不正なSIP着信 201.238.222.83
Published: 2010/05/11
GW期間中に観測した不正な着信です。いままでと同じブルートフォース的なINVITE Floodです。
攻撃元はこの辺。
201.238.222.83 inetnum: 201.238.222.0/25 status: reallocated owner: Servicios ADSL Gtd Internet ownerid: CL-SAGI-LACNIC responsible: Jose Andres Olea address: Moneda, 920, Piso 11 address: 6500712 - Santiago - RM country: CL
210.184.76.246 inetnum: 210.184.32.0 - 210.184.95.255 netname: CPCNET-HK descr: CPCNet Hong Kong Ltd. descr: 20/F, Lincoln House, descr: Taikoo Place, descr: 979 King's Road,Quarry Bay, descr: Hong Kong country: HK
そして本日(2010/5/11朝)
83.37.18.249
からPUBLISHリクエストがぱらぱらと。今は止まっています。
これは今までのほかの攻撃通信とは異なりますが、目的とその影響は不明です。単純なミスコンフィグの可能性もあります。。。
Request-Line: PUBLISH sip:203@x.x.x.x;transport=UDP SIP/2.0 Method: PUBLISH CSeq: 1 PUBLISH Method: PUBLISH
83.37.18.249 inetnum: 83.37.0.0 - 83.39.255.255 netname: RIMA descr: Telefonica de Espana SAU descr: Red de servicios IP descr: Spain country: ES
ここ一年のデータを見ても同一のIPからの攻撃の継続時間は、長くて1,2週間程度、通常は1日以下なのですが、はたして、可能性として何かしら連動性があるのでしょうか。
それともやはり、攻撃者はばらばらで、使っている攻撃対象リストやサーチツールが共通なだけで、世界中の彼ら個々の行動が検出されているだけでしょうか。
どちらにしろクラッキングに失敗したとしても長時間無言電話がかかり続ける状況になる場合があるけで迷惑な話であります。
by jyake