<br><br><div class="gmail_quote">On Fri, Apr 1, 2011 at 2:27 PM, Jason <span dir="ltr"><<a href="mailto:iknowjason@pobox.com">iknowjason@pobox.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<br>
I interpreted the article to imply that DoS was the motive of the "Cyber<br>
Terrorists" but in my experience real attackers (VoIP and otherwise) are<br>
motivated by financial gain (service abuse) and I fail to connect the<br>
dots of some kind of "cyber ransom" note being held to the ITSP<br>
threatening DoS - although this author [1] has mentioned it in the past.<br>
<br>
In my experience doing authorized penetration testing of SBCs (not PBX<br>
servers) for ITSPs, most vulnerabilities enumerated fall into this<br>
category for DoS testing:<br>
1.  10,000 mps legitimate INVITE from onset of INVITE Flood, causing no<br>
response to legitimate INVITE<br>
2.  10,000 mps spoofed INVITE triggers SBC anti-DoS rule after 5<br>
seconds, error response sent to attacker and to valid SIP users as well<br>
3.  10,000 mps DDoS INVITE Flood from multiple stations causes SBC to<br>
drop valid SIP INVITEs.  As soon as attack stops, valid SIP INVITEs are<br>
once again processed<br>
4.  10,000 mps INVITE Flood causes software bug/fault condition in SBC,<br>
system crashes (up to 30 minutes)<br>
<br>
Most ITSPs just don't know they are vulnerable because the network is<br>
never tested from the outside.  To be fair, the moment you can duplicate<br>
the issue to them, they will tune the rules/configuration and be mitigated.<br>
<br>
Most SBCs that I've tested are vulnerable to this issue but the<br>
perceived threat is very low:<br>
<br>
1) We never see or hear it happening until once a blue moon when a media<br>
outlet sensationalizes a "cyber terrorism" based DoS attack<br>
<br>
2) This type of vulnerability really isn't getting actively exploited in<br>
the wild, although the vulnerability does exist<br>
<br>
3) Attackers are less motivated by DoS and more motivated by financial<br>
gain, such as toll fraud.  DoS was the collateral impact/damage of<br>
another motive/attack (as suggested by J. Oquendo)<br>
<br>
Would be interested to know the real motive here.<br>
<br>
[1] Network World link: "Call Flooding Attack" (Patrick Park)<br>
<a href="http://www.networkworld.com/community/node/38458" target="_blank">http://www.networkworld.com/community/node/38458</a><br>
<div><div></div><div class="h5"><br>
On 4/1/2011 10:00 AM, Frank Bulk wrote:<br>
> <a href="http://www.channelpartnersonline.com/news/2011/03/telepacific-network-outage" target="_blank">http://www.channelpartnersonline.com/news/2011/03/telepacific-network-outage</a><br>
> -cyber-terrorism.aspx?nck=1<br>
><br>
> Anyone have more information on this?  Didn't seem important enough to make<br>
> this list, if that's any measure.<br>
><br>
> Frank<br>
><br></div></div></blockquote><div><br>Honestly it sounds like a typical SIPVicous attack on a company that wasn't prepared for it. Which then needed to call it a cyber attack to avoid paying out SLAs. <br></div></div>