Привет! В этой статье хочу обратить ваше внимание на инструмент для аудита и атаки сетей, основой которых является протокол SIP.
Mr.SIP - это инструмент, разработанный для аудита и моделирования SIP-атак. Первоначально он был разработан для использования в академической среде, для помощи в разработке новых видов DDoS-атак и защитных методов на основе SIP, а затем был переработан в полнофункциональный SIP-инструмент для тестирования на проникновение.
В текущем состоянии, Mr.SIP состоит из четырех подмодулей, названных SIP-NES, SIP-ENUM, SIP-DAS и SIP-ASP. Поскольку он предоставляет модульную структуру разработчикам, больше модулей будут добавлены авторами, а код будет сохраняться открытым.
Модули:
· SIP-NES - необходимо ввести IP-диапазон или информацию о подсети IP. Он отправляет сообщение SIP OPTIONS на каждый IP-адрес в подсети и в соответствии с ответами выводит список потенциальных клиентов и серверов SIP в этой подсети.
· SIP-ENUM позволяет определить, какие пользователи SIP активны в соответствии с ответами в этой сети, отправляя сообщения REGISTER на каждый IP-адрес клиента на выходе SIP-NES.
· SIP-DAS (DoS Attack Simulator) - это модуль, разработанный для моделирования SIP-DoS-атак. Он включает в себя четыре компонента: генератор паролей, генератор сообщений SIP, отправитель сообщения и проигрыватель сценариев. Ему нужны выходы SIP-NES (Network Scanner) и SIP-ENUM (Enumerator) вместе с некоторыми предварительно определенными файлами.
· SIP-DAS в основном генерирует корректное сообщение SIP INVITE и отправляет его целевому компоненту SIP через TCP или UDP. Он имеет три различных варианта генерации поддельных IP-адресов, то есть вручную, произвольно и путем выбора поддельного IP-адреса из подсети. IP-адреса могут указываться вручную или генерироваться случайным образом. Кроме того, для того, чтобы обойти фильтрацию URPF, которая используется для блокирования IP-адресов, которые не относятся к подсети от передачи в Интернет, был разработан модуль генерации ложных IP-адресов.
Для обхода систем автоматического обнаружения генерации сообщений (обнаружения аномалий) генерируются случайные сообщения «INVITE», которые не содержат шаблонов в сообщениях. Каждое сгенерированное сообщение «INVITE» грамматически совместимо с SIP RFC и приемлемо для всех компонентов SIP.
Механизм создания сообщений «INVITE» указывает целевого пользователя в заголовке «To» сообщения. Эта атака может быть выполнена против одного пользователя или против реальных пользователей SIP на целевом сервере SIP в качестве промежуточного шага перед атакой DoS. Доминирующие пользователи SIP перечисляются и записываются в файл. Затем они помещаются случайным образом в заголовок «Кому» сгенерированных сообщений «INVITE». «Via», «User-Agent», «From» и «Contact» заголовки в сообщении «INVITE» были синтаксически сгенерированы с использованием случайно выбранной информации из действительного списка агентов пользователя и IP-адресов. Параметр тега в заголовке «From», branch порт-источник в заголовке «Via» и значениях в заголовке «Call-ID» синтаксически и случайным образом сгенерированы с использованием действительного списка агентов пользователя. Кроме того, исходные IP-адреса в заголовках «Contact» и «Via» также генерируются с использованием IP-spoofing.
UDP широко используется в SIP-системах в качестве транспортного протокола, поэтому атаки на целевой сервер реализуются путем отправки сгенерированных атак в сети с использованием UDP. Также TCP может использоваться по выбору. Отправитель сообщений SIP-DAS разрешает необязательный выбор количества сообщений SIP в течение одной секунды. Количество сообщений SIP, отправленных за одну секунду, зависbn от ресурсов (ЦП и ОЗУ) машины атакующего.
SIP-ASP (Player сценария атаки) позволяет разрабатывать различные сценарии DoS-атаки на основе SIP с использованием SIP-DAS в качестве основы.
Установка:
> https://github.com/meliht/Mr.SIP
> apt-get install figlet toilet ngrep python-scapy
> pip install netifaces ipaddress
> chmod +x ./mr.sip.py
Подробнее о программе:
> ./mr.sip.py –h
На этом, пожалуй, хватит. Спасибо за внимание.
Mr.SIP - это инструмент, разработанный для аудита и моделирования SIP-атак. Первоначально он был разработан для использования в академической среде, для помощи в разработке новых видов DDoS-атак и защитных методов на основе SIP, а затем был переработан в полнофункциональный SIP-инструмент для тестирования на проникновение.
В текущем состоянии, Mr.SIP состоит из четырех подмодулей, названных SIP-NES, SIP-ENUM, SIP-DAS и SIP-ASP. Поскольку он предоставляет модульную структуру разработчикам, больше модулей будут добавлены авторами, а код будет сохраняться открытым.
Модули:
· SIP-NES - необходимо ввести IP-диапазон или информацию о подсети IP. Он отправляет сообщение SIP OPTIONS на каждый IP-адрес в подсети и в соответствии с ответами выводит список потенциальных клиентов и серверов SIP в этой подсети.
· SIP-ENUM позволяет определить, какие пользователи SIP активны в соответствии с ответами в этой сети, отправляя сообщения REGISTER на каждый IP-адрес клиента на выходе SIP-NES.
· SIP-DAS (DoS Attack Simulator) - это модуль, разработанный для моделирования SIP-DoS-атак. Он включает в себя четыре компонента: генератор паролей, генератор сообщений SIP, отправитель сообщения и проигрыватель сценариев. Ему нужны выходы SIP-NES (Network Scanner) и SIP-ENUM (Enumerator) вместе с некоторыми предварительно определенными файлами.
· SIP-DAS в основном генерирует корректное сообщение SIP INVITE и отправляет его целевому компоненту SIP через TCP или UDP. Он имеет три различных варианта генерации поддельных IP-адресов, то есть вручную, произвольно и путем выбора поддельного IP-адреса из подсети. IP-адреса могут указываться вручную или генерироваться случайным образом. Кроме того, для того, чтобы обойти фильтрацию URPF, которая используется для блокирования IP-адресов, которые не относятся к подсети от передачи в Интернет, был разработан модуль генерации ложных IP-адресов.
Для обхода систем автоматического обнаружения генерации сообщений (обнаружения аномалий) генерируются случайные сообщения «INVITE», которые не содержат шаблонов в сообщениях. Каждое сгенерированное сообщение «INVITE» грамматически совместимо с SIP RFC и приемлемо для всех компонентов SIP.
Механизм создания сообщений «INVITE» указывает целевого пользователя в заголовке «To» сообщения. Эта атака может быть выполнена против одного пользователя или против реальных пользователей SIP на целевом сервере SIP в качестве промежуточного шага перед атакой DoS. Доминирующие пользователи SIP перечисляются и записываются в файл. Затем они помещаются случайным образом в заголовок «Кому» сгенерированных сообщений «INVITE». «Via», «User-Agent», «From» и «Contact» заголовки в сообщении «INVITE» были синтаксически сгенерированы с использованием случайно выбранной информации из действительного списка агентов пользователя и IP-адресов. Параметр тега в заголовке «From», branch порт-источник в заголовке «Via» и значениях в заголовке «Call-ID» синтаксически и случайным образом сгенерированы с использованием действительного списка агентов пользователя. Кроме того, исходные IP-адреса в заголовках «Contact» и «Via» также генерируются с использованием IP-spoofing.
UDP широко используется в SIP-системах в качестве транспортного протокола, поэтому атаки на целевой сервер реализуются путем отправки сгенерированных атак в сети с использованием UDP. Также TCP может использоваться по выбору. Отправитель сообщений SIP-DAS разрешает необязательный выбор количества сообщений SIP в течение одной секунды. Количество сообщений SIP, отправленных за одну секунду, зависbn от ресурсов (ЦП и ОЗУ) машины атакующего.
SIP-ASP (Player сценария атаки) позволяет разрабатывать различные сценарии DoS-атаки на основе SIP с использованием SIP-DAS в качестве основы.
Установка:
> https://github.com/meliht/Mr.SIP
> apt-get install figlet toilet ngrep python-scapy
> pip install netifaces ipaddress
> chmod +x ./mr.sip.py
Подробнее о программе:
> ./mr.sip.py –h
На этом, пожалуй, хватит. Спасибо за внимание.