不明なピアからの着信 SIP 接続によって Asterisk がフラッディングされる

不明なピアからの着信 SIP 接続によって Asterisk がフラッディングされる

こんにちは。FreePBX で新しい asterisk 構成をインストールし、SIP アカウントにサインインしました。

プロバイダーデータでSIPトランクを設定し、コンソールを起動してアスタリスク -vvvrデバッグするコマンドを実行したところ、ログに次のようなエントリが大量に記録されていることに気付きました。

== Using SIP RTP CoS mark 5
-- Executing [00088884600972595117946@from-sip-external:1] NoOp("SIP/XXX.XXX.58.107-00000355", "Received incoming SIP connection from unknown peer to 00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-sip-external:2] Set("SIP/XXX.XXX.58.107-00000355", "DID=00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-sip-external:3] Goto("SIP/XXX.XXX.58.107-00000355", "s,1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [s@from-sip-external:1] GotoIf("SIP/XXX.XXX.58.107-00000355", "1?checklang:noanonymous") in new stack
-- Goto (from-sip-external,s,2)
-- Executing [s@from-sip-external:2] GotoIf("SIP/XXX.XXX.58.107-00000355", "0?setlanguage:from-trunk,00088884600972595117946,1") in new stack
-- Goto (from-trunk,00088884600972595117946,1)
-- Executing [00088884600972595117946@from-trunk:1] Set("SIP/XXX.XXX.58.107-00000355", "__FROM_DID=00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-trunk:2] NoOp("SIP/XXX.XXX.58.107-00000355", "Received an unknown call with DID set to 00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-trunk:3] Goto("SIP/XXX.XXX.58.107-00000355", "s,a2") in new stack
-- Goto (from-trunk,s,2)
-- Executing [s@from-trunk:2] Answer("SIP/XXX.XXX.58.107-00000355", "") in new stack
-- <SIP/XXX.XXX.58.107-00000352> Playing 'digits/8.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000351> Playing 'digits/9.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-0000034f> Playing 'digits/6.ulaw' (language 'en')
-- Executing [s@from-trunk:5] SayAlpha("SIP/XXX.XXX.58.107-00000353", "00088884400972595117946") in new stack
-- <SIP/XXX.XXX.58.107-00000353> Playing 'digits/0.ulaw' (language 'en')
-- Executing [s@from-trunk:3] Wait("SIP/XXX.XXX.58.107-00000355", "2") in new stack
-- <SIP/XXX.XXX.58.107-00000350> Playing 'digits/1.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000352> Playing 'digits/8.ulaw' (language 'en')
-- Executing [s@from-trunk:6] Hangup("SIP/XXX.XXX.58.107-0000034f", "") in new stack
== Spawn extension (from-trunk, s, 6) exited non-zero on 'SIP/XXX.XXX.58.107-0000034f'
-- Executing [h@from-trunk:1] Macro("SIP/XXX.XXX.58.107-0000034f", "hangupcall,") in new stack
-- Executing [s@macro-hangupcall:1] GotoIf("SIP/XXX.XXX.58.107-0000034f", "1?theend") in new stack
-- Goto (macro-hangupcall,s,3)
-- Executing [s@macro-hangupcall:3] ExecIf("SIP/XXX.XXX.58.107-0000034f", "0?Set(CDR(recordingfile)=)") in new stack
-- Executing [s@macro-hangupcall:4] Hangup("SIP/XXX.XXX.58.107-0000034f", "") in new stack
== Spawn extension (macro-hangupcall, s, 4) exited non-zero on 'SIP/XXX.XXX.58.107-0000034f' in macro 'hangupcall'
== Spawn extension (from-trunk, h, 1) exited non-zero on 'SIP/XXX.XXX.58.107-0000034f'
-- <SIP/XXX.XXX.58.107-00000351> Playing 'digits/7.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000350> Playing 'digits/1.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000353> Playing 'digits/0.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000352> Playing 'digits/4.ulaw' (language 'en')

不明なピアからの厄介な接続のせいでトランクをデバッグできません。これらの呼び出しとは何ですか。その発信元を追跡するにはどうすればよいですか。プロバイダーのテスト ツールが故障している可能性がありますか。

答え1

GUESTをオフにしても、AsteriskサーバーはSIPハッキング攻撃の標的になります。攻撃を監視および管理するために、さらに何かをインストールする必要があります。アスタリスクセキュリティAsterisk サーバーを安全にする方法についての提案や基本事項については、こちらをご覧ください。(ゲストオフだけでは不十分です)

答え2

それはすべて状況次第だと思います。Asterisk を何らかの Linux で実行していると思います。私はこれを何度か実行したことがありますが、あちこちで少し難しいことがあります。しかし、デバッグに関しては、役立つツールがいくつかあります。

  • たとえば、IPTables を使用すると、不明なクライアントをブロックできます。通話の発信元がわかっている場合は、それ以外の通話をブロックするファイアウォール ルールを設定できます。私が行ったのは、自分のクライアントと上流の PBX システムだけが通話できるようにすることです。

  • 未知の顧客が誰なのかを知るには、次のようなツールを使うとよいでしょう。ワイヤーシャークタイプなどに応じて接続をフィルタリングします。これにより、通常、何が起こっているかが明確にわかります。

これらは単なる指針です。設定についてもう少し詳しく説明していただければ、より具体的な説明ができるかもしれません。

答え3

まあ、SIP ゲストを許可していたことがわかりました。多くのボットが、スパムやリレーを行うために安全でないサーバーを探しているようです。

そこでこのオプションを無効にしたところ、ログは通常の状態に戻りました。

答え4

記憶によれば、これはTrixboxサーバーのPBX > Config File Editor > sip_general_additional.confで無効にできる。

一番下の行に追加します:

allowguest=no

更新をクリックします。

次に、「システム」>「システムメンテナンス」>「今すぐリセット」に進みます。

すべて完了。

関連情報