cNotes 検索 一覧 カテゴリ

不正なSIP着信 2009/8

Published: 2009/09/06

タイムリーに書き込めてませんでした。。。

8月分をまとめて。

発生日それぞれのサンプルをひとつずつ。発生日ごとに送信元が変わっています。

8/4

 U 80.76.217.21:32824 -> X.X.X.X:5060
  INVITE sip:900442075005000@X.X.X.X SIP/2.0..Via: SIP/2.0/UDP 80.76.2
  17.21:32824;branch=z9hG4bKaergjerugroijrgrg..To: <sip:900442075005000@219.2
  15.200.10>..From: <sip:storkpk@80.76.217.21>;tag=Zerogij34..Call-ID: RGin4t
  394rjrmgk4gi42r2rioregij..CSeq: 1 INVITE..Max-Forwards: 69..Contact: <sip:s
  torkpk@80.76.217.21:32824;transport=udp>..Allow: INVITE,ACK,OPTIONS,BYE,CAN
  CEL,NOTIFY,REFER,MESSAGE..Content-Type: application/sdp..Content-Length: 32
  2....v=0..o=sip 1232027668 1232027668 IN IP4 195.78.85.226..s=sip..c=IN IP4
   195.78.85.226..t=0 0..m=audio 5060 RTP/AVP 0 8 4 3 18 101..a=rtpmap:0 PCMU
  /8000..a=rtpmap:8 PCMA/8000..a=rtpmap:4 G723/8000..a=rtpmap:3 GSM/8000..a=r
  tpmap:18 G729/8000..a=rtpmap:101 telephone-event/8000.

8/19

 U 217.23.1.26:47066 -> X.X.X.X:5060
  INVITE sip:0000442075005000@X.X.X.X SIP/2.0..Via: SIP/2.0/UDP 127.0.
  0.1:47066;branch=z9hG4bKaergjerugroijrgrg..To: <sip:0000442075005000@219.21
  5.200.10>..From: <sip:Me@127.0.0.1>;tag=Zerogij34..Call-ID: RGin4t394rjrmgk
  4gi42r2rioregij..CSeq: 1 INVITE..Max-Forwards: 69..Contact: <sip:Me@127.0.0
  .1:47066;transport=udp>..Allow: INVITE,ACK,OPTIONS,BYE,CANCEL,NOTIFY,REFER,
  MESSAGE..Content-Type: application/sdp..Content-Length: 324....v=0..o=sip 1
  232027668 1232027668 IN IP4 207.46.232.182..s=sip..c=IN IP4 207.46.232.182.
  .t=0 0..m=audio 5060 RTP/AVP 0 8 4 3 18 101..a=rtpmap:0 PCMU/8000..a=rtpmap
  :8 PCMA/8000..a=rtpmap:4 G723/8000..a=rtpmap:3 GSM/8000..a=rtpmap:18 G729/8
  000..a=rtpmap:101 telephone-event/8000..a=fmtp:101 0-16..a=sendrecv..a=dire
  ction:active     

8/28

 U 93.190.142.81:39576 -> X.X.X.X:5060
  INVITE sip:01442075005000@X.X.X.X SIP/2.0..Via: SIP/2.0/UDP 93.190.1
  42.81:39576;branch=z9hG4bKaergjerugroijrgrg..To: <sip:01442075005000@219.21
  5.200.10>..From: <sip:Me@93.190.142.81>;tag=Zerogij34..Call-ID: RGin4t394rj
  rmgk4gi42r2rioregij..CSeq: 1 INVITE..Max-Forwards: 69..Contact: <sip:Me@93.
  190.142.81:39576;transport=udp>..Allow: INVITE,ACK,OPTIONS,BYE,CANCEL,NOTIF
  Y,REFER,MESSAGE..Content-Type: application/sdp..Content-Length: 324....v=0.
  .o=sip 1232027668 1232027668 IN IP4 207.46.232.182..s=sip..c=IN IP4 207.46.
  232.182..t=0 0..m=audio 5060 RTP/AVP 0 8 4 3 18 101..a=rtpmap:0 PCMU/8000..
  a=rtpmap:8 PCMA/8000..a=rtpmap:4 G723/8000..a=rtpmap:3 GSM/8000..a=rtpmap:1
  8 G729/8000..a=rtpmap:101 telephone-event/8000..a=fmtp:101 0-16..a=sendrecv
  ..a=direction:active  

相手の番号に0,00,0000,900,0011などのプレフィクス?がつくのは何の仕様だろう?

送信元がイギリスとオランダのホスティングサービスに変わりました。

INVITE FloodというよりもCAの不正利用目的のような感じもありますね。でも量的には変わっていませんので今までと同じDDoS効果、無言電話が鳴り止まない効果です。

イギリス

 inetnum:        80.76.216.0 - 80.76.219.255
 netname:        OTHELLOTECH-HOST
 descr:          www.OthelloHosts.net Shared Virtual Hosting
 country:        GB

オランダ

 inetnum:        217.23.1.0 - 217.23.1.255
 netname:        WORLDSTREAM
 descr:          WorldStream IPv4.10
 country:        NL
 admin-c:        WS1670-RIPE
 tech-c:         WS1670-RIPE
 status:         ASSIGNED PA
 mnt-by:         MNT-WORLDSTREAM
 changed:        info@worldstream.nl 20090605
 source:         RIPE

オランダ

 inetnum:        93.190.142.0 - 93.190.142.255
 netname:        WORLDSTREAM
 descr:          WorldStream IPv4.7
 country:        NL
 admin-c:        WS1670-RIPE
 tech-c:         WS1670-RIPE
 status:         ASSIGNED PA
 mnt-by:         MNT-WORLDSTREAM
 mnt-domains:    MNT-WORLDSTREAM
 changed:        info@worldstream.nl 20090105
 source:         RIPE

[カテゴリ:IP電話観察日記]

by jyake