Looks nice, might start using it Stefan :)<div><br></div><div>Thanks.</div><div><br></div><div>Mitul<br><br>On Friday, April 11, 2014, Stefan Gofferje <<a href="mailto:lists@home.gofferje.net">lists@home.gofferje.net</a>> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
in case, anyone is interested...<br>
I have started compiling a blacklist of hosts and networks from which<br>
SIP fraud attempts occur.<br>
My criteria currently are:<br>
<br>
To block an IP:<br>
- Minimum 3 attacks within one week from the same IP<br>
To block a network:<br>
- Attacks from minimum 3 IPs from that network within 2 weeks<br>
Common criteria:<br>
- Provider does not react to complaints OR<br>
- Provider sends autoreply but attacks don't stop within a week<br>
<br>
Definition of attack:<br>
- Minimum 5 attempts to make an unauthorized phone call to a<br>
non-PBX-internal number OR<br>
- Minimum 10 attempts to make an unauthorized phone call to a<br>
PBX-internal number OR<br>
- Minimum 10 failed authentication attempts<br>
<br>
If this happens, the IP gets auto-banned (iptables) for 24 hours and<br>
goes to my watch list. The watch list is the base for my further decisions.<br>
<br>
Currently, I don't remove IPs or networks from the list. If I have time<br>
and/or motivation I might create some kind of removal process later -<br>
also, depending on how big the list gets and how many people use it.<br>
<br>
The list is yet pretty short but for me, it has reduced the noise on my<br>
PBX from 20-30 attacks per day to about 2 or 3 per week, especially<br>
after most of the Palestinian networks ended up on the list.<br>
<br>
You're free to use the list - own your own responsibility and risk. It's<br>
in the <a href="http://ipdeny.com" target="_blank">ipdeny.com</a> format, so a simple script can be used to CURL the<br>
list and create iptables rules from it. A sample script for something<br>
like that is also on my website (check the Linux section).<br>
<br>
That's the website for the list:<br>
<a href="http://stefan.gofferje.net/it-stuff/sipfraud/sip-attacker-blacklist" target="_blank">http://stefan.gofferje.net/it-stuff/sipfraud/sip-attacker-blacklist</a><br>
<br>
And that's the download URL:<br>
<a href="http://stefan.gofferje.net/sipblocklist.zone" target="_blank">http://stefan.gofferje.net/sipblocklist.zone</a><br>
<br>
Note that the list is updated every 6h so polling it more often doesn't<br>
help anything. Please limit polling to once a day or so.<br>
<br>
-S<br>
<br>
--<br>
 (o_   Stefan Gofferje            | SCLT, MCP, CCSA<br>
 //\   Reg'd Linux User #247167   | VCP #2263<br>
 V_/_  Heckler & Koch - the original point and click interface<br>
<br>
<br>
</blockquote></div><br><br>-- <br><div dir="ltr">Regards,<br>Mitul Limbani,<br>Chief Architech & Founder,<br>Enterux Solutions Pvt. Ltd.<br>110 Reena Complex, Opp. Nathani Steel, <br>Vidyavihar (W), Mumbai - 400 086. India<br>
<a href="http://www.enterux.com/" target="_blank">http://www.enterux.com/</a><br><a href="http://www.entvoice.com/" target="_blank">http://www.entvoice.com/</a><br>email: <a href="mailto:mitul@enterux.in" target="_blank">mitul@enterux.in</a><br>
DID: +91-22-71967196<br>Cell: +91-9820332422<br><br></div><br>