cNotes 検索 一覧 カテゴリ

不正なSIP着信 59

Published: 2013/04/23

最近一ヶ月の状況です。

いつもどおりに見えますが若干変化がありました。

複数の観測ポイントで観測していますが、以前はすべての観測ポイントで量の大小はありますが観測され続けていましたが、3月に入ってから今現在まで特定の一箇所の観測ポイントに偏って攻撃を検出しています。全体的には70%のポイントで何も観測されなくなりました。

たまたま時期的な問題で攻撃対象から外れてしまっただけなのか、何かしら手法が変わったのかわかりませんが一ヶ月この状況が続いています。

ただ、観測される攻撃内容はいつもどおりregister flood、アカウント探索のブルートフォースです。

ネット上には誰でも見つけようと思えばみつけられるたくさんのサーバーリストやサーバー検索サイトがあったりしますが、たとえばネットに接続されているデバイスのいろんな情報が調べられる某有名な検索サービスの統計情報をみてみると、日本には60万弱のSIPサーバーとしての応答があるIPがあるという結果が見られます。デフォルトで動いてることを知らずに放置しているデバイスがあるかもしれませんからそうなのかもしれませんし、この検索サービスにインデックスされてないIPもたくさんあるでしょうから実際はもっとたくさんあるのかもしれませんし、逆にすべてのIPが稼働中のIPなのかわからないので実は少ないのかもしれません。

ただ、まぁ、数字の正確性は置いておいて、攻撃対象となりうるSIPサーバーがたくさんあるということで、ここでの観測状況に偏りが出たのは攻撃リストの変化等何かしらの要素によりたまたまそう見えているだけなのかもしれません。継続観測中です。

昔のデータを見ても、国内IPからの攻撃はないことはないんですが圧倒的に少ないので国内IPからのアクセスに限定するだけでも攻撃は大幅に防げそうなんですけどね。

といって国内IPを踏んで攻撃する型に攻撃手法が変わったらどうしようもないですが。。


攻撃元
IPnameASAS nameCountryCount
202.103.28.5NONE4134CHINANET-BACKBONE_No.31Jin-rong_StreetCN20572
203.143.20.243NONE5087LANKA-COM_Lanka_Communication_ServicesLK48
64.27.0.192unassigned.calpop.com.7796ATMLINK_-_ATMLINK_INC.US27092
188.138.101.98zulu970.startdedicated.com.8972PLUSSERVER-AS_intergenia_AGDE892
85.25.119.138triton714.server4you.net.8972PLUSSERVER-AS_intergenia_AGDE28416
85.25.131.10bravo531.dedicatedpanel.com.8972PLUSSERVER-AS_intergenia_AGDE10323
85.25.132.26bravo448.startdedicated.com.8972PLUSSERVER-AS_intergenia_AGDE28483
85.25.147.30hotel640.startdedicated.com.8972PLUSSERVER-AS_intergenia_AGDE6
85.25.226.220fr1.dominikkappel.eu.8972PLUSSERVER-AS_intergenia_AGDE69629
64.79.66.178b2.42.4f.static.xlhost.com.10297ENET-2_-_eNET_Inc.US57029
199.255.213.190199-255-213-190.anchorfree.com.11346CRITICAL-1_Critical_Issue_Inc.A17602
206.123.249.84NONE13333CCI-PA-AS-1_-_Consolidated_Communications_Inc.US9496
37.188.116.14537-188-116-145.static.cloud-ips.co.uk.15395Rackspace_Ltd.GB13546
37.8.108.80NONE15975HADARA-AS_Hadara_Technologies_Private_Shareholding_CompanyPS22
37.8.110.85NONE15975HADARA-AS_Hadara_Technologies_Private_Shareholding_CompanyPS1
37.8.123.114NONE15975HADARA-AS_Hadara_Technologies_Private_Shareholding_CompanyPS2
37.8.2.144NONE15975HADARA-AS_Hadara_Technologies_Private_Shareholding_CompanyPS2
120.96.241.129NONE17716NTU-TW_National_Taiwan_UniversityTW13546
190.60.242.181vcse.telenorma-movi.com.18747IFX-NW_-_IFX_Communication_Ventures_Inc.CO10000
192.157.196.101101.196-157-192.rdns.scalabledns.com.18978ENZUINC-US_-_Enzu_IncUS39950
192.157.234.5959.234-157-192.rdns.scalabledns.com.18978ENZUINC-US_-_Enzu_IncUS13546
88.80.217.178s195.vanager.de.20773HOSTEUROPE-AS_Host_Europe_GmbHDE47
116.66.161.9ovz05.as24220.net.24220HOSTCENTRAL-AS-AP_HostcentralAU117
212.112.239.163planetsmilies.net.24900IPX-SERVER_IPX_Server_GmbHDE47
74.115.1.9074-115-1-90.anchorfree.com.26642AFAS_-_AnchorFree_Inc.A155
69.64.42.7eagle995.server4you.net.30083SERVER4YOU_-_Hosting_Solutions_International_Inc.US13546
37.75.211.166NONE31408ORANGE-PALESTINE_Orange_Palestine_Group_Co._for_Technological_Investment_Joint_Stock_Private_CompanyPS20
62.114.99.115host.62.114.99.115.nile-online.net.36992ETISALAT-MISREG286
64.31.27.108108-27-31-64.static.reverse.lstn.net.46475LIMESTONENETWORKS_-_Limestone_Networks_Inc.US28481
66.71.248.50sisarina.net.46562COLO-AT-55-LLC_-_Colo_at_55_LLCUS43
173.242.117.187NONE46664VOLUMEDRIVE_-_VolumeDriveUS18396
64.250.178.249NONE46691COLOCUBE-GLOBAL-SVCS-NA_-_Cirracore_LLCUS212
199.201.107.14NONE53605PHOEN-56_-_PhoenixNAP_LLCUS16947

[カテゴリ:IP電話観察日記]

by jyake