截至撰写本文时,一家名为VoIP.ms的主要VoIP提供商已遭受分布式拒绝服务(DDoS)攻击超过一周。结果,他们无法为客户提供服务,客户报告说他们无法连接到VoIP.ms的SIP服务器以及其他资源。与此同时,有人自称是REvil勒索软件组织的一员,要求勒索赎金以恢复业务。这不是一个孤立的案例,因为本月早些时候,一些英国的供应商也遭到了攻击,有报道称REvil是攻击的来源。安全社区的许多人认为它不太可能是真正的REvil,但这不是我想在这里写的。我们确实联系了一家遭到攻击的英国提供商,他解释说,在他们对攻击流量的采样中,他们没有看到任何SIP数据包。相反,他们看到的是DNS、SNMP和其他通常在放大攻击和僵尸网络DDoS攻击中看到的流量。通过阅读这些DDoS攻击的公开报告,很明显受害公司不仅在其SIP端点上受到攻击。提到了大量流量,表明攻击可能是饱和的,而不是特定于应用程序的。就VoIP.ms而言,他们最初遇到了DNS中断,然后转而使用Cloudflare作为他们的DNS。他们还将他们的网站置于Cloudflare网站DDoS保护之后,并开始要求验证码等。他们还移动了POP(访问点)SIP服务器的IP地址,在论坛上你可以看到人们抱怨SIP连接失败。最近,人们注意到他们通过Cloudflare的MagicTransit路由他们的SIP流量,它提供UDPDDoS保护。但是,它们似乎仍然断断续续地连接,或者有时似乎处于离线状态。这是来自SIPViciousPRO的SIPping日志:这不是SIP服务器第一次受到威胁。早在2011年,一个感染了名为Sality的恶意软件的僵尸网络开始恶意传播。赛门铁克当时写了一篇文章分析,我们当时也进行了分析。本质上,目标SIP提供商无法处理正在传播的SIP破解攻击。这与对SIP服务器的DDoS攻击具有相同的效果,即使它可能是无意的。攻击SIP很容易我们在DoS和DDoS模拟练习中发现,攻击SIP服务器很少需要饱和攻击。相反,SIP泛洪攻击通常覆盖大多数以前从未测试过的SIP服务器,因此可以抵抗此类攻击。对于我们的许多客户,他们已经有了针对SIPDoS的保护,但我们经常发现,一旦我们开始传播,他们的系统就会出现故障。我所说的传播是指少量的服务器,而不是您在实际攻击中看到的大量僵尸网络。这种失败的主要原因似乎是保护机制通常没有以任何实际方式进行测试。因此,它们往往存在漏洞,我们在DoS模拟中滥用这些漏洞,导致目标服务停止响应合法用户。这就是为什么我们经常在测试中取得成功。但是还有一个很好的问题要问:为什么SIP服务器如此脆弱?因为SIP服务器很复杂。以下是一些经常受到攻击的项目:由于存储凭据的数据库中的安全漏洞导致的身份验证机制;由于大量SIP呼叫导致媒体服务器端口耗尽;处理SIP会话和对话所需的CPU和/或内存使用量超过可用资源;已知会导致错误、填充日志文件或记录特定于服务器的格式错误的SIP消息;在基于TCP或TLS的SIP上,我们会遇到文件描述符的资源耗尽,尤其是在攻击期间的SIPINVITE泛洪期间;大多数是在没有大量网络流量的情况下触发的。不幸的是,即使在速率受限的情况下,这些攻击也相当有效。如何测试SIPDDoS漏洞?在测试期间使用SIPViciousPRO的SIPDoSFlood工具。在侦察阶段,我们进行各种测试以发现最明显的漏洞,例如通过测试各种不同的SIP消息类型。如果遇到SIPINVITEflood攻击,我们还指定了如何处理呼叫,是否在某个时间挂断呼叫。并发连接的数量或用于SIP的传输协议是另一个重要的考虑因素。最后,我们选择了低于任何现有保护机制但高于SIP服务器可能承受的发送速率。然后,我们就可以开始攻击了。作为一个简单的例子,您可以观看我们的KamailioWorld2019无脚本演示。当然,设置目标设备的人没有时间准备我们的拒绝服务测试。运行FreeSWITCH的系统(我认为是FusionPBX安装)没有任何保护。所以这根本不是一个公平的例子,但它确实展示了我们的一些工具,部分展示了我们如何进行这些类型的测试。保护和减轻这种威胁的一个好的解决方案是首先避免将关键基础设施暴露给基于网络的攻击者。另一方面,如果您的业务模型必须向Web公开SIP服务器,则缓解措施就不那么明确了。因此,首先要区分饱和攻击和应用层攻击。容量攻击所需的保护通常需要DDoS缓解提供商提供足够大的管道来处理抵御此类攻击所需的大量带宽。对VoIP.ms和英国提供商的攻击似乎属于饱和攻击的范畴。另一方面,针对SIP或特定应用程序攻击的DDoS保护将涉及对基础设施、体系结构和底层软件配置的调整。通常,人们可能会在边缘放置一个配置良好的Kamailio/opensip服务器,可能配置为阻止过多的SIP流量。为了使这些更改生效,他们需要了解DDoS模拟的结果。这种反馈循环对于加强对此类攻击的防御至关重要。如果对VoIP.ms的攻击确实涉及攻击中的SIP流量饱和,则可能需要两种保护或缓解机制来实际解决这些问题。这或许可以解释为什么即使在Cloudflare的MagicTransit之后,VoIP.ms似乎仍然存在重大安全问题。本文翻译自:https://www.rtcsec.com/post/2021/09/massive-ddos-attacks-on-voip-providers-and-simulated-ddos-testing/如有转载请注明原文地址.
