Здравствуйте,
On 2013-01-04 22:19, Шкроб Виктор Николаевич wrote:
> Версия Сервера: 5.4.8
Если на короткое время увеличить детализацию логов SIP Transport - видно ли в логах, что за клиент (friendly-scanner?) и сцерарий атаки? Просто запросы REGISTER, на которые сервер отвечает 401? Можно кусочек лога на support@communigate.com ?
> -----Original Message-----
> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
> Sent: Friday, January 04, 2013 8:17 PM
> To: CommuniGate Pro Russian Discussions
> Subject: Re: [CGP] Защита сервера CGP от брутфорса.
>
>
>> >> Выражается в том, что все сип-аккаунты в этот момент никому не могут дозвониться, т.е. они подключены, но при наборе номера тишина. >> В наблюдении -> Real-Time -> SIP -> Прием >> 81176 31 сек ожидание (1sec) completed udp[хх.хх.хх.хх]:8570 SIGNAL-264970 REGISTER sip:yy.yy.yy.yy >> Таких записей на несколько страниц, помогает только бан через ipfw. >
> >> -----Original Message----- >> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru] >> Sent: Friday, January 04, 2013 4:59 PM >> To: CommuniGate Pro Russian Discussions >> Subject: Re: [CGP] Защита сервера CGP от брутфорса. >> >> Здравствуйте, >> >> On 2013-01-04 18:36, Шкроб Виктор Николаевич wrote: >>> Это всё хорошо, только пока не закроешь доступ атакующему с помощью файрвола, работать по SIP с CGP невозможно. >> >> В чём это выражается? Какие проблемы, например, в логах наблюдаются при этом? >> >>> Я так понял, что брут занимает все сокеты. >> >> С UDP? Там для работы один сокет нужен... >> >>> Отсюда вопрос, где лежит список временно блокируемых адресов? >>> Хочу этот список использовать для закрытия доступа на уровне файрвола. >> >> CLI: GetTemBlacklistedIPs >> <http://www.communigate.com/CommuniGatePro/CLI.html#Misc> >> >>> -----Original Message----- >>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru] >>> Sent: Friday, November 02, 2012 2:20 PM >>> To: CommuniGate Pro Russian Discussions >>> Subject: Re: [CGP] Защита сервера CGP от брутфорса. >>> >>> Здравствуйте, >>> >>> в WebAdmin на странице Settings->Network->Blacklisted IPs есть >>> настройка "Temporarily Blocked IP Addresses" она работает и для SIP. >>> (если у Вас кластер, то она будет только во вкладке Cluster-wide) >>> >>> On 02.11.2012 10:40, Шкроб Виктор Николаевич wrote: >>>> Всем добрый день, >>>> Сегодня ночью наш CGP забрутили по SIP с IP 85.195.82.185. >>>> Пока я спал, сервис SIP не работал. >>>> Господа, посоветуйте пожалуйста, защиту от подобных атак. >>>> Может скрипт, который автоматически банил бы IP после 10-ти неудачных попыток авторизации, на час например. >>>> CGP стоит на FreeBSD 8.2 >>>> >>>> Best Regards, >>>> Victor Shkrob, >>>> IT Engineer >> >> >> -- >> Best regards, >> Dmitry Akindinov >> >> >> >> ################################################################## >> Вы получили это сообщение потому, что подписаны на список рассылки >> <CGatePro@mx.ru>. >> >> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru> >> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru> >> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru> >> Для административных запросов адрес <CGatePro-request@mx.ru> Архив >> списка: http://mx.demos.su/lists/cgp-russian/ >> >> >> >> >> >> >> >> ################################################################## >> Вы получили это сообщение потому, что подписаны на список рассылки >> <CGatePro@mx.ru>. >> >> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru> >> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru> >> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru> >> Для административных запросов адрес <CGatePro-request@mx.ru> Архив >> списка: http://mx.demos.su/lists/cgp-russian/ >> >> >> >
> > >> Вы получили это сообщение потому, что подписаны на список рассылки
> ##################################################################
>> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> > > > > > >> Вы получили это сообщение потому, что подписаны на список рассылки
> ##################################################################
>> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> > >
-- Best regards, Dmitry AkindinovПолучено Fri Jan 04 18:25:22 2013
Этот архив был сгенерирован hypermail 2.1.8 : Sat 05 Jan 2013 - 01:27:21 MSK