SIPサーバーへの攻撃 Register Flood
Published: 2009/09/11
9/10の早朝にSIPサーバーに対してINVITE FloodやOPTIONS Floodとはことなる攻撃がありました。
REGISTER Floodです。
電話をかける時にINVITEの前に行われるユーザーURI登録/位置情報登録に使われるリクエストですね。
このようにURIを1000〜9999あたりまでをインクリメントしつつ最大値になったらloopを繰り返す攻撃が観測されました。まあ1〜2分程度なんで攻撃かどうかはわかりませんが。
03:57:25.693768 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found (1 bindings) 03:57:25.709667 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9977@X.X.X.X 03:57:25.709758 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found (1 bindings) 03:57:25.725661 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9980@X.X.X.X 03:57:25.725749 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found (1 bindings) 03:57:25.734408 122.165.3.60 -> X.X.X.X SIP Request: ACK sip:9889@X.X.X.X 03:57:25.749901 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9984@X.X.X.X 03:57:25.750003 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found (1 bindings) 03:57:25.765395 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9987@X.X.X.X 03:57:25.765490 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found (1 bindings) 03:57:25.773392 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9989@X.X.X.X 03:57:25.773480 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found (1 bindings) 03:57:25.789884 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9992@X.X.X.X 03:57:25.789980 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found (1 bindings) 03:57:25.805628 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9995@X.X.X.X 03:57:25.805721 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found (1 bindings)
認証が通るとは思えないのですが、勝手に登録してしまうようなSIPサーバーがインターネット上にはあるということでしょうか?いや、まぁあるんでしょうね。
目的はそれだとは思うのですが、負荷はかかるので規模によってはDoSとして成立しますね。
ちなみに、こちらのハニーポットからの404応答に対して攻撃者からACKが返ってきてます。ただのフラッディングツールならこの404応答に対してICMPのport unreachableをまた返してきてってことになるわけですが、ソース改ざんもせずちゃんとackを返してくる行儀のいい攻撃か何かのツールでしょうか?自動登録ツールかなにかの操作ミス?ってことはないか、、、
おやインド。SIP系の攻撃ではインドや東南アジア系よく見ますね。
inetnum: 122.165.0.0 - 122.165.31.255 netname: ABTS-TN-DSL-9111-chn descr: ABTS Tamilnadu, descr: Access Business Group,DSL Services 101, descr: Santhome High Road, descr: Chennai descr: Tamilnadu descr: India descr: Date of allocation:10-feb-07 country: IN
by jyake