INVITE Flood? 不正なSIP着信
Published: 2008/09/12
Update: 2008/9/12
攻撃元の一つのブルガリアからのパケットは観測されなくなりましたが、そのアドレスの二つ隣のアドレスから今度は
OPTIONS sip:100@*.*.*.* SIP/2.0..Via: SIP/2.0/UDP 127.0.0.1:5060;
のようなOPTIONSメッセージが断続的ですがIP Sweepする感じでたくさん飛んできています。攻撃なのか正常なのか何なのかまったく不明です。その効果も不明です。関係ないのかな?
Update by jyake
Create: 2008/9/10
9/9の朝からSIP端末に不正な着信が広範囲に観測されています。IP電話屋さんのホームページにも情報が出ていますね。事象的には無言電話になります。
具体的には、不正?なINVITEメッセージがSIP端末向けにFloodingされる、文字通りINVITE Floodですが、それに反応してしまうSIP端末がいるようです。不正といってもSIP URLに適当な着信番号が書かれているだけの普通のINVITEメッセージです。
不正な送信元はブロックするか、正しいCAや通信相手のみ許容するIPフィルタを書くしかないようですが、INVITEメッセージはただのUDPパケットなのでソースアドレスを契約しているIP電話サービスのCAのアドレスに詐称されたりすると意味がないですね。
SIPそのものの問題だと思いますが、今のところIPフィルタレベルでのホワイトリスト的、ブラックリスト的な対応しかないようですが、当然攻撃元は変化してます。ソース改竄の疑いもあります。アドレスに依存せずに判別しようとしたらSIP URL内の着信番号?ユーザー名っていったほうがいいかな?に「52555169000」が含まれるINVITEメッセージがあやしいです。
こんな感じ。
INVITE sip:***525551690000@*.*.*.*;transport=udp SIP/2.0
by jyake