cNotes 検索 一覧 カテゴリ

不正なSIP着信 MeucciSolutions

Published: 2009/05/22

あいかわらずSIP用のハニーポットに無言電話がたくさん来ます。

昨年の中旬頃から話題になっていたものとは別もののようで、最近のものはCallerIDが「MeucciSolutions」となっている着信です。

 U 173.45.67.130:5060 -> x.x.x.x:5060
  INVITE sip:0048223982466@x.x.x.x SIP/2.0..Via: SIP/2.0/UDP 173.45.67
  .130:5060;branch=z9hG4bK4e44946c;rport..Max-Forwards: 70..From: "MeucciSolu
  tions" <sip:MeucciSolutions@173.45.67.130>;tag=as5bec6775..To: <sip:0048223
  982466@x.x.x.x>..Contact: <sip:MeucciSolutions@173.45.67.130>..Call-
  ID: 49813ee647bd6b3901a07b033c93dcf3@173.45.67.130..CSeq: 102 INVITE..User-
  Agent: MeucciSolutions..Date: Wed, 20 May 2009 04:05:25 GMT..Allow: INVITE,
   ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY..Supported: replaces, 
  timer..Content-Type: application/sdp..Content-Length: 289....v=0..o=root 16
  57066751 1657066751 IN IP4 173.45.67.130..s=Asterisk PBX 1.6.0.5..c=IN IP4 
  173.45.67.130..t=0 0..m=audio 15350 RTP/AVP 8 0 101..a=rtpmap:8 PCMA/8000..
  a=rtpmap:0 PCMU/8000..a=rtpmap:101 telephone-event/8000..a=fmtp:101 0-16..a
  =silenceSupp:off - - - -..a=ptime:20..a=sendrecv..   

いままでのDoSとちがってお行儀がいい。

 U 173.45.67.130:5060 -> x.x.x.x:5060
  CANCEL sip:0048223982466@x.x.x.x SIP/2.0..Via: SIP/2.0/UDP 173.45.67
  .130:5060;branch=z9hG4bK4e44946c;rport..Max-Forwards: 70..From: "MeucciSolu
  tions" <sip:MeucciSolutions@173.45.67.130>;tag=as5bec6775..To: <sip:0048223
  982466@x.x.x.x>..Call-ID: 49813ee647bd6b3901a07b033c93dcf3@173.45.67
  .130..CSeq: 102 CANCEL..User-Agent: MeucciSolutions..Content-Length: 0.... 

この例では送信元は「173.45.67.130」ですが、送信元はころころ変わるようです。ブラックリスト的なIPアドレスによるフィルタが仕方ないですかね。

   Domain Name: XLHOST.COM
   Registrar: NETWORK SOLUTIONS, LLC.
   Whois Server: whois.networksolutions.com
   Referral URL: http://www.networksolutions.com
   Name Server: DNS2.EE.NET
   Name Server: DNS3.EE.NET
   Status: clientTransferProhibited
   Updated Date: 05-jan-2009
   Creation Date: 05-jan-2000
   Expiration Date: 05-jan-2019
 NetRange:   173.45.67.128 - 173.45.67.135 
 CIDR:       173.45.67.128/29 
 NetName:    XLHOST-FPAVON-5615
 NetHandle:  NET-173-45-67-128-1
 Parent:     NET-173-45-64-0-1
 NetType:    Reassigned
 Comment:    abuse contact: abuse@ee.net
 RegDate:    2009-05-08
 Updated:    2009-05-08
 CustName:   XLHost.com Inc
 Address:    3000 E. Dublin-Granville rd
 Address:    Suite 4
 City:       Columbus
 StateProv:  OH
 PostalCode: 43231
 Country:    US
 RegDate:    2009-05-08
 Updated:    2009-05-08

一時間に一回程度とか、頻度はそんな高く観測されませんが、実際に電話を受ける人にとってはうっとうしいですね。

去年から今年のはじめのものまでのDoSの動向をみていると、当初は広範囲にインターネットを網羅的にDoSが行われ、それが徐々にISPやアドレスブロックを限定しつつ攻撃対象が絞り込まれてきているように見えます。ハニーポットの状況を見ても昨年攻撃を食らった実績のあるものには、攻撃手法が変化してもかならず攻撃が着ますが、新たに構築したものには一切攻撃が来ない状況です。一度食らったサーバーはリストアップされ追いかけられ続ける?

DDoSというよりは脆弱なSIPサーバーを探しているように見えるので、次のステップの攻撃が気になりますね。

関連:67.215.13.186からの不正なSIP着信67.215.13.194からの不正なSIP着信67.215.13.194からの不正なSIP着信 つづき68.64.33.17 からの 不正なSIP着信不正なSIP着信(新)

[カテゴリ:IP電話観察日記]

by jyake