Добрый вечер,

Проблема: некто неизвестный пытается через мою голосовую Cisco AS5350XM позвонить, указывая в качестве пары логин/пароль 5199362832664/5199362832664.
Это продолжается уже второй день подряд и все логи radius'a засраны такими сообщениями:

Sat Aug 23 18:57:43 2008 : Auth: Login incorrect (No password configured for the user): [5199362832664/5199362832664] (from client dial0 port 0)
Sat Aug 23 18:57:43 2008 : Auth: Login incorrect: [5199362832664/5199362832664] (from client dial0 port 0)
Поискав в инете нашел, что это за номер, какой-то троян пытается позвонить через нас.
Я, к сожалению, не являюсь специалистом именно в области голосовых кисок,
Вопросы:
1. какой именно комбинацией debug'ов можно воспользоваться, для того, чтобы вычислить IP
с которого приходит этот запрос.
(дальше уже понятно, пойдет access-list с блокированием всей  с которой идут эти попытки /24).
2. как именно можно заблокировать такие попытки на кошке, при неизвестном IP?
пробовал так, но не получилось:
voice translation-rule 120
rule 1 reject /^5199362832664/
!
!
voice translation-profile block-bad-callee
translate calling 120
translate called 120
!
dial-peer voice 1 pots
translation-profile incoming block-bad-callee
translation-profile outgoing block-bad-callee
destination-pattern 8T
progress_ind alert enable 8
translate-outgoing calling 10
no digit-strip
port 3/3:D

В логах радиуса по прежнему видны такие попытки.
Что еще можно сделать?
IOS 12.4(5a).
спасибо.

• 5199362832664,Аноним, 11:39 , 24-Авг-08
  • вообще-то,Евгений, 01:51 , 26-Авг-08
    • вообще-то,karoll, 16:20 , 28-Авг-08
      • вообще-то,Telesis, 09:27 , 29-Авг-08
        • вообще-то,Брахио, 16:25 , 02-Сен-08
          • вообще-то,Брахио, 16:31 , 02-Сен-08

>[оверквотинг удален]
> destination-pattern 8T
> progress_ind alert enable 8
> translate-outgoing calling 10
> no digit-strip
> port 3/3:D
>
>В логах радиуса по прежнему видны такие попытки.
>Что еще можно сделать?
>IOS 12.4(5a).
>спасибо.

Вобщем, по сложившейся традиции отвечаю самому себе:

sh ip sockets

ip access-list extended STOP_HACK
deny   ip host aaa.bbb.ccc.ddd any
permit ip any any

interface GigabitEthernet0/0
ip access-group STOP_HACK in

Наверняка должен быть более прямой способ блокировки, не по IP, а по логину, с которым пытаются продолбиться, но я пока его не знаю.

В нормальной сети медиа-шлюзы наружу с белыми Ip , открытые для всех, не торчат.

>[оверквотинг удален]
>ip access-list extended STOP_HACK
> deny   ip host aaa.bbb.ccc.ddd any
> permit ip any any
>
>interface GigabitEthernet0/0
> ip access-group STOP_HACK in
>
>Наверняка должен быть более прямой способ блокировки, не по IP, а по
>логину, с которым пытаются продолбиться, но я пока его не знаю.
>

Обнаружил подобные звонки в биллинге. Откуда шли звонки пока обнаружить не могу. С внешних адресов доступ на железку(АС5300) закрыт. За 1 час было совершено более 3 сотен звонков. Ни одного удачного(тьфу-тьфу).
Если у каго какие соображения - напишите.

тоже наблюдал такую вешь, с сети Cogent.

Звонки пытаются инициировать с адресов, которые зарегистрированы в Малайзии у провайдера Piradius.net
Достоверно известно 2 адреса:
124.217.250.91
124.217.230.238
Соединение с маршрутизатором идут по порту 5060. Отловить можно только либо по логам если в ACL включить журналирование соединений извне на данный порт, либо по нетфлоу.

Как прекратить:
Закрыть порты 5060 и 1720 на соединения извне. Если надо работать с удаленными шлюзами IP телефонии (а эти порты как раз и отвечают за соединения с SIP устройствами и соединения по протоколу H.323), то открывать только на доверенные адреса. А все остальные - "в сад".