不正なSIP着信 59
Published: 2013/04/23
最近一ヶ月の状況です。
いつもどおりに見えますが若干変化がありました。
複数の観測ポイントで観測していますが、以前はすべての観測ポイントで量の大小はありますが観測され続けていましたが、3月に入ってから今現在まで特定の一箇所の観測ポイントに偏って攻撃を検出しています。全体的には70%のポイントで何も観測されなくなりました。
たまたま時期的な問題で攻撃対象から外れてしまっただけなのか、何かしら手法が変わったのかわかりませんが一ヶ月この状況が続いています。
ただ、観測される攻撃内容はいつもどおりregister flood、アカウント探索のブルートフォースです。
ネット上には誰でも見つけようと思えばみつけられるたくさんのサーバーリストやサーバー検索サイトがあったりしますが、たとえばネットに接続されているデバイスのいろんな情報が調べられる某有名な検索サービスの統計情報をみてみると、日本には60万弱のSIPサーバーとしての応答があるIPがあるという結果が見られます。デフォルトで動いてることを知らずに放置しているデバイスがあるかもしれませんからそうなのかもしれませんし、この検索サービスにインデックスされてないIPもたくさんあるでしょうから実際はもっとたくさんあるのかもしれませんし、逆にすべてのIPが稼働中のIPなのかわからないので実は少ないのかもしれません。
ただ、まぁ、数字の正確性は置いておいて、攻撃対象となりうるSIPサーバーがたくさんあるということで、ここでの観測状況に偏りが出たのは攻撃リストの変化等何かしらの要素によりたまたまそう見えているだけなのかもしれません。継続観測中です。
昔のデータを見ても、国内IPからの攻撃はないことはないんですが圧倒的に少ないので国内IPからのアクセスに限定するだけでも攻撃は大幅に防げそうなんですけどね。
といって国内IPを踏んで攻撃する型に攻撃手法が変わったらどうしようもないですが。。
攻撃元
IP | name | AS | AS name | Country | Count |
---|---|---|---|---|---|
202.103.28.5 | NONE | 4134 | CHINANET-BACKBONE_No.31Jin-rong_Street | CN | 20572 |
203.143.20.243 | NONE | 5087 | LANKA-COM_Lanka_Communication_Services | LK | 48 |
64.27.0.192 | unassigned.calpop.com. | 7796 | ATMLINK_-_ATMLINK_INC. | US | 27092 |
188.138.101.98 | zulu970.startdedicated.com. | 8972 | PLUSSERVER-AS_intergenia_AG | DE | 892 |
85.25.119.138 | triton714.server4you.net. | 8972 | PLUSSERVER-AS_intergenia_AG | DE | 28416 |
85.25.131.10 | bravo531.dedicatedpanel.com. | 8972 | PLUSSERVER-AS_intergenia_AG | DE | 10323 |
85.25.132.26 | bravo448.startdedicated.com. | 8972 | PLUSSERVER-AS_intergenia_AG | DE | 28483 |
85.25.147.30 | hotel640.startdedicated.com. | 8972 | PLUSSERVER-AS_intergenia_AG | DE | 6 |
85.25.226.220 | fr1.dominikkappel.eu. | 8972 | PLUSSERVER-AS_intergenia_AG | DE | 69629 |
64.79.66.178 | b2.42.4f.static.xlhost.com. | 10297 | ENET-2_-_eNET_Inc. | US | 57029 |
199.255.213.190 | 199-255-213-190.anchorfree.com. | 11346 | CRITICAL-1_Critical_Issue_Inc. | A1 | 7602 |
206.123.249.84 | NONE | 13333 | CCI-PA-AS-1_-_Consolidated_Communications_Inc. | US | 9496 |
37.188.116.145 | 37-188-116-145.static.cloud-ips.co.uk. | 15395 | Rackspace_Ltd. | GB | 13546 |
37.8.108.80 | NONE | 15975 | HADARA-AS_Hadara_Technologies_Private_Shareholding_Company | PS | 22 |
37.8.110.85 | NONE | 15975 | HADARA-AS_Hadara_Technologies_Private_Shareholding_Company | PS | 1 |
37.8.123.114 | NONE | 15975 | HADARA-AS_Hadara_Technologies_Private_Shareholding_Company | PS | 2 |
37.8.2.144 | NONE | 15975 | HADARA-AS_Hadara_Technologies_Private_Shareholding_Company | PS | 2 |
120.96.241.129 | NONE | 17716 | NTU-TW_National_Taiwan_University | TW | 13546 |
190.60.242.181 | vcse.telenorma-movi.com. | 18747 | IFX-NW_-_IFX_Communication_Ventures_Inc. | CO | 10000 |
192.157.196.101 | 101.196-157-192.rdns.scalabledns.com. | 18978 | ENZUINC-US_-_Enzu_Inc | US | 39950 |
192.157.234.59 | 59.234-157-192.rdns.scalabledns.com. | 18978 | ENZUINC-US_-_Enzu_Inc | US | 13546 |
88.80.217.178 | s195.vanager.de. | 20773 | HOSTEUROPE-AS_Host_Europe_GmbH | DE | 47 |
116.66.161.9 | ovz05.as24220.net. | 24220 | HOSTCENTRAL-AS-AP_Hostcentral | AU | 117 |
212.112.239.163 | planetsmilies.net. | 24900 | IPX-SERVER_IPX_Server_GmbH | DE | 47 |
74.115.1.90 | 74-115-1-90.anchorfree.com. | 26642 | AFAS_-_AnchorFree_Inc. | A1 | 55 |
69.64.42.7 | eagle995.server4you.net. | 30083 | SERVER4YOU_-_Hosting_Solutions_International_Inc. | US | 13546 |
37.75.211.166 | NONE | 31408 | ORANGE-PALESTINE_Orange_Palestine_Group_Co._for_Technological_Investment_Joint_Stock_Private_Company | PS | 20 |
62.114.99.115 | host.62.114.99.115.nile-online.net. | 36992 | ETISALAT-MISR | EG | 286 |
64.31.27.108 | 108-27-31-64.static.reverse.lstn.net. | 46475 | LIMESTONENETWORKS_-_Limestone_Networks_Inc. | US | 28481 |
66.71.248.50 | sisarina.net. | 46562 | COLO-AT-55-LLC_-_Colo_at_55_LLC | US | 43 |
173.242.117.187 | NONE | 46664 | VOLUMEDRIVE_-_VolumeDrive | US | 18396 |
64.250.178.249 | NONE | 46691 | COLOCUBE-GLOBAL-SVCS-NA_-_Cirracore_LLC | US | 212 |
199.201.107.14 | NONE | 53605 | PHOEN-56_-_PhoenixNAP_LLC | US | 16947 |
by jyake