[Lutter contre les spams vocaux par Sysun Technologies – partie 4] AntiSPIT par l'exemple

Par Anthony Havé, Sysun Technologies
Le 25/06/2008

---

Résumé : Pour comprendre plus en détail le principe de fonctionnement du module AntiSPIT, voici en exemple une trame VoIP dont on va comparer l'acheminement final selon que le module AntiSPIT soit activé (ou pas) sur le réseau ciblé. - Lire l'article



Une trame VoIP ( SIP - lien ) qui va être acheminée jusqu’à un IPBX :

06/13-20:29:20.285930 xx.xx.xx.xx:5060 -> 192.168.2.254:5060
UDP TTL:54 TOS:0x0 ID:0 IpLen:20 DgmLen:1336 DF
Len: 1308
49 4E 56 49 54 45 20 73 69 70 3A 33 33 31 37 35 INVITE sip:33xxx
34 32 32 39 30 38 40 31 32 32 2E 31 32 38 2E 30 xxxxxx@192.168.0
2E 32 35 20 53 49 50 2F 32 2E 30 0D 0A 52 65 63 .25 SIP/2.0..Rec
6F 72 64 2D 52 6F 75 74 65 3A 20 3C 73 69 70 3A ord-Route: 38 33 22 32 33 36 2E 32 36 32 2E 32 32 3B 72 32 xx.xx.xx.xx;r2
3D 6F 6E 3B 6C 72 3B 72 62 3D 31 3B 72 63 3D 31 =on;lr;rb=1;rc=1
3B 69 65 3D 31 3E 0D 0A 52 65 63 6F 72 64 2D 52 ;ie=1>..Record-R
6F 75 74 65 3A 20 3C 73 69 70 3A 31 39 32 2E 31 oute: 36 38 2E 32 31 2E 37 32 3B 72 32 3D 6F 6E 3B 6C 68.21.72;r2=on;l
72 3B 72 62 3D 31 3B 72 63 3D 31 3B 69 65 3D 31 r;rb=1;rc=1;ie=1
3E 0D 0A 52 65 63 6F 72 64 2D 52 6F 75 74 65 3A >..Record-Route:
20 3C 73 69 70 3A 31 39 32 2E 31 36 38 2E 32 31 2E 36 32 3B 6C 72 3B 61 63 3D 31 3B 73 72 3D 32 .62;lr;ac=1;sr=2
3E 0D 0A 52 65 63 6F 72 64 2D 52 6F 75 74 65 3A >..Record-Route:
20 3C 73 69 70 3A 31 39 32 2E 31 36 38 2E 32 31 2E 36 32 3B 6C 72 3E 0D 0A 56 69 61 3A 20 53 49 .62;lr>..Via: SI
50 2F 32 2E 30 2F 55 44 50 20 38 33 2E 31 33 36 P/2.0/UDP 83.136
2E 31 36 31 2E 37 32 3B 62 72 61 6E 63 68 3D 7A .161.72;branch=z
39 68 47 34 62 4B 64 34 34 38 2E 66 38 62 32 32 9hG4bKd448.f8b22
31 34 37 2E 30 0D 0A 56 69 61 3A 20 53 49 50 2F 147.0..Via: SIP/
32 2E 30 2F 55 44 50 20 31 39 32 2E 31 36 38 2E 2.0/UDP 192.168.
32 31 2E 36 32 3B 62 72 61 6E 63 68 3D 7A 39 68 21.62;branch=z9h
47 34 62 4B 64 34 34 38 2E 37 61 61 30 64 32 36 G4bKd448.7aa0d26
31 2E 30 0D 0A 56 69 61 3A 20 53 49 50 2F 32 2E 1.0..Via: SIP/2.
30 2F 55 44 50 20 31 39 32 2E 31 36 38 2E 32 31 0/UDP 192.168.21
2E 36 32 3B 62 72 61 6E 63 68 3D 7A 39 68 47 34 .62;branch=z9hG4
62 4B 64 34 34 38 2E 36 61 61 30 64 32 36 31 2E bKd448.6aa0d261.
30 0D 0A 56 69 61 3A 20 53 49 50 2F 32 2E 30 2F 0..Via: SIP/2.0/
55 44 50 20 31 39 32 2E 31 36 38 2E 32 31 2E 35 UDP 192.168.21.5
34 3A 35 30 36 30 3B 62 72 61 6E 63 68 3D 7A 39 4:5060;branch=z9
68 47 34 62 4B 34 38 64 32 33 32 39 61 3B 72 70 hG4bK48d2329a;rp
6F 72 74 3D 35 30 36 30 0D 0A 46 72 6F 6D 3A 20 ort=5060..From:
22 22 32 32 32 32 31 31 39 37 32 33 35 22 20 3C "+33xxxxxxxx" <
73 62 72 32 32 33 36 36 32 31 32 32 32 33 35 40 sip:33xxxxxxxx@
32 22 62 32 62 72 61 2E 73 69 70 2E 69 6E 74 65 2.xxxxxxxxxxxx
72 6E 62 6C 3E 3B 74 61 67 3D 62 62 35 39 66 37 xxxxl>;tag=bb59f7
39 61 38 35 0D 0A 54 6F 3A 20 3C 73 69 70 3A 33 9a85..To: 33 32 37 35 34 33 34 39 30 38 40 32 2E 72 65 67 xxxxxxxx@2.reg
2E 73 69 70 2E 69 6E 74 65 72 6E 61 6C 3E 0D 0A .xxxxxxxxx>..
43 6F 6E 74 61 63 74 3A 20 3C 73 69 70 3A 33 33 Contact: 36 32 32 31 32 37 32 33 35 40 31 39 32 2E 31 36 xxxxxxxxx@192.16
38 2E 32 31 2E 35 34 3E 0D 0A 43 61 6C 6C 2D 49 8.21.54>..Call-I
44 3A 20 35 38 65 34 33 61 34 33 30 38 31 61 39 D: 58e43a43081a9
62 33 61 37 38 32 64 62 38 63 65 30 61 38 39 66 b3a782db8ce0a89f
34 62 62 40 32 2E 62 32 62 75 61 2E 73 69 70 2E 4bc@xxxxxxxxxx.
69 6E 74 65 72 6E 61 6C 0D 0A 43 53 65 71 3A 20 internal..CSeq:
31 30 32 20 49 4E 56 49 54 45 0D 0A 55 73 65 72 102 INVITE..User
2D 41 67 65 6E 74 3A 20 4B 65 79 79 6F 20 42 32 -Agent: Provider B2
42 55 41 0D 0A 4D 61 78 2D 46 6F 72 77 61 72 64 BUA..Max-Forward
73 3A 20 36 37 0D 0A 44 61 74 65 3A 20 46 72 69 s: 67..Date: Fri
2C 20 31 33 20 4A 75 6E 20 32 30 30 38 20 31 38 , 13 Jun 2008 18
3A 32 39 3A 31 38 20 47 4D 54 0D 0A 41 6C 6C 6F :29:18 GMT..Allo
77 3A 20 49 4E 56 49 54 45 2C 20 41 43 4B 2C 20 w: INVITE, ACK,
43 41 4E 43 45 4C 2C 20 4F 50 54 49 4F 4E 53 2C CANCEL, OPTIONS,
20 42 59 45 2C 20 52 45 46 45 52 2C 20 53 55 42 BYE, REFER, SUB
53 43 52 49 42 45 2C 20 4E 4F 54 49 46 59 0D 0A SCRIBE, NOTIFY..
53 75 70 70 6F 72 74 65 64 3A 20 72 65 70 6C 61 Supported: repla
63 65 73 2C 20 78 2D 73 69 70 75 72 61 0D 0A 43 ces, x-sipura..C
6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 61 70 70 ontent-Type: app
6C 69 63 61 74 69 6F 6E 2F 73 64 70 0D 0A 43 6F lication/sdp..Co
6E 74 65 6E 74 2D 4C 65 6E 67 74 68 3A 20 33 32 ntent-Length: 32
37 0D 0A 0D 0A 76 3D 30 0D 0A 6F 3D 72 6F 6F 74 7....v=0..o=root
20 31 31 35 32 38 20 31 31 35 32 38 20 49 4E 20 11528 11528 IN
49 50 34 20 31 39 32 2E 31 36 38 2E 32 32 2E 35 IP4 192.168.22.5
34 0D 0A 73 3D 73 65 73 73 69 6F 6E 0D 0A 63 3D 4..s=session..c=
49 42 22 49 50 34 20 38 33 2E 31 33 36 2E 31 36 IN IP4 xx.xx.xx.xx
32 2E 37 31 0D 0A 74 3D 30 20 30 0D 0A 6D 3D 61 2.71..t=0 0..m=a
75 64 69 6F 20 35 37 34 38 38 20 52 54 50 2F 41 udio 57488 RTP/A
56 50 20 31 38 20 33 20 38 20 30 20 31 30 31 0D VP 18 3 8 0 101.
0A 61 3D 72 74 70 6D 61 70 3A 31 38 20 47 37 32 .a=rtpmap:18 G72
39 2F 38 30 30 30 0D 0A 61 3D 66 6D 74 70 3A 31 9/8000..a=fmtp:1
38 20 61 6E 6E 65 78 62 3D 6E 6F 0D 0A 61 3D 72 8 annexb=no..a=r
74 70 6D 61 70 3A 33 20 47 53 4D 2F 38 30 30 30 tpmap:3 GSM/8000
0D 0A 61 3D 72 74 70 6D 61 70 3A 38 20 50 43 4D ..a=rtpmap:8 PCM
41 2F 38 30 30 30 0D 0A 61 3D 72 74 70 6D 61 70 A/8000..a=rtpmap
3A 30 20 50 43 4D 55 2F 38 30 30 30 0D 0A 61 3D :0 PCMU/8000..a=
72 74 70 6D 61 70 3A 31 30 31 20 74 65 6C 65 70 rtpmap:101 telep
68 6F 6E 65 2D 65 76 65 6E 74 2F 38 30 30 30 0D hone-event/8000.
0A 61 3D 66 6D 74 70 3A 31 30 31 20 30 2D 31 36 .a=fmtp:101 0-16
0D 0A 61 3D 70 74 69 6D 65 3A 32 30 0D 0A 61 3D ..a=ptime:20..a=
73 65 6E 64 72 65 63 76 0D 0A 61 3D 6E 6F 72 74 sendrecv..a=nort
70 70 72 6F 78 79 3A 79 65 73 0D 0A pproxy:yes..


Lorsque les fonctionnalités AntiSPIT sont activées, la possibilité est donnée au système de bloquer cette trame en renseignant soit le numéro de téléphone soit la trame RTP (Voix) correspondante pour simuler par la suite un pré-décroché comme on peut le constater avec le schéma suivant :





En entrée, nous retrouvons la même trame que précédemment alors qu'en sortie, nous ne retrouvons aucune trame allant vers l’IPBX au contraire de l'exemple évoqué dans un réseau sans les fonctionnalités AntiSPIT. Comme il était souhaité, ces fonctions bloquent donc bien la trame VoIP avant son acheminement final.

L’appel n’aboutira donc pas et ne fera pas sonner le poste téléphonique de l'utilisateur final. La seule trace visible de cette trame que l'on peut alors observer est un message de type log informant l’administrateur du réseau qu’une « attaque » a été stoppée ; dans ce cas, le message relatif prend la forme suivante :

[**] [1:21233:0] Le NUMERO SIP xxxxxxxxxx a ete bloque

[**] [Priority: 0] 06/13-20:28:51.363816 xx.xx.xx.xx:5060 -> 192.168.0.25:5060 UDP TTL:53 TOS:0x0 ID:0 IpLen:20 DgmLen:1336 DF Len: 1308

[**] [1:21233:0] Le NUMERO SIP xxxxxxxxxx a ete bloque

[**] [Priority: 0] 06/13-20:28:52.220973 xx.xx.xx.xx:5060 -> 192.168.0.25:5060 UDP TTL:53 TOS:0x0 ID:0 IpLen:20 DgmLen:1336 DF Len: 1308

[**] [1:21233:0] Le NUMERO SIP xxxxxxxxxx a ete bloque

[**] [Priority: 0] 06/13-20:28:54.224534 xx.xx.xx.xx:5060 -> 192.168.0.25:5060 UDP TTL:53 TOS:0x0 ID:0 IpLen:20 DgmLen:1336 DF Len: 1308

[**] [1:21233:0] Le NUMERO SIP xxxxxxxxxx a ete bloque

[**] [Priority: 0] 06/13-20:29:18.283046 xx.xx.xx.xx:5060 -> 192.168.0.25:5060 UDP TTL:53 TOS:0x0 ID:0 IpLen:20 DgmLen:1336 DF Len: 1308

[**] [1:21233:0] Le NUMERO SIP xxxxxxxxxx a ete bloque

[**] [Priority: 0] 06/13-20:29:20.285930 xx.xx.xx.xx:5060 -> 192.168.0.25:5060 UDP TTL:53 TOS:0x0 ID:0 IpLen:20 DgmLen:1336 DF Len: 1308

[**] [1:21233:0] Le NUMERO SIP xxxxxxxxxx a ete bloque

[**] [Priority: 0] 06/13-20:29:24.297838 xx.xx.xx.xx:5060 -> 192.168.0.25:5060 UDP TTL:53 TOS:0x0 ID:0 IpLen:20 DgmLen:1336 DF Len: 1308


A noter que ce module est compatible avec tous les types de systèmes téléphoniques pouvant fonctionner sur les réseaux IP.


Autres ressources dans ce dossier :

[Lutter contre les spams vocaux par Sysun Technologies – partie 1] Introduction à la VoIP – lien

[Lutter contre les spams vocaux par Sysun Technologies – partie 2] Les risques de la VoIP – lien

[Lutter contre les spams vocaux par Sysun Technologies – partie 3] Le module AntiSPIT – lien

[Lutter contre les spams vocaux par Sysun Technologies – partie 5] Crédits et webographie – lien