было с 37.187.153.118

причем всегда почему-то используются именно английские номера! :)

имхо, боты.

alexmern

alexmern

Posted
Posted
6 hours ago, disappointed said:

Что это может быть за мусор и каким путём он попадает в входящий контекст?

Фейковый пакет с SRC IP вашего вышестоящего -> вы приняли вызов в обработку.

TheUser

TheUser

Posted
Posted
23 минуты назад, Andrei сказал:

причем всегда почему-то используются именно английские номера! :)

Просто не так экзотически как Куба, Алжир или Сан-Томе...

LostSoul

LostSoul

Posted
Posted
28 минут назад, Andrei сказал:

причем всегда почему-то используются именно английские номера! :)

куда им звонить надо, туда и пробуют. логично как бы

 

Andrei

Andrei

Posted
Posted

Логично в случае успешного выявления дыры по-быстрей (пока на очухались и не закрыли) и по-больше назвонить на какую-нибудь дорогую экзотику типа вышеупомянутых Кубы и т.п.. Или на премиум-номера, которые платят за входящие на них вызовы - тут целый отдельный бизнес вокруг таких номеров крутится.

  • 3 months later...
disappointed

disappointed

Posted
  • Author
Posted

Посмотрел собранные за месяцы recvip в логах на таких попытках звонков,

адреса все левые, забугор, один был московский.

 

insecure=invite убрать с транка на вышестоящего не могу, host указан, раз recvip левые, то это не спуфинг src.

 

Как они попадают в контекст обработки входящих вызовов?

Andrei

Andrei

Posted
Posted

ИМХО робот простукивает подсетки ip на предмет открытого на серверах порта 5060 и потом пытается через вычисленные ip протолкнуть трафик с собранных вами ip. Номера А и префиксы перед номером Б обычно пытаются подобрать по словарям.

disappointed

disappointed

Posted
  • Author
Posted
3 часа назад, Andrei сказал:

ИМХО робот простукивает подсетки ip на предмет открытого на серверах порта 5060 и потом пытается через вычисленные ip протолкнуть трафик с собранных вами ip. Номера А и префиксы перед номером Б обычно пытаются подобрать по словарям.

Я сейчас собрал в перле сырой пакет-копию инвайта от присоеденяющего, и попосылал его астеру, поиграл параметрами хедера и src адресом.

Астериск игнорирует INVITE, если src не равно host в транке,

recvip, всё же это оказался настоящий адрес отправителя пакета, а не как я предпологал, что это подставной адрес из секции rtp а инвайты вливались через спуфинг.

 

Вопрос остаётся нерешённым, каким образом инвайт с левых ip попадает в обработку входящего контекста, если астериск НЕ принимает их ни от кого кроме как

указанного в host.

 

P/S

Получилось. Сымитировал атаку.

С левого ip влил инвайт, просто указал в From свой же, другой номер на этом астере.

Буду разбираться.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.