SIPFLOOD – SIPフラッド

メソッドの説明

この検知メソッドでは、監視対象ネットワークセグメントでフラッド攻撃を使用してSIPステーションを飽和させようとするデバイスを検知できます。Thresholdパラメータを使用して、被害者の関連受信パケットと関連送信パケット間の最小比を設定できます。PerCalledPartyパラメータを使用して、1つのSIPアドレスに送信された関連パケットの最小数を設定できます。MessageLimitパラメータを使用して、攻撃の被害者への最小試行数を設定できます。

このメソッドは、以下のサブメソッドで構成されます。

• Invite: VoIPに使用されるデバイス上のDoS攻撃をレポートします。検知には、SIPプロトコルのInviteメッセージを使用します。

• Register: VoIPに使用されるデバイス上のDoS攻撃をレポートします。検知には、SIPプロトコルのRegisterメッセージを使用します。

メソッド設定

このメソッドは、監視対象ネットワークセグメントにあるSIPデバイスのすべてのIPアドレスについて有効化することをお勧めします。トラフィックの適切な監視場所はインターネット接続回線です。この検知メソッドは、SIP処理が有効化されたデータフィードと組み合わせて有効にする必要があります。

メソッドパラメータ

• Threshold: Invite (またはRegister)フラグが設定されたパケット数と関連応答数の最小比の閾値。

• PerCalledParty: Invite (またはRegister)フラグが設定されたパケット数の、着信側あたりの最小数の閾値。

• MessageLimit: 最小合計試行数の閾値。

フィルタの割り当て

このフィルタは、送信元IPアドレス(攻撃被害者)を制限するために使用されます。

結果の解釈

この攻撃の主な目的は、正当なユーザがVoIPサービスを利用できないようにすることです。攻撃の被害者がイベントソースとして表示されます。イベントターゲット(攻撃中にSIP接続へのアクセスを試行する攻撃者またはデバイス)は、大量のRegisterまたはInvite要求を生成し、被害者はその要求数を処理できなくなります。フラッド攻撃を受けた被害者は、電話も受けられなくなります。