不正なSIP着信 201.238.222.83

GW期間中に観測した不正な着信です。いままでと同じブルートフォース的なINVITE Floodです。

攻撃元はこの辺。

 201.238.222.83
 
 inetnum:     201.238.222.0/25
 status:      reallocated
 owner:       Servicios ADSL Gtd Internet
 ownerid:     CL-SAGI-LACNIC
 responsible: Jose Andres Olea
 address:     Moneda, 920, Piso 11
 address:     6500712 - Santiago - RM
 country:     CL

 210.184.76.246
 
 inetnum:      210.184.32.0 - 210.184.95.255
 netname:      CPCNET-HK
 descr:        CPCNet Hong Kong Ltd.
 descr:        20/F, Lincoln House,
 descr:        Taikoo Place,
 descr:        979 King's Road,Quarry Bay,
 descr:        Hong Kong
 country:      HK

そして本日（2010/5/11朝）

 83.37.18.249

からPUBLISHリクエストがぱらぱらと。今は止まっています。

これは今までのほかの攻撃通信とは異なりますが、目的とその影響は不明です。単純なミスコンフィグの可能性もあります。。。

    Request-Line: PUBLISH sip:203@x.x.x.x;transport=UDP SIP/2.0
        Method: PUBLISH
        CSeq: 1 PUBLISH
            Method: PUBLISH

 83.37.18.249
 　
 inetnum:        83.37.0.0 - 83.39.255.255
 netname:        RIMA
 descr:          Telefonica de Espana SAU
 descr:          Red de servicios IP
 descr:          Spain
 country:        ES

ここ一年のデータを見ても同一のIPからの攻撃の継続時間は、長くて1,2週間程度、通常は1日以下なのですが、はたして、可能性として何かしら連動性があるのでしょうか。

それともやはり、攻撃者はばらばらで、使っている攻撃対象リストやサーチツールが共通なだけで、世界中の彼ら個々の行動が検出されているだけでしょうか。

どちらにしろクラッキングに失敗したとしても長時間無言電話がかかり続ける状況になる場合があるけで迷惑な話であります。

[カテゴリ:IP電話観察日記]

by jyake