问题
我们有一台外部托管的 Asterisk 服务器。我们在四个地方接到过虚假电话。这些电话的号码各不相同,例如 1000、9999 或 6060。我们不使用这些号码,甚至这个范围内的号码也不用。
注意:我问过关于这个的问题但没有得到解决方案。
不久前,一部电话(123)出现了这个问题。这部电话是雇主在家里使用的。我把它退了回去,给了雇主一部新电话,新号码是(124)。我把 123 电话连接到办公室,从来没有出现过问题。124 电话在几周后开始出现问题,所以不是马上出现的问题。
对我来说,这似乎是源自员工家庭网络的问题。
- 我们在三个不同的家中都遇到过这个问题。
- 所有这些用户的家里都有路由器,因此手机不会直接连接到互联网。
- 我们在办公室不会遇到这个问题,我想我们在那里会有更好的保护。
- 问题不会永远存在。它们来了又去,然后又再次出现。
我已多次查看 Asterisk 日志,但找不到任何相关内容。
问题
我想知道这是如何工作的。
- 这些电话是否来自这些雇主的家庭局域网?
- Asterisk 服务器在这里发挥作用吗?
- 什么原因导致这种情况?这是笔记本电脑上的恶意软件吗?
- 是否有某个无害的过程连接到此手机并导致手机认为已拨打电话?
而且当然:
- 我们如何才能摆脱这些呼叫?
答案1
这是一种暴力破解,如果连接到公共 IP,星号服务器总会出现这种情况。
我的解决方案是:
- 安装 fail2ban,fail2ban 将设置 iptables 并拒绝对星号进行连续失败尝试的 ip
- 禁用访客 SIP 登录,
allowguest=no
输入sip.conf
- 如果你使用 VPN,请在 PBX 中设置来自 sip external
- 将上下文设置
[default]
为空。
答案2
发生这种情况是因为自动扫描仪可能正在试图强行破解您的密码。
为了摆脱此类呼叫,您应该通过将以下选项放入[general]
您的部分来禁用匿名用户sip.conf
[general]
context=bogus
allowguest=no
alwaysauthreject=yes
答案3
正如您所说,这主要是家庭/远程用户的问题,他们很可能会看到两件事。1- 他们收到的 SIP 邀请与您的 Asterisk 服务器无关。我见过源 IP 是未知服务器,以及用户自己的家庭公共 IP。2- 如果用户接听电话,他们会报告听到死寂的声音。
我主要看到这种情况发生在使用 SIP 软电话客户端的用户身上,这使得收集 SIP 消息更加容易,以及一些低端 IP 电话。一些 IP 电话会对传入的 SIP 邀请进行检查,以确认请求来自与 SIP 注册相同的 IP。如果邀请未通过此检查,则设备不会响应无效邀请。
我没有收藏我找到的一篇博客文章,他们在其中发布了他们找到的几个 SIP 扫描器的 IP。但是大多数家庭用户没有能够将列表中的 IP 列入黑名单的网络。如果您的 asterisk 服务器上没有某些 fail2ban 系统,则应添加它。您还应确保您的 SIP 凭据不包含用户的 ISDN 号码。
你的问题:
这些电话是否来自这些雇主的家庭局域网?很可能不是,尽管 SIP 消息可能表明了这一点。我猜想,他们网络上受感染的硬件可能试图生成这些电话,但更有可能的是,这只是一个扫描所有公共 IP 的机器人。
Asterisk 服务器在这里是否发挥了作用?您的 Asterisk 服务器很可能不会生成这些虚假呼叫。您应该能够查看日志并确认没有。
是什么原因造成的?这是笔记本电脑上的恶意软件吗?最有可能是机器人在尝试公共 IP。不太可能是恶意软件的问题,但尽管经验丰富的软电话更有可能以不同于 IP 电话的方式处理幻影 SIP 邀请。
是不是有一些无害的过程连接到这部手机,导致手机认为有电话打进来了?通常,这更令人讨厌,而不是有害。如果您发现 Asterisk 服务器上也发生了同样的事情,则需要强化您的服务器。向最终用户设备发出邀请会更难找到向用户收取服务费的方法,尽管有人一开始就想使用这些服务肯定是有原因的。
答案4
如果此问题仅发生在家庭位置,我会查看您的办公室位置和家庭位置之间的区别。我认为如果 Asterisk 服务器/互联网连接存在问题,那么办公室位置和家庭位置可能会出现幽灵电话。
我认为可能存在电话和家庭位置的组合。我不知道您使用的是哪种电话,但您应该以某种方式确保禁用电话上的匿名入站呼叫。如果这是问题所在,那么您还应该检查电话是否连接到公共 IP 或路由器是否设置为将端口 5060 转发到 SIP 电话(这通常是为了“解决”音频问题)
如果您有一个 SIP 客户端/服务器连接到端口 5060 上的公共 IP,您将收到大量连接尝试/幽灵电话,这些电话来自试图使用您的信用来路由他们的 SIP 电话的人(我们有一位客户遇到过这种情况,他的 Asterisk 被一家电话公司使用,他们在周末的几个小时内将电话路由到古巴,客户因此蒙受损失,直到他的帐户被关闭。他损失了大约 5 万美元)
如果您可以避免使用端口 5060,则应考虑更改您的 sip 端口。