Asterisk inundado por conexão SIP de entrada de peer desconhecido

Asterisk inundado por conexão SIP de entrada de peer desconhecido

Olá, acabei de instalar uma nova configuração de asterisk com freepbx e assinei uma conta SIP.

Configurei o tronco SIP com os dados do meu provedor, iniciei o console com oasterisco -vvvrcomando para depurar, percebi que os logs são inundados por entradas como esta:

== Using SIP RTP CoS mark 5
-- Executing [00088884600972595117946@from-sip-external:1] NoOp("SIP/XXX.XXX.58.107-00000355", "Received incoming SIP connection from unknown peer to 00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-sip-external:2] Set("SIP/XXX.XXX.58.107-00000355", "DID=00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-sip-external:3] Goto("SIP/XXX.XXX.58.107-00000355", "s,1") in new stack
-- Goto (from-sip-external,s,1)
-- Executing [s@from-sip-external:1] GotoIf("SIP/XXX.XXX.58.107-00000355", "1?checklang:noanonymous") in new stack
-- Goto (from-sip-external,s,2)
-- Executing [s@from-sip-external:2] GotoIf("SIP/XXX.XXX.58.107-00000355", "0?setlanguage:from-trunk,00088884600972595117946,1") in new stack
-- Goto (from-trunk,00088884600972595117946,1)
-- Executing [00088884600972595117946@from-trunk:1] Set("SIP/XXX.XXX.58.107-00000355", "__FROM_DID=00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-trunk:2] NoOp("SIP/XXX.XXX.58.107-00000355", "Received an unknown call with DID set to 00088884600972595117946") in new stack
-- Executing [00088884600972595117946@from-trunk:3] Goto("SIP/XXX.XXX.58.107-00000355", "s,a2") in new stack
-- Goto (from-trunk,s,2)
-- Executing [s@from-trunk:2] Answer("SIP/XXX.XXX.58.107-00000355", "") in new stack
-- <SIP/XXX.XXX.58.107-00000352> Playing 'digits/8.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000351> Playing 'digits/9.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-0000034f> Playing 'digits/6.ulaw' (language 'en')
-- Executing [s@from-trunk:5] SayAlpha("SIP/XXX.XXX.58.107-00000353", "00088884400972595117946") in new stack
-- <SIP/XXX.XXX.58.107-00000353> Playing 'digits/0.ulaw' (language 'en')
-- Executing [s@from-trunk:3] Wait("SIP/XXX.XXX.58.107-00000355", "2") in new stack
-- <SIP/XXX.XXX.58.107-00000350> Playing 'digits/1.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000352> Playing 'digits/8.ulaw' (language 'en')
-- Executing [s@from-trunk:6] Hangup("SIP/XXX.XXX.58.107-0000034f", "") in new stack
== Spawn extension (from-trunk, s, 6) exited non-zero on 'SIP/XXX.XXX.58.107-0000034f'
-- Executing [h@from-trunk:1] Macro("SIP/XXX.XXX.58.107-0000034f", "hangupcall,") in new stack
-- Executing [s@macro-hangupcall:1] GotoIf("SIP/XXX.XXX.58.107-0000034f", "1?theend") in new stack
-- Goto (macro-hangupcall,s,3)
-- Executing [s@macro-hangupcall:3] ExecIf("SIP/XXX.XXX.58.107-0000034f", "0?Set(CDR(recordingfile)=)") in new stack
-- Executing [s@macro-hangupcall:4] Hangup("SIP/XXX.XXX.58.107-0000034f", "") in new stack
== Spawn extension (macro-hangupcall, s, 4) exited non-zero on 'SIP/XXX.XXX.58.107-0000034f' in macro 'hangupcall'
== Spawn extension (from-trunk, h, 1) exited non-zero on 'SIP/XXX.XXX.58.107-0000034f'
-- <SIP/XXX.XXX.58.107-00000351> Playing 'digits/7.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000350> Playing 'digits/1.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000353> Playing 'digits/0.ulaw' (language 'en')
-- <SIP/XXX.XXX.58.107-00000352> Playing 'digits/4.ulaw' (language 'en')

Simplesmente não consigo depurar meu tronco por causa dessas conexões incômodas de pares desconhecidos. O que são essas chamadas, como posso rastrear suas origens, poderia ser uma ferramenta de teste com defeito do meu provedor?

Responder1

Mesmo com o GUEST desligado, seu servidor Asterisk ainda será atingido por tentativas de hacking SIP. Você deve instalar algo mais para monitorar e gerenciar os ataques. Dê uma olhada emSegurança Asteriskpara sugestões e até mesmo o básico de como proteger seu servidor Asterisk. (Convidado de folga NÃO é suficiente)

Responder2

Acho que tudo depende - presumo que você esteja executando o Asterisk em algum tipo de Linux. Já fiz isso várias vezes e pode ser um pouco complicado aqui e ali. Mas - quando se trata de depuração, existem várias ferramentas que podem ajudar.

  • Clientes desconhecidos podem ser bloqueados usando IPTables, por exemplo. Se você sabe de onde devem vir suas chamadas, pode configurar regras de firewall para bloquear qualquer coisa diferente disso. Foi isso que fiz - garantindo que apenas meus próprios clientes e quaisquer sistemas PBX upstream pudessem conversar.

  • Para descobrir quem realmente são os clientes desconhecidos, você pode usar ferramentas comoWiresharkpara filtrar conexões de acordo com tipo e tal. Isso geralmente proporciona uma imagem clara do que está acontecendo.

Estas são apenas dicas. Você pode querer elaborar um pouco sobre sua configuração - então talvez eu possa ser mais específico.

Responder3

Bem, descobri que estava permitindo convidados SIP. Parece que muitos bots estão procurando servidores inseguros para enviar spam ou retransmitir.

Acabei de desabilitar essa opção e meus logs voltaram ao estado normal.

Responder4

De memória, isso pode ser desabilitado em servidores Trixbox através de PBX > Config File Editor > sip_general_additional.conf

Adicione ao resultado final:

allowguest=no

clique em atualizar.

então vá para sistema> manutenção do sistema> redefinir agora.

Tudo feito.

informação relacionada