避免IP电话遭到服务拒绝的保护策略

通信基础局端及语音产品部 多年来，计算机与基础局端通信系统遭受的服务拒绝(DoS)攻击层出不穷。与此同时，家庭及企业环境中的IP语音(VoIP)服务部署不断加快，这也大幅增加了家庭用户与企业用户遭遇此类安全性问题的风险性。 语音服务的时间要求非常严格，这使VoIP通信尤其易受DoS攻击的影响。通常情况下，VoIP通信通道即便遇到最轻微的延迟或时延，也会大幅降低通话质量，导致用户满意度尽失，从而致使服务难以继续，最终导致VoIP服务完全中断。 引言 IP电话是一种在IP网络中类似于计算机、服务器或网关的设备，因此也会受到畸形数据包(malformed packet)或数据包洪流(packet flooding)等DoS攻击，从而影响用户所预期的电话服务质量，进而导致服务完全中断。一旦安全性机制被DoS攻击所破坏，就会发生欺诈、服务滥用及数据被盗窃等较严重的安全漏洞。VoIP服务的质量及其可靠性的高低取决于能否快速识别攻击，并在后续攻击进入IP电话等设备的进入点上隔离DoS流量。 本白皮书将介绍DoS攻击在IP电话及其它如小区网关等客户端(CPE)上是如何发生的。此外，我们还将探讨部署高稳定性攻击防御机制的高度重要性，并推荐几种防范策略。 概念 DoS攻击是指IP电话因处理恶意节点以超高速率发送的冗余数据而被占用，从而导致的安全问题。这种无谓的处理工作会消耗大量的系统资源并占用大量CPU时间，导致电话不能有效地处理合法服务请求，进而影响语音通话的质量。 举例来说，如果以高速率发送TCP SYN数据包，就会对IP电话形成攻击。作为对这些数据包的响应，受攻击的电话将会分配一部分存储器通过IP通信连接来接收这些可疑的信息。在这类DoS攻击情况下，黑客以高速率发送参数经过修改的SYN数据包，导致电话最终耗尽所有可用的存储器资源。其最终结果是电话不能处理合法的服务请求，甚至拒绝可能是非常重要的VoIP服务。对于分布式服务拒绝(DDoS)攻击而言，这种情况就会变得更加可怕，攻击者会利用多部计算机向目标设备发起联合DoS攻击。这时，攻击者就能够通过利用多台计算机的资源来大幅加强DoS攻击的破坏力，快速耗尽资源，而许多计算机被利用为攻击平台却通常毫不知情。 IP电话还会被ping响应攻击，这时，黑客发出广播ping请求数据包来欺骗目标电话的返回路径。这会导致大量ping响应数据包突发进入目标电话，占用所有资源来处理其大量请求。 另一种类型的DoS攻击会利用协议软件的弱点。攻击者利用高级工具和数据模式(data pattern)来创建专用于探查安全漏洞的数据包，从而使目标电话的资源瘫痪。此外，还有一种称为配置篡改攻击的DoS攻击，攻击者通过编辑路径选择表(routing table)来篡改VoIP系统的配置。方法是将数据包指向错误的方向，或造成系统不能与VoIP呼叫管理器协作，从而导致服务拒绝。随着因特网不断推广，遭受DoS攻击的可能性也在不断增加，对于语音这类应用而言尤其如此，因为这种应用需要持续而可靠的带宽才能确保高质量通话。 友军炮火 “友军炮火(friendly fire)”型DoS攻击是指IP电话无意间遭到攻击。如果在某特定网络上的各节点之间交换大量协议了解数据包(protocol-learning packet)，通常就会发生这种情况。网络中心设备会遭受大流量的影响，由于其必须要处理这些无用的数据而耗尽资源。这种问题通常是由系统管理员对网络资源管理不善所致。 保护机制 船舶停在港湾中是安全的，但停在港湾并不是我们建造船舶的目的。为了让IP电话实现高质量的语音通信，就必须采取适当的策略来解决DoS攻击问题。 基于路由器的 DoS 防火墙 在此情况下，IP电话工作在可信赖的网络上，该网络通过路由器上安装的防火墙与因特网上其他一般的通信流量实现很好的隔离，而且该防火墙还提供了处理DoS的工具，可吸收DoS攻击，从而保护IP电话不受来自网络的攻击。不过，这种方法最适合的是所有节点都是可信赖的小型网络。此外，如果必须在每部路由器上都安装防火墙，这就会大幅提高部署的成本。 具备 DoS 防护功能的 IP 电话 随着局域网(LAN)部署不断普及，特别是企业、高校以及其他大型机构纷纷部署了局域网，而这些地方的大量节点共享相同的网络。因为许多DoS攻击往往是通过虚假网络地址且是从在我们看来封闭的网络上中发出的，这就使我们难以用以上方法来确保IP电话的安全性。 因此，我们说，就特定的IP电话而言，最佳的DoS攻击防范方法应当以电话本身为基础，也就是说，IP电话应当内置识别并具有抵制DoS攻击的功能，同时又不会影响其自身的语音质量。 这种策略为服务供应商和私营企业提供了充分的灵活性，只需将IP电话连接至LAN或直接连接至因特网就能实现防护效果，除了电话自身提供的防护作用外无需采取其他安全保护措施。电话内置DoS的安全功能有助于最终大幅降低DoS防护措施的总体成本。 举例来说，我们可为IP电话内置硬件逻辑块，以便以线速检查向电话传输的数据包。该硬件能够根据预定义的一组规则识别并隔离与某已知DoS攻击模式相匹配的、传输进来的数据包流量。这些规则可通过安全监控主机服务器自动更新或更改，以满足当前最新防火墙技术的需求。 如果IP电话检测到DoS攻击模式，将丢弃可疑的数据包，并记录相关事件以备进一步分析。对被隔离的数据包进行脱机分析，有助于我们对已识别的攻击类型采取更强大的防范措施。例如，如果IP电话的DoS防护机制可识别某一IP地址在不断发送造成安全威胁的数据包，那么所有来自该IP地址的流量都将被拒绝，直到该IP地址发送的数据包可以信赖为止。 拒绝服务攻击 DoS [/b][b]攻击 OSI [/b][b]层 描述 1 ICMP 洪流攻击 2 以高速率传输进来的 ICMP 数据包 2 ARP 欺诈 2 接收到无 ARP 请求的 ARP 回复，导致有效 ARP 条目重写 3 Land 3 数据包的 IP 地址来源和目的地相同 4 碎片溢出 3 IP 数据包碎片的有效负载超过最大 IP 总长度 5 Jolt2 3 接收到的实际长度小于 IP 数据包给出的总长度 6 微小碎 片攻击 3 数据量极小的数据包碎片 7 非法 IP 选项 3 超过 IP 报头空间的故障 IP 选项 8 破碎的 ICMP 数据包 3 破碎的 ICMP 数据包 9 非法的碎片偏移 3 偏移值均为“ 1 ”的数据包碎片 10 短 ICMP 数据包 3 数据包的 IP 总长度小于 ICMP 报头 11 Ss Ping 3 破碎的 ICMP 数据包，有 碎片 偏移的重叠 现象 12 Bonk 3 高速率的 UDP 数据包碎片，在不同字节范围内会发生偏移重叠 13 非法的 TCP 选项 4 TCP 选项发生故障或超出 TCP 长度空间 14 SYN 洪流 4 高速率 TCP SYN 数据包 15 空扫描 4 TCP 数据包未设置标记 16 短 TCP 数据包 4 数据包的 IP 总长度小于 TCP 报头 17 FIN ACK 4 TCP 数据包具有 Finish 和 Ack 标志设置 18 SYN 碎片 4 破碎的 TCP SYN 数据包 19 紧急偏移 4 TCP 紧急偏移指向当前有效负载之外的数据 20 短 UDP 报头 4 数据包的 IP 总长度小于 UDP 报头 21 TCP SYN FIN 4 TCP 数据包具有 SYN 和 Finish 标记设置 22 圣诞老人病毒袭击 ( Xmas scan ) 4 TCP 数据包的序列号为零，同时具有完成和紧急标记设置 结论 我们必须保护IP电话免受DoS攻击，以确保可靠而无缝的语音连接，实现高水平的语音质量。对于大多数家庭和企业用户而言，电话语音通信是最不可或缺的沟通形式。对家庭用户来说，家庭电话的可靠性有时决定着家庭成员的人身安全。对企业来说，电话服务哪怕是出了任何暂时的故障，都有可能影响到企业的业绩。 DoS攻击以前仅见于因特网上的网站和计算机，现在则影响到一部乃至一组IP电话，因为IP电话设备如同计算机、服务器和网站一样必须通过因特网实现连接。因此，必须为用户和服务供应商提供IP电话的防护机制，帮助他们在未来免受任何DoS攻击。建立防护机制的最有效措施就是IP电话自身内置相关功能。基于路由器的及其他类型的外接IP电话DoS防护机制都相当昂贵，而最终的效果亦不如内置的好。如今，由于IP电话不断集成了高级的技术以及先进的处理能力，因而完全有可能采用自适应防护机制来抵御最新的DoS攻击方法，同时还能确保高质量的语音服务。 重要通告：本文所述德州仪器公司及其子公司的产品和服务均按照TI的标准条款和销售条件进行销售。建议客户在下订单之前，先获取有关TI产品和服务最新和最全面的信息。TI对应用援助、客户的应用或产品设计、软件性能或专利侵权概不负责。有关其他任何公司的产品或服务信息的发表并不等同于TI的批准、保证或认可。