ВидеоКонф(ВКС)  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

участились атаки

Проблемы и их решения Asterisk как такового

Модераторы: april22, Zavr2008

участились атаки

Сообщение anvista » 31 окт 2022, 12:39

Добрый день.
С началом известных событий сильно возросло количество атак.
В принципе file2ban вполне успешно отбивается, но прилетающие на почту уведомления в большом количестве в течение дня раздражают глаз.
Часть особо настойчивых заблокировали по user agent сразу на входе правилами типа:
iptables -I INPUT 4 -p udp -m udp --dport 5060 -m string --string "имя" --algo bm --to 65535 -j DROP
правда сделать это можно только с такими, которые крайне редко встречаются. Если стоит какой-нибудь 3CX, то уже все...
Порывшись еще в sip-сообщениях, заметила, что в основном ip-меняется только внешний, внутренний если и меняется, то гуляет в пределах одной подсети.
Вот например:
Contact URI: sip:360@10.4.0.179:64924
User-Agent: FPBX-15.0.17.55(16.12.0)

Contact: <sip:178@10.4.0.94:63904
User-Agent: FPBX-15.0.17.55(16.12.0)

Я, к сожалению, не гуру iptables. По сему вопрос, можно там правило прописать вида: если пакет содержит строку, походящую под шаблон "sip:ХХХ@10.4.0.", то заблокировать.
Понимаю, что это игра в кошки-мышки, но, блин, бесит..... :)
anvista
 
Сообщений: 22
Зарегистрирован: 04 авг 2011, 12:06

Re: участились атаки

Сообщение ded » 31 окт 2022, 13:34

Нужно соорудить это правило в регулярных выражениях
https://habr.com/ru/post/545150/
и добавить его в file2ban

Или радикально, перейти на white list rule: с определённых подсетей и адресов принимаем, остальное - в DROP.
ded
 
Сообщений: 15817
Зарегистрирован: 26 авг 2010, 19:00

Re: участились атаки

Сообщение anvista » 31 окт 2022, 13:46

огроменное спасибо. обязательно поразбираюсь
anvista
 
Сообщений: 22
Зарегистрирован: 04 авг 2011, 12:06

Re: участились атаки

Сообщение Turbid » 02 ноя 2022, 20:38

ded писал(а):Нужно соорудить это правило в регулярных выражениях
https://habr.com/ru/post/545150/
и добавить его в file2ban

Или радикально, перейти на white list rule: с определённых подсетей и адресов принимаем, остальное - в DROP.


Можно начать с добавления RU-сеток в whilte-list ipset: https://www.iwik.org/ipcountry/ipset/RU

Это отсечет примерно 99% жуликов
Turbid
 
Сообщений: 21
Зарегистрирован: 22 окт 2015, 15:59

Re: участились атаки

Сообщение ded » 03 ноя 2022, 00:59

Может просто white-list-RU на основе Автономных систем (AS)? Будет просто компактней.
ded
 
Сообщений: 15817
Зарегистрирован: 26 авг 2010, 19:00

Re: участились атаки

Сообщение Turbid » 03 ноя 2022, 01:15

Так это он и есть, на основе https://ftp.ripe.net/ripe/stats/delegat ... ncc-latest
Turbid
 
Сообщений: 21
Зарегистрирован: 22 окт 2015, 15:59


Вернуться в Конфигурация и настройка Asterisk

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5

© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH