Wo taucht SPIT in den Netzwerkverbindungen auf?

04/08/2016 - 23:29 von Andreas Kohlbach | Report spam
Ich setze meine Kiste eben mal wieder nackt dem Internet aus. Und ein
Spammer versucht wohl heraus zu finden, welche Extensions mein (nicht
vorhandener) VOIP Server hat. Der "ruft" also etwa alle 120 Sekunden an,
und legt nach 10 Sekunden auf.

Ich hoffte nun, seine IP zu bekommen. Finde aber nichts Passendes, wenn
ich z.B.

netstat -tan

oder

netstat -uan

aufrufe, wàhrend es klingelt. Müsste da nicht wàhrend des "Anrufs", was
ja eine Netzwerkverbindung sein muss, ein Eintrag zu finden sein? Die
Liste ist gar mehr oder weniger identisch, auch wenn es gerade nicht
klingelt.

Ich sehe weiter keinen Eintrag zu meinem VOIP-Provider in den Listen, wo
ich einen Eintrag auf Port 5060 erwartet hàtte. Denn zu dem bin ich ja
auch verbunden.

Irgend etwas Grundlegendes muss ich nicht verstanden haben...

X'post mit F'up nach de.comp.os.unix.networking.misc
Andreas
You know you're a redneck if
4. You think a woman who is "out of your league" bowls on a different
night
 

Lesen sie die antworten

#1 Juergen P. Meier
05/08/2016 - 06:50 | Warnen spam
Andreas Kohlbach :
Ich setze meine Kiste eben mal wieder nackt dem Internet aus. Und ein
Spammer versucht wohl heraus zu finden, welche Extensions mein (nicht
vorhandener) VOIP Server hat. Der "ruft" also etwa alle 120 Sekunden an,
und legt nach 10 Sekunden auf.



SIP gateway?

Ich hoffte nun, seine IP zu bekommen. Finde aber nichts Passendes, wenn
ich z.B.

netstat -tan



Kunststueck. SIP und H.323 sind ja auch UDP Protokolle. Da wirst du
kenie TCP-Socketz finden.

oder

netstat -uan



Je nach Implementierung verwnedet deine SIP/VoIP-Softwrae keine
Kernel-Sockets sondern macht das per RAW-Sockets selbst.

Dann findest du auch keine UDP-Sockets.

aufrufe, wàhrend es klingelt. Müsste da nicht wàhrend des "Anrufs", was
ja eine Netzwerkverbindung sein muss, ein Eintrag zu finden sein? Die
Liste ist gar mehr oder weniger identisch, auch wenn es gerade nicht
klingelt.



Schau einfach mal in die Logs deiner VoIP-Software.

Ich sehe weiter keinen Eintrag zu meinem VOIP-Provider in den Listen, wo
ich einen Eintrag auf Port 5060 erwartet hàtte. Denn zu dem bin ich ja
auch verbunden.

Irgend etwas Grundlegendes muss ich nicht verstanden haben...



Wenn die Software RAW-Sockets verwndet und das mit dem UDP-Protokoll
Handling selbst impelmentiert (das bedarf weiniger als eine Seite Code),
dann wirst du mit netstat/lsof nie einen Socket zu sehen bekommen.

In dem Fall sind tcpdump oder wireshark/tshark dein Freund.

tcpdump -v -s 0 -n -i eth0 udp port 5060

tshark -V -s 0 -n -i eth0 udp port 5060

Ersetzte eth0 durch dein Netzwerkinterface.
(netstat -rn zeigt es z.B. in der letzten Spalte an)

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen