多年来,计算机与基础局端通信系统遭受的服务拒绝(DoS)攻击层出不穷。与此同时,家庭及企业环境中的IP语音(VoIP)服务部署不断加快,这也大幅增加了家庭用户与企业用户遭遇此类安全性问题的风险性。
语音服务的时间要求非常严格,这使VoIP通信尤其易受DoS攻击的影响。通常情况下,VoIP通信通道即便遇到最轻微的延迟或时延,也会大幅降低通话质量,导致用户满意度尽失,从而致使服务难以继续,最终导致VoIP服务完全中断。
引言
IP电话是一种在IP网络中类似于计算机、服务器或网关的设备,因此也会受到畸形数据包(malformed packet)或数据包洪流(packet flooding)等DoS攻击,从而影响用户所预期的电话服务质量,进而导致服务完全中断。一旦安全性机制被DoS攻击所破坏,就会发生欺诈、服务滥用及数据被盗窃等较严重的安全漏洞。VoIP服务的质量及其可靠性的高低取决于能否快速识别攻击,并在后续攻击进入IP电话等设备的进入点上隔离DoS流量。
本白皮书将介绍DoS攻击在IP电话及其它如小区网关等客户端(CPE)上是如何发生的。此外,我们还将探讨部署高稳定性攻击防御机制的高度重要性,并推荐几种防范策略。
概念
DoS攻击是指IP电话因处理恶意节点以超高速率发送的冗余数据而被占用,从而导致的安全问题。这种无谓的处理工作会消耗大量的系统资源并占用大量CPU时间,导致电话不能有效地处理合法服务请求,进而影响语音通话的质量。
举例来说,如果以高速率发送TCP SYN数据包,就会对IP电话形成攻击。作为对这些数据包的响应,受攻击的电话将会分配一部分存储器通过IP通信连接来接收这些可疑的信息。在这类DoS攻击情况下,黑客以高速率发送参数经过修改的SYN数据包,导致电话最终耗尽所有可用的存储器资源。其最终结果是电话不能处理合法的服务请求,甚至拒绝可能是非常重要的VoIP服务。对于分布式服务拒绝(DDoS)攻击而言,这种情况就会变得更加可怕,攻击者会利用多部计算机向目标设备发起联合DoS攻击。这时,攻击者就能够通过利用多台计算机的资源来大幅加强DoS攻击的破坏力,快速耗尽资源,而许多计算机被利用为攻击平台却通常毫不知情。
IP电话还会被ping响应攻击,这时,黑客发出广播ping请求数据包来欺骗目标电话的返回路径。这会导致大量ping响应数据包突发进入目标电话,占用所有资源来处理其大量请求。
另一种类型的DoS攻击会利用协议软件的弱点。攻击者利用高级工具和数据模式(data pattern)来创建专用于探查安全漏洞的数据包,从而使目标电话的资源瘫痪。此外,还有一种称为配置篡改攻击的DoS攻击,攻击者通过编辑路径选择表(routing table)来篡改VoIP系统的配置。方法是将数据包指向错误的方向,或造成系统不能与VoIP呼叫管理器协作,从而导致服务拒绝。随着因特网不断推广,遭受DoS攻击的可能性也在不断增加,对于语音这类应用而言尤其如此,因为这种应用需要持续而可靠的带宽才能确保高质量通话。
友军炮火
“友军炮火(friendly fire)”型DoS攻击是指IP电话无意间遭到攻击。如果在某特定网络上的各节点之间交换大量协议了解数据包(protocol-learning packet),通常就会发生这种情况。网络中心设备会遭受大流量的影响,由于其必须要处理这些无用的数据而耗尽资源。这种问题通常是由系统管理员对网络资源管理不善所致。
保护机制
船舶停在港湾中是安全的,但停在港湾并不是我们建造船舶的目的。为了让IP电话实现高质量的语音通信,就必须采取适当的策略来解决DoS攻击问题。
基于路由器的 DoS 防火墙
在此情况下,IP电话工作在可信赖的网络上,该网络通过路由器上安装的防火墙与因特网上其他一般的通信流量实现很好的隔离,而且该防火墙还提供了处理DoS的工具,可吸收DoS攻击,从而保护IP电话不受来自网络的攻击。不过,这种方法最适合的是所有节点都是可信赖的小型网络。此外,如果必须在每部路由器上都安装防火墙,这就会大幅提高部署的成本。
具备 DoS 防护功能的 IP 电话
随着局域网(LAN)部署不断普及,特别是企业、高校以及其他大型机构纷纷部署了局域网,而这些地方的大量节点共享相同的网络。因为许多DoS攻击往往是通过虚假网络地址且是从在我们看来封闭的网络上中发出的,这就使我们难以用以上方法来确保IP电话的安全性。
因此,我们说,就特定的IP电话而言,最佳的DoS攻击防范方法应当以电话本身为基础,也就是说,IP电话应当内置识别并具有抵制DoS攻击的功能,同时又不会影响其自身的语音质量。
来源:全球IP通信联盟