Nguyên nhân rất có thể là các bot tự động quét Internet để tìm các máy chủ SIP mở - kiểm tra bằng một công cụ chụp gói như tcpdump, tshark, Wireshark.
Ví dụ: đây là những gì tcpdump
chương trình (toàn bộ mạng con của chúng tôi đã nhận được những thứ đó chỉ một lúc trước):
16:05:29.914631 IP 50.62.22.192.5172 > 192.0.2.246.5060: SIP, length: 407
E.....@.4...2>.......4......OPTIONS sip:100@192.0.2.246 SIP/2.0
Via: SIP/2.0/UDP 127.0.0.1:5172;branch=Z9Hg4Bk-409333146;rport
Content-Length: 0
From: "sipvicious"<sip:100@1.1.1.1>;tag=6330303030326636313363340132373131383732373731
Accept: application/sdp
User-Agent: friendly-scanner
To: "sipvicious"<sip:100@1.1.1.1>
Contact: sip:100@127.0.0.1:5172
CSeq: 1 OPTIONS
Call-ID: 984345958051304257309960
Max-Forwards: 70
Lưu ý rằng nhiều máy khách SIP cố gắng tự động thiết lập chuyển tiếp cổng, ví dụ: sử dụng UPnP.
Giả sử nó thực ra nhấm nháp, xem thêm https://serverfault.com/questions/549134 .