[Asterisk] 050IP電話番号をAsteriskで運用している人は気をつけて!SIPを攻撃されるのが流行っています。

今朝ほどIP電話で電話していたところ、通話が途中で切れたりする事象があったので調べてみました。

サーバを仮想化してるから負荷が増えているのか等いろいろ考えたところ、意外な事実が見えました。

以下、ルータのログをみると、

2009/09/19 12:03:07: PP[01] Rejected at IN(default) filter: UDP 173.45.111.102:5371 > xx.xx.xx.xx:5060
2009/09/19 12:03:08: PP[01] Rejected at IN(default) filter: UDP 173.45.111.100:5371 >xx.xx.xx.xx:5060
2009/09/19 12:03:09: PP[01] Rejected at IN(default) filter: UDP 173.45.111.102:5371 > xx.xx.xx.xx:5060
2009/09/19 12:03:10: same message repeated 6 times
:

と、当方のSIPサーバへのアクセスが短時間で複数あり、DoS攻撃を受けていました。

うーん、これをみたときに「しまった!」と思いました。理由はサーバ内にあるAsteriskからはOCN.PhoneへのアクセスのためSIPでやりとりするポートを開放していたためです。
今思えば、OCNのVoIPサーバとやりとりするだけですから、他から受け付けないようここでフィルタリングをしっかりすべきでした。

当方が使用しているサーバは、voip-ca34xx.ocn.ne.jp(210.227.109.128/25) といった類のVoIPサーバですから、これと通信ができるようにして、ルータにフィルタをかけます。

ip filter XX pass 210.227.109.128/25 x.x.x.x tcp * 5060

取り急ぎ不正なアクセスはなくなり、これでDoSは防げました。

あとは実際の被害ですが、2009/9/18~9/19 の間にかけて、不正にRegistを試みた形跡がありました。勝手にRsistされないよう、先月頃前もってAsteriskのsip.confには allowguest=no を入れていますが、肝心なAsteriskの再起動を忘れていたらしく、どうやら不正に発信されていた様子です。

[/var/log/asterisk/cdrMaster.csv]
","67661801957","01053XXXXXXXX","default","67661801957","SIP/5371-297ca000","SIP/ntttel-2
97d0000","Congestion","","2009-09-19 01:11:13",,"2009-09-19 01:11:14",1,0,"FAILED","DOCUME
NTATION","1253322673.17050",""
"","4393578165","01053XXXXXXXX","default","4393578165","SIP/5371-29775000","SIP/ntttel-297
bf000","Congestion","","2009-09-19 01:11:14",,"2009-09-19 01:11:14",0,0,"FAILED","DOCUMENT
ATION","1253322674.17052",""
"","38957217495","01053XXXXXXXX","default","38957217495","SIP/5371-29775000","SIP/ntttel-2
97bf000","Congestion","","2009-09-19 01:11:15",,"2009-09-19 01:11:15",0,0,"FAILED","DOCUME
NTATION","1253322675.17054",""
"","74227958030","01053XXXXXXXX","default","74227958030","SIP/5371-29775000","SIP/ntttel-2
97bf000","Congestion","","2009-09-19 01:11:15",,"2009-09-19 01:11:15",0,0,"FAILED","DOCUME
NTATION","1253322675.17056",""
:

幸いFAILEDだったのでよかったですが、一体何をしたいんだろう…。
迷惑この上ない。。。
しかもちゃんと国際電話発信の010で相手先を呼んでいます。
(通話先はキューバ)

あとはANSWEREDの表示がれば、相手先が出ており課金の可能性もあります。(ないことを祈る!!!)

ちなみに接続元はここ。

> whois 173.45.111.101
eNET Inc. ENET-XLHOST-2 (NET-173-45-64-0-1)
173.45.64.0 - 173.45.127.255
XLHost.com Inc XLHOST-CFREENE3-6770 (NET-173-45-111-96-1)
173.45.111.96 - 173.45.111.103

# ARIN WHOIS database, last updated 2009-09-18 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.

おそらくはBotNetかな。。。うーん、お粗末!