Случилась очень неприятная ситуация - за 1,5 суток через сервер * (Trixbox) наших партнеров прогнали трафик по очень дорогим направлениям - +881 (спутниковая связь) около 1 000 000 сек !!!
Можете "прикинуть" сколько это по деньгам...
При этом делали это технично и красиво: звонки начались в 00:00 часов по Киеву в воскресенье и в 6 утра прекратились. Затем звонки снова начались с 22:00 воскресения и до 6:00 понедельника.
Сервер клиента был подключен IAX транком к серверу провайдера на котором не стоял лимит международных разговоров.
При анализе данного сервера было замечено следующее:
| Код: |
| VERBOSE[21531] logger.c: -- Registered SIP '04' at 188.161.217.17 port 6918 NOTICE[21531] chan_sip.c: Peer '04' is now Reachable. (190ms / 2000ms) Registered SIP '07' at 41.91.128.182 port 9294 NOTICE[21531] chan_sip.c: Peer '07' is now Reachable. (258ms / 2000ms) |
А теперь самое интересное:
По cdr видно что совершалось до 100 звонков в час, продолжительность почти каждого была по 1200 сек... (но не больше чем 1200 сек) !!!
Тоесть за 1 час = 3600 сек умудрялись назвонить около 100 000 сек. Таким образом видно что звонили в несколько потоков (около 20-30).
И наконец что мне совсем не понятно - номеров на которые совершались звонки всего лишь около 20 -ти разных.
Тоесть номеров Б (dst) было реально мало для такого кол-ва времени разговоров, наговорить 5000 мин на один номер это не реально...
Я даже не побоюсь несколько тут выложить:
| Код: |
| 00881335183891 00881335184083 00881835211830 00881935211800 00881935211805 00881935211806 00881935211807 00881942011091 00881945110100 |
Фактически есть ТОП 5-ть номеров на которые ушло 70 % трафика.
Запись разговоров к сожалению не велась.
Помогите разобраться что это было ?
Может внутри установленного голосового потока как-то проганяли еще несколько голосовых каналов ?
Какая схема тут работала ?
Заранее благодарен.
С каких IP адресов подключения были? UserAgent не сохраняете? Почему?
Почему небыло call-limit и deny/permit ?
| Цитата: |
| inetnum: 188.161.128.0 - 188.161.255.255 netname: PALTEL-DSL descr: Palestine Telecommunications Company (PALTEL) descr: http://www.paltel.net http://www.alburaq.net http://www.sfi.ps descr: DSL country: PS |
_________________
Gentoo Linux || Asterisk 11.2-cert3
Решения телефонии на базе Asterisk || http://it-need.ru
Судя по логам - получили доступ к Веб управлению Trixbox, ввиду известной его уязвимости. А на "вебке" все - и пароли (хоть и сложные) итд.
ip адреса в логах все сохранились - а толку ? smart whois делать я умею
Ведь наверняка были анонимные прокси или даже цепочки проксей - никого не найдешь уже... Меня больше интересует почему был такой характер трафика - практически на одни и те же номера одновременно и по 20 каналов ...
_________________
P4 3.0 + 1Gb CentOS 5.8 Aster 1.8.16
Не люблю gui-сборки: натуральный продукт вкуснее.
И еще: я ПРОФИ так как НЕ ЛЕНЮСЬ читать литературу.
Added after 11 minutes:
upd: написал, потом прочёл ссылку Wapo
_________________
«Choose a job you love, and you will never have to work a day in your life» — Confucius