4ème challenge honeynet : analyse d'attaque ToIP/VoIP

Magazine
Marque
GNU/Linux Magazine
Numéro
135
Mois de parution
février 2011


Résumé
Après trois challenges successivement sur une faille Windows exploitée via le réseau, l'exploitation de failles liées à un navigateur Internet Explorer et enfin des failles dans l'implémentation du javascript d'Acrobat Reader, le projet Honeynet a proposé au début de l'été un challenge assez original : l'analyse d'attaques d'un système de téléphonie sur Internet (ToIP en francais, VoIP en anglais) à partir des logs applicatifs et ensuite à partir d'une capture réseau.

Ce challenge (http://honeynet.org/challenges/2010_4_voip) est d'actualité : un Vénézuélien vient d'être condamné par une cours de justice américaine à 10 ans de prison pour avoir piraté une quinzaine de sociétés de télécommunications et rerouté plus de 10 millions de minutes d'appel téléphonique.

1. Analyse du log

Nous avons donc un fichier de log d'un système de ToIP. Regardons le début de ce fichier :

Source: 210.184.X.Y:1083

Datetime: 2010-05-02 01:43:05.606584

Message:

OPTIONS sip:100@honey.pot.IP.removed SIP/2.0

Via: SIP/2.0/UDP 127.0.0.1:5061;branch=z9hG4bK-2159139916;rport

Content-Length: 0

From: "sipvicious"<sip:100@1.1.1.1>; tag=X_removed

Accept: application/sdp

User-Agent: friendly-scanner

To: "sipvicious"<sip:100@1.1.1.1>

Contact: sip:100@127.0.0.1:5061

CSeq: 1 OPTIONS

Call-ID: 845752980453913316694142

Max-Forwards: 70

SIP, Session Initiation Protocol, est le protocole (RFC 3261) d'établissement de session ToIP. Il peut être utilisé par-dessus UDP, TCP ou SCTP. Ici,...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite