Tono Nam's questions

我有一个 PBX（VOIP 服务器），可以连接电话以拨打电话。我使用的 pbx 是Asterisk。该服务器未被使用，它的唯一目的是分析攻击。

PBX 服务并不重要，如果我有不同的服务，例如 mongodb，我相信互联网上的机器人会搜索漏洞来攻击该数据库。

无论如何，我正在分析所有到达我服务器的 UDP 端口 5060（asterisk 监听的端口）的数据包，到达的数据包如下所示：

IP (tos 0x0, ttl 113, id 654, offset 0, flags [none], proto UDP (17), length 521)
    43.249.129.89.58255 > 171.21.78.225.5060: SIP, length: 493
        REGISTER sip:54.84.215.2:5060 SIP/2.0
        To: <sip:824@54.84.215.2>
        From: <sip:824@54.84.215.2>;tag=824e5f4a7221279e4f7a
        Via: SIP/2.0/UDP 10.4.1.117:58255;branch=z9hG4bK183d5a24-59ec-4f05-8325-747389112824;rport
        Call-ID: e5f4a722128024e4f7a824
        CSeq: 1 REGISTER
        Contact: <sip:824@10.4.1.117:58255>
        Expires: 3600
        Max-Forwards: 70
        Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, NOTIFY, MESSAGE, SUBSCRIBE, INFO
        User-Agent: PolycomSoundPointIP SPIP_550 UA 3.3.2.0413
        Content-Length: 0

该数据包来自机器人，因为我没有向我的服务器发送任何数据包。

请注意，该服务器的唯一目的是了解机器人如何工作并查看它们如何攻击我的服务器。我没有使用那个 PBX；因此，任何到达该服务器的请求都必须来自恶意机器人。每次我收到发送到端口 5060 的 UDP 数据包时，我都会阻止该 IP 地址。

现在我的问题是：

我已经运行该服务器一个月了，而且每隔一分钟左右我仍然会受到攻击。我已经屏蔽了超过 15,000 个 IP！互联网上有多少机器人？他们是否在更改源 IP 地址，这就是他们不断访问我的服务器的原因？如果他们能够更改源 IP，是因为我使用的是 UDP 协议吗？我应该使用 TCP 而不是 UDP 来解决这个问题吗？

同样有趣的是，来自不同 ip 的攻击如此相似。例如，他们使用与电话相同的用户代理，而攻击来自不同的 ip。就好像所有的机器人都有相同的代码。

一旦我解决了这个问题并了解了机器人的工作原理，我想在我的真实服务器上实施该解决方案。我没有为此使用真正的服务器，因为从坏数据包中过滤好数据包会很困难。一种解决方案是在我的防火墙上使用 ips 白名单，但我不希望我的用户必须进行一些额外形式的身份验证，特别是如果他们使用手机的服务，其 ip 地址可能会发生很大变化。

如果我有多个 AWS EC2 和 Azure 实例在不同的区域运行。我正在使用 rabbitmq 在它们之间交换消息。我应该担心添加 TLS 并加密这些连接吗？

换句话说，如果服务器 A 在 AWS us-east 上，而服务器 B 在天蓝色，如果他们在没有加密的情况下交换信息会有多糟糕？只有互联网服务提供商和亚马逊/微软才能看到未加密的数据是否正确？

我显然会加密任何与客户打交道的东西。我只是对 2 个后端服务器互相交谈感到好奇。

编辑

谢谢你们的帮助。我知道如何加密连接以及如何设置 VPN。对不起，我错误地表达了这个问题。

我只是想知道谁能看到这些服务器之间的流量。为什么会有风险？我知道这将是有风险的，我相信你哈哈。我只是想知道为什么。另外，生成我自己的 ssl 证书并在每台服务器上信任它会有多糟糕。

我刚刚在我的 ubuntu 机器（sudo apt-get install squid3）上安装了 squid，安装后我注意到它侦听端口 48512。

$ netstat -tulpn | grep squid
tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN      44365/(squid-1)
udp        0      0 0.0.0.0:48512           0.0.0.0:*                           44365/(squid-1)

我知道它默认侦听端口 3128，可以通过转到/etc/squid/squid.conf

但是端口 48512 没有在任何地方列出。如何将 squid 配置为不在端口 48512 上侦听？

另外，当我在端口 48512 上进行谷歌搜索时，它说它是木马。

我刚刚按照本教程为 Asterisk 添加了安全性：

https://wiki.asterisk.org/wiki/display/AST/Secure+Calling+Tutorial#SecureCallingTutorial-Keys

请注意，默认情况下，星号不会与 srtp 一起安装。为了能够遵循该教程，您必须使用 libsrtp 和 pjsip 安装星号。以下是我安装星号以支持 srtp 的方法：

# (1) make sure everything is up to date
apt-get update
apt-get upgrade

# (2) Install dependencies that will be needed in order to install asterisk pjproject etc...
apt-get install aptitude -y
aptitude install build-essential -y
aptitude install git -y
aptitude install libssl-dev -y
aptitude install zlib1g-dev -y
aptitude install openssl  -y
aptitude install libxml2-dev -y
aptitude install libncurses5-dev -y
aptitude install uuid-dev -y
aptitude install sqlite3 -y
aptitude install libsqlite3-dev -y
aptitude install pkg-config -y
aptitude install libjansson-dev -y

# (3) make sure everything is up to date again
apt-get update
apt-get upgrade

# (4) Install libsrtp  (library used to encrypt rtp)
cd /root    
wget https://github.com/cisco/libsrtp/archive/v1.6.0.tar.gz
tar -xzf v1.6.0.tar.gz
cd libsrtp-1.6.0

./configure CFLAGS=-fPIC --prefix=/usr
make
make runtest
make install
cd ..

# (5) install pjproject 

git clone https://github.com/asterisk/pjproject pjproject
cd pjproject
 ./configure --prefix=/usr --enable-shared --disable-sound --disable-resample --disable-video --disable-opencore-amr --with-external-srtp
make dep
make

make install
cd ..


# (6) Install Asterisk  WITH SRTP AND PJPROJECT

wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-13-current.tar.gz
tar xvf asterisk-13-current.tar.gz
cd  asterisk-13.19.2
./configure --with-pjproject --with-ssl --with-srtp

make
make install
make samples
make config

无论如何，这不是问题的一部分。

因此，我按照教程进行操作，并且能够进行加密呼叫。

当我重复这些步骤以连接所有电话时，我不明白为什么我必须为每个 sip 设备生成证书。服务器已经有一个证书为什么电话需要另一个证书？换句话说，我不明白为什么我必须执行教程中的步骤：

“我们为我们的 SIP 设备生成客户端证书”

./ast_tls_cert -m client -c /etc/asterisk/keys/ca.crt -k /etc/asterisk/keys/ca.key -C phone1.mycompany.com -O "My Super Company" -d /etc/asterisk/keys -o malcolm

因此，出于好奇，我决定用其中一部手机跳过这一步。我没有为电话 X 生成客户端证书，出于某种原因，电话 X 仍然设法连接到星号并拨打电话。Phone X 在拨打电话时也会在屏幕上锁定，这意味着通话已被加密。Asterisk 显示呼叫正在通过 SRTP。我无法区分具有 CLIENT 证书的手机和手机 X。所以我的问题是为什么教程告诉您生成客户端证书？

我完成了本教程以使用星号进行安全调用。

安全呼叫教程 | 星号项目维基

我在 Ubuntu 版本 16 (debian) 上运行 asterisk 版本 13.19.2，一旦我添加了 TLS 和 SRTP，我就遇到了问题。

如果您想安装星号，请仅阅读此内容！如果您希望安装带有 TLS 和 SRTP 支持的星号以进行安全呼叫，这只是我的说明。实际问题在最底层！

1. 使用 libsrtp 和 SRTP 安装 asterisk 13.19.2：

{

# (1) make sure everything is up to date again
apt-get update
apt-get upgrade

# (2) Install dependencies that will be needed in order to install asterisk pjproject etc...
apt-get install aptitude -y
aptitude install build-essential -y
aptitude install git -y
aptitude install libssl-dev -y
aptitude install zlib1g-dev -y
aptitude install openssl  -y
aptitude install libxml2-dev -y
aptitude install libncurses5-dev -y
aptitude install uuid-dev -y
aptitude install sqlite3 -y
aptitude install libsqlite3-dev -y
aptitude install pkg-config -y
aptitude install libjansson-dev -y

# (3) make sure everything is up to date again
apt-get update
apt-get upgrade

# (4) Install libsrtp  (library used to encrypt rtp)
cd /root    
wget https://github.com/cisco/libsrtp/archive/v1.6.0.tar.gz
tar -xzf v1.6.0.tar.gz
cd libsrtp-1.6.0

./configure CFLAGS=-fPIC --prefix=/usr
make
make runtest
make install
cd ..

# (5) install pjproject 

git clone https://github.com/asterisk/pjproject pjproject
cd pjproject
 ./configure --prefix=/usr --enable-shared --disable-sound --disable-resample --disable-video --disable-opencore-amr --with-external-srtp
make dep
make

make install
cd ..


# (6) Install Asterisk  WITH SRTP AND PJPROJECT

wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-13-current.tar.gz
tar xvf asterisk-13-current.tar.gz
cd  asterisk-13.19.2
./configure --with-pjproject --with-ssl --with-srtp

make
make install
make samples
make config

2. 生成密钥（证书）。您也可以从证书颁发机构购买。

   # GENERATE KEYS

   # make a place for our keys mkdir /etc/asterisk/keys

   cd /root/asterisk-13.19.2/contrib/scripts

   ./ast_tls_cert -C my_company.com -O "my_company" -d /etc/asterisk/keys

   # TODO later generate keys for clients (ip phones). This part is explained on first tutorial link and is not relevant to this question

3. 创建 sip.conf 和 extensions.conf

sip.conf：

[general]
  tcpenable=yes
  udpenable=yes
  udpbindaddr=0.0.0.0
  tcpbindaddr=0.0.0.0

  ; allow tls !
  tlsenable=yes
  tlsbindaddr=0.0.0.0:5868 ; <------------------------ note I am changing the default port 6061 to 5868
  tlscertfile=/etc/asterisk/keys/asterisk.pem ; key generated on step 2
  tlscafile=/etc/asterisk/keys/ca.crt ; certificate generated on step 2
  tlscipher=ALL
  tlsclientmethod=tlsv1
  encryption=yes
  tlsdontverifyserver=yes ; trust ublux more than godaddy!

  videosupport=yes
  nat=force_rport,comedia


; shared configuration used for ip phones
[base-config](!)
  type=peer
  ;type=friend
  disallow=all
  allow=ulaw,h264,vp8
  context=common ;<------------------ context used on extensions.conf
  dtmfmode=auto
  insecure=port,invite
  canreinvite=no
  host=dynamic
  directmedia=no
  registertrying=yes
  qualify=yes; monitof peer in order to know if its connected
  transport=tls ; Only allow secure transport!
  encryption=yes
  icesupport=yes
  dtlsenabled=yes
  dtlsverify=no

sip.conf 上的同行

; peer 1
[101](base-config)
  secret=password123
  setvar=ID=Tono 
  setvar=Foo=test101 

; peer 2
[102](base-config)
  secret=password123
  setvar=ID=Monir
  setvar=Foo=test102 

extensions.conf

[general]
  static=yes
  writeprotect=no

[common]    
  exten => 101,1,NoOp(Calling 101)
  same => n,NoOp(Foo = ${Foo} )
  same => n,Dial(SIP/101)
  same => n,Hangup()

  exten => 102,1,NoOp(Calling 102)
  same => n,NoOp(Foo = ${Foo} )
  same => n,Dial(SIP/102)
  same => n,Hangup()

无论如何，这是一个问题：

执行这些步骤后，我可以拨打电话，接听电话，但发生了一些非常奇怪的事情！Asterisk 使用了不正确的变量。例如，当我从电话呼叫101星号时102，会从 peer 中选择变量102！请注意，这仅在两部电话具有相同 IP 地址时才会发生，因为它们位于 NAT 之后。

这是证明：

ubuntu*CLI> sip show peers
Name/username             Host                                    Dyn 
Forcerport Comedia    ACL Port     Status      Description
101                   170.55.7.131                             D  Yes        Yes            50178    Unmonitored
102                   170.55.7.131                             D  Yes        Yes            50137    Unmonitored
103                   170.55.7.132                             D  Yes        Yes            50212    Unmonitored

对等体 101 和 102 显示相同的 IP 地址，因为它们位于同一路由器后面。换句话说 170.55.7.131 是一个公共 ip。如果他们在哪里拥有不同的公共 IP 地址，则不会发生这种情况。换句话说，由于某些奇怪的原因，这不会在分机 101 和 103 之间发生。

当我从 101 呼叫到 102 时，这是星号日志显示的内容：（正确）

Executing [102@common:1] NoOp("SIP/101-00000095", "Calling 102") in new stack
Executing [102@common:2] NoOp("SIP/101-00000095", "Foo = test101 ") in new stack
Executing [102@common:3] Dial("SIP/101-00000095", "SIP/102") in new stack
Using SIP VIDEO CoS mark 6
 ....

当我从 102 呼叫到 101 时，这是星号日志显示的内容！！：（不正确）

Executing [101@common:1] NoOp("SIP/101-00000097", "Calling 101") in new stack
Executing [101@common:2] NoOp("SIP/101-00000097", "Foo = test101 ") in new stack
Executing [101@common:3] Dial("SIP/101-00000097", "SIP/101") in new stack

为什么 Foo=test101它应该相等test102！通道变量101-00000097包含101它应该是102-00000097因为电话102发起了电话呼叫！

如果我重新启动星号服务并从 102 到 101 进行相同的调用，这就是星号显示的内容：

Executing [101@common:1] NoOp("SIP/102-00000002", "Calling 101") in new stack
Executing [101@common:2] NoOp("SIP/102-00000002", "Foo = test102 ") in new stack
Executing [101@common:3] Dial("SIP/102-00000002", "SIP/101") in new stack

现在它是正确的。是星号将变量映射到IP地址吗？？？？？？

解决此问题的临时解决方案：

1. 出于某种原因，如果我将手机放在具有不同 IP 地址的不同位置，则不会发生这种情况。仅当两部手机在同一网络上并且具有相同的公共 IP 地址时，才会出现此问题。这对我来说毫无意义，因为 NAT 将分配不同的内部端口。

2. 如果我删除安全性 (tls) 并使用 udp 或 tcp 作为传输方法。这个问题不再发生。