不正なSIP着信 2009/8
Published: 2009/09/06
タイムリーに書き込めてませんでした。。。
8月分をまとめて。
発生日それぞれのサンプルをひとつずつ。発生日ごとに送信元が変わっています。
8/4
U 80.76.217.21:32824 -> X.X.X.X:5060 INVITE sip:900442075005000@X.X.X.X SIP/2.0..Via: SIP/2.0/UDP 80.76.2 17.21:32824;branch=z9hG4bKaergjerugroijrgrg..To: <sip:900442075005000@219.2 15.200.10>..From: <sip:storkpk@80.76.217.21>;tag=Zerogij34..Call-ID: RGin4t 394rjrmgk4gi42r2rioregij..CSeq: 1 INVITE..Max-Forwards: 69..Contact: <sip:s torkpk@80.76.217.21:32824;transport=udp>..Allow: INVITE,ACK,OPTIONS,BYE,CAN CEL,NOTIFY,REFER,MESSAGE..Content-Type: application/sdp..Content-Length: 32 2....v=0..o=sip 1232027668 1232027668 IN IP4 195.78.85.226..s=sip..c=IN IP4 195.78.85.226..t=0 0..m=audio 5060 RTP/AVP 0 8 4 3 18 101..a=rtpmap:0 PCMU /8000..a=rtpmap:8 PCMA/8000..a=rtpmap:4 G723/8000..a=rtpmap:3 GSM/8000..a=r tpmap:18 G729/8000..a=rtpmap:101 telephone-event/8000.
8/19
U 217.23.1.26:47066 -> X.X.X.X:5060 INVITE sip:0000442075005000@X.X.X.X SIP/2.0..Via: SIP/2.0/UDP 127.0. 0.1:47066;branch=z9hG4bKaergjerugroijrgrg..To: <sip:0000442075005000@219.21 5.200.10>..From: <sip:Me@127.0.0.1>;tag=Zerogij34..Call-ID: RGin4t394rjrmgk 4gi42r2rioregij..CSeq: 1 INVITE..Max-Forwards: 69..Contact: <sip:Me@127.0.0 .1:47066;transport=udp>..Allow: INVITE,ACK,OPTIONS,BYE,CANCEL,NOTIFY,REFER, MESSAGE..Content-Type: application/sdp..Content-Length: 324....v=0..o=sip 1 232027668 1232027668 IN IP4 207.46.232.182..s=sip..c=IN IP4 207.46.232.182. .t=0 0..m=audio 5060 RTP/AVP 0 8 4 3 18 101..a=rtpmap:0 PCMU/8000..a=rtpmap :8 PCMA/8000..a=rtpmap:4 G723/8000..a=rtpmap:3 GSM/8000..a=rtpmap:18 G729/8 000..a=rtpmap:101 telephone-event/8000..a=fmtp:101 0-16..a=sendrecv..a=dire ction:active
8/28
U 93.190.142.81:39576 -> X.X.X.X:5060 INVITE sip:01442075005000@X.X.X.X SIP/2.0..Via: SIP/2.0/UDP 93.190.1 42.81:39576;branch=z9hG4bKaergjerugroijrgrg..To: <sip:01442075005000@219.21 5.200.10>..From: <sip:Me@93.190.142.81>;tag=Zerogij34..Call-ID: RGin4t394rj rmgk4gi42r2rioregij..CSeq: 1 INVITE..Max-Forwards: 69..Contact: <sip:Me@93. 190.142.81:39576;transport=udp>..Allow: INVITE,ACK,OPTIONS,BYE,CANCEL,NOTIF Y,REFER,MESSAGE..Content-Type: application/sdp..Content-Length: 324....v=0. .o=sip 1232027668 1232027668 IN IP4 207.46.232.182..s=sip..c=IN IP4 207.46. 232.182..t=0 0..m=audio 5060 RTP/AVP 0 8 4 3 18 101..a=rtpmap:0 PCMU/8000.. a=rtpmap:8 PCMA/8000..a=rtpmap:4 G723/8000..a=rtpmap:3 GSM/8000..a=rtpmap:1 8 G729/8000..a=rtpmap:101 telephone-event/8000..a=fmtp:101 0-16..a=sendrecv ..a=direction:active
相手の番号に0,00,0000,900,0011などのプレフィクス?がつくのは何の仕様だろう?
送信元がイギリスとオランダのホスティングサービスに変わりました。
INVITE FloodというよりもCAの不正利用目的のような感じもありますね。でも量的には変わっていませんので今までと同じDDoS効果、無言電話が鳴り止まない効果です。
イギリス
inetnum: 80.76.216.0 - 80.76.219.255 netname: OTHELLOTECH-HOST descr: www.OthelloHosts.net Shared Virtual Hosting country: GB
オランダ
inetnum: 217.23.1.0 - 217.23.1.255 netname: WORLDSTREAM descr: WorldStream IPv4.10 country: NL admin-c: WS1670-RIPE tech-c: WS1670-RIPE status: ASSIGNED PA mnt-by: MNT-WORLDSTREAM changed: info@worldstream.nl 20090605 source: RIPE
オランダ
inetnum: 93.190.142.0 - 93.190.142.255 netname: WORLDSTREAM descr: WorldStream IPv4.7 country: NL admin-c: WS1670-RIPE tech-c: WS1670-RIPE status: ASSIGNED PA mnt-by: MNT-WORLDSTREAM mnt-domains: MNT-WORLDSTREAM changed: info@worldstream.nl 20090105 source: RIPE
by jyake