对 VoIP 提供商的大规模 DDoS 攻击和模拟 DDoS 测试

VoIP.ms 和其他 VoIP 提供商受到 DDoS 攻击

在撰写本文时，一个名为 VoIP.ms 的主要 VoIP 提供商受到分布式拒绝服务 (DDoS) 攻击一个多星期以来。结果，他们无法为他们的客户提供服务，每个人和他们的狗都抱怨他们无法连接到 VoIP.ms 的 SIP 服务器以及其他资源。与此同时，有人声称自己是 REvil 勒索软件组织的一员，正在勒索供应商。

这不是一个孤立的案例，因为本月早些时候，一些英国供应商也受到了攻击，报告还提到 REvil 是攻击的来源。来自安全社区的许多人都认为它不太可能是真正的 REvil，但这不是我想在这里写的。

我们确实联系了其中一家受到攻击的英国供应商的人，他解释说，在他们对攻击流量的采样中，他们没有看到任何 SIP 数据包。相反，他们确实看到的是 DNS、SNMP 和其他通常出现在放大攻击和僵尸网络 DDoS 攻击中的流量。

不仅仅是关于 SIP 拒绝服务

通过阅读有关这些 DDoS 攻击的公开报告，很明显，受害公司不仅在其 SIP 端点上受苦。有提到大量流量表明攻击可能是容量性的，而不是特定于应用程序的。

在 VoIP.ms 的情况下，他们最初有一个 DNS 中断，然后转向使用 Cloudflare 作为他们的 DNS。他们还将他们的网站置于 Cloudflare 的网站 DDoS 保护之后，并开始要求验证码等。

他们还移动了 POP（接入点）SIP 服务器的 IP 地址，并且在论坛上可以看到人们抱怨 SIP 连接失败。最近，人们注意到他们正在通过 Cloudflare 的 Magic Transit 路由他们的 SIP 流量，该 Magic Transit 提供 UDP DDoS 保护。

然而，它们似乎仍然存在断断续续的连接，或者有时似乎处于离线状态。

日志：

SIP服务器被攻击已经不是第一次了

早在 2011 年，一个感染了名为 Sality 的恶意软件的僵尸网络就开始传播 sipvicious。赛门铁克写了这方面的内容，我们当时在这个博客上也写了这方面的博客。本质上，目标 SIP 提供商无法处理正在分发的 SIP 破解攻击。这与对 SIP 服务器的 DDoS 攻击具有相同的效果，即使这可能是无意的。

攻击 SIP 很容易

这将我们带到了我个人最感兴趣的话题。我们在做DoS 和 DDoS 模拟练习时发现，攻击 SIP 服务器很少需要容量攻击。相反，SIP 泛洪攻击通常会淹没大多数以前从未经过测试的 SIP 服务器，因此可以抵御此类攻击。对于我们的许多客户，他们已经拥有针对 SIP DoS 的保护，但我们经常发现，一旦我们分发攻击，他们的系统就会出现故障。通过分发，我指的是少数服务器，而不是您在实际攻击中看到的大规模僵尸网络。

此类失败的主要原因似乎是保护机制通常在没有任何实际测试的情况下就设置到位。因此，它们往往存在漏洞，我们在 DoS 模拟期间最终会滥用这些漏洞，导致目标服务停止响应合法用户。

这就是我们经常在测试中取得成功的原因。但还有一个很好的问题要问：为什么 SIP 服务器这么容易失败？答案是：出于各种原因——因为 SIP 服务器很复杂。

以下是一些经常破坏的东西：

身份验证机制，由于存储凭据的数据库存在瓶颈
由于大量 SIP 呼叫，媒体服务器的端口耗尽
处理 SIP 会话和对话所需的 CPU 和/或内存使用量超过了可用资源
已知会导致错误、填充日志文件或日志服务器的特定格式错误的 SIP 消息
在 SIP over TCP 或 TLS 上，我们会遇到文件描述符资源耗尽，尤其是在 SIP INVITE 洪水攻击期间

大多数这些故障点都是在没有大量网络流量的情况下触发的。不幸的是，即使设置了速率限制，这些攻击也能很好地工作。

我们如何测试 SIP DDoS 漏洞？

作为渗透测试者，我们吃自己的狗粮，即在测试过程中使用 SIPVicious PRO 的SIP DoS Flood工具。在侦察阶段，我们进行各种测试以发现最明显的弱点，例如通过测试各种不同的 SIP 消息类型。在 SIP INVITE 泛洪的情况下，我们还指定如何处理呼叫，是否在某个时间挂断呼叫。并发连接的数量或用于 SIP 的传输协议是另一个重要的考虑因素。最后，我们选择低于任何现有保护机制但高于 SIP 服务器可能承受的发送速率。

然后，我们可以分发攻击。