<div dir="ltr">Hi,<div><br></div><div>I have been running a couple of Asterisk honey pots to get a better understanding of the tools and methods potential hackers are using to exploit SIP servers.</div><div><br></div><div>I have observed many attacks from the '<font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap">sipcli' user agent that don't send ACKs.</span></font></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></font></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap">At this stage I'm not sure what they're trying to achieve, whether</span> <span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"> it's a successful call to one of their test numbers, or maybe they will brute force anything that returns a 401 later, or maybe they're waiting for a 18X response.</span></font></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap">Below are three typical scenarios- </span></font></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></font></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap">------ INVITE ------ ></span></font></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><--- 100 Trying ---</span></font></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><----- 200 OK -----</span></font></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap"><----- 200 OK -----</span><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></font></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap"><----- 200 OK -----</span></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap">( No ACK)</span></font></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></font></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap">------ INVITE ------ ></span><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></font></div><div><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap;color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif"><-------- 503 --------</span><br></div><div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap"><-------- 503 --------</span><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></font></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap"><-------- 503 --------</span><br></div></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap">( No ACK)</span><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></div><div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap">------ INVITE ------ ></span><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></font></div><div><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap;color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif"><-------- 401 --------</span><br></div><div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap"><-------- 401 --------</span><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></font></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap"><-------- 401 --------</span><br></div></div><div><span style="color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Roboto,Arial,sans-serif;font-size:12px;line-height:17.1429px;white-space:pre-wrap">( No ACK)</span></div></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></font></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></font></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap">Please could anyone point me in the right direction to detect these non completed calls with a missing ACK in Kamailio? I am unsure on the terminology I should be using to search the online documentation. </span></font></div><div><font color="#333333" face="Helvetica Neue, Helvetica, Roboto, Arial, sans-serif"><span style="font-size:12px;line-height:17.1429px;white-space:pre-wrap"><br></span></font></div><div>Thanks</div></div>