В нашем офисе у нас есть сервер VoIP (sipXecs), который подключен к нескольким телефонам и ATA-боксам.
В последнее время наша система VOIP дает нам проблемы. При первой загрузке все нормально, но через некоторое время устройства перестают регистрироваться, и звонки больше не могут выполняться.
Просматривая подробные записи вызовов, мы заметили, что незадолго до того, как система перестала работать, она получила большое количество вызовов за очень короткий промежуток времени от неизвестного абонента, и эти вызовы были сделаны на международные номера телефонов (обычно только 1 или 2 разных номера, но с разными кодами городов).
Под полем вызывающего абонента просто написано «неизвестно». Я не могу сказать, что все вызовы терпят неудачу, независимо от того, терпят ли они неудачу из-за того, что вызывающий абонент не может быть аутентифицирован, или потому, что наш план данных voip не включает международные вызовы, я не могу сказать.
К сожалению (или, к счастью, в зависимости от обстоятельств), я думаю, что у сервера есть настройка, которая заставляет его перестать работать, если он получает определенное количество звонков за определенное количество времени (я считаю, что это 20 звонков за 3 секунды). Итак, сервер видит массированную атаку мистера Неизвестного и отключается.
Правильно ли я предполагаю, что эти неизвестные вызовы, скорее всего, являются попытками спрятать нашу систему?
Если да, то:
1) Как они получают доступ к системе без имени пользователя и пароля? Черт возьми, я удивлен, что кто-то может найти систему в небольшом офисе, таком как наш.
2) Что значит получить звонок от unknown
? Если звонящий скрывает свой номер, значит, система должна показать Unavailable
в столбце От.
3) Как мне запретить мистеру Неизвестному делать эти звонки?
Спасибо за уделенное время.
Рекомендация: Установите что-нибудь вроде fail2ban который следит за вашими журналами sipX на предмет неудачных аутентификаций и межсетевых экранов с оскорбительных IP-адресов.