ขอคำแนะนำหน่อยครับ (sip server โดน flood ครับ)

Asterisk Opensource IP Pbx

ขอคำแนะนำหน่อยครับ (sip server โดน flood ครับ)

โพสต์โดย smartsoft » 07 ธ.ค. 2010 08:20

ไม่ทราบว่า เพื่อนๆ พี่ๆ มีแนวทางป้องกัน กันอย่างไรบ้างครับ
เนื่องจาก sip server ของผมโดน flood เข้ามาบ่อยมากครับ ผมก็ไม่รู้จะแก้อย่างไรดี ได้แต่ใช้ firewall ในตัวของมันเอง ทำการ block ip นั้นๆ ที่ทำการ flood เข้ามาครับ

ไม่ทราบว่า ท่านอื่นๆ มีแนวทาง กันอย่างไรบ้างหรอ ครับ

ขอบคุณครับ
smartsoft
Gold Member
 
โพสต์: 80
ลงทะเบียนเมื่อ: 11 มี.ค. 2010 09:44

Re: ขอคำแนะนำหน่อยครับ (sip server โดน flood ครับ)

โพสต์โดย nuiz » 07 ธ.ค. 2010 14:26

ไม่รู้ว่าเครื่องของผมจะโดนหรือเปล่า มันดูยังไงเหรอครับว่าโดน flood หรือไม่โดน แนะนำคร่าวๆก็ได้ครับ

ขอบคุณครับ
** หากมีปัญหากับอุปกรณ์ที่ซื้อมาเองหรือบริการที่ทำขึ้นมาเอง ให้โพสต์ถามในเว็บบอร์ดนี้นะครับ **
** งานเร่งด่วนติดต่อว่าจ้างที่เบอร์ 08-5161-9439 อีเมล์ iamaladin@gmail.com ไลน์ NuizVoip ครับ **
nuiz
Diamond Member
 
โพสต์: 7058
ลงทะเบียนเมื่อ: 24 มี.ค. 2010 09:33

Re: ขอคำแนะนำหน่อยครับ (sip server โดน flood ครับ)

โพสต์โดย smartsoft » 07 ธ.ค. 2010 21:53

อาการ sip server โดน flood
ถ้ามี tools ในการ monitor sip channels อยู่แล้ว มันจะพุ่งปรี๊ด สูงมากครับ อาจจะมากกว่า 4 พัน channels / sec ได้ครับ

ถ้าหากไม่มี Tools ในการ monitor
ให้เข้า console ของ asterisk ครับ
# asterisk -r
CLI >

มันจะมีข้อความฟ้องว่า กำลังมีการ try เข้าในโดยใช้ sip account ต่างๆ ซึ่งบางทีตรงนี้ ก็ไม่ครับเท่าที่ผมเจอ แต่ถ้าใช้คำสั่ง sip show channels แล้วจะพบว่า sip channels ทั้งหมดมีสูงมากครับเกินความเป็นจริง ถ้าพบอาการแบบนี้ ให้รีบเข้าไปดูที่ /var/log/asterisk/message เลยครับ

เมื่อ tail -f message ดูก็จะพบว่าข้อความ ในการ try sip account เข้ามาครับ พร้อมทั้ง ip

ตอนนี้ผมก็ได้แต่ทำการ block ตาม ip ที่มันวิ่งเข้ามา flood ครับ
เคยอยู่ครั้ง ซึ่งผมเคยเจอว่า สมมติ ip 1.1.1.1 flood เข้ามาที่ sip server ผม ผมก็ได้ทำการ block 1.1.1.1 เรียบร้อยแล้ว ทีนี้ มันดันเปลี่ยน ip flood เข้ามาอีก ยังไม่ถึง 2 นาทีเลย - -"
(สมมติ) 4.33.88.99 ผมก็ block มันไปอีก อีกสักพัก มันก็ flood เข้ามาอีก - -" วันนั้นผมนั่งไล่ block ทั้งวันเลย ไม่เป็นอันทำงานอย่างอื่นเลย

ซึ่งผมได้ check ip ที่ทำการ flood เข้ามาแล้วพบว่าเป็น ip จากต่างประเทศ ซึ่งผมมั่นใจว่า มันต้องเป็นคนไทยแน่ นอน เพราะว่า ip ที่ทำการ flood เข้ามานั้น แต่ละครั้งจะเปลี่ยนประเทศไปเรื่อยๆ เหมือนมี script ในการ ปลอม ip (อันนี้ไม่ชัวร์น่ะครับ แต่ผมคิดว่า เค้าน่าจะใช้วิธีการคือ อาจไปเช่า host ต่างประเทศ แล้ววิ่งอ้อมเข้ามา flood ในเมื่อไทยอีกที) ถ้าเป็น ip ในเมื่อไทยน่ะ ได้เจอกันแน่ แง่มๆ

ผมเคยลอง check กลับไปพบว่าเครื่องที่ทำการ flood เข้ามาส่วนใหญ่ใช้เป็น ubuntu กับ debian บางทีก็เจอ redhat9 อืม

พฤติกรรมการ flood ที่ผมเฝ้าสังเกตุ คือ ถ้าเค้า flood มาแล้วเจอ sip account เราอันไหนที่เปิดอยู่ เค้าจะ flood เฉพาะ account นั้นแล้วจะทำการ try password ไปเรื่อยๆ โดยเริ่มตั้ังแต่ 0 ไล่ไปเรื่อยๆ
แต่ถ้าไม่เจอ sip account ไหนเลยเค้าจะทำการ flood โดย เริ่มตั้งแต่ sip account 0 ไปเรื่อยๆ - -"
เช่น
0@domain.com
1@domain.com
2@domain.com
3@domain.com
...
999@domain.com
...
10001@domain.com
แบบี้ไปเรื่อยๆครับ


ที่ผมเจอกับตัว คือ ถ้าโดน hack แล้วเค้าส่วนมากเค้าจะใช้วิธีย้อนศร คือ สมมติ เรามี E1 หรือ PSTN ในการโทรออก - รับสาย เค้าจะวิ่งย้อนศร มาด้วย sip แล้วทำการโทรออก โดยใช้ E1 หรือ PSTN ของเราทำการโทรออก เคยโดน E1 ไปครั้ง 1 หมดไปหมื่นกว่าบาท แถมดันโทรไปต่างประเทศ ซึ่งใช้ 009,001 ในการโทรออกซะด้วย

(ไม่ใช่ในคนในเมืองไทย แล้วมันรู้ดีขนาด รหัสโทรทางไกลระหว่างประเทศ ด้วย 009 กับ 001 เลยรึ)

ส่วน กราฟ นี่เป็นตัวอย่างน่ะครับ
จะพุ่งสูงมากแบบในรูปครับ

รูปภาพ
smartsoft
Gold Member
 
โพสต์: 80
ลงทะเบียนเมื่อ: 11 มี.ค. 2010 09:44

Re: ขอคำแนะนำหน่อยครับ (sip server โดน flood ครับ)

โพสต์โดย nuiz » 08 ธ.ค. 2010 15:37

ขอบคุณครับ

ไม่ทราบว่าได้ลองอันนี้ยังครับ 7 วิธีป้องกัน Asterisk แล้วก็ Fail2Ban
** หากมีปัญหากับอุปกรณ์ที่ซื้อมาเองหรือบริการที่ทำขึ้นมาเอง ให้โพสต์ถามในเว็บบอร์ดนี้นะครับ **
** งานเร่งด่วนติดต่อว่าจ้างที่เบอร์ 08-5161-9439 อีเมล์ iamaladin@gmail.com ไลน์ NuizVoip ครับ **
nuiz
Diamond Member
 
โพสต์: 7058
ลงทะเบียนเมื่อ: 24 มี.ค. 2010 09:33

Re: ขอคำแนะนำหน่อยครับ (sip server โดน flood ครับ)

โพสต์โดย smartsoft » 08 ธ.ค. 2010 19:31

ขอบคุณครับ สำหรับแนวทาง
ผมคงต้องใช้ Fail2Ban ดูล่ะคราวนี้


ได้ผลยังไงเด๋วจะมา update ให้ทราบครับ
smartsoft
Gold Member
 
โพสต์: 80
ลงทะเบียนเมื่อ: 11 มี.ค. 2010 09:44

Re: ขอคำแนะนำหน่อยครับ (sip server โดน flood ครับ)

โพสต์โดย smartsoft » 11 ธ.ค. 2010 18:18

เข้ามา update เพิ่มเติมครับ
หลังจาก ได้กลับไปลองใช้ Fail2Ban
ก็ได้ผลออกมา เป็นที่น่าพอใจ ครับ เมื่อ implement ขึ้นเครื่อง production จริง ปรากฏว่า ไม่ถึง 20 นาที block ip ที่เข้ามาทำการ flood ได้ถึง 4 ip ^ ^ แถมยังสามารถ alert e-mail ไปยัง e-mail ที่เรากำหนดได้ด้วยครับ จะได้ไม่ต้องเสียเวลาไปนั่งดู log ว่า block ip ไรไปแล้วมั่ง

แต่ติดอยู่นิดหน่อย ตรงที่ เราจะต้องรู้ว่า error pattern แบบไหน ถึงจะให้ทำการ block ip นั้น ซึ่งเราต้องเขียน regular expression ให้ถูกต้องด้วยครับ
หาก regular expression ไม่ถูกต้อง ก็ไม่สามารถทำการ block ได้ครับ และอีกอย่าง มันก็ไม่มี log บอกด้วยว่า regular expression ที่เราเขียน ขึ้นมาใช้กับ pattern นี้ มันถูกหรือไม่
ผู้ใช้งาน ต้องพอมีความรู้ทางด้านการใช้ regular expression บ้างน่ะครับ หรือไม่ก็ต้องการ tools มาช่วยในเรื่องการใช้งาน regular expression ครับ

แต่โดยรวมถือว่า ดีมาก ครับ เพราะสามารถใช้งานได้ในหลายๆด้าน ครับ
smartsoft
Gold Member
 
โพสต์: 80
ลงทะเบียนเมื่อ: 11 มี.ค. 2010 09:44


ย้อนกลับไปยัง Asterisk SIP Server

ผู้ใช้งานขณะนี้

กำลังดูบอร์ดนี้: ไม่มีสมาชิกใหม่ และ บุคคลทั่วไป 12 ท่าน

cron