SIP атака на * за натом ?
Добавлено: 23 авг 2014, 01:31
Всем привет..
столкнулся с интересным инцидентом, понять который пока самостоятельно не могу
есть * версии 1.8.26.1, расположен в приватной сети, в интернет идет через cisco nat
на циске ни одного порта снаружи на * не прокинуто
сам * имеет 2 внешних транка - на одном регистрируется, на другой ходит статически
в какой-то момент в консоль * посыпались сообщения об ошибках авторизации под разными учетными записями
посмотрел трансляции на циске - есть десяток трансляций на этот ip адрес и порты от 5060 и вверх
надо отметить, что ip адрес не принадлежит ни одному из 2х провайдеров, с которыми работает *, и вообще находится он в нидерландах
посмотрев логи * увидел, что это уже вторая попытка скана учетных записей за последние полгода
но как это происходит ? понять не могу
после сброса нат трансляций на циске атака прекратилась, однако очень хочется понять механику этой атаки
начинается атака так:
[May 7 00:31:58] NOTICE[13356] chan_sip.c: Registration from '<sip:5001@x.x.x.x>' failed for '91.218.247.179:7770' - Wrong password
[May 7 01:18:43] NOTICE[13356] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5068' - Wrong password
[May 7 01:18:44] NOTICE[13356] chan_sip.c: Registration from '"400" <sip:400@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5061' - Wrong password
свежий пример:
[Aug 22 21:49:23] NOTICE[14202] chan_sip.c: Registration from '<sip:1012@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 21:49:25] NOTICE[14202] chan_sip.c: Registration from '<sip:101@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 21:49:26] NOTICE[14202] chan_sip.c: Registration from '<sip:1011@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 22:40:08] NOTICE[14202] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1029]:5060>' failed for '217.23.7.117:5060' - Wrong password
[Aug 22 22:40:09] NOTICE[14202] chan_sip.c: Registration from '"500" <sip:500@[x.x.x.x:1029]:5060>' failed for '217.23.7.117:5067' - Wrong password
x.x.x.x это белый адрес, который прописан на циске
столкнулся с интересным инцидентом, понять который пока самостоятельно не могу
есть * версии 1.8.26.1, расположен в приватной сети, в интернет идет через cisco nat
на циске ни одного порта снаружи на * не прокинуто
сам * имеет 2 внешних транка - на одном регистрируется, на другой ходит статически
в какой-то момент в консоль * посыпались сообщения об ошибках авторизации под разными учетными записями
посмотрел трансляции на циске - есть десяток трансляций на этот ip адрес и порты от 5060 и вверх
надо отметить, что ip адрес не принадлежит ни одному из 2х провайдеров, с которыми работает *, и вообще находится он в нидерландах
посмотрев логи * увидел, что это уже вторая попытка скана учетных записей за последние полгода
но как это происходит ? понять не могу
после сброса нат трансляций на циске атака прекратилась, однако очень хочется понять механику этой атаки
начинается атака так:
[May 7 00:31:58] NOTICE[13356] chan_sip.c: Registration from '<sip:5001@x.x.x.x>' failed for '91.218.247.179:7770' - Wrong password
[May 7 01:18:43] NOTICE[13356] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5068' - Wrong password
[May 7 01:18:44] NOTICE[13356] chan_sip.c: Registration from '"400" <sip:400@[x.x.x.x:1034]:5060>' failed for '91.218.247.179:5061' - Wrong password
свежий пример:
[Aug 22 21:49:23] NOTICE[14202] chan_sip.c: Registration from '<sip:1012@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 21:49:25] NOTICE[14202] chan_sip.c: Registration from '<sip:101@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 21:49:26] NOTICE[14202] chan_sip.c: Registration from '<sip:1011@x.x.x.x>' failed for '217.23.7.117:7202' - Wrong password
[Aug 22 22:40:08] NOTICE[14202] chan_sip.c: Registration from '"100" <sip:100@[x.x.x.x:1029]:5060>' failed for '217.23.7.117:5060' - Wrong password
[Aug 22 22:40:09] NOTICE[14202] chan_sip.c: Registration from '"500" <sip:500@[x.x.x.x:1029]:5060>' failed for '217.23.7.117:5067' - Wrong password
x.x.x.x это белый адрес, который прописан на циске