Для обычного сисадмина это действительно оказалось всё сложно. Но tcpdump снимался уже для анализа деталей в wireshark, содержимого запросов.
Всё началось с того, что были массовые отображения запросов в sngrep, который как я понимаю показывает запросы после firewall и он показывал их при полном запрете на весь трафик на всех уровнях, кроме админского с конкретного единственного IP. В погоне за баном злоумышленника уже под 4 утра я забанил все входящие на локальную машину и потерял доступ вообще к VPS ?. Вот с утра восстановил через прямую админ консоль.
Чуть отдохну, (спал 4 часа) и пойду разбираться дальше. Но всё равно спасибо, замечание по ответам Астер - верное, нужно будет ещё раз посмотреть, но он отвечал на некоторые. Злоумышленник очень разнообразно проксируется, меняет идентификаторы sip-клиентов, которые всё больше похожи на реальные реги реальных софтфонов, используемых нами, меняет внешние и локальные IP, макадреса. Все - разные.
Все программы сбора дампов - sngrep,tcpdump,wireshark ВСЕ работают в promisc режиме.
Снимают пакеты сразу с сетевой каты ДО Фаервола.
Нет никакого одного злоумышленника, который охотится на ваш сервер, который оплатил сотни виртуалок в разных ДЦ разных стран, чтобы целеноправлено поломать Вас.
Это обычные боты, которые не связаны собой никакой единной группой.
Добро пожаловать в мир VOIP!
Совет Вам.
1.Выключите Астер
service asterisk stop
2. потратьте 2-3 недели на изучение матчасти.
