[系统运维]对 VoIP 提供商的大规模 DDoS 攻击和模拟 DDoS 测试

在撰写本文时，一个名为 VoIP.ms 的主要 VoIP 提供商受到分布式拒绝服务 (DDoS) 攻击一个多星期以来。结果，他们无法为他们的客户提供服务，每个人和他们的狗都抱怨他们无法连接到 VoIP.ms 的 SIP 服务器以及其他资源。与此同时，有人声称自己是 REvil 勒索软件组织的一员，正在勒索供应商。

这不是一个孤立的案例，因为本月早些时候，一些英国供应商也受到了攻击，报告还提到 REvil 是攻击的来源。来自安全社区的许多人都认为它不太可能是真正的 REvil，但这不是我想在这里写的。

我们确实联系了其中一家受到攻击的英国供应商的人，他解释说，在他们对攻击流量的采样中，他们没有看到任何 SIP 数据包。相反，他们确实看到的是 DNS、SNMP 和其他通常出现在放大攻击和僵尸网络 DDoS 攻击中的流量。

不仅仅是关于 SIP 拒绝服务

通过阅读有关这些 DDoS 攻击的公开报告，很明显，受害公司不仅在其 SIP 端点上受苦。有提到大量流量表明攻击可能是容量性的，而不是特定于应用程序的。

在 VoIP.ms 的情况下，他们最初有一个 DNS 中断，然后转向使用 Cloudflare 作为他们的 DNS。他们还将他们的网站置于 Cloudflare 的网站 DDoS 保护之后，并开始要求验证码等。

他们还移动了 POP（接入点）SIP 服务器的 IP 地址，并且在论坛上可以看到人们抱怨 SIP 连接失败。最近，人们注意到他们正在通过 Cloudflare 的 Magic Transit 路由他们的 SIP 流量，该 Magic Transit 提供 UDP DDoS 保护。

然而，它们似乎仍然存在断断续续的连接，或者有时似乎处于离线状态。