黑客24小时在线接单的网站

黑客24小时在线接单的网站

2022年04月03日 16:41:00

针对VoIP提供商的大规模DDoS攻击和模拟DDoS测试

写这篇文章时,一家人叫 VoIP.ms 的主要 VoIP 提供商已被分布式拒绝服务(DDoS) 攻击已经一个多星期了。因此,他们无法为客户服务,客户反馈说他们无法连接 VoIP.ms 的 SIP 服务器等资源。与此同时,有人声称自己是 REvil 勒索软件组织的一员要求支付赎金以恢复业务。

这不是一个孤立的案例,因为本月早些时候,一些英国供应商也受到了攻击,报告还提到 REvil 是攻击的来源。许多来自安全社区的人认为它不太可能是真正的 REvil,但这不是我想在这里写的。

我们确实联系了其中一家受到攻击的英国供应商。他解释说,他们在采样攻击流量时没有看到任何 SIP 数据包。相反,他们确实看到了 DNS、SNMP 和其他通常出现在放大攻击和僵尸网络 DDoS 攻击中的流量。

通过阅读这些DDoS攻击的公开报告可以清楚地看到,受害者不仅在其中SIP终端受到攻击。有些人提到了大量的流量,这表明攻击可能是饱和的,而不是特定于应用程序。

在 VoIP.ms在 的例子中,他们最初有一个 DNS 中断,然后转向使用 Cloudflare 作为他们的 DNS。他们还把他们的网站放在 Cloudflare 的网站 DDoS 保护后,开始要求验证码等。

他们还移动了 POP(接入点)SIP 服务器的 IP 地址,人们可以在论坛上抱怨 SIP 连接失败。最近有人注意到他们在通过 Cloudflare 的 Magic Transit 路过他们的 SIP 流量,它提供 UDP DDoS 保护。

然而,它们似乎仍然有断断续续的连接,或者有时似乎离线。

以下是 SIPVicious PRO 的 SIP ping 的日志:

这不是SIP服务器首次受到攻击

早在 2011 年,就有一种感染叫 Sality 恶意软件的僵尸网络开始传播 sipvicious。赛门铁克当时写了一篇文章进行分析,我们当时也进行了分析。本质上,目标 SIP 提供商无法处理正在传播的 SIP 破解攻击。SIP 服务器 DDoS即使这可能是无意的, 攻击也有同样的效果。

攻击 SIP 很容易

我们在进行DoS 和 DDoS 模拟练习中发现攻击 SIP 服务器很少需要饱和攻击。SIP 洪水式攻击通常会覆盖大多数以前从未经过测试的 SIP 服务器可以抵抗此类攻击。对于我们的许多客户来说,他们已经有了 SIP DoS 的保护,但我们经常发现,一旦我们开始传播,他们的系统就会出现故障。我指的是少量的服务器,而不是你在实际攻击中看到的大型僵尸网络。

这种失败的主要原因似乎是保护机制往往没有实际测试。因此,它们之间往往存在差距,我们是DoS滥用模拟,导致目标服务停止对合法用户的响应。

这就是为什么我们经常在测试中取得成功。但还有一个好问题要问:为什么 SIP 服务器如此容易受到攻击,因为SIP服务器非常复杂。

以下是一些经常被攻击的项目:

                   
  • 由于存储凭证的数据库存在安全漏洞,身份验证机制;
    •                
  • 大量 SIP 调用导致媒体服务器端口耗尽;
    •                
  • 处理 SIP 会话和对话所需的 CPU 和/或内存使用超过可用资源;
    •                
  • 已知会导致错误、填充日志文件或日志服务器的特定格式错误的 SIP 消息;
    •                
  • 在基于TCP或TLS的SIP我们会遇到文件描述符资源耗尽的情况,尤其是在SIP INVITE洪水攻击期间;

大部分都是在没有大量网络流量的情况下触发的。不幸的是,即使在速度有限的地方,这些攻击也做得很好。

如何测试 SIP DDoS 漏洞?

在测试过程中使用SIPVicious PRO 的 SIP DoS Flood 工具。在侦察阶段,我们进行了各种测试,以发现最明显的漏洞,如通过测试SIP新闻类型SIP INVITE 洪水式攻击的情况下,我们还指定如何处理调用,是否在某个时间挂断调用。并发连接的数量或用于 SIP 的传输协议是另一个重要的考虑因素。最后,我们选择低于任何现有的保护机制,但高于 SIP 服务器可能承受的发送速率。

然后,我们可以开始攻击。

举个简单的例子,你可以观看我们为 Kamailio World 2019 提供的无脚本演示。

当然,设置目标设备的人没有时间准备我们的拒绝服务测试。FreeSWITCH(我相信是 FusionPBX 安装)系统没有任何保护。所以这根本不是一个公平的例子,但它确实展示了我们的一些工具,部分展示了我们如何进行这样的测试。

保护和缓解

解决这一威胁的一个好办法是避免将关键基础设施暴露给基于网络的攻击者。

另一方面,如果你的商业模式必须是 SIP 如果服务器暴露在网络上,缓解措施就不那么清楚了。因此,首先要区分饱和攻击和应用程序级攻击。

容量攻击所需的保护通常需要DDoS为了供应商提供足够大的管道来处理此类攻击所需的大规模带宽。VoIP.ms 和英国提供商的攻击似乎属于饱和攻击的范畴。

另一方面,针对特定的SIP或者攻击应用程序DDoS保护将涉及基础设施、架构和底层软件配置的调整。通常,人们可能配置得很好Kamailio / opensip服务器放置在边缘,可能配置为防止过多SIP通信。为了使这些变化有效,需要通过DDoS通知他们模拟的结果。这种反馈循环对于加强这种攻击的预防非常重要。

如果对 VoIP.ms 的攻击实际上包含饱和攻击 SIP 流量很可能需要两种保护或缓解机制来实际解决它们的问题。这可能解释为什么即使在 Cloudflare 的 Magic Transit 之后,VoIP.ms 似乎仍存在重大安全隐患。

本文翻译自:https://www.rtcsec.com/post/2021/09/massive-ddos-attacks-on-voip-providers-and-simulated-ddos-testing/如果转载,请注明原始地址。

   

标签:VoIP DDoS 安全 

作者:访客 , 分类:勒索病毒 , 浏览:670 , 评论:2

  • 评论列表:
  •  鸠骨疚爱
     发布于 2022-06-05 19:49:09  回复该评论
  • Flood 工具。在侦察阶段,我们进行了各种测试,以发现最明显的漏洞,如通过测试SIP新闻类型SIP INVITE 洪水式攻击的情况下,我们还指定如何处理调用,是否在某个时间挂断调用。并发连接的数量或用于 SIP 的传输协议是另一个重要的考虑因素。最
  •  孤鱼迷麇
     发布于 2022-06-05 22:10:47  回复该评论
  • 写这篇文章时,一家人叫 VoIP.ms 的主要 VoIP 提供商已被分布式拒绝服务(DDoS) 攻击已经一个多星期了。因此,他们无法为客户服务,客户反馈说他们无法连接 VoIP.ms 的

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.