关注安全。

本帖最後由 kermit 於 2010-8-28 15:33 編輯

我的asterisk，在25日被侵入，将我nonoh上大概5欧元的balance清空了。同时还有其他的人被盗打。
根据mitbbs的voip 俱乐部的ianw的说法：

攻击原理和这篇说的是一样的：
http://mikeoverip.wordpress.com/ ... using-sipp-and-sec/

kermit

新手上路

Rank: 1

2^#

發表於 2010-8-28 15:32 | 顯示全部帖子

本帖最後由 kermit 於 2010-8-28 15:33 編輯

根据mitbbs的voip 俱乐部的ianw的说法：

攻击应该是基于SIP协议的‘users enumeration’ attack。

在sip.conf中定义的extendsion一般是基于username/password认证的。所以，攻击者
可以用特殊的SIP client配合字典，暴力猜测sip.conf中存在的extension和密码。一
旦蒙对了，就可以注册到你的asterisk server来盗打电话。

上面的文章主要描述了如何模拟这种攻击，和如何监测这种攻击（利用SEC，扫描
asterisk的log）。

防范的方法：sip.conf中定义的extension密码强度要加强，或者authentication基于IP address

TOP

kermit

新手上路

Rank: 1

3^#

發表於 2010-8-28 15:34 | 顯示全部帖子

根据mitbbs的voip 俱乐部的ianw的说法：

http://www.voip-info.org/wiki/view/Asterisk+sip+permit-deny-mask

把下面两行加到每一个extensions的定义里面，这样extension就只能从局域网上注册
了。

deny=0.0.0.0/0.0.0.0
permit=192.168.1.0/255.255.255.0

TOP

kermit

新手上路

Rank: 1

4^#

發表於 2010-8-28 15:37 | 顯示全部帖子

本帖最後由 kermit 於 2010-8-28 15:41 編輯

我个人觉得ianw的分析很有道理。本来我的externsion的密码设置相当简单，就是1234。
现在我的密码长度是12位，还带有特殊字符，让他来实验吧～～～

但是如果需要从外面注册的话，这个permit能否用DNS的域名来代替？

TOP

kermit

新手上路

Rank: 1

5^#

發表於 2010-8-29 05:25 | 顯示全部帖子

本帖最後由 kermit 於 2010-8-29 05:27 編輯

ip 地址：183.110.185.220。
ip查询是从韩国过来的。

TOP

返回列表

关注安全。

[收藏此主題] [關注此主題的新回復]

[通過 QQ、MSN 分享給朋友]