https://www.onsip.com/blog/dodging-sipvicious-script-kiddies
использовать svcrash.py, баг легко правится.
http://blog.kolmisoft.com/sip-attack-friendly-scanner/
Далее, есть фаерволы.
Защита от флуда:
iptables -A INPUT -p udp --dport 5060 -m recent --name sip --set
iptables -A INPUT -p udp --dport 5060 -m recent --name sip --rcheck --seconds 30 --hitcount 30 -j DROP
http://www.skypeclub.ru/viewtopic.php?p=30526
http://www.voip-info.org/wiki/view/Asterisk+security
http://www.kolmisoft.com/scripts/fail2ban-iptables-script
почта принимается левая, кода нет, лучше свою не светить.
вторник, 19 апреля 2016 г.
вторник, 12 апреля 2016 г.
захват потоков voip
Самый простой вариант - через tcpdump
tcpdump -nq -s 0 -i eth0 -w /tmp/dump.pcap port 5060
но это будет только sip трафик, чего часто недостаточно. Зато теперь можно натравить wireshark и получить информацию по звонку и прочие flow
также неплохо подходит утилита ngrep
ngrep -d any port 5060 -W byline > outfile.txt
Есть sipgrep, первая версия похоже померла, есть такое
https://github.com/sipcapture/sipgrep
нужно собирать самим.
Отличается от ngrep более глубокой поддержкой сип протокола и его полей.
Самый простой пример запуска:
sipgrep -d any
sngrep
Также нет в репах, брать тут
https://github.com/irontec/sngrep
или тут
https://github.com/irontec/sngrep/wiki/Installing-Binaries
(для centos-like дистров не забываем заменить dist на centos|fedora|rhel)
Также есть софт с поддержкой захвата и RTP
pcapsipdump
формат как у tcpdump -w, умеет также захватывать rtp
tshark
Может идти отдельным пакетом или частью пакета wireshark (в центоси например).
Много опций, может сразу делать анализ. Умеет анализировать данные, в том числе jitter и искажения, пример:
tshark -i eth0 -o "rtp.heuristic_rtp: TRUE" -R 'rtcp.ssrc.fraction >= 1 or rtcp.ssrc.jitter >= 240' -V
Можно натравить вывод на pcapsipdump, разделяя сип-диалоги по разным файлам.
Можно анализировать качество RTP
tshark -q -f 'udp portrange 16384-32768' -o rtp.heuristic_rtp:TRUE -z rtp,streams
И особый комбайн
HOMER Sip Capture
SIP capturing server with HEP and IP-proto-4 (IPIP) & Monitoring Application with CallFlows, PCAP extraction, powerful search tools, statistics and API. Native HEP capture agent integrated in FreeSWITCH
Есть ещё более мощный, но уже платный продукт http://www.voipmonitor.org/
Линки
http://wiki.freeswitch.org/wiki/Packet_Capture
https://habrahabr.ru/post/274919/
tcpdump -nq -s 0 -i eth0 -w /tmp/dump.pcap port 5060
но это будет только sip трафик, чего часто недостаточно. Зато теперь можно натравить wireshark и получить информацию по звонку и прочие flow
также неплохо подходит утилита ngrep
ngrep -d any port 5060 -W byline > outfile.txt
Есть sipgrep, первая версия похоже померла, есть такое
https://github.com/sipcapture/sipgrep
нужно собирать самим.
Отличается от ngrep более глубокой поддержкой сип протокола и его полей.
Самый простой пример запуска:
sipgrep -d any
sngrep
Также нет в репах, брать тут
https://github.com/irontec/sngrep
или тут
https://github.com/irontec/sngrep/wiki/Installing-Binaries
(для centos-like дистров не забываем заменить dist на centos|fedora|rhel)
Также есть софт с поддержкой захвата и RTP
pcapsipdump
формат как у tcpdump -w, умеет также захватывать rtp
tshark
Может идти отдельным пакетом или частью пакета wireshark (в центоси например).
Много опций, может сразу делать анализ. Умеет анализировать данные, в том числе jitter и искажения, пример:
tshark -i eth0 -o "rtp.heuristic_rtp: TRUE" -R 'rtcp.ssrc.fraction >= 1 or rtcp.ssrc.jitter >= 240' -V
Можно натравить вывод на pcapsipdump, разделяя сип-диалоги по разным файлам.
Можно анализировать качество RTP
tshark -q -f 'udp portrange 16384-32768' -o rtp.heuristic_rtp:TRUE -z rtp,streams
И особый комбайн
HOMER Sip Capture
SIP capturing server with HEP and IP-proto-4 (IPIP) & Monitoring Application with CallFlows, PCAP extraction, powerful search tools, statistics and API. Native HEP capture agent integrated in FreeSWITCH
Есть ещё более мощный, но уже платный продукт http://www.voipmonitor.org/
Линки
http://wiki.freeswitch.org/wiki/Packet_Capture
https://habrahabr.ru/post/274919/
Подписаться на:
Сообщения (Atom)