• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Mr.SIP - аудит и атака SIP протокола.

Привет! В этой статье хочу обратить ваше внимание на инструмент для аудита и атаки сетей, основой которых является протокол SIP.

upload_2017-9-19_22-10-9.png


Mr.SIP - это инструмент, разработанный для аудита и моделирования SIP-атак. Первоначально он был разработан для использования в академической среде, для помощи в разработке новых видов DDoS-атак и защитных методов на основе SIP, а затем был переработан в полнофункциональный SIP-инструмент для тестирования на проникновение.

В текущем состоянии, Mr.SIP состоит из четырех подмодулей, названных SIP-NES, SIP-ENUM, SIP-DAS и SIP-ASP. Поскольку он предоставляет модульную структуру разработчикам, больше модулей будут добавлены авторами, а код будет сохраняться открытым.

Модули:

· SIP-NES - необходимо ввести IP-диапазон или информацию о подсети IP. Он отправляет сообщение SIP OPTIONS на каждый IP-адрес в подсети и в соответствии с ответами выводит список потенциальных клиентов и серверов SIP в этой подсети.

· SIP-ENUM позволяет определить, какие пользователи SIP активны в соответствии с ответами в этой сети, отправляя сообщения REGISTER на каждый IP-адрес клиента на выходе SIP-NES.

· SIP-DAS (DoS Attack Simulator) - это модуль, разработанный для моделирования SIP-DoS-атак. Он включает в себя четыре компонента: генератор паролей, генератор сообщений SIP, отправитель сообщения и проигрыватель сценариев. Ему нужны выходы SIP-NES (Network Scanner) и SIP-ENUM (Enumerator) вместе с некоторыми предварительно определенными файлами.

· SIP-DAS в основном генерирует корректное сообщение SIP INVITE и отправляет его целевому компоненту SIP через TCP или UDP. Он имеет три различных варианта генерации поддельных IP-адресов, то есть вручную, произвольно и путем выбора поддельного IP-адреса из подсети. IP-адреса могут указываться вручную или генерироваться случайным образом. Кроме того, для того, чтобы обойти фильтрацию URPF, которая используется для блокирования IP-адресов, которые не относятся к подсети от передачи в Интернет, был разработан модуль генерации ложных IP-адресов.

Для обхода систем автоматического обнаружения генерации сообщений (обнаружения аномалий) генерируются случайные сообщения «INVITE», которые не содержат шаблонов в сообщениях. Каждое сгенерированное сообщение «INVITE» грамматически совместимо с SIP RFC и приемлемо для всех компонентов SIP.

Механизм создания сообщений «INVITE» указывает целевого пользователя в заголовке «To» сообщения. Эта атака может быть выполнена против одного пользователя или против реальных пользователей SIP на целевом сервере SIP в качестве промежуточного шага перед атакой DoS. Доминирующие пользователи SIP перечисляются и записываются в файл. Затем они помещаются случайным образом в заголовок «Кому» сгенерированных сообщений «INVITE». «Via», «User-Agent», «From» и «Contact» заголовки в сообщении «INVITE» были синтаксически сгенерированы с использованием случайно выбранной информации из действительного списка агентов пользователя и IP-адресов. Параметр тега в заголовке «From», branch порт-источник в заголовке «Via» и значениях в заголовке «Call-ID» синтаксически и случайным образом сгенерированы с использованием действительного списка агентов пользователя. Кроме того, исходные IP-адреса в заголовках «Contact» и «Via» также генерируются с использованием IP-spoofing.

UDP широко используется в SIP-системах в качестве транспортного протокола, поэтому атаки на целевой сервер реализуются путем отправки сгенерированных атак в сети с использованием UDP. Также TCP может использоваться по выбору. Отправитель сообщений SIP-DAS разрешает необязательный выбор количества сообщений SIP в течение одной секунды. Количество сообщений SIP, отправленных за одну секунду, зависbn от ресурсов (ЦП и ОЗУ) машины атакующего.

SIP-ASP (Player сценария атаки) позволяет разрабатывать различные сценарии DoS-атаки на основе SIP с использованием SIP-DAS в качестве основы.

Установка:

> https://github.com/meliht/Mr.SIP

upload_2017-9-19_22-10-42.png


> apt-get install figlet toilet ngrep python-scapy

upload_2017-9-19_22-11-7.png


> pip install netifaces ipaddress

upload_2017-9-19_22-11-24.png


> chmod +x ./mr.sip.py

upload_2017-9-19_22-11-47.png


Подробнее о программе:

> ./mr.sip.py –h

upload_2017-9-19_22-12-8.png


На этом, пожалуй, хватит. Спасибо за внимание.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!