VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

участились атаки

Проблемы Asterisk без вэб-оболочек и их решения

Модераторы: april22, Zavr2008

Ответить
anvista
Сообщения: 22
Зарегистрирован: 04 авг 2011, 12:06

участились атаки

Сообщение anvista »

Добрый день.
С началом известных событий сильно возросло количество атак.
В принципе file2ban вполне успешно отбивается, но прилетающие на почту уведомления в большом количестве в течение дня раздражают глаз.
Часть особо настойчивых заблокировали по user agent сразу на входе правилами типа:
iptables -I INPUT 4 -p udp -m udp --dport 5060 -m string --string "имя" --algo bm --to 65535 -j DROP
правда сделать это можно только с такими, которые крайне редко встречаются. Если стоит какой-нибудь 3CX, то уже все...
Порывшись еще в sip-сообщениях, заметила, что в основном ip-меняется только внешний, внутренний если и меняется, то гуляет в пределах одной подсети.
Вот например:
Contact URI: sip:360@10.4.0.179:64924
User-Agent: FPBX-15.0.17.55(16.12.0)

Contact: <sip:178@10.4.0.94:63904
User-Agent: FPBX-15.0.17.55(16.12.0)

Я, к сожалению, не гуру iptables. По сему вопрос, можно там правило прописать вида: если пакет содержит строку, походящую под шаблон "sip:ХХХ@10.4.0.", то заблокировать.
Понимаю, что это игра в кошки-мышки, но, блин, бесит..... :)
ded
Сообщения: 15619
Зарегистрирован: 26 авг 2010, 19:00

Re: участились атаки

Сообщение ded »

Нужно соорудить это правило в регулярных выражениях
https://habr.com/ru/post/545150/
и добавить его в file2ban

Или радикально, перейти на white list rule: с определённых подсетей и адресов принимаем, остальное - в DROP.
anvista
Сообщения: 22
Зарегистрирован: 04 авг 2011, 12:06

Re: участились атаки

Сообщение anvista »

огроменное спасибо. обязательно поразбираюсь
Turbid
Сообщения: 21
Зарегистрирован: 22 окт 2015, 14:59

Re: участились атаки

Сообщение Turbid »

ded писал(а):Нужно соорудить это правило в регулярных выражениях
https://habr.com/ru/post/545150/
и добавить его в file2ban

Или радикально, перейти на white list rule: с определённых подсетей и адресов принимаем, остальное - в DROP.
Можно начать с добавления RU-сеток в whilte-list ipset: https://www.iwik.org/ipcountry/ipset/RU

Это отсечет примерно 99% жуликов
ded
Сообщения: 15619
Зарегистрирован: 26 авг 2010, 19:00

Re: участились атаки

Сообщение ded »

Может просто white-list-RU на основе Автономных систем (AS)? Будет просто компактней.
Turbid
Сообщения: 21
Зарегистрирован: 22 окт 2015, 14:59

Re: участились атаки

Сообщение Turbid »

Так это он и есть, на основе https://ftp.ripe.net/ripe/stats/delegat ... ncc-latest
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH