cNotes 検索 一覧 カテゴリ

不正なSIP着信 72.10.169.163

Published: 2009/06/14

少量ですが、定期的にどどっときますね。

INVITE Floodです。くらった人には無言電話になります。集中砲火を受けるとDoSになってSIPサーバーがおちます。

 U 2009/06/11 08:49:29.937756 72.10.169.163:3092 -> x.x.x.x:5060
  INVITE sip:0041525551690000@x.x.x.x..Via: SIP/2.0/UDP 72.10.169.163:
  3092;branch=cY4JeAj-XHE7M6-CXwnw08IA6dDWz1e-1--dL5eNP-;rport..Max-Forwards:
   70..Contact: <sip:1556481739@72.10.169.163:3092;transport=udp>..To: "00415
  25551690000@x.x.x.x"<sip:0041525551690000@x.x.x.x>..From: "15
  56481739"<sip:1556481739@x.x.x.x>;tag=fa52623f..Call-ID: Z999GbJ0fcN
  Sk9pVtvmELdi8edUyReUoY5VJlQhLaNwPx740jm0AvJ2uoSBC..CSeq: 1 INVITE..Allow: I
 Session Initiation Protocol
    Request-Line: ACK sip:9001525551690000@x.x.x.x SIP/2.0
        Method: ACK
        [Resent Packet: False]
    Message Header
        Via: SIP/2.0/UDP 72.10.169.163:3370;branch=50p0aBF-OwzeGg-THgqbxQKzEXS9gs4-1--H9Xeyo-;rport
            Transport: UDP
            Sent-by Address: 72.10.169.163
            Sent-by port: 3370
            Branch: 50p0aBF-OwzeGg-THgqbxQKzEXS9gs4-1--H9Xeyo-
            RPort: rport
        Max-Forwards: 70
        Contact: <sip:cdf911@72.10.169.163:3370;transport=udp>
            Contact Binding: <sip:cdf911@72.10.169.163:3370;transport=udp>
                URI: <sip:cdf911@72.10.169.163:3370;transport=udp>
                    SIP contact address: sip:cdf911@72.10.169.163:3370
        To: <sip:9001525551690000@x.x.x.x>
            SIP to address: sip:9001525551690000@x.x.x.x
        From: <sip:1968489390@x.x.x.x>;tag=38c4d5c5
            SIP from address: sip:1968489390@x.x.x.x
            SIP tag: 38c4d5c5
        Call-ID: vUFRMcnS3Kg8MMs09hgZqTOHzADp7dBmhzBF9YmRfR98BrltnAy6qKtgdvB4
        CSeq: 1 ACK
            Sequence Number: 1
            Method: ACK
        User-Agent: X-Lite release 1006e stamp 34025
        Content-Length: 0

今回の特徴は、

着信番号

  • ###1525551690000 (##は900とか100とかいろいろ)

User-Agent

  • eyeBeam release 1003s
  • X-Lite release 1006e stamp 34025

発信元は変わりました。

 72.10.169.163
 CustName:   Jake Harolds
 Address:    N/A
 City:       Nairobi
 StateProv:  N/A
 PostalCode: 
 Country:    KE
 RegDate:    2009-02-12
 Updated:    2009-02-12
 
 NetRange:   72.10.169.160 - 72.10.169.167 
 CIDR:       72.10.169.160/29 
 NetName:    GTCOMM-454
 NetHandle:  NET-72-10-169-160-1
 Parent:     NET-72-10-160-0-1
 NetType:    Reassigned
 Comment:    
 RegDate:    2009-02-12
 Updated:    2009-02-12

今回もGTCOMMですね。ここは「bullet-proof hosting」と宣伝しているわけではないと思いますが、botnet CnCからマルウェアホスティング、スパム広告などを大量に抱え込んでいるホスティングサービスです。したがってまるっとフィルタしちゃうしかないですね。

自分自身でSIPサーバーの運用をするというのはいいとは思いますが、電話の相手が決まっていてそこからの着信しか受け付けない設定ができる人はいいですが、そうでない場合は電話がゆえにアクセス制御しづらいですね。企業向けのDNSやメールサービスのように必ずISPのSIPサーバーを経由するようにするのがいちばんいいと思うのですが。はたして、自社のIP電話サービスを使っていない人向けにそんなサービスが出てかはわかりません。

また、SIPサーバーを運用しているつもりはなくても、IP電話に対応したブロードバンドルータ≒SIP端末もSIPサーバー機能が動いていますから、こちらのアクセス制御もわすれないようにきっちりやる必要があります。

関連:67.215.13.186からの不正なSIP着信,67.215.13.194からの不正なSIP着信,67.215.13.194からの不正なSIP着信 つづき, 68.64.33.17 からの 不正なSIP着信

[カテゴリ:IP電話観察日記]

by jyake