Guillaume,

Le 13 octobre 2009 08:30, Guillaume Hilt
<postmas...@shadowprojects.org> a écrit :
> Je pense que si SipSpam (à défaut de trouver un terme adéquat) il y aura,

SPAM Over Internet Telephony est le terme consacré depuis au moins
2005, les premières vagues ont commencé sur skype à cette époque, puis
skype a mis en place une protection au niveau du routage, à la base un
rate-limit sur le nombre d'appels émis, puis une analyse
comportementale (scan alphabétique des pseudos, fréquence des vagues
d'appel, ...)

> cela sera beaucoup plus compliqué de le gérer qu'avec les emails, surtout
> que l'email n'est pas une discussion instantanée comme le téléphone, donc je
> vois mal comment tu pourrais te baser sur les règles du SPAM ?
> (ceci dit, ça m'intéresse, par curiosité)

Sans contenu pour décider, le message ne peut être analysé que sur le
contexte de signalisation. Ca ouvre déjà quelques perspectives.

La première tentative offrant de bons résultats consiste à whitelister
les appels entrants par des canaux gratuits.

En fait, si le CID n'est pas identifié, ton IPBX décroche, joue un
captcha audio, et whiteliste le numéro si la réponse est correcte. Tu
gères ensuite ta whitelist avec des TTL pour les enregistrements,
laisse passer les whitelisté et utilises des contre mesures coûteuses
pour le spammeur en cas de blacklist.

Tu peux aussi te baser sur du protocolaire, en établissant une session
sortante vers chaque appelant : s'il ne réponds pas en initiant une
connexion, c'est que son IPBX n'est pas confé pour l'entrant, donc une
simple sortie.

- renvoyer des codes de réponse SIP aléatoires, voir exploiter des
failles bloquantes de la signalisation
- laisser des canaux ouverts au SPIT (ils parlent dans le vent ou,
quand c'est de la prospection humaine, se prennent du larsen sur la
voie de retour)
- annoncer des codecs plus ou moins tordus pour saturer la capacité de
traitement CPU de l'appelant

Ou bien lancer des contre mesures plus agressives comme le DoS/codec
ou le DoS BW si l'appelant prends les appels entrants.

Enfin, une base distribuée sera de toute façon proposée pour remonter
les whitelist / blacklist, et un système d'échange de certificats
reste à diffuser pour que les IPBX s'authentifie entre eux.

Pas mal de taf en perspective donc ;)




-- 
Jérôme Nicolle
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à