¿Cómo mitigar los ataques de reflexión SIP?

Navega tus respuestas
2

SIP tiene una necesidad práctica de estar ampliamente disponible, pero sus servicios son propensos a ser falsificados como reflectores utilizados en los ataques DDoS.

Un servidor de intercambio gratuito que administro ha visto montones de solicitudes de registro en UDP (~ 300 / segundo), cada una generando una respuesta no autorizada 401. Solo detectamos esto cuando los problemas de rendimiento me llevaron a hacer un volcado en el cable e investigar el tráfico.

Al ser el tráfico UDP, bloquearlo en iptables tiene un efecto limitado. El tráfico entrante sigue desperdiciando ancho de banda, pero el servidor SIP no tiene que responder y el tráfico de respuesta no se genera.

Debido a que es UDP, es probable que se esté falsificando. La víctima real es probablemente la "fuente", que está siendo bombardeada con mis 401 mensajes.

Este tipo de problema debe ser muy común. ¿Existe alguna práctica recomendada actual para alojar servicios SIP de modo que no sean valiosos para los atacantes como fuentes de ataques de reflexión?

Gracias por cualquier información.

Actualización: 24 horas después de bloquear el tráfico SIP entrante, se detuvo.

    
pregunta mgjk 27.02.2013 - 19:21
fuente

2 respuestas

3

La mayoría de los daemons SIP (por ejemplo, Asterisk) tienen una opción para incluir en la lista blanca las direcciones IP que se pueden usar para acceder al servidor, así que si fuera posible, utilizaría eso y prohibiría todas las demás. Tenga en cuenta que, por lo general, es posible permitir llamadas entrantes desde cualquier dirección IP, pero las solicitudes de autenticación de la lista blanca a un conjunto de IPs.

Probablemente también vería algo como fail2ban , que es un servicio que supervisa los registros de intentos de inicio de sesión fallidos y agrega iptables reglas basadas en varias reglas. La prohibición automática de direcciones IP para aumentar los períodos de tiempo después de una serie de intentos fallidos desalentará rápidamente a los atacantes, ya que incluso los ataques reflejados requieren un grupo de máquinas proxy. Si estás identificado como un objetivo que no bloquea rápidamente los intentos maliciosos, solo alentará a los atacantes a continuar.

Una cosa a tener en cuenta con fail2ban es que los atacantes pueden falsificar la dirección de origen UDP y prohibir varias direcciones. Afortunadamente, puede usar jail.conf en la configuración de fail2ban para establecer una lista blanca de direcciones IP que nunca serán prohibidas. Mientras el atacante nunca descubra una de estas IP, sus ataques se mitigarán con bastante éxito.

También puede usar una secuencia de comandos para agregar y eliminar las reglas de iptables para bloquear todo el tráfico fuera del horario de oficina o cambiar el puerto SIP para evitar ataques automáticos. Ambos son un pequeño inconveniente, pero pueden ser útiles para evitar ataques que escanean en Internet para abrir instancias de SIP.

Lectura adicional:

respondido por el Polynomial 27.02.2013 - 20:30
fuente
1

Lo que necesita es quizás una defensa perimetral (por ejemplo, un firewall) para bloquear dicho tráfico. Lo que puede hacer es definir una lista blanca de usuarios o rango de red que pueda encontrar sus servidores. Si es de dominio público, entonces es otro juego de pelota, entonces necesita algo como límite de velocidad en su extremo ISP.

    
respondido por el Saladin 27.02.2013 - 19:54
fuente

Lea otras preguntas en las etiquetas

Ataques en SSL y SSH Datos de tarjeta de crédito: uso compartido y almacenamiento [duplicado]