cNotes 検索 一覧 カテゴリ

SIPサーバーへの攻撃 Register Flood

Published: 2009/09/11

9/10の早朝にSIPサーバーに対してINVITE FloodやOPTIONS Floodとはことなる攻撃がありました。

REGISTER Floodです。

電話をかける時にINVITEの前に行われるユーザーURI登録/位置情報登録に使われるリクエストですね。

このようにURIを1000〜9999あたりまでをインクリメントしつつ最大値になったらloopを繰り返す攻撃が観測されました。まあ1〜2分程度なんで攻撃かどうかはわかりませんが。

 03:57:25.693768 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found    (1 bindings)
 03:57:25.709667 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9977@X.X.X.X
 03:57:25.709758 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found    (1 bindings)
 03:57:25.725661 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9980@X.X.X.X
 03:57:25.725749 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found    (1 bindings)
 03:57:25.734408 122.165.3.60 -> X.X.X.X SIP Request: ACK sip:9889@X.X.X.X
 03:57:25.749901 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9984@X.X.X.X
 03:57:25.750003 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found    (1 bindings)
 03:57:25.765395 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9987@X.X.X.X
 03:57:25.765490 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found    (1 bindings)
 03:57:25.773392 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9989@X.X.X.X
 03:57:25.773480 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found    (1 bindings)
 03:57:25.789884 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9992@X.X.X.X
 03:57:25.789980 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found    (1 bindings)
 03:57:25.805628 122.165.3.60 -> X.X.X.X SIP Request: REGISTER sip:9995@X.X.X.X
 03:57:25.805721 X.X.X.X -> 122.165.3.60 SIP Status: 404 Not found    (1 bindings)

認証が通るとは思えないのですが、勝手に登録してしまうようなSIPサーバーがインターネット上にはあるということでしょうか?いや、まぁあるんでしょうね。

目的はそれだとは思うのですが、負荷はかかるので規模によってはDoSとして成立しますね。

ちなみに、こちらのハニーポットからの404応答に対して攻撃者からACKが返ってきてます。ただのフラッディングツールならこの404応答に対してICMPのport unreachableをまた返してきてってことになるわけですが、ソース改ざんもせずちゃんとackを返してくる行儀のいい攻撃か何かのツールでしょうか?自動登録ツールかなにかの操作ミス?ってことはないか、、、

おやインド。SIP系の攻撃ではインドや東南アジア系よく見ますね。

 inetnum:      122.165.0.0 - 122.165.31.255
 netname:      ABTS-TN-DSL-9111-chn
 descr:        ABTS Tamilnadu,
 descr:        Access Business Group,DSL Services 101,
 descr:        Santhome High Road,
 descr:        Chennai
 descr:        Tamilnadu
 descr:        India
 descr: 	      Date of allocation:10-feb-07
 country:      IN

[カテゴリ:IP電話観察日記]

by jyake