
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">

<HTML>

<HEAD>

  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">

  <META NAME="GENERATOR" CONTENT="GtkHTML/3.32.2">

</HEAD>

<BODY LINK="#0000ff">

You should be able to facilitate this a few ways in the Acme, the first and easiest would be to not configure a port with the IP in the sip interface, and use only configure the domain name. The second would be to use HMR to inspect the inbound packets and drop them. Im sure there are other options as well.<BR>

<BR>

On Thu, 2011-06-16 at 16:58 -0400, Chet Curry wrote:

<BLOCKQUOTE TYPE=CITE>

     <BR>

    <BR>

     <BR>

    <BR>

    In an effort to mitigate DDOS attack’s I am trying to deny all traffic based on the request-uri host domain.  The reason being from what I see is “most” attacks are sent to the SBC’s IP address and does use the domain name.  When the proper domain is supplied I would like to allow that packet.  All other I will not respond to period.<BR>

    <BR>

     <BR>

    <BR>

    Example of hacker Requet URI<BR>

    <BR>

    Ex. <B>INVITE</B> sip100:<B>199.44.55.22</B> SIP/2.0<BR>

    <BR>

     <BR>

    <BR>

    Legit Request URI<BR>

    <BR>

    Ex. <B>INVITE</B> sip:7724558787@voip.<B>myvoice.net</B> SIP/2.0<BR>

    <BR>

     <BR>

    <BR>

     <BR>

    <BR>

     <BR>

    <BR>

    I have tried to create an HMR on ACME with little success.  I can get the registers to not respond yet only if <A HREF="sip:199.44.55.22">sip:199.44.55.22</A> is use.  If the attacker uses <A HREF="sip:100@199.44.55.22">sip:100@199.44.55.22</A> the SBC still will respond with a 403. <BR>

    <BR>

    Besides that All invites are always responded to regardless even though the HMR(Header Manipulation) should be using Invite and registration meathods.<BR>

    <BR>

     <BR>

    <BR>

    I have tried to get ACME to come up with a solution yet have been unsuccessful.  They will not even take my request for a feature enhancement.  <BR>

    <BR>

     <BR>

    <BR>

    Has anyone had any successful experience at implementing this on any other SBC platform?  I know there are many ways to protect yourself from DDOS attacks yet  to me this is a simple first line of defense.<BR>

    <BR>

     <BR>

    <BR>

     <BR>

    <BR>

    <IMG SRC="cid:image001.png@01CC2C46.97470A90" WIDTH="624" HEIGHT="499" ALIGN="bottom" ALT="Description: signature2" BORDER="0"><BR>

    <BR>

     <BR>

    <BR>

    <BR>

</BLOCKQUOTE>

<BLOCKQUOTE TYPE=CITE>

<PRE>

_______________________________________________

VoiceOps mailing list

<A HREF="mailto:VoiceOps@voiceops.org">VoiceOps@voiceops.org</A>

<A HREF="https://puck.nether.net/mailman/listinfo/voiceops">https://puck.nether.net/mailman/listinfo/voiceops</A>

</PRE>

</BLOCKQUOTE>

<BR>

</BODY>

</HTML>