文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

针对VoIP提供商的大规模DDoS攻击和模拟DDoS测试

2024-12-02 19:18

关注

在撰写本文时,一家名为 VoIP.ms 的主要 VoIP 提供商已经受到分布式拒绝服务 (DDoS) 攻击一周多了。结果,他们无法为他们的客户服务,客户反馈说他们无法连接到 VoIP.ms 的 SIP 服务器以及其他资源。与此同时,有人声称自己是 REvil 勒索软件组织的一员,要求支付赎金来恢复业务。

这并不是一个孤立的案例,因为本月早些时候,一些英国供应商也受到了攻击,报告还提到 REvil 是攻击的来源。来自安全社区的许多人都认为它不太可能是真正的 REvil,但这不是我想在这里写的。

我们确实联系了其中一家受到攻击的英国供应商的人,他解释说,在他们对攻击流量的采样中,他们没有看到任何 SIP 数据包。相反,他们确实看到的是 DNS、SNMP 和其他通常出现在放大攻击和僵尸网络 DDoS 攻击中的流量。

通过阅读这些DDoS攻击的公开报告,可以清楚地看到,受害公司不仅在其SIP终端遭受攻击。有人提到了大量的流量,这表明攻击可能是饱和性的,而不是特定于应用程序的。

在 VoIP.ms 的示例中,他们最初有一个 DNS 中断,然后转向使用 Cloudflare 作为他们的 DNS。他们还将他们的网站置于 Cloudflare 的网站 DDoS 保护之后,并开始要求验证码等。

他们还移动了 POP(接入点)SIP 服务器的 IP 地址,并且在论坛上可以看到人们抱怨 SIP 连接失败。最近,有人注意到他们正在通过 Cloudflare 的 Magic Transit 路由他们的 SIP 流量,它提供 UDP DDoS 保护。

然而,它们似乎仍然存在断断续续的连接,或者有时似乎处于离线状态。

以下是来自 SIPVicious PRO 的 SIP ping 的日志:

这不是SIP服务器第一次遭到攻击了

早在 2011 年,一个感染了名为 Sality 的恶意软件的僵尸网络就开始传播 sipvicious。赛门铁克当时就写了文章进行分析,我们当时也进行了分析。本质上,目标 SIP 提供商无法处理正在传播的 SIP 破解攻击。这与对 SIP 服务器的 DDoS 攻击具有相同的效果,即使这可能是无意的。

攻击 SIP 很容易

我们在进行 DoS 和 DDoS 模拟练习时发现,攻击 SIP 服务器很少需要饱和攻击。相反,SIP 洪水式攻击通常会覆盖大多数以前从未经过测试的 SIP 服务器,因此可以抵御此类攻击。对于我们的许多客户来说,他们已经拥有针对 SIP DoS 的保护,但我们经常发现,一旦我们开始传播,他们的系统就会出现故障。所谓传播,我指的是少量的服务器,而不是你在实际攻击中看到的大规模僵尸网络。

这种失败的主要原因似乎是保护机制往往没有任何实际的测试。因此,它们往往有差距,我们在DoS模拟中滥用,导致目标服务停止响应合法用户。

这就是我们经常在测试中取得成功的原因。但是还有一个很好的问题要问:为什么 SIP 服务器如此容易被攻击?因为SIP服务器很复杂。

以下是一些经常被攻击的项:

大多数都是在没有大量网络流量的情况下触发的。不幸的是,即使在速率受限的地方,这些攻击工作得也相当好。

如何测试 SIP DDoS 漏洞?

在测试过程中使用 SIPVicious PRO 的 SIP DoS Flood 工具。在侦察阶段,我们进行各种测试,以发现最明显的漏洞,例如通过测试各种不同的SIP消息类型。在 SIP INVITE 洪水式攻击的情况下,我们还指定如何处理调用,是否在某个时间挂断调用。并发连接的数量或用于 SIP 的传输协议是另一个重要的考虑因素。最后,我们选择低于任何现有保护机制但高于 SIP 服务器可能承受的发送速率。

然后,我们就可以开始攻击了。

举个简单的例子,你可以观看我们为 Kamailio World 2019 提供的无脚本演示。

当然,设置目标设备的人没有时间准备我们的拒绝服务测试。运行 FreeSWITCH(我相信它是 FusionPBX 安装)的系统没有任何保护。所以这根本不是一个公平的例子,但它确实展示了我们的一些工具,部分地展示了我们如何进行此类测试。

保护和缓解

解决这一威胁的一个很好的解决方案是,首先避免将关键基础设施暴露给基于网络的攻击者。

另一方面,如果你的业务模型必须把 SIP 服务器暴露给网络,那么缓解措施就不那么明确了。因此,我们首先应该区分饱和攻击和应用程序级攻击。

容量攻击所需的保护通常需要DDoS缓解提供商提供足够大的管道,以处理承受此类攻击所需的大规模带宽。对 VoIP.ms 和英国提供商的攻击似乎属于饱和攻击的范畴。

另一方面,针对特定于SIP或应用程序的攻击的DDoS保护将涉及对基础设施、架构和底层软件配置的调整。通常,人们可能会将配置良好的Kamailio / opensip服务器放置在边缘,可能配置为阻止过多的SIP通信。为了使这些变化有效,需要通过DDoS模拟的结果来通知它们。这个反馈循环对于加强对此类攻击的防范至关重要。

如果对 VoIP.ms 的攻击实际上确实包含饱和攻击中的 SIP 流量,那么很可能需要两种保护或缓解机制来实际解决它们的问题。这或许可以解释为什么即使在 Cloudflare 的 Magic Transit 之后,VoIP.ms 似乎仍然存在重大安全隐患。

本文翻译自:https://www.rtcsec.com/post/2021/09/massive-ddos-attacks-on-voip-providers-and-simulated-ddos-testing/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯