Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 4686 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange high bandwidth SIP traffic

most_ahdy
Hi,
  From about 2 weeks ago, Astaro receive strange high load SIP traffic sourced from 42.234.141.122.adsl-pool.jlccptt.net.cn as shown in the attached screen shot, and when I block this traffic using the flow control window it  cause nothing, so how can I block this kind of traffic or how can I track this traffic, please note that I searched all my log files I did not find any log with the source "42.234.141.122.adsl-pool.jlccptt.net.cn". any information about how can  I track this traffic and stop it.
Thanks,
Mostafa Aly


This thread was automatically locked due to age.
  • 0
    Hi,
    are you running a PABX/phones that accepts traffic from anywhere or just from your phone provider.

    If only from your phone provider, then turn on strict in Network protection -> VOIP -> SIP.

    That should get rid of most that traffic.

    Ian
  • 0 in reply to RFCat_vk_01
    Hi,
    are you running a PABX/phones that accepts traffic from anywhere or just from your phone provider.

    If only from your phone provider, then turn on strict in Network protection -> VOIP -> SIP.

    That should get rid of most that traffic.

    Ian

    My sip server is in my internal network and we access it from the internet using softphone (so I think that there is no need for Astaro voip security. Am I right???)
    kindly note that when I noticed the high sip traffic there was no active call detected, so I think it was a hacking or something.
    But now the high sip traffic disappear. but it will be good if I could know the cause of this high sip traffic.
  • 0
    Hi,

    1. So are you saying VOIP Security is OFF?

    2. Do you have any DNATs and/or PacketFilter rules for incoming SIP traffic?

    Barry
  • 0 in reply to BarryG
    Hi Barry,
    1.  Yes I have the VOIP security turned off.
    2.  Yes I have DNAT rules to forward any SIP or RTP traffic coming from outside to the internal SIP server.
    Thanks,
    Mostafa Aly
  • 0
    So, basically you have your VOIP server open to the internet.

    You should check the logs on the VOIP server to see if it is being abused by the mentioned .jp address (or others), and see if you can better secure the server.

    Meanwhile, you can create a PacketFilter rule to DROP traffic from that address.
    Be sure to put it ABOVE the rules allowing incoming VOIP traffic. If you are using the 'auto packetfilter rule' on the NAT, you will need to turn that off, and add PacketFilter rules for SIP and RTP.

    Barry
  • 0
    Yes I have DNAT rules

    Meanwhile, you can create a PacketFilter rule to DROP traffic from that address.

    Mostafa, if you are using auto firewall rules with your DNATs, you need to disable the relevant ones to use Barry's prescription.  The basic rule is that DNATs come before proxies and VPNs, and manual routes and firewall rules come after.

    Cheers - Bob
    PS I failed to notice that you had already addressed that, Barry! [:)]
  • 0
    Meanwhile, you can create a PacketFilter rule to DROP traffic from that address.
    Be sure to put it ABOVE the rules allowing incoming VOIP traffic. If you are using the 'auto packetfilter rule' on the NAT, you will need to turn that off, and add PacketFilter rules for SIP and RTP.

    As I understand from Bob and Barry , I'll have to create a packet filer rule for every threaten IP I faced, but it is not a complete solution, so the best is to find some way to secure my VOIP server, and I think Astaro can not do anything with these DNAT rules is enabled, AM I right?.
    Thank you very much for you help
  • 0
    Hi,

    Yes, you should secure your VOIP server as you are providing a service which is exposed to the whole internet.

    Another possibility would be to use VPNs for the phone connections, if possible.
    I've heard we are doing that at my office, but I don't know too many details.

    Barry
  • 0 in reply to BarryG
    Thanks Barry for your reply and sorry for  my latency
    I am already use vpn but I experience latency and jitter in voip call I do not why ? from your experience what is the least wan bandwidth must be available for one smooth voip call using G711 codec through vpn?
    Thanks,
    Mostafa Aly
  • 0
    70-75 kbps per concurrent call is a fairly standard metric.