不正なSIP着信(新)
Published: 2009/02/09
2008年9月に書いた「INVITE Flood? 不正なSIP着信」がありましたが、今年に入って1月30日から2月4日にかけて新手の攻撃?が発生しています。
攻撃元は以下のアメリカのアドレスから。
2/1までは、 96.9.135.22
2/2以降は、 66.232.119.196
とりあえず2/4で沈静化?してます。
それぞれこんなINVITEメッセージです。メッセージの特徴は「Trinkul」と「BenQ Telecom」。
それと番号部分が「9380445945257」とか「00380445945248」で何種類かバリエーションがあるようです。
効果は無言電話。sipサーバーを探してるんですかね?
INVITE sip:9380445945257@xxxx.xxxx.xxxx SIP/2.0..Via: SIP/2.0/UDP 96.9.135. 22:5060;branch=z9hG4bK40f964c2;rport..Max-Forwards: 70..From: "Trinkul" <si p:Trinkul@96.9.135.22>;tag=as57e72e0d..To: <sip:9380445945257@xxx.xxx.xxx.xxx>..Contact: <sip:Trinkul@96.9.135.22>..Call-ID: 6a00a4774ce262116346284f27 d962c9@96.9.135.22..CSeq: 102 INVITE..User-Agent: Trinkul..Date: Sun, 01 Fe b 2009 01:42:28 GMT..Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSC RIBE, NOTIFY..Supported: replaces, timer..Content-Type: application/sdp..Co ntent-Length: 256....v=0..o=root 835673319 835673319 IN IP4 96.9.135.22..s= Asterisk PBX 1.6.0.3..c=IN IP4 96.9.135.22..t=0 0..m=audio 19148 RTP/AVP 8 0 101..a=rtpmap:8 PCMA/8000..a=rtpmap:0 PCMU/8000..a=rtpmap:101 telephone-e vent/8000..a=fmtp:101 0-16..a=ptime:20..a=sendrecv..
INVITE sip:9810380445945248@xxxx.xxxx.xxxx.xxxx SIP/2.0..Via: SIP/2.0/UDP 66.232 .119.196:5060;branch=z9hG4bK1f543767;rport..Max-Forwards: 70..From: "BenQ T elecom" <sip:BenQ Telecom@66.232.119.196>;tag=as3cb1fd88..To: <sip:98103804 45945248@xxx.xxx.xxx.xxx>..Contact: <sip:BenQ Telecom@66.232.119.196>..Call- ID: 57d698fd018563022f9f839d265de882@66.232.119.196..CSeq: 102 INVITE..User -Agent: BenQ Telecom..Date: Sun, 01 Feb 2009 19:20:13 GMT..Allow: INVITE, A CK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY..Supported: replaces, ti mer..Content-Type: application/sdp..Content-Length: 289....v=0..o=root 4779 33137 477933137 IN IP4 66.232.119.196..s=Asterisk PBX 1.6.0.3..c=IN IP4 66. 232.119.196..t=0 0..m=audio 10626 RTP/AVP 8 0 101..a=rtpmap:8 PCMA/8000..a= rtpmap:0 PCMU/8000..a=rtpmap:101 telephone-event/8000..a=fmtp:101 0-16..a=s ilenceSupp:off - - - -..a=ptime:20..a=sendrecv..
OrgName: Network Operations Center Inc. OrgID: NOC Address: PO Box 591 City: Scranton StateProv: PA PostalCode: 18501-0591 Country: US ReferralServer: rwhois://rwhois.hostnoc.net:4321/ NetRange: 96.9.128.0 - 96.9.191.255 CIDR: 96.9.128.0/18 OriginAS: AS21788 NetName: HOSTNOC-4BLK NetHandle: NET-96-9-128-0-1 Parent: NET-96-0-0-0-0 NetType: Direct Allocation NameServer: NS1.HOSTNOC.NET NameServer: NS2.HOSTNOC.NET Comment: RegDate: 2008-07-24 Updated: 2008-10-20
OrgName: NOC4Hosts Inc. OrgID: NOC4H Address: 4465 W. Gandy Blvd Address: Suite 812 City: Tampa StateProv: FL PostalCode: 33611 Country: US ReferralServer: rwhois://rwhois.noc4hosts.com:4321/ NetRange: 66.232.96.0 - 66.232.127.255 CIDR: 66.232.96.0/19 NetName: NOC4HOSTS1 NetHandle: NET-66-232-96-0-1 Parent: NET-66-0-0-0-0 NetType: Direct Allocation NameServer: NS.NOC4HOSTS.COM NameServer: NS2.NOC4HOSTS.COM Comment: RegDate: 2005-10-21 Updated: 2006-06-27
by jyake