Наиболее вероятная причина - автоматические боты, сканирующие Интернет на наличие открытых SIP-хостов - проверьте с помощью инструмента захвата пакетов, такого как tcpdump, tshark, Wireshark.
Например, вот что показывает tcpdump
(вся наша подсеть получила это всего несколько минут назад):
16:05:29.914631 IP 50.62.22.192.5172 > 192.0.2.246.5060: SIP, length: 407
E.....@.4...2>.......4......OPTIONS sip:100@192.0.2.246 SIP/2.0
Via: SIP/2.0/UDP 127.0.0.1:5172;branch=Z9Hg4Bk-409333146;rport
Content-Length: 0
From: "sipvicious"<sip:100@1.1.1.1>;tag=6330303030326636313363340132373131383732373731
Accept: application/sdp
User-Agent: friendly-scanner
To: "sipvicious"<sip:100@1.1.1.1>
Contact: sip:100@127.0.0.1:5172
CSeq: 1 OPTIONS
Call-ID: 984345958051304257309960
Max-Forwards: 70
Обратите внимание, что многие SIP-клиенты пытаются автоматически настроить переадресацию портов, например, используя UPnP.
Предполагая, что это на самом деле sipvicious, см. Также https://serverfault.com/questions/549134.