避免IP電話遭到服務拒絕的保護策略
Armitpal Mundra 2009/02/02
引言
IP 電話是一種在 IP 網(wǎng)絡中類似于計算機、服務器或網(wǎng)關的設備���,因此也會受到畸形數(shù)據(jù)包 (malformed packet)
或數(shù)據(jù)包洪流 (packet flooding) 等 DoS 攻擊���,從而影響用戶所預期的電話服務質(zhì)量��,進而導致服務完全中斷����。一旦安全性機制被
DoS 攻擊所破壞,就會發(fā)生欺詐、服務濫用及數(shù)據(jù)被盜竊等較嚴重的安全漏洞�����。VoIP 服務的質(zhì)量及其可靠性的高低取決于能否快速識別攻擊��,并在后續(xù)攻擊進入
IP 電話等設備的進入點上隔離 DoS 流量���。
本白皮書將介紹 DoS 攻擊在 IP 電話及其它如小區(qū)網(wǎng)關等客戶端 (CPE) 上是如何發(fā)生的�����。此外�����,我們還將探討部署高穩(wěn)定性攻擊防御機制的高度重要性,并推薦幾種防范策略��。
概念
DoS 攻擊是指 IP 電話因處理惡意節(jié)點以超高速率發(fā)送的冗余數(shù)據(jù)而被占用�����,從而導致的安全問題����。這種無謂的處理工作會消耗大量的系統(tǒng)資源并占用大量
CPU 時間�,導致電話不能有效地處理合法服務請求���,進而影響語音通話的質(zhì)量�。
黑客 因特網(wǎng) IP 電話
舉例來說�����,如果以高速率發(fā)送 TCP SYN 數(shù)據(jù)包�,就會對 IP 電話形成攻擊。作為對這些數(shù)據(jù)包的響應���,受攻擊的電話將會分配一部分存儲器通過
IP 通信連接來接收這些可疑的信息����。在這類 DoS 攻擊情況下����,黑客以高速率發(fā)送參數(shù)經(jīng)過修改的 SYN 數(shù)據(jù)包,導致電話最終耗盡所有可用的存儲器資源�����。其最終結(jié)果是電話不能處理合法的服務請求,甚至拒絕可能是非常重要的
VoIP 服務�����。對于分布式服務拒絕 (DDoS) 攻擊而言���,這種情況就會變得更加可怕���,攻擊者會利用多部計算機向目標設備發(fā)起聯(lián)合
DoS 攻擊。這時��,攻擊者就能夠通過利用多臺計算機的資源來大幅加強 DoS 攻擊的破壞力�����,快速耗盡資源����,而許多計算機被利用為攻擊平臺卻通常毫不知情��。
IP 電話還會被 ping 響應攻擊�,這時,黑客發(fā)出廣播 ping 請求數(shù)據(jù)包來欺騙目標電話的返回路徑���。這會導致大量
ping 響應數(shù)據(jù)包突發(fā)進入目標電話���,占用所有資源來處理其大量請求��。
另一種類型的 DoS 攻擊會利用協(xié)議軟件的弱點�����。攻擊者利用高級工具和數(shù)據(jù)模式 (data pattern) 來創(chuàng)建專用于探查安全漏洞的數(shù)據(jù)包���,從而使目標電話的資源癱瘓。此外����,還有一種稱為配置篡改攻擊的
DoS 攻擊,攻擊者通過編輯路徑選擇表 (routing table) 來篡改 VoIP 系統(tǒng)的配置��。方法是將數(shù)據(jù)包指向錯誤的方向�,或造成系統(tǒng)不能與
VoIP 呼叫管理器協(xié)作,從而導致服務拒絕�。隨著因特網(wǎng)不斷推廣,遭受 DoS 攻擊的可能性也在不斷增加�,對于語音這類應用而言尤其如此,因為這種應用需要持續(xù)而可靠的帶寬才能確保高質(zhì)量通話�。
友軍炮火
“友軍炮火 (friendly fire)”型 DoS 攻擊是指 IP 電話無意間遭到攻擊�。如果在某特定網(wǎng)絡上的各節(jié)點之間交換大量協(xié)議了解數(shù)據(jù)包
(protocol-learning packet)�����,通常就會發(fā)生這種情況���。網(wǎng)絡中心設備會遭受大流量的影響�����,由于其必須要處理這些無用的數(shù)據(jù)而耗盡資源����。這種問題通常是由系統(tǒng)管理員對網(wǎng)絡資源管理不善所致�。
以太網(wǎng)上流量大 IP 電話
保護機制
船舶停在港灣中是安全的,但停在港灣并不是我們建造船舶的目的���。為了讓 IP 電話實現(xiàn)高質(zhì)量的語音通信�����,就必須采取適當?shù)牟呗詠斫鉀Q
DoS 攻擊問題。
基于路由器的
DoS 防火墻在此情況下�����,IP 電話工作在可信賴的網(wǎng)絡上,該網(wǎng)絡通過路由器上安裝的防火墻與因特網(wǎng)上其他一般的通信流量實現(xiàn)很好的隔離����,而且該防火墻還提供了處理
DoS 的工具,可吸收 DoS 攻擊����,從而保護 IP 電話不受來自網(wǎng)絡的攻擊。不過����,這種方法最適合的是所有節(jié)點都是可信賴的小型網(wǎng)絡。此外���,如果必須在每部路由器上都安裝防火墻�,這就會大幅提高部署的成本���。
具備 DoS 防護功能的
IP 電話隨著局域網(wǎng) (LAN) 部署不斷普及�,特別是企業(yè)���、高校以及其他大型機構(gòu)紛紛部署了局域網(wǎng)�����,而這些地方的大量節(jié)點共享相同的網(wǎng)絡����。因為許多
DoS 攻擊往往是通過虛假網(wǎng)絡地址且是從在我們看來封閉的網(wǎng)絡上中發(fā)出的,這就使我們難以用以上方法來確保 IP 電話的安全性�����。
因此���,我們說����,就特定的 IP 電話而言����,最佳的 DoS 攻擊防范方法應當以電話本身為基礎,也就是說���,IP 電話應當內(nèi)置識別并具有抵制
DoS 攻擊的功能�����,同時又不會影響其自身的語音質(zhì)量����。
黑客 因特網(wǎng) 路由器 IP 電話
這種策略為服務供應商和私營企業(yè)提供了充分的靈活性�����,只需將 IP 電話連接至 LAN 或直接連接至因特網(wǎng)就能實現(xiàn)防護效果�,除了電話自身提供的防護作用外無需采取其他安全保護措施。電話內(nèi)置
DoS 的安全功能有助于最終大幅降低 DoS 防護措施的總體成本�����。
例來說�����,我們可為 IP 電話內(nèi)置硬件邏輯塊���,以便以線速檢查向電話傳輸?shù)臄?shù)據(jù)包���。該硬件能夠根據(jù)預定義的一組規(guī)則識別并隔離與某已知
DoS 攻擊模式相匹配的、傳輸進來的數(shù)據(jù)包流量���。這些規(guī)則可通過安全監(jiān)控主機服務器自動更新或更改���,以滿足當前最新防火墻技術(shù)的需求�����。
如果 IP 電話檢測到 DoS 攻擊模式�����,將丟棄可疑的數(shù)據(jù)包�,并記錄相關事件以備進一步分析����。對被隔離的數(shù)據(jù)包進行脫機分析,有助于我們對已識別的攻擊類型采取更強大的防范措施��。例如�,如果
IP 電話的 DoS 防護機制可識別某一 IP 地址在不斷發(fā)送造成安全威脅的數(shù)據(jù)包,那么所有來自該 IP 地址的流量都將被拒絕���,直到該
IP 地址發(fā)送的數(shù)據(jù)包可以信賴為止���。
計算機網(wǎng)絡 因特網(wǎng) IP 電話
拒絕服務攻擊
1 |
DoS 攻擊 |
OSI 層 |
描述 |
1 |
ICMP 洪流攻擊 |
2 |
以高速率傳輸進來的 ICMP 數(shù)據(jù)包 |
2 |
ARP 欺詐 |
2 |
接收到無 ARP 請求的 ARP 回復��,導致有效 ARP 條目重寫 |
3 |
Land |
3 |
數(shù)據(jù)包的 IP 地址來源和目的地相同 |
4 |
碎片溢出 |
3 |
IP 數(shù)據(jù)包碎片的有效負載超過最大 IP 總長度 |
5 |
Jolt2 |
3 |
接收到的實際長度小于 IP 數(shù)據(jù)包給出的總長度 |
6 |
微小碎片攻擊 |
3 |
數(shù)據(jù)量極小的數(shù)據(jù)包碎片 |
7 |
非法 IP 選項 |
3 |
超過 IP 報頭空間的故障 IP 選項 |
8 |
破碎的 ICMP 數(shù)據(jù)包 |
3 |
破碎的 ICMP 數(shù)據(jù)包 |
9 |
非法的碎片偏移 |
3 |
偏移值均為“1”的數(shù)據(jù)包碎片 |
10 |
短 ICMP 數(shù)據(jù)包 |
3 |
數(shù)據(jù)包的 IP 總長度小于 ICMP 報頭 |
11 |
Ss Ping |
3 |
破碎的 ICMP 數(shù)據(jù)包���,有碎片偏移的重疊現(xiàn)象 |
12 |
Bonk |
3 |
高速率的 UDP 數(shù)據(jù)包碎片,在不同字節(jié)范圍內(nèi)會發(fā)生偏移重疊 |
13 |
非法的 TCP 選項 |
4 |
TCP 選項發(fā)生故障或超出 TCP 長度空間 |
14 |
SYN 洪流 |
4 |
高速率 TCP SYN 數(shù)據(jù)包 |
15 |
空掃描 |
4 |
TCP 數(shù)據(jù)包未設置標記 |
16 |
短 TCP 數(shù)據(jù)包 |
4 |
數(shù)據(jù)包的 IP 總長度小于 TCP 報頭 |
17 |
FIN ACK |
4 |
TCP 數(shù)據(jù)包具有 Finish 和 Ack 標志設置 |
18 |
SYN 碎片 |
4 |
破碎的 TCP SYN 數(shù)據(jù)包 |
19 |
緊急偏移 |
4 |
TCP 緊急偏移指向當前有效負載之外的數(shù)據(jù) |
20 |
短 UDP 報頭 |
4 |
數(shù)據(jù)包的 IP 總長度小于 UDP 報頭 |
21 |
TCP SYN FIN |
4 |
TCP 數(shù)據(jù)包具有 SYN 和 Finish 標記設置 |
22 |
圣誕老人病毒襲擊(Xmas scan) |
4 |
TCP 數(shù)據(jù)包的序列號為零�,同時具有完成和緊急標記設置 |
結(jié)論
我們必須保護 IP 電話免受 DoS 攻擊�����,以確���?煽慷鵁o縫的語音連接�����,實現(xiàn)高水平的語音質(zhì)量��。對于大多數(shù)家庭和企業(yè)用戶而言�����,電話語音通信是最不可或缺的溝通形式��。對家庭用戶來說��,家庭電話的可靠性有時決定著家庭成員的人身安全�。對企業(yè)來說,電話服務哪怕是出了任何暫時的故障����,都有可能影響到企業(yè)的業(yè)績。
DoS 攻擊以前僅見于因特網(wǎng)上的網(wǎng)站和計算機�����,現(xiàn)在則影響到一部乃至一組 IP 電話�,因為 IP 電話設備如同計算機、服務器和網(wǎng)站一樣必須通過因特網(wǎng)實現(xiàn)連接���。因此��,必須為用戶和服務供應商提供
IP 電話的防護機制��,幫助他們在未來免受任何 DoS 攻擊����。建立防護機制的最有效措施就是 IP 電話自身內(nèi)置相關功能��。基于路由器的及其他類型的外接
IP 電話 DoS 防護機制都相當昂貴����,而最終的效果亦不如內(nèi)置的好。如今���,由于 IP 電話不斷集成了高級的技術(shù)以及先進的處理能力���,因而完全有可能采用自適應防護機制來抵御最新的
DoS 攻擊方法,同時還能確保高質(zhì)量的語音服務����。
http://focus.ti.com.cn
相關鏈接: