|
作者:Armitpal Mundra DSP 系统产品部设计工程师 amrit@ti.com,
德州仪器
Maneesh Soni DSP 系统产品部设计工程师 msoni@ti.com,
德州仪器
引言
IP 电话是一种在 IP 网络中类似于计算机、服务器或网关的设备,因此也会受到畸形数据包 (malformed packet) 或数据包洪流
(packet flooding) 等 DoS 攻击,从而影响用户所预期的电话服务质量,进而导致服务完全中断。一旦安全性机制被 DoS
攻击所破坏,就会发生欺诈、服务滥用及数据被盗窃等较严重的安全漏洞。VoIP 服务的质量及其可靠性的高低取决于能否快速识别攻击,并在后续攻击进入 IP
电话等设备的进入点上隔离 DoS 流量。
本白皮书将介绍 DoS 攻击在 IP 电话及其它如小区网关等客户端 (CPE)
上是如何发生的。此外,我们还将探讨部署高稳定性攻击防御机制的高度重要性,并推荐几种防范策略。
概念
DoS 攻击是指 IP 电话因处理恶意节点以超高速率发送的冗余数据而被占用,从而导致的安全问题。这种无谓的处理工作会消耗大量的系统资源并占用大量
CPU 时间,导致电话不能有效地处理合法服务请求,进而影响语音通话的质量。
黑客 因特网 IP 电话
举例来说,如果以高速率发送 TCP SYN 数据包,就会对 IP 电话形成攻击。作为对这些数据包的响应,受攻击的电话将会分配一部分存储器通过 IP
通信连接来接收这些可疑的信息。在这类 DoS 攻击情况下,黑客以高速率发送参数经过修改的 SYN
数据包,导致电话最终耗尽所有可用的存储器资源。其最终结果是电话不能处理合法的服务请求,甚至拒绝可能是非常重要的 VoIP 服务。对于分布式服务拒绝 (DDoS)
攻击而言,这种情况就会变得更加可怕,攻击者会利用多部计算机向目标设备发起联合 DoS 攻击。这时,攻击者就能够通过利用多台计算机的资源来大幅加强 DoS
攻击的破坏力,快速耗尽资源,而许多计算机被利用为攻击平台却通常毫不知情。
IP 电话还会被 ping 响应攻击,这时,黑客发出广播 ping 请求数据包来欺骗目标电话的返回路径。这会导致大量 ping
响应数据包突发进入目标电话,占用所有资源来处理其大量请求。
另一种类型的 DoS 攻击会利用协议软件的弱点。攻击者利用高级工具和数据模式 (data pattern)
来创建专用于探查安全漏洞的数据包,从而使目标电话的资源瘫痪。此外,还有一种称为配置篡改攻击的 DoS 攻击,攻击者通过编辑路径选择表 (routing
table) 来篡改 VoIP 系统的配置。方法是将数据包指向错误的方向,或造成系统不能与 VoIP 呼叫管理器协作,从而导致服务拒绝。随着因特网不断推广,遭受
DoS 攻击的可能性也在不断增加,对于语音这类应用而言尤其如此,因为这种应用需要持续而可靠的带宽才能确保高质量通话。
友军炮火
“友军炮火 (friendly fire)”型 DoS 攻击是指 IP
电话无意间遭到攻击。如果在某特定网络上的各节点之间交换大量协议了解数据包 (protocol-learning
packet),通常就会发生这种情况。网络中心设备会遭受大流量的影响,由于其必须要处理这些无用的数据而耗尽资源。这种问题通常是由系统管理员对网络资源管理不善所致。
以太网上流量大 IP 电话
保护机制
船舶停在港湾中是安全的,但停在港湾并不是我们建造船舶的目的。为了让 IP 电话实现高质量的语音通信,就必须采取适当的策略来解决 DoS 攻击问题。
基于路由器的 DoS 防火墙
在此情况下,IP 电话工作在可信赖的网络上,该网络通过路由器上安装的防火墙与因特网上其他一般的通信流量实现很好的隔离,而且该防火墙还提供了处理 DoS
的工具,可吸收 DoS 攻击,从而保护 IP
电话不受来自网络的攻击。不过,这种方法最适合的是所有节点都是可信赖的小型网络。此外,如果必须在每部路由器上都安装防火墙,这就会大幅提高部署的成本。
具备 DoS 防护功能的 IP 电话
随着局域网 (LAN) 部署不断普及,特别是企业、高校以及其他大型机构纷纷部署了局域网,而这些地方的大量节点共享相同的网络。因为许多 DoS
攻击往往是通过虚假网络地址且是从在我们看来封闭的网络上中发出的,这就使我们难以用以上方法来确保 IP 电话的安全性。
因此,我们说,就特定的 IP 电话而言,最佳的 DoS 攻击防范方法应当以电话本身为基础,也就是说,IP 电话应当内置识别并具有抵制 DoS
攻击的功能,同时又不会影响其自身的语音质量。
黑客 因特网 路由器 IP 电话
这种策略为服务供应商和私营企业提供了充分的灵活性,只需将 IP 电话连接至 LAN
或直接连接至因特网就能实现防护效果,除了电话自身提供的防护作用外无需采取其他安全保护措施。电话内置 DoS 的安全功能有助于最终大幅降低 DoS
防护措施的总体成本。
举例来说,我们可为 IP 电话内置硬件逻辑块,以便以线速检查向电话传输的数据包。该硬件能够根据预定义的一组规则识别并隔离与某已知 DoS
攻击模式相匹配的、传输进来的数据包流量。这些规则可通过安全监控主机服务器自动更新或更改,以满足当前最新防火墙技术的需求。
如果 IP 电话检测到 DoS
攻击模式,将丢弃可疑的数据包,并记录相关事件以备进一步分析。对被隔离的数据包进行脱机分析,有助于我们对已识别的攻击类型采取更强大的防范措施。例如,如果 IP
电话的 DoS 防护机制可识别某一 IP 地址在不断发送造成安全威胁的数据包,那么所有来自该 IP 地址的流量都将被拒绝,直到该 IP
地址发送的数据包可以信赖为止。
计算机网络 因特网 IP 电话
拒绝服务攻击
| |
DoS 攻击 |
OSI 层 |
描述 |
| 1 |
ICMP 洪流攻击 |
2 |
以高速率传输进来的 ICMP 数据包 |
| 2 |
ARP 欺诈 |
2 |
接收到无 ARP 请求的 ARP 回复,导致有效 ARP 条目重写 |
| 3 |
Land |
3 |
数据包的 IP 地址来源和目的地相同 |
| 4 |
碎片溢出 |
3 |
IP 数据包碎片的有效负载超过最大 IP 总长度 |
| 5 |
Jolt2 |
3 |
接收到的实际长度小于 IP 数据包给出的总长度 |
| 6 |
微小碎片攻击 |
3 |
数据量极小的数据包碎片 |
| 7 |
非法 IP 选项 |
3 |
超过 IP 报头空间的故障 IP 选项 |
| 8 |
破碎的 ICMP 数据包 |
3 |
破碎的 ICMP 数据包 |
| 9 |
非法的碎片偏移 |
3 |
偏移值均为“1”的数据包碎片 |
| 10 |
短 ICMP 数据包 |
3 |
数据包的 IP 总长度小于 ICMP 报头 |
| 11 |
Ss Ping |
3 |
破碎的 ICMP 数据包,有碎片偏移的重叠现象 |
| 12 |
Bonk |
3 |
高速率的 UDP 数据包碎片,在不同字节范围内会发生偏移重叠 |
| 13 |
非法的 TCP 选项 |
4 |
TCP 选项发生故障或超出 TCP 长度空间 |
| 14 |
SYN 洪流 |
4 |
高速率 TCP SYN 数据包 |
| 15 |
空扫描 |
4 |
TCP 数据包未设置标记 |
| 16 |
短 TCP 数据包 |
4 |
数据包的 IP 总长度小于 TCP 报头 |
| 17 |
FIN ACK |
4 |
TCP 数据包具有 Finish 和 Ack 标志设置 |
| 18 |
SYN 碎片 |
4 |
破碎的 TCP SYN 数据包 |
| 19 |
紧急偏移 |
4 |
TCP 紧急偏移指向当前有效负载之外的数据 |
| 20 |
短 UDP 报头 |
4 |
数据包的 IP 总长度小于 UDP 报头 |
| 21 |
TCP SYN FIN |
4 |
TCP 数据包具有 SYN 和 Finish 标记设置 |
| 22 |
圣诞老人病毒袭击(Xmas scan) |
4 |
TCP 数据包的序列号为零,同时具有完成和紧急标记设置 |
结论
我们必须保护 IP 电话免受 DoS
攻击,以确保可靠而无缝的语音连接,实现高水平的语音质量。对于大多数家庭和企业用户而言,电话语音通信是最不可或缺的沟通形式。对家庭用户来说,家庭电话的可靠性有时决定着家庭成员的人身安全。对企业来说,电话服务哪怕是出了任何暂时的故障,都有可能影响到企业的业绩。
DoS 攻击以前仅见于因特网上的网站和计算机,现在则影响到一部乃至一组 IP 电话,因为 IP
电话设备如同计算机、服务器和网站一样必须通过因特网实现连接。因此,必须为用户和服务供应商提供 IP 电话的防护机制,帮助他们在未来免受任何 DoS
攻击。建立防护机制的最有效措施就是 IP 电话自身内置相关功能。基于路由器的及其他类型的外接 IP 电话 DoS
防护机制都相当昂贵,而最终的效果亦不如内置的好。如今,由于 IP 电话不断集成了高级的技术以及先进的处理能力,因而完全有可能采用自适应防护机制来抵御最新的
DoS 攻击方法,同时还能确保高质量的语音服务。 |