Анонимный входящий??
- В этой теме 17 ответов, 6 участников, последнее обновление 9 лет, 1 месяц назад сделано
.
-
Сообщения
-
Сегодня получил странный входящий звонок, на телефоне он определился как мой собственный номер в сервисе.
Естественно открыл детализацию, а там написано:Источник: <мой_номер>@85.142.148.80 Адресат: <мой_номер> Уч.запись: anonymous Состояние: ANSWERED IP: 5.189.155.8:7942 Путь и кодеки: read:vp8, write:vp8, native:(g722)<- talk37.ru -> read:alaw, write:alaw, native:(alaw,g722,ulaw,slin,speex,gsm,g729)Первый IP указывает на Санкт-Петербург, второй – на какой-то немецкий анонимайзер (?). Так всё-таки, что это за звонок и почему там всплыл мой собственный номер? Его подставил звонящий или сам сервис?
сегодня они прошли по всем четырёхзначным номерам.. по всему диапазону. Раньше они баловались только с трёхзначными (в офисных АТС в основном такие используются) или международные номера…
И да.. это звонящие подставляют этот обратный адрес.
Я запланировал подумать как более точно отразить такие звонки. ну в частности тут написано “anonymous”. но… отличить звонки пользователя сипнета напрямую на <мой_номер> @talk37.ru от такого вот перебора номеров… как?Хм, так вроде если звонят от сипнета, то источник определяется как XXX@sipnet.ru? Может по IP фильтровать? Я на своём сайте всех пытающихся региться с иностранных адресов хостингов и датацентров – сразу блокирую, причём целыми диапазонами.
В адреса From я могу подставить совершенно всё что угодно. Точно так же как с email, где я могу послать письмо от именно Билла Гейтса.. протокол SIP имеет такую родоначальную “уязвимость”. Но в части SIP мы только в начале пути 🙁
Если Вы помните.. именно по этой причине гугл отказался от федерализации в части Jingle и закрыл свои сервера и протокол.
Это извечная борьба щита и меча. Будем обороняться 🙂А закрывать целые диапазоны – каждый решает сам. Можно закрыть все входящие звонки от %@% и их не получите.
Я просто с трудом представляю себе нормального незлонамеренного российского пользователя, который для регистрации на сайте заходит на него через тор или немецкий анонимайзер.
И снова, практически в то же самое время:
Уч.запись: anonymous Состояние: ANSWERED IP: 5.189.155.8:8253 Путь и кодеки: read:vp8, write:vp8, native:(g722)<- talk37.ru -> read:alaw, write:alaw, native:(alaw,g722,ulaw,slin,speex,gsm,g729)IP источника тот же самый 🙂
Аналогично!
Второй день поступают звонки якобы со своего же внутреннего номера.
И звонки нетолькона мой аккаунт, но и на аккаунты у моих друзей.
Так что проблема носит массовый характеркак вариант
IP: 5.189.155.8:8253
в входящие правила добавить фильтр по IP с возможностью добавить сеть
например эту % Information related to ‘5.189.144.0/20 AS51167′если бы Вы знали… сколько уведомлений о переборе пароля, массовом обзвоне и со скольки IP адресов ко мне приходит за одни сутки 🙂
А эти входящие звонки вчера обошли все внутренние номера. Думал “случайность”. Сегодня оказалось что это второй раз… это “совпадение”. По теории “трёх С” если повторится завтра, то это будет “Система”.
Есть мысли как закрыть хотя бы эти звонки. Стараюсь реализовать, но осторожно чтобы что-то не сломать. Переживаю я когда что-то ломается 🙂8003@85.142.148.80
у меня такой адрес например использовался. который из города Иваново)))…Реализовал одну защиту из двух придуманных. Вроде бы пресекает эти звонки “в корне”.
Очень надеюсь, что не будет срабатываний на “правильные” звонки. Если есть какие-то проблемы при звонках с “внешних” серверов – сообщайте!Надеюсь, не было больше таких нежелательных звонков? Работает реализованная защита?
Я реализовал пока одну проверку из трёх придуманных.. но она стала наиболее эффективной.@demon спасибо. Вроде все ок.
Весьма абстрактно 🙁
Можно побольше подробностей? Можно в личные сообщения.
Адресат, источник, домен… Айпи адрес… Примерное время звонка.
- Для ответа в этой теме необходимо авторизоваться.