Как я могу остановить SipVicious ('дружественный сканер') от лавинной рассылки моего сервера SIP?

Общедоступный сценарий SipVicious, который используют многие из этих злоумышленников, немедленно останавливает атаку, если он получает недопустимый ответ SIP без строки From :. Вы можете идентифицировать SipVicious, потому что он устанавливает для своего User-Agent в запросах SIP значение friendly-scanner.

Используя эту технику против реального злоумышленника, я смог немедленно остановить поток пакетов. Вы можете отправить такой пакет с помощью простого скрипта. Например:

cat >UnfriendlyScannerStopper.scala <<END
import java.net._

object UnfriendlyScannerStopper {
  def main(args : Array[String]) : Unit = {
    if (args.length < 2) {
      System.out.println("Usage: FriendlyScannerStopper ipAddr port")
      return
    }

    val udpSocket : DatagramSocket = new DatagramSocket();
    val packetContents : String = "SIP/2.0 400 Go Away!!!\r\n\r\n"
    udpSocket.send(new DatagramPacket(packetContents.getBytes("utf-8"), packetContents.size,
      InetAddress.getByName(args(0)), Integer.parseInt(args(1))))
  }
}
END
scala UnfriendlyScannerStopper.scala 188.138.107.179 5102

Вам нужно будет заменить 188.138.107.179 и 5102 на адрес и порт в заголовке Via SIP-пакетов, которые вы отправляете при атаке.

Поговорите со своим вышестоящим провайдером. У меня есть черный список с REST API, в который я могу передавать IP-адреса. Я настроил fail2ban для вызова этого веб-сервиса, и пакеты останавливаются где-то в сети моего провайдера, прежде чем они достигнут моих брандмауэров.

эти правила iptables работают нормально для мне. Во время таких атак они сохраняют загрузку процессора ниже 2%.

http://txlab.wordpress.com/2013/06/29/protecting-a-vpbx-from-dos-attacks/

Никто прямо не ответил на ваш вопрос, так что..: NO

Вы не можете запретить кому-либо посылать пакеты на ваш периметр шлюза. Лучшее, что вы можете сделать, это остановить их вверх по течению (как уже упоминалось выше), или остановить их на вашем брандмауэре.

Fail2ban будет срабатывать на основе количества неудачных атак (как вы уже отмечали выше), поэтому альтернативой (или комбинацией) является блокировка на основе географического расположения источника ip. Такие продукты, как SecAst или некоторые аппаратные брандмауэры могут блокировать на основе географического расположения, что еще больше сократит количество пакетов, поступающих на ваш сервер.

Вернемся к первоначальному вопросу: NO

Пытались ли вы настроить SIP прокси?

Если нет, вы можете сделать это, настроив Kamaillio или OpenSIPS перед вашим "sip сервером". Эти пакеты являются маршрутизаторами SIP сообщений, которые могут быть настроены как SIP прокси.

В OpenSIPS или Kamaillio вы можете добавить строку в свой скрипт маршрутизации так же просто, как и решить эту проблему:

if ($ua=~"friendly-scanner") { бросать(); }

Теперь я понимаю, что это не останавливает входящие попытки, но это гарантирует, что попытки никогда никуда не денутся, и что "sip-сервер" никогда их не увидит. Даже 500 РЕГИСТРОВ в секунду не о чем беспокоиться с OpenSIPS или Kamaillio, даже на очень скромном оборудовании.

Защита VoIP инфраструктуры - это большая часть того, для чего OpenSIPS и Kamaillio разработаны - они делают это, проксируя входящие SIP запросы, нормализуя их, бросая некорректные запросы (и те, которые от пользователей-агентов, которые не имеют бизнеса, разговаривающих с вашей сетью), и проксируя аутентификацию (REGISTERs).

Они также скрывают топологию, лежащую за ними, от Интернета, тем самым добавляя еще более высокий уровень безопасности вашему медиа-серверу (возможно, это та функция, которую ваш "sip-сервер" на самом деле выполняет за вас)

Если вы используете звездочку, то интеграция OpenSIPS/Kamaillio/SER является обычной практикой при развертывании ITSP-провайдеров.

А что касается вашего заявления о пропускной способности: я был бы немного удивлен, узнав, что эти атаки используют большую пропускную способность; я полагаю, что "много" - это относительный термин.... Но сколько именно трафика вы видите из этого?

Надеюсь, это поможет. Если вам нужна помощь, я консультант и могу помочь вам настроить это для вашей конкретной среды.

Джереми Д. Уорд (Jeremy D. Ward), CWNE

PS: Чтобы найти меня, Google: jeremy ward wireless. Мой профиль LinkedIn - первый результат.

В качестве альтернативы, посмотрите на брандмауэры, связанные с SIP: VoIP-брандмауэры

Pfsense и, возможно, другие компании позволяют вам изготовить или купить брандмауэр. Программа бесплатна. Затем вы можете бесплатно загрузить suricata, который является своего рода привратником, который мгновенно сбросит большую часть IP-адресов, связанных с такими вещами, как Sipvicious. Обычно, когда они сканируют ваш IP-адрес, их пакеты сразу же отбрасываются. Если дела пойдут хорошо, они даже не поймут, что по этому адресу есть sip-сервер. В том же брандмауэре есть пакет для установки sip-прокси, так что вы можете использовать оба варианта.