5 баллов. наконец-то реально полезная статья, правда траф придется тратить - это во-первых, а во вторых если бы это было действенно - спама давно бы уже не было, да и опять же, кто и когда отменил подставы?

>  Ну технари и есть технари... Господа, зачем дёргать зубы через попу. Это же вдвойне больно... Смотрите.
> Вот рассержусь, и покажу этому колдуну, что такое настоящая порча...
Издох пацтулом Ушел читать спам, выписывать номера недругов.

>> Зная всё это, я иногда так подумываю, глядя на телефоны в спаме - потенциальные жертвы, не знают, что делают...

А Вы не задумывались, что в т.наз. спаме указаны телефоны не спамеров, а жертв ?

Есть специализированные решения с функцией SIP AntiSpoofing, защищающие от таких атак.

>к. Для этого был поднят протокол Internal BGP, поэтому, нам было достаточно прописать
>на своем маршрутизаторе маршрут в null, для атакуемого IP адреса,
>и атака до нас не доходила, умирала на уровне верхнего провайдера.  
>Атака блокировалась в среднем через 3 минуты после начала.

Фигасе - защита от DoS - вырубить атакуемый сервер нафиг
А вам не кажется, что в этом случае атакующий достигнет своей цели.

Вы правы, аутентификация есть. Однако процесс аутентификации происходит на SIP Proxy.
UA (User Agent) в качестве которого выступает, в данном случае Cisco, умеет аутентифицироваться.
Однако он НЕ умеет аутентифицировать.



Спасибо, значит мой труд не прошел зря.


Спасибо. Завалить gateway с 4-мя E1, при этом одача - 6-8 МБит, вы тратите исходящие 120Кбит - это не очень затратно. Если бы кто-то проверял это в действии, то провайдеры VoIP закрыли бы это, ну может не тут же но через некоторое время. Лучше сделать это, пока никто не пострадал. Относительно подстав - а  кто мешает позвонить в Call Центр и выяснить его ли это номер телефона.


Мы вырубаем один хост, остальные живут. Если не вырубить, бывало такое, что "падало" все, на столько порой силен был флуд.В любом случае, клиент (если это не dialup) ставился в известность сразу после того, как его хост был закрыт. Если вас интересует, то через каждые 30 минут мы открывали хост во вне, смотрели что происходит. Бывало атаки длились несколько часов. Вообще атаки проводились не на клиента а на нас, как на провайдера, часто атакуемый IP даже не был ни за кем закреплен. Не забывайте также, это 2001, год суммарный внешний входящий канал у нас был около 20Мбит/c, которые забивались на ура.




Рассматривается На основании собственного опыта работы осмелюсь утверждать, что с вероятностью не менее 80% администраторы VoIP провайдера за час не примут меры по прекращению действия атаки.
Остальные 20% - автоматические системы и случайность (например админ на статистику посмотрел.)

А чем Вы объясните, что 2 тестовых звонка я сделал первый раз в Августе, а Gateway в Декабре еще не закрыт? Не заметили? Не бъет billing у gateway с Proxy, ну и хрен с ними с 10-ю копейками?
А Вы пытались отследить обратный путь следования пакета? Мы при первых flood DoS пытались, ничего не вышло.

Всем спасибо за коменты.

Видимо два тестовых звонка там не заметили, впрочем думаю, что если бы их раза в два-три больше было то же не заметил бы никто. У меня была рабочая ситуация, когда целых 25%  трафика не тарифицировалось (от всего потока) технические службы не замечали - он в отсев сыпался и никому не было до этого дела, пришлось вмешаться в процесс...

Обратный путь отследить можно почти всегда.  Но условие как правило одно - серьезная сумма ущерба! В противном случае, конечно никто и связываться не будет.

Удачи!

Хорошая статья спасибо!