SIP Antiflooding¶
Ambos SIP proxies incluidos en la instalación de IvozProvider, KamUsers para la señalización con los clientes y Kamtrunks para la señalización con proveedores, utilizan el módulo PIKE para evitar ataques de denegación de servicio.
Este módulo controla todas los mensajes SIP recibidos de cada origen IP y bloquea aquellos orígenes que superen cierto límite en un intervalo de muestreo concreto.
Advertencia
Las IPs no se bloquean permanentemente, se volverán a permitir mensajes de dichos orígenes tan pronto como transcurra un período de muestreo en el que no superen el umbral.
Los parámetros actuales son:
Período de muestreo: 2 segundos.
Número máximo de peticiones: 30.
Esto significa que cualquier dirección IP que envíe más de 30 peticiones en un tramo de 2 segundos se bloqueará (ignorando sus mensajes) hasta que transcurran 2 segundos en los que el origen envíe menos de 30 peticiones.
Orígenes excluídos del mecanismo antiflooding:¶
Estos orígenes no se evalúan contra el antiflood:
- Tanto en KamUsers como en Kamtrunks:
Componentes internos de IvozProvider
IP en la sección Antiflood trusted IPs
- KamUsers:
IPs en IPs autorizadas por cliente (vPBX, retail, residencial)
Direcciones IPs de los clientes wholesale
Advertencia
Las direcciones IP y los rangos añadidos en IPs autorizadas por cliente se excluirán del antiflood, aunque el Filtrado por IP esté desactivado.
- KamTrunks:
Direcciones IP de los Proveedores de DDIs
Truco
En el escenario clásico tras NAT en el que cientos de terminales SIP presentan la misma dirección IP pública, esta IP debe ser estática y debe ser añadida a IPs autorizadas por cliente para evitar que sea bloqueada por el mecanismo de antiflooding (tras un apagón eléctrico o similar).