多年來,計(jì)算機(jī)與基礎(chǔ)局端通信系統(tǒng)遭受的服務(wù)拒絕(DoS)攻擊層出不窮。與此同時(shí),家庭及企業(yè)環(huán)境中的IP語音(VoIP)服務(wù)部署不斷加快,這也大幅增加了家庭用戶與企業(yè)用戶遭遇此類安全性問題的風(fēng)險(xiǎn)性。
語音服務(wù)的時(shí)間要求非常嚴(yán)格,這使VoIP通信尤其易受DoS攻擊的影響。通常情況下,VoIP通信通道即便遇到最輕微的延遲或時(shí)延,也會(huì)大幅降低通話質(zhì)量,導(dǎo)致用戶滿意度盡失,從而致使服務(wù)難以繼續(xù),最終導(dǎo)致VoIP服務(wù)完全中斷。
引言
IP電話是一種在IP網(wǎng)絡(luò)中類似于計(jì)算機(jī)、服務(wù)器或網(wǎng)關(guān)的設(shè)備,因此也會(huì)受到畸形數(shù)據(jù)包(malformed packet)或數(shù)據(jù)包洪流(packet flooding)等DoS攻擊,從而影響用戶所預(yù)期的電話服務(wù)質(zhì)量,進(jìn)而導(dǎo)致服務(wù)完全中斷。一旦安全性機(jī)制被DoS攻擊所破壞,就會(huì)發(fā)生欺詐、服務(wù)濫用及數(shù)據(jù)被盜竊等較嚴(yán)重的安全漏洞。VoIP服務(wù)的質(zhì)量及其可靠性的高低取決于能否快速識別攻擊,并在后續(xù)攻擊進(jìn)入IP電話等設(shè)備的進(jìn)入點(diǎn)上隔離DoS流量。
本白皮書將介紹DoS攻擊在IP電話及其它如小區(qū)網(wǎng)關(guān)等客戶端(CPE)上是如何發(fā)生的。此外,我們還將探討部署高穩(wěn)定性攻擊防御機(jī)制的高度重要性,并推薦幾種防范策略。
概念
DoS攻擊是指IP電話因處理惡意節(jié)點(diǎn)以超高速率發(fā)送的冗余數(shù)據(jù)而被占用,從而導(dǎo)致的安全問題。這種無謂的處理工作會(huì)消耗大量的系統(tǒng)資源并占用大量CPU時(shí)間,導(dǎo)致電話不能有效地處理合法服務(wù)請求,進(jìn)而影響語音通話的質(zhì)量。
舉例來說,如果以高速率發(fā)送TCP SYN數(shù)據(jù)包,就會(huì)對IP電話形成攻擊。作為對這些數(shù)據(jù)包的響應(yīng),受攻擊的電話將會(huì)分配一部分存儲(chǔ)器通過IP通信連接來接收這些可疑的信息。在這類DoS攻擊情況下,黑客以高速率發(fā)送參數(shù)經(jīng)過修改的SYN數(shù)據(jù)包,導(dǎo)致電話最終耗盡所有可用的存儲(chǔ)器資源。其最終結(jié)果是電話不能處理合法的服務(wù)請求,甚至拒絕可能是非常重要的VoIP服務(wù)。對于分布式服務(wù)拒絕(DDoS)攻擊而言,這種情況就會(huì)變得更加可怕,攻擊者會(huì)利用多部計(jì)算機(jī)向目標(biāo)設(shè)備發(fā)起聯(lián)合DoS攻擊。這時(shí),攻擊者就能夠通過利用多臺(tái)計(jì)算機(jī)的資源來大幅加強(qiáng)DoS攻擊的破壞力,快速耗盡資源,而許多計(jì)算機(jī)被利用為攻擊平臺(tái)卻通常毫不知情。
IP電話還會(huì)被ping響應(yīng)攻擊,這時(shí),黑客發(fā)出廣播ping請求數(shù)據(jù)包來欺騙目標(biāo)電話的返回路徑。這會(huì)導(dǎo)致大量ping響應(yīng)數(shù)據(jù)包突發(fā)進(jìn)入目標(biāo)電話,占用所有資源來處理其大量請求。
另一種類型的DoS攻擊會(huì)利用協(xié)議軟件的弱點(diǎn)。攻擊者利用高級工具和數(shù)據(jù)模式(data pattern)來創(chuàng)建專用于探查安全漏洞的數(shù)據(jù)包,從而使目標(biāo)電話的資源癱瘓。此外,還有一種稱為配置篡改攻擊的DoS攻擊,攻擊者通過編輯路徑選擇表(routing table)來篡改VoIP系統(tǒng)的配置。方法是將數(shù)據(jù)包指向錯(cuò)誤的方向,或造成系統(tǒng)不能與VoIP呼叫管理器協(xié)作,從而導(dǎo)致服務(wù)拒絕。隨著因特網(wǎng)不斷推廣,遭受DoS攻擊的可能性也在不斷增加,對于語音這類應(yīng)用而言尤其如此,因?yàn)檫@種應(yīng)用需要持續(xù)而可靠的帶寬才能確保高質(zhì)量通話。
友軍炮火
“友軍炮火(friendly fire)”型DoS攻擊是指IP電話無意間遭到攻擊。如果在某特定網(wǎng)絡(luò)上的各節(jié)點(diǎn)之間交換大量協(xié)議了解數(shù)據(jù)包(protocol-learning packet),通常就會(huì)發(fā)生這種情況。網(wǎng)絡(luò)中心設(shè)備會(huì)遭受大流量的影響,由于其必須要處理這些無用的數(shù)據(jù)而耗盡資源。這種問題通常是由系統(tǒng)管理員對網(wǎng)絡(luò)資源管理不善所致。
保護(hù)機(jī)制
船舶停在港灣中是安全的,但停在港灣并不是我們建造船舶的目的。為了讓IP電話實(shí)現(xiàn)高質(zhì)量的語音通信,就必須采取適當(dāng)?shù)牟呗詠斫鉀QDoS攻擊問題。
基于路由器的 DoS 防火墻
在此情況下,IP電話工作在可信賴的網(wǎng)絡(luò)上,該網(wǎng)絡(luò)通過路由器上安裝的防火墻與因特網(wǎng)上其他一般的通信流量實(shí)現(xiàn)很好的隔離,而且該防火墻還提供了處理DoS的工具,可吸收DoS攻擊,從而保護(hù)IP電話不受來自網(wǎng)絡(luò)的攻擊。不過,這種方法最適合的是所有節(jié)點(diǎn)都是可信賴的小型網(wǎng)絡(luò)。此外,如果必須在每部路由器上都安裝防火墻,這就會(huì)大幅提高部署的成本。
具備 DoS 防護(hù)功能的 IP 電話
隨著局域網(wǎng)(LAN)部署不斷普及,特別是企業(yè)、高校以及其他大型機(jī)構(gòu)紛紛部署了局域網(wǎng),而這些地方的大量節(jié)點(diǎn)共享相同的網(wǎng)絡(luò)。因?yàn)樵S多DoS攻擊往往是通過虛假網(wǎng)絡(luò)地址且是從在我們看來封閉的網(wǎng)絡(luò)上中發(fā)出的,這就使我們難以用以上方法來確保IP電話的安全性。
因此,我們說,就特定的IP電話而言,最佳的DoS攻擊防范方法應(yīng)當(dāng)以電話本身為基礎(chǔ),也就是說,IP電話應(yīng)當(dāng)內(nèi)置識別并具有抵制DoS攻擊的功能,同時(shí)又不會(huì)影響其自身的語音質(zhì)量。
來源:全球IP通信聯(lián)盟