“Depois de “bater a cabeça” no sabado de manhã de sol, com um SIP DoS/DDoS vindo de varios lugares do mundo e ler muito dump de pacotes para entender o que estava acontecendo. Deixo a dica abaixo pois encontrei pouquíssima informação em PT-BR.

Sintomas foram: – Uso excessivo de banda de internet (100% usado) – Uso excessivo do hardware (100% CPU e 100% Memória) – O ataque era em diferentes horários, randomicos e dias aleatórios. O que dificulta bastante para detectar.

Com estes dois itens, já temos a situação de: – Qualidade da voz estava ruim, mas ruim mesmo. ..

Um simples IPTABLES não resolve o problema pois o ataque utiliza varias formas e portas diferentes. Então num DROP, no ip do iniciador do ataque não resolve. Pois ele troca de IP, e ninguem quer acordar no meio da noite para verificar qual será o novo IP do “nosso amigo”. Precisamos automatizar esta ferramenta.

Depois de ler os pacotes chegando na interface de rede, via tcpdump/wireshark, notei que todos utilizavam a seguinte tag no pacote SIP, User-Agent=friendly-scanner. Agora ficou simples, não ?

A seguinte linha no iptables, resolve: iptables -I INPUT -j DROP -p udp -dport 5060 -m string -string “friendly-scanner” -algo bm

Enquanto não trocarem a tag está tranquilo, mas, podemos pensar em ativar iptables com um ratelimit em conjunto com as tag de pacote INVITE, REGISTER e USER-AGENT. So o iptables com ratelimit não funcionou 100%, pois o ataque troca as portas de forma bem “inteligente”.

Segue links que ajudaram a resolver a situação: [blog.sipvicious.org/…], [jcs.org/…], [wiki.voicenetwork.ca/…].

Se alguem quiser os dump para analise, ainda tenho uma copia é so solicitar via email ou qualquer outra dúvida ou informação, segue meu contato : Charles Josiah Rusch Alandt, charles.alandt(a)gmail.com”