<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 15, 2017 at 2:37 PM, mdiehl <span dir="ltr"><<a href="mailto:mdiehlenator@gmail.com" target="_blank">mdiehlenator@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi all,<br>
<br>
Lately, I've seen an increase in the number of attacks against my system from the so-called "Friendly Scanner."  When one of these script kiddies targets my server, all I see for symptoms is a few of my trunks become lagged due to server load and a stream of messages on the console that resemble this:<br>
<br>
[Aug  2 20:27:50]   == Using SIP VIDEO CoS mark 6<br>
[Aug  2 20:27:50]   == Using SIP RTP TOS bits 24<br>
[Aug  2 20:27:50]   == Using SIP RTP CoS mark 5<br>
[Aug  2 20:32:47]   == Using SIP VIDEO TOS bits 24<br>
[Aug  2 20:32:47]   == Using SIP VIDEO CoS mark 6<br>
[Aug  2 20:32:47]   == Using SIP RTP TOS bits 24<br>
[Aug  2 20:32:47]   == Using SIP RTP CoS mark 5<br>
[Aug  2 20:34:26]   == Using SIP VIDEO TOS bits 24<br>
[Aug  2 20:34:26]   == Using SIP VIDEO CoS mark 6<br>
<br>
<br>
I have to turn on sip debugging to find out who's hitting me.  However, I can't just leave it on because it would kill my logging system.<br>
<br>
So, how are other people handling this?  Is there an AMI event I want watch for?  I watch for PeerStatus, but since there's no actual peer in the attack, I don't seem to get an event from AMI.<br>
<br>
Any ideas?<br></blockquote><div><br></div><div>There is an AMI security class that you can use to monitor the AMI security events.<br></div><div>See manager.conf.sample<br><br></div><div>Richard<br></div></div><br></div></div>