68.64.33.17 からの 不正なSIP着信
Published: 2009/04/23
Update at: 2009/4/23
攻撃元が
96.9.176.85
に変わると共にINVITEメッセージの特徴がかわりました。
INVITE sip:981048223982466@x.x.x.x SIP/2.0..Via: SIP/2.0/UDP
901048223982466宛てです。
Update at: 2009/4/16
攻撃元が変わりました。
66.135.41.240
Created at 2009/4/15
「67.215.13.186からの不正なSIP着信」と同様にINVITE floodで攻撃を受けた場合は、鳴動+無言電話になります。
基本的に着信番号はこんな感じで「xxx038044594xxxx」共通部分「038044594」(たぶんこのくらい)を持つ番号になっているようです。
U 2009/04/14 17:25:03.000000 68.64.33.17:5060 -> x.x.x.x:5060 INVITE sip:810380445945257@x.x.x.x SIP/2.0..Via: SIP/2.0/UDP 68.64.33.17
送信元は、このように変化していて、攻撃対象も特定のNWに対してsweepが行われているようですので、被害を受けているのはかなり限定されているかもしれません。
4/13 ??? 4/14 68.64.33.17 4/15 66.135.41.229
どちらもアメリカのホスティングサービスの利用者のようです。
OrgName: Jadase LLC OrgID: JADAS Address: 2775 Northwoods Parkway NW City: Norcross StateProv: GA PostalCode: 30071 Country: US NetRange: 68.64.33.0 - 68.64.33.255 CIDR: 68.64.33.0/24 OriginAS: AS17027 NetName: P10-4440-2100-24 NetHandle: NET-68-64-33-0-1 Parent: NET-68-64-32-0-1 NetType: Reassigned NameServer: INTNS1.AMERIHOSTING.COM NameServer: INTNS2.AMERIHOSTING.COM Comment: RegDate: 2009-01-28 Updated: 2009-01-28
OrgName: ServerBeach OrgID: SERVER-17 Address: 8500 Vicar Drive 8500, Suite 500 City: San Antonio StateProv: TX PostalCode: 78218 Country: US NetRange: 66.135.32.0 - 66.135.63.255 CIDR: 66.135.32.0/19 NetName: SERVER-ALLOC-1 NetHandle: NET-66-135-32-0-1 Parent: NET-66-0-0-0-0 NetType: Direct Allocation NameServer: NS1.SERVERBEACH.COM NameServer: NS2.SERVERBEACH.COM Comment: RegDate: 2003-05-19 Updated: 2007-05-08
あいかわらず対策としては、
- SIPサーバーへのパッチ
- 通信するSIPサーバー?CAを限定
- 上記の数字のパターンでパターンマッチングして落とす
など当たり前のものばかりですが、なかなか対応できない事情のある利用者も多いと思います。メールやDNSではセキュリティを高めるためにISPの特定のMTAやDNSを経由するようにして利用者側はそのISPのMTAやDNSとの通信のみを許容するような形態のサービスがあると思いますが、IP電話についても必ずISPのCAを経由するような形のサービス提供形態をとる必要があるのだと思います。もちろん有料になるわけですが、このようなDDoSによって失われるものを考えれば十分元は取れると思ってもらいたいですね。
by jyake