<p dir="ltr">Hi!<br>
You can also consider using fail2ban but it's more suitable to block bruteforce attempts.</p>
<br><div class="gmail_quote"><div dir="ltr">On Tue, Aug 15, 2017, 11:56 PM Patrick Laimbock <<a href="mailto:patrick@laimbock.com">patrick@laimbock.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Mike,<br>
<br>
On 15-08-17 21:37, mdiehl wrote:<br>
> Hi all,<br>
><br>
> Lately, I've seen an increase in the number of attacks against my system from the so-called "Friendly Scanner."  When one of these script kiddies targets my server, all I see for symptoms is a few of my trunks become lagged due to server load and a stream of messages on the console that resemble this:<br>
[snip]<br>
> I have to turn on sip debugging to find out who's hitting me.  However, I can't just leave it on because it would kill my logging system.<br>
><br>
> So, how are other people handling this?  Is there an AMI event I want watch for?  I watch for PeerStatus, but since there's no actual peer in the attack, I don't seem to get an event from AMI.<br>
><br>
> Any ideas?<br>
<br>
You can block sipvicious/friendly scanner in iptables with something like:<br>
<br>
-A INPUT -p udp --dport 5060 -m string --string "friendly-scanner"<br>
--algo bm -j DROP<br>
<br>
You can also look at xtables with geoip to drop countries (per<br>
destination port) that should not connect to your Asterisk box. It's a<br>
big hammer but it works really well.<br>
<br>
Or put a proxy like Kamailio or OpenSIPS in front of the Asterisk box.<br>
That's what the telco's/service providers do.<br>
<br>
HTH,<br>
Patrick<br>
<br>
--<br>
_____________________________________________________________________<br>
-- Bandwidth and Colocation Provided by <a href="http://www.api-digital.com" rel="noreferrer" target="_blank">http://www.api-digital.com</a> --<br>
<br>
Check out the new Asterisk community forum at: <a href="https://community.asterisk.org/" rel="noreferrer" target="_blank">https://community.asterisk.org/</a><br>
<br>
New to Asterisk? Start here:<br>
      <a href="https://wiki.asterisk.org/wiki/display/AST/Getting+Started" rel="noreferrer" target="_blank">https://wiki.asterisk.org/wiki/display/AST/Getting+Started</a><br>
<br>
asterisk-users mailing list<br>
To UNSUBSCRIBE or update options visit:<br>
   <a href="http://lists.digium.com/mailman/listinfo/asterisk-users" rel="noreferrer" target="_blank">http://lists.digium.com/mailman/listinfo/asterisk-users</a><br>
</blockquote></div>