不正なSIP着信 MeucciSolutions
Published: 2009/05/22
あいかわらずSIP用のハニーポットに無言電話がたくさん来ます。
昨年の中旬頃から話題になっていたものとは別もののようで、最近のものはCallerIDが「MeucciSolutions」となっている着信です。
U 173.45.67.130:5060 -> x.x.x.x:5060 INVITE sip:0048223982466@x.x.x.x SIP/2.0..Via: SIP/2.0/UDP 173.45.67 .130:5060;branch=z9hG4bK4e44946c;rport..Max-Forwards: 70..From: "MeucciSolu tions" <sip:MeucciSolutions@173.45.67.130>;tag=as5bec6775..To: <sip:0048223 982466@x.x.x.x>..Contact: <sip:MeucciSolutions@173.45.67.130>..Call- ID: 49813ee647bd6b3901a07b033c93dcf3@173.45.67.130..CSeq: 102 INVITE..User- Agent: MeucciSolutions..Date: Wed, 20 May 2009 04:05:25 GMT..Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY..Supported: replaces, timer..Content-Type: application/sdp..Content-Length: 289....v=0..o=root 16 57066751 1657066751 IN IP4 173.45.67.130..s=Asterisk PBX 1.6.0.5..c=IN IP4 173.45.67.130..t=0 0..m=audio 15350 RTP/AVP 8 0 101..a=rtpmap:8 PCMA/8000.. a=rtpmap:0 PCMU/8000..a=rtpmap:101 telephone-event/8000..a=fmtp:101 0-16..a =silenceSupp:off - - - -..a=ptime:20..a=sendrecv..
いままでのDoSとちがってお行儀がいい。
U 173.45.67.130:5060 -> x.x.x.x:5060 CANCEL sip:0048223982466@x.x.x.x SIP/2.0..Via: SIP/2.0/UDP 173.45.67 .130:5060;branch=z9hG4bK4e44946c;rport..Max-Forwards: 70..From: "MeucciSolu tions" <sip:MeucciSolutions@173.45.67.130>;tag=as5bec6775..To: <sip:0048223 982466@x.x.x.x>..Call-ID: 49813ee647bd6b3901a07b033c93dcf3@173.45.67 .130..CSeq: 102 CANCEL..User-Agent: MeucciSolutions..Content-Length: 0....
この例では送信元は「173.45.67.130」ですが、送信元はころころ変わるようです。ブラックリスト的なIPアドレスによるフィルタが仕方ないですかね。
Domain Name: XLHOST.COM Registrar: NETWORK SOLUTIONS, LLC. Whois Server: whois.networksolutions.com Referral URL: http://www.networksolutions.com Name Server: DNS2.EE.NET Name Server: DNS3.EE.NET Status: clientTransferProhibited Updated Date: 05-jan-2009 Creation Date: 05-jan-2000 Expiration Date: 05-jan-2019
NetRange: 173.45.67.128 - 173.45.67.135 CIDR: 173.45.67.128/29 NetName: XLHOST-FPAVON-5615 NetHandle: NET-173-45-67-128-1 Parent: NET-173-45-64-0-1 NetType: Reassigned Comment: abuse contact: abuse@ee.net RegDate: 2009-05-08 Updated: 2009-05-08 CustName: XLHost.com Inc Address: 3000 E. Dublin-Granville rd Address: Suite 4 City: Columbus StateProv: OH PostalCode: 43231 Country: US RegDate: 2009-05-08 Updated: 2009-05-08
一時間に一回程度とか、頻度はそんな高く観測されませんが、実際に電話を受ける人にとってはうっとうしいですね。
去年から今年のはじめのものまでのDoSの動向をみていると、当初は広範囲にインターネットを網羅的にDoSが行われ、それが徐々にISPやアドレスブロックを限定しつつ攻撃対象が絞り込まれてきているように見えます。ハニーポットの状況を見ても昨年攻撃を食らった実績のあるものには、攻撃手法が変化してもかならず攻撃が着ますが、新たに構築したものには一切攻撃が来ない状況です。一度食らったサーバーはリストアップされ追いかけられ続ける?
DDoSというよりは脆弱なSIPサーバーを探しているように見えるので、次のステップの攻撃が気になりますね。
関連:67.215.13.186からの不正なSIP着信、67.215.13.194からの不正なSIP着信、67.215.13.194からの不正なSIP着信 つづき、 68.64.33.17 からの 不正なSIP着信、不正なSIP着信(新)
by jyake