VoIP Community of Thailand - เว็บบอร์ด VoIP Issabel, Elastix Asterisk FreePBX IPPhone VoIP Gateway Call Center IPPBX ของไทย โดยคนไทย เพื่อคนไทย

ไม่ทราบว่า เพื่อนๆ พี่ๆ มีแนวทางป้องกัน กันอย่างไรบ้างครับ
เนื่องจาก sip server ของผมโดน flood เข้ามาบ่อยมากครับ ผมก็ไม่รู้จะแก้อย่างไรดี ได้แต่ใช้ firewall ในตัวของมันเอง ทำการ block ip นั้นๆ ที่ทำการ flood เข้ามาครับ

ไม่ทราบว่า ท่านอื่นๆ มีแนวทาง กันอย่างไรบ้างหรอ ครับ

ขอบคุณครับ

ไม่รู้ว่าเครื่องของผมจะโดนหรือเปล่า มันดูยังไงเหรอครับว่าโดน flood หรือไม่โดน แนะนำคร่าวๆก็ได้ครับ

ขอบคุณครับ

อาการ sip server โดน flood
ถ้ามี tools ในการ monitor sip channels อยู่แล้ว มันจะพุ่งปรี๊ด สูงมากครับ อาจจะมากกว่า 4 พัน channels / sec ได้ครับ

ถ้าหากไม่มี Tools ในการ monitor
ให้เข้า console ของ asterisk ครับ
# asterisk -r
CLI >

มันจะมีข้อความฟ้องว่า กำลังมีการ try เข้าในโดยใช้ sip account ต่างๆ ซึ่งบางทีตรงนี้ ก็ไม่ครับเท่าที่ผมเจอ แต่ถ้าใช้คำสั่ง sip show channels แล้วจะพบว่า sip channels ทั้งหมดมีสูงมากครับเกินความเป็นจริง ถ้าพบอาการแบบนี้ ให้รีบเข้าไปดูที่ /var/log/asterisk/message เลยครับ

เมื่อ tail -f message ดูก็จะพบว่าข้อความ ในการ try sip account เข้ามาครับ พร้อมทั้ง ip

ตอนนี้ผมก็ได้แต่ทำการ block ตาม ip ที่มันวิ่งเข้ามา flood ครับ
เคยอยู่ครั้ง ซึ่งผมเคยเจอว่า สมมติ ip 1.1.1.1 flood เข้ามาที่ sip server ผม ผมก็ได้ทำการ block 1.1.1.1 เรียบร้อยแล้ว ทีนี้ มันดันเปลี่ยน ip flood เข้ามาอีก ยังไม่ถึง 2 นาทีเลย - -"
(สมมติ) 4.33.88.99 ผมก็ block มันไปอีก อีกสักพัก มันก็ flood เข้ามาอีก - -" วันนั้นผมนั่งไล่ block ทั้งวันเลย ไม่เป็นอันทำงานอย่างอื่นเลย

ซึ่งผมได้ check ip ที่ทำการ flood เข้ามาแล้วพบว่าเป็น ip จากต่างประเทศ ซึ่งผมมั่นใจว่า มันต้องเป็นคนไทยแน่ นอน เพราะว่า ip ที่ทำการ flood เข้ามานั้น แต่ละครั้งจะเปลี่ยนประเทศไปเรื่อยๆ เหมือนมี script ในการ ปลอม ip (อันนี้ไม่ชัวร์น่ะครับ แต่ผมคิดว่า เค้าน่าจะใช้วิธีการคือ อาจไปเช่า host ต่างประเทศ แล้ววิ่งอ้อมเข้ามา flood ในเมื่อไทยอีกที) ถ้าเป็น ip ในเมื่อไทยน่ะ ได้เจอกันแน่ แง่มๆ

ผมเคยลอง check กลับไปพบว่าเครื่องที่ทำการ flood เข้ามาส่วนใหญ่ใช้เป็น ubuntu กับ debian บางทีก็เจอ redhat9 อืม

พฤติกรรมการ flood ที่ผมเฝ้าสังเกตุ คือ ถ้าเค้า flood มาแล้วเจอ sip account เราอันไหนที่เปิดอยู่ เค้าจะ flood เฉพาะ account นั้นแล้วจะทำการ try password ไปเรื่อยๆ โดยเริ่มตั้ังแต่ 0 ไล่ไปเรื่อยๆ
แต่ถ้าไม่เจอ sip account ไหนเลยเค้าจะทำการ flood โดย เริ่มตั้งแต่ sip account 0 ไปเรื่อยๆ - -"
เช่น
0@domain.com
1@domain.com
2@domain.com
3@domain.com
...
999@domain.com
...
10001@domain.com
แบบี้ไปเรื่อยๆครับ


ที่ผมเจอกับตัว คือ ถ้าโดน hack แล้วเค้าส่วนมากเค้าจะใช้วิธีย้อนศร คือ สมมติ เรามี E1 หรือ PSTN ในการโทรออก - รับสาย เค้าจะวิ่งย้อนศร มาด้วย sip แล้วทำการโทรออก โดยใช้ E1 หรือ PSTN ของเราทำการโทรออก เคยโดน E1 ไปครั้ง 1 หมดไปหมื่นกว่าบาท แถมดันโทรไปต่างประเทศ ซึ่งใช้ 009,001 ในการโทรออกซะด้วย

(ไม่ใช่ในคนในเมืองไทย แล้วมันรู้ดีขนาด รหัสโทรทางไกลระหว่างประเทศ ด้วย 009 กับ 001 เลยรึ)

ส่วน กราฟ นี่เป็นตัวอย่างน่ะครับ
จะพุ่งสูงมากแบบในรูปครับ

ขอบคุณครับ

ไม่ทราบว่าได้ลองอันนี้ยังครับ 7 วิธีป้องกัน Asterisk แล้วก็ Fail2Ban

ขอบคุณครับ สำหรับแนวทาง
ผมคงต้องใช้ Fail2Ban ดูล่ะคราวนี้


ได้ผลยังไงเด๋วจะมา update ให้ทราบครับ

เข้ามา update เพิ่มเติมครับ
หลังจาก ได้กลับไปลองใช้ Fail2Ban
ก็ได้ผลออกมา เป็นที่น่าพอใจ ครับ เมื่อ implement ขึ้นเครื่อง production จริง ปรากฏว่า ไม่ถึง 20 นาที block ip ที่เข้ามาทำการ flood ได้ถึง 4 ip ^ ^ แถมยังสามารถ alert e-mail ไปยัง e-mail ที่เรากำหนดได้ด้วยครับ จะได้ไม่ต้องเสียเวลาไปนั่งดู log ว่า block ip ไรไปแล้วมั่ง

แต่ติดอยู่นิดหน่อย ตรงที่ เราจะต้องรู้ว่า error pattern แบบไหน ถึงจะให้ทำการ block ip นั้น ซึ่งเราต้องเขียน regular expression ให้ถูกต้องด้วยครับ
หาก regular expression ไม่ถูกต้อง ก็ไม่สามารถทำการ block ได้ครับ และอีกอย่าง มันก็ไม่มี log บอกด้วยว่า regular expression ที่เราเขียน ขึ้นมาใช้กับ pattern นี้ มันถูกหรือไม่
ผู้ใช้งาน ต้องพอมีความรู้ทางด้านการใช้ regular expression บ้างน่ะครับ หรือไม่ก็ต้องการ tools มาช่วยในเรื่องการใช้งาน regular expression ครับ

แต่โดยรวมถือว่า ดีมาก ครับ เพราะสามารถใช้งานได้ในหลายๆด้าน ครับ