SMPFR

Bonjour/bonsoir

Depuis des mois j'ai des saloperies en SIP vers mon réseau domestique.
J'ai tenté tant bien que mal d'éduquer mon PfSense contre ça mais je ne peux pas bloquer "SIP" aussi je me contente de blacklister les IP sources.

Cela fait bientôt 1 an que "l'attaquant" opère depuis St Louis (USA), mais ces derniers jours comme j'ai blacklisté sa communauté réseau il "m'attaque" depuis des IP françaises (étrange comme comportement ?)

Plus je verrouille ses @IP sources, plus il attaque ?!

quelqu'un à une piste pour éradiquer ce genre d'attaque svp

Code : Tout sélectionner

2016-06-13 21:19:55	Local0.Info	62.35.179.243	Jun 13 19:20:08 pf: 39. 777637 rule 69/0(match): [b][#38FF00]block[/#38FF00][/b] in on le1: (tos 0x0, ttl 50, id 8104, offset 0, flags [DF], proto UDP (17), length 435) [b][#FF0E00]177.133.142.229.5061[/#FF0E00][/b] > 192.168.1.2.5060: SIP, length: 407
2016-06-13 21:19:55	Local0.Info	62.35.179.243	Jun 13 19:20:08 pf: 	OPTIONS sip:100@62.35.179.243 SIP/2.0
2016-06-13 21:19:55	Local0.Info	62.35.179.243	Jun 13 19:20:08 pf: 	Via: SIP/2.0/UDP 127.0.0.1:5061;branch=z9hG4bK-3356844076;rport
2016-06-13 21:19:55	Local0.Info	62.35.179.243	Jun 13 19:20:08 pf: 	Content-Length: 0
2016-06-13 21:19:55	Local0.Info	62.35.179.243	Jun 13 19:20:08 pf: 	From: "[b][#FF0E00]sipvicious"[/#FF0E00][/b];tag=3|\272\001\020\000\001\000\000\000\000\000\000 FHEPFCELEHFCEPFFFACACACACACACABN\000\000 \000\001\000\000\001\000\000\000E\000\000(N1@\000\200\006@c\300\250\000\012\330:\323N\006\236\001\273\022\214\257\327go\253CP\024\000\000f%\000\000l\005_W\332\373\003\000h\000\000\000h\000\000\000\024\000\000\000=\002\001\000le0\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000\000M\377\377\377\377\377\377\377\377\240\206\001\000\000\000\000\000C5\000\000\001\000\000\000E\000\000(ND@\000\200\006B\266\300\250\000\012\330:\320\350\006\234\001\273PT\231\313\257\204\336`P\024\000\000\305\236\000\000l\005_W\023\374\003\000h\000\000\000h\000\000\000\024\000\001\000=\002\001

n'autorise que ton fournisseur de service sip sur le port 5060 et plus de soucis

Je n'ai aucun service SIP d'ouvert ni chez moi ni chez mon fournisseur.

Visiblement SIP est UDP et tape dans les 5060, ceci tombe dans une plage ouverte pour un autre service (NAT de VNC), je serai donc contraint à NATer depuis d'autres ports ?

VNC en udp ? oO

@Gizmo : faut bien feinter ...

@Z: ajouté règle suivante :
Deny from (ip)any : (proto)UDP to (LAN):5060

je verrai ce que ça dit.

@Gizmo : faut bien feinter ...

@Z: ajouté règle suivante :
Deny from (ip)any : (proto)UDP to (LAN):5060

je verrai ce que ça dit.

ben t'auras plus de problème, ton vnc tu peux le mettre ailleurs mais ça m'étonne que ça marchait en UDP

j'ai utilisé du VNC en UDP sur du lan, ça marche niquel (pas poussé le vice jusqu'à essayer au travers d'internet)

Sinon ryu, tu peux faire du port knocking, ça consiste à établir une séquence de ports que tu demandes depuis n'importe où et d'exécuter une commande sur le pare-feu (genre autoriser l'adresse qui a fait la séquence à utiliser un port).

après, tu appelles tes ports (ça marche dans firefox en demandant http://truc:2000 http://truc:2001 http://truc:4056) pour faire la séquence TCP SYN 2000 2001 4056

@Z : depuis 5060 bloqué c'est RAS

Port knocking oui merci je sais

@Dsebire : cqfd

SMPFR

Blocage SIP ?

Blocage SIP ?

Blocage SIP ?

Blocage SIP ?

Blocage SIP ?

Blocage SIP ?

Blocage SIP ?

Blocage SIP ?

Blocage SIP ?

Blocage SIP ?