cNotes 検索 一覧 カテゴリ

67.215.13.194からの不正なSIP着信

Published: 2009/02/19

去年のものとも先々週の不正なSIP着信(新)ともまた違う発信源からです。中身も新しいバリエーションです。一台のサーバーに対しての大量性はほとんどなく何日かに1回ぱらぱらっと届いているだけなんですが、世界中sweepしていると思うので総量は多いのかもしれません。

結局はINVITEとOPTIONSなんですが。。。

一部IP電話が反応するわけですが、目的がよくわからないですね。

今回は電話番号以外にCALL-IDやTAGに特徴があります。

 U 67.215.13.194:1512 -> x.x.x.x:5060
  OPTIONS sip:7990@x.x.x.x SIP/2.0..Via: SIP/2.0/UDP 0.0.0.0:1512;bran
  ch=17631753-7DB9-6526-E247-BB99C1E8F478;rport..Max-Forwards: 70..To: <sip:7
  990@219.215.200.10>..From: <sip:3302@219.215.200.10>;tag=7B8487D0-FB73-9967
  -0CC4-622B0B0485DA..Call-ID: 4B41AD8D-F656-19C1-4A52-1C9EE3AE0129..CSeq: 1 
  OPTIONS..Contact: <sip:@0.0.0.0:1512;transport=udp>..Accept: application/sd
  p..Content-Length: 0....                                                   
 U 67.215.13.194:3132 -> x.x.x.x:5060
  INVITE sip:005092455711#@x.x.x.x;transport=udp SIP/2.0..Via: SIP/2.0
  /UDP 67.215.13.194:3132;branch=1110001011110110011111100101001167.215.13.19
  4x.x.x.x-137766528;rport..Max-Forwards: 70..From: <sip:1956318709@x.x.x.x>;tag=643366531410793561916433665314643366531467.215.13.194..To
  : <sip:005092455711#@x.x.x.x>..Call-ID: ae87138711010001101111011010
  10110011001110001011110110011111100101001167.215.13.194x.x.x.x-13776
  6528cb577005092455711#643366531410793561916433665314643366531467.215.13.194
  -1000528057..CSeq: 1 INVITE..Contact: <sip:cb577@67.215.13.194:3132;transpo
  rt=udp>..Content-Type: application/sdp..Allow: ACK, BYE, CANCEL, INFO, INVI
  TE, MESSAGE, NOTIFY, OPTIONS, PRACK, REFER, REGISTER, SUBSCRIBE, UPDATE, PU
  BLISH..User-Agent: eyeBeam release 1003s stamp 31159..Content-Length: 212..
  ..v=0..o=- 16264 18299 IN IP4 x.x.x.x..s=CounterPath eyeBeam 1.5..c=
  IN IP4 x.x.x.x..t=0 0..m=audio 54398 RTP/AVP 18 0 8 101..a=fmtp:18 a
  nnexb=no..a=rtpmap:101 telephone-event/8000..a=fmtp:101 0-15....           

見事にSIPサーバー狙い撃ちです。SIPサーバーを立ち上げているおとりサーバーのところにしか来ない。サーバー特定の事前行動が観測できないんで、去年とか先々週の攻撃とかそれ以前にSIPサーバーのIPアドレスが特定されてしまってリスト化されているんでしょう。確かに去年の9月の攻撃時にはTCP/UDP5060に対するIP sweepが大量に観測されていました。ま、ここで見ているのは観測用のおとりですから、リストアップしてもらっていれば今後も有効に機能してくれることでしょう。

で、今回の攻撃元はカナダの有名なスパム容認ホスティングサービス。

 OrgName:    GloboTech Communications 
 OrgID:      GLOBO
 Address:    PO Box 1402
 City:       Saint-Quentin
 StateProv:  NB
 PostalCode: E8A-1A2
 Country:    CA
 
 NetRange:   67.215.0.0 - 67.215.15.255 
 CIDR:       67.215.0.0/20 
 NetName:    GTCOMM
 NetHandle:  NET-67-215-0-0-1
 Parent:     NET-67-0-0-0-0
 NetType:    Direct Allocation
 NameServer: DNS1.GTCOMM.NET
 NameServer: NS1.GTCOMM.NET
 Comment:    Standard hours are 8am to 9pm AST
 RegDate:    2007-10-08
 Updated:    2008-11-25

ネームベースなバーチャルホスティングなのでこのIPはいろいろ共用されていると思いますが、まぁIPごとフィルタしても問題になるようなものはないんじゃないでしょうか。

[カテゴリ:IP電話観察日記]

by jyake