Звонки за границу

[asket26]

У меня давно стоят ловушки

Мы делали ловушки в виде скрипта, который эмулирует ответы SIP-сервера
"Хакерюгам" нравилось общаться с ботом )) Он им и process и ringing и SDP, вообщем все прелести сразу
А они то и рады сразу стараться, мол "ура! взломал!". Но радость обычно быстро проходит, когда они наконец осознают что это не так

Если скрипт не коммерческий- поделитесь пожалуйста! Есть десяток корпоративных Астерисков, хотелось бы оборудовать их ханипотами. От себя солью список фрод-номеров которые наловил на поддельные астериски ( к примеру стоит обычный сайт, ставим минимальный астериск с ослабленной защитой и ловим куда звонят ).

[Pechen]

Вы становитесь мастером по теме SIP безопасность.
И это уже не вопросы новичков!

но ведь это уход от проблемы, а не решение.

стоят же астеры помногу лет с 5060 портом и неизвестные звонки на них не появляются.
особенно когда у тебя пара сотен абонентов за натом, играться с портами не возникнет даже желания. тем более это не поможет если взломали пира

[Zavr2008]

стоят же астеры помногу лет с 5060 портом и неизвестные звонки на них не появляются.

Просто давно уже все умеют гуглить fail2ban, кто-то уже наигрался и попал на бабло, кто-то только изучает тему, кто-то предлагает фрод..

Золотое правило: если нет удаленных сотрудников, не светить SIP порт в инете на прием от 0.0.0.0!

[april22]

Да даже если они есть всегда можно спрятатся в какой нибудь рртр или еще в какой ето туннель . Есть телефоны такие .ну или на край микротик.

[virus_net]

Можно и fail2ban и туннель и не светить порт, но это НЕ спасет, когда ломанут этот самый девайс. Одно дело когда у тебя корпоративная сеть, а другое дело провайдерская сеть, когда абонент творит сам не ведая что.
Любимый способ взлома через перенаправление (forward) на девайсе.
Посему в Dial всегда стоит юзать опцию:

i: Asterisk will ignore any forwarding requests it may receive on this dial attempt.

Если скрипт не коммерческий- поделитесь пожалуйста

Да какой там коммерческий. Я бы сказал "зачаточный" , т.к. он в таком состоянии.
Он был набросан на скорую руку для "попробовать идею". Попробовали, работает, но до дописать руки пока так и не дошли
Во вложении.

Запуск на socat:

Код: Выделить всё

socat UDP4-LISTEN:5060,bind=X.X.X.X,reuseaddr,fork EXEC:/path/to/sip_trap.php

[virus_net]

в перспективе полупубличный сервис

А мы сделали публичный сервис: http://frod.subnets.ru/
Если нужно доработать на выдачу списка ипов - не проблема.

Обновления сервиса:
- значительно улучшена логика для распознавания набираемого номера
- добавлены примеры использования в данных проекта (раздел "помощь")
- добавлена возможность экспорта данных в форматах: CSV, XML, JSON (раздел "export")
- в статистику по проекту добавлены графики по поступающим данным и популярным направлениям (раздел "статистика")

P.S. По-прежнему ищем людей готовых поучаствовать в предоставлении данных для проекта, а так же мысли по применяемой логике к поступающим данным.

[virus_net]

Добавили в раздел "статистика" графика по автономным системам тех, кто занимается нехорошим делом.
Вот на сейчас дело обстоит так:

30 дней

за год

Теперь "страна" знает своих "героев" в "лицо"

[virus_net]

Добавили в раздел "статистика" графики по интенсивности вызовов, теперь видно то когда "черти" наиболее активны.

PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:

Интенсивность вызовов за сутки

Интенсивность вызовов за неделю

[virus_net]

Сделали график по странам исходя из IP-адресов, с которых набираются номера. Доступен как на главной странице так и в разделе "Статистика".