VoIP Community of Thailand - เว็บบอร์ด VoIP Issabel, Elastix Asterisk FreePBX IPPhone VoIP Gateway Call Center IPPBX ของไทย โดยคนไทย เพื่อคนไทย

โดย **myanytime** » 10 ต.ค. 2012 18:00

รบกวนดูให้หน่อยครับ มันเกิดอะไรขึ้น เอามันออกได้อย่างไรครับ
98.329493 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
98.357662 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
98.357765 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
98.474162 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
98.474262 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
98.494343 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
98.494512 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
98.677952 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
98.678208 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
98.698562 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
98.698675 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
99.122097 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
99.122231 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
99.142368 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
99.142458 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
99.925795 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
99.926035 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
99.945927 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
99.946020 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
100.717482 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
100.717767 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
100.737720 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
100.737814 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
101.502214 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
101.502401 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
101.531065 223.204.197.242 -> 192.168.3.2 SIP Request: REGISTER sip:branchxxxx.dyndns.org
101.531225 192.168.3.2 -> 223.204.197.242 SIP Status: 401 Unauthorized (0 bindings)
.........ขอบคุณมากครับ..........

โดย **nuiz** » 10 ต.ค. 2012 20:09

รู้จักไอพี 223.204.197.242 นี้มะครับ ถ้าไม่รู้จักแสดงว่าโดน SIP Attack (สะกดถูกป่าวไม่รู้) เข้าให้แล้ว แจ้ง ISP ให้บล๊อกให้ครับ

ถ้ารู้จักแสดงว่า Username/Password ใน SIP Account ที่ไอพีนี้ส่งมา มีผิดสักอย่าง

แต่ดูลักษณะความถี่ของ REGISTER ที่ส่งมา ผมว่าเจอดีเข้าให้แล้วหล่ะครับ

มันเป็น IP ของ 3BB

# whois 223.204.197.242
[Querying whois.arin.net]
[Redirected to whois.apnic.net]
[Querying whois.apnic.net]
[whois.apnic.net]
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 223.204.0.0 - 223.204.255.255
netname: TRIPLETNET-AS-AP
descr: Triple T Internet PCL
country: TH
admin-c: TP207-AP
tech-c: TP207-AP
status: ASSIGNED NON-PORTABLE
mnt-by: MAINT-TH-3BB
changed: ipadmin@3bbmail.com 20100826
source: APNIC

person: TRIPLET PCL
nic-hdl: TP207-AP
e-mail: ipadmin@3bbmail.com
address: 200 Moo4 Chaengwattana Road Pakkret Nonthaburi 11120
phone: +6621008553
fax-no: +6621002121
country: TH
changed: ipadmin@3bbmail.com 20100215
mnt-by: MAINT-NEW
source: APNIC

โดย **myanytime** » 11 ต.ค. 2012 14:53

ท่าจะเจอของดีครับพี่ๆ... ip นี้ไม่ได้อยู่ในสังกัด ผมควรทำอย่างไร..หรือแจ้งทาง isp ว่าอย่างไรดีครับ

โดย **nuiz** » 11 ต.ค. 2012 15:31

บอก isp ว่ามี ip นี้ 223.204.197.242 ส่ง packets มาที่ไอพีผม ช่วยบล๊อกให้หน่อย

จากนั้น isp ก็จะเช็คว่า ไอพี 223.204.197.242 นี้เป็นของใคร เขาก็จะแจ้งเจ้าของไปให้แก้ไข

โดย **myanytime** » 13 ต.ค. 2012 11:48

ขอบคุณมากครับ...แต่พอมีการ safty ดีๆไหมครับ

โดย **nuiz** » 13 ต.ค. 2012 21:05

พอมีวิธี หาบทความเกี่ยวกับการใส่ Security ให้ Asterisk/Elastix และใช้ VPN ถ้าเป็นไปได้

ในเว็บนี้ก็พอมีวิธีบอกอยู่ ถ้าไม่พอก็หาใน Google หน่ะครับ

โดย **seringeti_petch** » 20 ต.ค. 2012 23:49

Server อยู่หลัง firewall ป่าวครับ.... ก็ block จาก firewall เลยดิ

โดย **nuiz** » 22 ต.ค. 2012 00:53

ลักษณะการโจมตีแบบนี้ เครื่องที่ตกเป็นเหยื่อเครื่องแรกคือ 223.204.197.242 เครื่องที่สองคือเครื่องของเรา เครื่องแรกถูกฝัง Script ไว้เรียบร้อยแล้ว (อาจจะทำโดยเจ้าของเครื่องหรือ Hacker อันนี้ก็ไม่รู้ได้ครับ) ให้ Generate SIP Register มายังเครื่องที่สอง

เมื่อโดนแล้ว ถึงจะมี Firewall มา Block มันก็ยัง Generate ออกมาอยู่เหมือนเดิม แค่ไม่เข้ามาถึง SIP Server ของเรา

ถ้าเครื่องเราวางอยู่ที่ Colo ก็จะไม่ผลกระทบต่อ Bandwidth เท่าไหร่นัก อย่างมากก็มีผลต่อตัวเครื่องทำให้ไม่ว่าง (หรือมีเวลาน้อย) ที่จะไป Service อย่างอื่น แต่ถ้าเครื่องเสป็คต่ำๆก็อาจจะเดี้ยงได้เหมือนกัน แต่ผมเชื่อว่าไม่น่าจะทำให้เครื่องเดี้ยงได้ แค่คันๆ

ถ้าเครื่องวางอยู่ข้างนอก จะด้วยสาย ADSL หรือ MPLS ก็แล้วแต่ มันจะทำให้ Bandwidth เต็มครับ ถ้ามีตัวมา Block แต่ดันอยู่ฝั่งเรา Bandwidth ก็ยังเต็มอยู่ เพราะมันยิงเข้ามาเรื่อยๆ ยิงตลอด

มีโซลูชั่นแรกที่ต้องทำก่อนเพื่อนคือ แจ้ง ISP ให้บล๊อกไอพีนั้น
โซลูชั่นที่สองคือติด Firewall อาจจะเป็น Hardware Firewall หรือ Software Firewall ก็ได้ หรือ iptables บน Linux ก็ได้ แล้ว Allow เฉพาะ IP ที่ต้องการ
ไม่ก็ทำ VPN เลย

VoIP Community of Thailand - เว็บบอร์ด VoIP Issabel, Elastix Asterisk FreePBX IPPhone VoIP Gateway Call Center IPPBX ของไทย โดยคนไทย เพื่อคนไทย

401 Unauthorized

401 Unauthorized

Re: 401 Unauthorized

Re: 401 Unauthorized

Re: 401 Unauthorized

Re: 401 Unauthorized

Re: 401 Unauthorized

Re: 401 Unauthorized

Re: 401 Unauthorized

ผู้ใช้งานขณะนี้