Asterisk inundado por una conexión SIP entrante de un par desconocido

Asterisk inundado por una conexión SIP entrante de un par desconocido

Hola, acabo de instalar una nueva configuración de asterisco con freepbx y firmé para obtener una cuenta SIP.

Configuré el troncal SIP con los datos de mi proveedor, inicié la consola con elasterisco -vvvrcomando para depurar, entonces noté que los registros están inundados de entradas como esta:

== Using SIP RTP CoS mark 5
-- Executing [00088884600972595117946@from-sip-external:1] NoOp("SIP/XXX.XXX.58.107-00000355", "Received incoming SIP connection from unknown peer to 00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-sip-external:2] Set("SIP/XXX.XXX.58.107-00000355", "DID=00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-sip-external:3] Goto("SIP/XXX.XXX.58.107-00000355", "s,1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [s@from-sip-external:1] GotoIf("SIP/XXX.XXX.58.107-00000355", "1?checklang:noanonymous") in new stack
-- Goto (from-sip-external,s,2)
-- Executing [s@from-sip-external:2] GotoIf("SIP/XXX.XXX.58.107-00000355", "0?setlanguage:from-trunk,00088884600972595117946,1") in new stack
-- Goto (from-trunk,00088884600972595117946,1)
-- Executing [00088884600972595117946@from-trunk:1] Set("SIP/XXX.XXX.58.107-00000355", "__FROM_DID=00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-trunk:2] NoOp("SIP/XXX.XXX.58.107-00000355", "Received an unknown call with DID set to 00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-trunk:3] Goto("SIP/XXX.XXX.58.107-00000355", "s,a2") in new stack
-- Goto (from-trunk,s,2)
-- Executing [s@from-trunk:2] Answer("SIP/XXX.XXX.58.107-00000355", "") in new stack
-- <SIP/XXX.XXX.58.107-00000352> Playing 'digits/8.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000351> Playing 'digits/9.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-0000034f> Playing 'digits/6.ulaw' (language 'en')
-- Executing [s@from-trunk:5] SayAlpha("SIP/XXX.XXX.58.107-00000353", "00088884400972595117946") in new stack
-- <SIP/XXX.XXX.58.107-00000353> Playing 'digits/0.ulaw' (language 'en')
-- Executing [s@from-trunk:3] Wait("SIP/XXX.XXX.58.107-00000355", "2") in new stack
-- <SIP/XXX.XXX.58.107-00000350> Playing 'digits/1.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000352> Playing 'digits/8.ulaw' (language 'en')
-- Executing [s@from-trunk:6] Hangup("SIP/XXX.XXX.58.107-0000034f", "") in new stack
== Spawn extension (from-trunk, s, 6) exited non-zero on 'SIP/XXX.XXX.58.107-0000034f'
-- Executing [h@from-trunk:1] Macro("SIP/XXX.XXX.58.107-0000034f", "hangupcall,") in new stack
-- Executing [s@macro-hangupcall:1] GotoIf("SIP/XXX.XXX.58.107-0000034f", "1?theend") in new stack
-- Goto (macro-hangupcall,s,3)
-- Executing [s@macro-hangupcall:3] ExecIf("SIP/XXX.XXX.58.107-0000034f", "0?Set(CDR(recordingfile)=)") in new stack
-- Executing [s@macro-hangupcall:4] Hangup("SIP/XXX.XXX.58.107-0000034f", "") in new stack
== Spawn extension (macro-hangupcall, s, 4) exited non-zero on 'SIP/XXX.XXX.58.107-0000034f' in macro 'hangupcall'
== Spawn extension (from-trunk, h, 1) exited non-zero on 'SIP/XXX.XXX.58.107-0000034f'
-- <SIP/XXX.XXX.58.107-00000351> Playing 'digits/7.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000350> Playing 'digits/1.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000353> Playing 'digits/0.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000352> Playing 'digits/4.ulaw' (language 'en')

Simplemente no puedo depurar mi troncal debido a esas molestas conexiones de pares desconocidos, ¿qué son estas llamadas, cómo puedo rastrear sus orígenes? ¿Podría ser una herramienta de prueba de mi proveedor que no funciona correctamente?

Respuesta1

Incluso con GUEST desactivado, su servidor Asterisk seguirá sufriendo intentos de piratería SIP. Deberías instalar algo más para monitorear y gestionar los ataques. Mira estoSeguridad del asteriscopara sugerencias e incluso los conceptos básicos sobre cómo proteger su servidor Asterisk. (Invitado libre NO es suficiente)

Respuesta2

Supongo que todo depende: ¿supongo que estás ejecutando Asterisk en algún tipo de Linux? He hecho esto en varias ocasiones y puede resultar un poco complicado aquí y allá. Pero cuando se trata de depurar, existen varias herramientas que pueden ayudar.

  • Los clientes desconocidos se pueden bloquear utilizando IPTables, por ejemplo. Si sabe de dónde deben provenir sus llamadas, puede configurar reglas de firewall para bloquear cualquier otra cosa que no sea eso. Eso es lo que he hecho: asegurarme de que sólo mis propios clientes y cualquier sistema PBX ascendente puedan hablar.

  • Para descubrir quiénes son realmente los clientes desconocidos, puede utilizar herramientas comoWiresharkpara filtrar conexiones según tipo y demás. Por lo general, esto proporciona una imagen clara de lo que está sucediendo.

Éstos son sólo algunos consejos. Es posible que desee explicar un poco más su configuración; entonces tal vez pueda ser más específico.

Respuesta3

Bueno, descubrí que estaba permitiendo invitados SIP. Parece que muchos robots buscan servidores no seguros para enviar spam o retransmitir.

Así que desactivé esta opción y mis registros ahora volvieron a su estado normal.

Respuesta4

Desde la memoria, esto se puede desactivar en los servidores Trixbox a través de PBX > Editor de archivos de configuración > sip_general_additional.conf

Añadir al final:

allowguest=no

haga clic en actualizar.

luego vaya a sistema> mantenimiento del sistema> restablecer ahora.

Todo listo.

información relacionada