Трассировка wireshark

[roklista]

Здравствуйте. помогите понять, что происходит. Сняли трассировку с sip-gw, а там ip 172.20.5.3 пытается пробиться на АТС. Есть подозрение, что это нехороший человек.

[Мэтр]

В приложенной трассе кто-то (192.168.0.110), и это АТС - ломится на 172.20.5.3

[vda]

а там ip 172.20.5.3 пытается пробиться на АТС

Там все наоборот!

REGISTER sip:172.20.5.3:5060 SIP/2.0
Via: SIP/2.0/UDP 192.168.0.110:37060;branch=z9hG4bKs547a69e7f;rport
Max-Forwards: 70
Call-ID: 7b5b8385-9a90292c2fb17115659e080023532ce8@192.168.0.110
From: <sip:409@172.20.5.3:5060>;tag=136834146
To: <sip:409@172.20.5.3:5060>
CSeq: 1 REGISTER
Allow: INVITE,ACK,CANCEL,BYE,PRACK,INFO,UPDATE,OPTIONS,REGISTER,NOTIFY
User-Agent: Panasonic-MPR12-V008.30047/VSIPGW-V3.0000
Contact: *
Expires: 0
Content-Length: 0

[НачШтаба]

Юра, ты не с того места читаешь. Там АТС ломится, а не "бяка".

[roklista]

Ребят, здравствуйте. Похоже на атаку?

[Mike_K]

Это и есть атака

[roklista]

Привет. Спасибо тебе большое. А то начальник задолбал: "время на станции неправильное, вот и корёжит". Подскажи, пожалуйста, как можно исправить, чтоб не повторялось?

[Mike_K]

1. На пограничном маршрутизаторе IP 51.158.30.17 поместить в чёрный список.
2. Просить провайдера пусть следит за хакерскими атаками, но если это Ростелеком, то бесполезно.
3. Запретить на АТС доступ с IP, отличного от IP провайдера.

[roklista]

Спасибо, а то задостали.

[Мэтр]

Вроде сейчас нет идиотов, проводящих атаки со своих реальных адресов, ждите, скоро и этот подменный адрес поменяется.