不正なSIP着信 72.10.169.163
Published: 2009/06/14
少量ですが、定期的にどどっときますね。
INVITE Floodです。くらった人には無言電話になります。集中砲火を受けるとDoSになってSIPサーバーがおちます。
U 2009/06/11 08:49:29.937756 72.10.169.163:3092 -> x.x.x.x:5060 INVITE sip:0041525551690000@x.x.x.x..Via: SIP/2.0/UDP 72.10.169.163: 3092;branch=cY4JeAj-XHE7M6-CXwnw08IA6dDWz1e-1--dL5eNP-;rport..Max-Forwards: 70..Contact: <sip:1556481739@72.10.169.163:3092;transport=udp>..To: "00415 25551690000@x.x.x.x"<sip:0041525551690000@x.x.x.x>..From: "15 56481739"<sip:1556481739@x.x.x.x>;tag=fa52623f..Call-ID: Z999GbJ0fcN Sk9pVtvmELdi8edUyReUoY5VJlQhLaNwPx740jm0AvJ2uoSBC..CSeq: 1 INVITE..Allow: I
Session Initiation Protocol Request-Line: ACK sip:9001525551690000@x.x.x.x SIP/2.0 Method: ACK [Resent Packet: False] Message Header Via: SIP/2.0/UDP 72.10.169.163:3370;branch=50p0aBF-OwzeGg-THgqbxQKzEXS9gs4-1--H9Xeyo-;rport Transport: UDP Sent-by Address: 72.10.169.163 Sent-by port: 3370 Branch: 50p0aBF-OwzeGg-THgqbxQKzEXS9gs4-1--H9Xeyo- RPort: rport Max-Forwards: 70 Contact: <sip:cdf911@72.10.169.163:3370;transport=udp> Contact Binding: <sip:cdf911@72.10.169.163:3370;transport=udp> URI: <sip:cdf911@72.10.169.163:3370;transport=udp> SIP contact address: sip:cdf911@72.10.169.163:3370 To: <sip:9001525551690000@x.x.x.x> SIP to address: sip:9001525551690000@x.x.x.x From: <sip:1968489390@x.x.x.x>;tag=38c4d5c5 SIP from address: sip:1968489390@x.x.x.x SIP tag: 38c4d5c5 Call-ID: vUFRMcnS3Kg8MMs09hgZqTOHzADp7dBmhzBF9YmRfR98BrltnAy6qKtgdvB4 CSeq: 1 ACK Sequence Number: 1 Method: ACK User-Agent: X-Lite release 1006e stamp 34025 Content-Length: 0
今回の特徴は、
着信番号
- ###1525551690000 (##は900とか100とかいろいろ)
User-Agent
- eyeBeam release 1003s
- X-Lite release 1006e stamp 34025
発信元は変わりました。
72.10.169.163
CustName: Jake Harolds Address: N/A City: Nairobi StateProv: N/A PostalCode: Country: KE RegDate: 2009-02-12 Updated: 2009-02-12 NetRange: 72.10.169.160 - 72.10.169.167 CIDR: 72.10.169.160/29 NetName: GTCOMM-454 NetHandle: NET-72-10-169-160-1 Parent: NET-72-10-160-0-1 NetType: Reassigned Comment: RegDate: 2009-02-12 Updated: 2009-02-12
今回もGTCOMMですね。ここは「bullet-proof hosting」と宣伝しているわけではないと思いますが、botnet CnCからマルウェアホスティング、スパム広告などを大量に抱え込んでいるホスティングサービスです。したがってまるっとフィルタしちゃうしかないですね。
自分自身でSIPサーバーの運用をするというのはいいとは思いますが、電話の相手が決まっていてそこからの着信しか受け付けない設定ができる人はいいですが、そうでない場合は電話がゆえにアクセス制御しづらいですね。企業向けのDNSやメールサービスのように必ずISPのSIPサーバーを経由するようにするのがいちばんいいと思うのですが。はたして、自社のIP電話サービスを使っていない人向けにそんなサービスが出てかはわかりません。
また、SIPサーバーを運用しているつもりはなくても、IP電話に対応したブロードバンドルータ≒SIP端末もSIPサーバー機能が動いていますから、こちらのアクセス制御もわすれないようにきっちりやる必要があります。
関連:67.215.13.186からの不正なSIP着信,67.215.13.194からの不正なSIP着信,67.215.13.194からの不正なSIP着信 つづき, 68.64.33.17 からの 不正なSIP着信
by jyake