關鍵字:
作者:Armitpal Mundra
DSP 系統產品部設計工程師amrit@ti.com
作者:Maneesh Soni
DSP 系統產品部設計工程師msoni@ti.com
通信基礎局端及語音產品部
多年來,計算機與基礎局端通信系統遭受的服務拒絕 (DoS) 攻擊層出不窮。與此同時,家庭及企業環境中的 IP 語音 (VoIP) 服務部署不斷加快,這也大幅增加了家庭用戶與企業用戶遭遇此類安全性問題的風險性。
語音服務的時間要求非常嚴格,這使 VoIP 通信尤其易受 DoS 攻擊的影響。通常情況下,VoIP 通信通道即便遇到最輕微的延遲或時延,也會大幅降低通話質量,導致用戶滿意度盡失,從而致使服務難以繼續,最終導致 VoIP 服務完全中斷。
引言
IP 電話是一種在 IP 網絡中類似于計算機、服務器或網關的設備,因此也會受到畸形數據包 (malformed packet) 或數據包洪流 (packet flooding) 等 DoS 攻擊,從而影響用戶所預期的電話服務質量,進而導致服務完全中斷。一旦安全性機制被 DoS 攻擊所破壞,就會發生欺詐、服務濫用及數據被盜竊等較嚴重的安全漏洞。VoIP 服務的質量及其可靠性的高低取決于能否快速識別攻擊,并在后續攻擊進入 IP 電話等設備的進入點上隔離 DoS 流量。
本白皮書將介紹 DoS 攻擊在 IP 電話及其它如小區網關等客戶端 (CPE) 上是如何發生的。此外,我們還將探討部署高穩定性攻擊防御機制的高度重要性,并推薦幾種防范策略。
概念
DoS 攻擊是指 IP 電話因處理惡意節點以超高速率發送的冗余數據而被占用,從而導致的安全問題。這種無謂的處理工作會消耗大量的系統資源并占用大量 CPU 時間,導致電話不能有效地處理合法服務請求,進而影響語音通話的質量。
黑客 因特網 IP 電話
舉例來說,如果以高速率發送 TCP SYN 數據包,就會對 IP 電話形成攻擊。作為對這些數據包的響應,受攻擊的電話將會分配一部分存儲器通過 IP 通信連接來接收這些可疑的信息。在這類 DoS 攻擊情況下,黑客以高速率發送參數經過修改的 SYN 數據包,導致電話最終耗盡所有可用的存儲器資源。其最終結果是電話不能處理合法的服務請求,甚至拒絕可能是非常重要的 VoIP 服務。對于分布式服務拒絕 (DDoS) 攻擊而言,這種情況就會變得更加可怕,攻擊者會利用多部計算機向目標設備發起聯合 DoS 攻擊。這時,攻擊者就能夠通過利用多臺計算機的資源來大幅加強 DoS 攻擊的破壞力,快速耗盡資源,而許多計算機被利用為攻擊平臺卻通常毫不知情。
IP 電話還會被 ping 響應攻擊,這時,黑客發出廣播 ping 請求數據包來欺騙目標電話的返回路徑。這會導致大量 ping 響應數據包突發進入目標電話,占用所有資源來處理其大量請求。
另一種類型的 DoS 攻擊會利用協議軟件的弱點。攻擊者利用高級工具和數據模式 (data pattern) 來創建專用于探查安全漏洞的數據包,從而使目標電話的資源癱瘓。此外,還有一種稱為配置篡改攻擊的 DoS 攻擊,攻擊者通過編輯路徑選擇表 (routing table) 來篡改 VoIP 系統的配置。方法是將數據包指向錯誤的方向,或造成系統不能與 VoIP 呼叫管理器協作,從而導致服務拒絕。隨著因特網不斷推廣,遭受 DoS 攻擊的可能性也在不斷增加,對于語音這類應用而言尤其如此,因為這種應用需要持續而可靠的帶寬才能確保高質量通話。
友軍炮火
“友軍炮火 (friendly fire)”型 DoS 攻擊是指 IP 電話無意間遭到攻擊。如果在某特定網絡上的各節點之間交換大量協議了解數據包 (protocol-learning packet),通常就會發生這種情況。網絡中心設備會遭受大流量的影響,由于其必須要處理這些無用的數據而耗盡資源。這種問題通常是由系統管理員對網絡資源管理不善所致。
以太網上流量大 IP 電話
保護機制
船舶停在港灣中是安全的,但停在港灣并不是我們建造船舶的目的。為了讓 IP 電話實現高質量的語音通信,就必須采取適當的策略來解決 DoS 攻擊問題。
基于路由器的DoS 防火墻
在此情況下,IP 電話工作在可信賴的網絡上,該網絡通過路由器上安裝的防火墻與因特網上其他一般的通信流量實現很好的隔離,而且該防火墻還提供了處理 DoS 的工具,可吸收 DoS 攻擊,從而保護 IP 電話不受來自網絡的攻擊。不過,這種方法最適合的是所有節點都是可信賴的小型網絡。此外,如果必須在每部路由器上都安裝防火墻,這就會大幅提高部署的成本。
具備DoS 防護功能的 IP 電話
隨著局域網 (LAN) 部署不斷普及,特別是企業、高校以及其他大型機構紛紛部署了局域網,而這些地方的大量節點共享相同的網絡。因為許多 DoS 攻擊往往是通過虛假網絡地址且是從在我們看來封閉的網絡上中發出的,這就使我們難以用以上方法來確保 IP 電話的安全性。
因此,我們說,就特定的 IP 電話而言,最佳的 DoS 攻擊防范方法應當以電話本身為基礎,也就是說,IP 電話應當內置識別并具有抵制 DoS 攻擊的功能,同時又不會影響其自身的語音質量。
黑客 因特網 路由器 IP 電話
這種策略為服務供應商和私營企業提供了充分的靈活性,只需將 IP 電話連接至 LAN 或直接連接至因特網就能實現防護效果,除了電話自身提供的防護作用外無需采取其他安全保護措施。電話內置 DoS 的安全功能有助于最終大幅降低 DoS 防護措施的總體成本。
舉例來說,我們可為 IP 電話內置硬件邏輯塊,以便以線速檢查向電話傳輸的數據包。該硬件能夠根據預定義的一組規則識別并隔離與某已知 DoS 攻擊模式相匹配的、傳輸進來的數據包流量。這些規則可通過安全監控主機服務器自動更新或更改,以滿足當前最新防火墻技術的需求。
如果 IP 電話檢測到 DoS 攻擊模式,將丟棄可疑的數據包,并記錄相關事件以備進一步分析。對被隔離的數據包進行脫機分析,有助于我們對已識別的攻擊類型采取更強大的防范措施。例如,如果 IP 電話的 DoS 防護機制可識別某一 IP 地址在不斷發送造成安全威脅的數據包,那么所有來自該 IP 地址的流量都將被拒絕,直到該 IP 地址發送的數據包可以信賴為止。
計算機網絡 因特網 IP 電話
拒絕服務攻擊
DoS 攻擊 OSI 層 描述 1 ICMP 洪流攻擊 2 以高速率傳輸進來的 ICMP 數據包 2 ARP 欺詐 2 接收到無 ARP 請求的 ARP 回復,導致有效 ARP 條目重寫 3 Land 3 數據包的 IP 地址來源和目的地相同 4 碎片溢出 3 IP 數據包碎片的有效負載超過最大 IP 總長度 5 Jolt2 3 接收到的實際長度小于 IP 數據包給出的總長度 6 微小碎片攻擊 3 數據量極小的數據包碎片 7 非法 IP 選項 3 超過 IP 報頭空間的故障 IP 選項 8 破碎的 ICMP 數據包 3 破碎的 ICMP 數據包 9 非法的碎片偏移 3 偏移值均為“1”的數據包碎片 10 短 ICMP 數據包 3 數據包的 IP 總長度小于 ICMP 報頭 11 Ss Ping 3 破碎的 ICMP 數據包,有碎片偏移的重疊現象 12 Bonk 3 高速率的 UDP 數據包碎片,在不同字節范圍內會發生偏移重疊 13 非法的 TCP 選項 4 TCP 選項發生故障或超出 TCP 長度空間 14 SYN 洪流 4 高速率 TCP SYN 數據包 15 空掃描 4 TCP 數據包未設置標記 16 短 TCP 數據包 4 數據包的 IP 總長度小于 TCP 報頭 17 FIN ACK 4 TCP 數據包具有 Finish 和 Ack 標志設置 18 SYN 碎片 4 破碎的 TCP SYN 數據包 19 緊急偏移 4 TCP 緊急偏移指向當前有效負載之外的數據 20 短 UDP 報頭 4 數據包的 IP 總長度小于 UDP 報頭 21 TCP SYN FIN 4 TCP 數據包具有 SYN 和 Finish 標記設置 22 圣誕老人病毒襲擊(Xmas scan) 4 TCP 數據包的序列號為零,同時具有完成和緊急標記設置
結論
我們必須保護 IP 電話免受 DoS 攻擊,以確保可靠而無縫的語音連接,實現高水平的語音質量。對于大多數家庭和企業用戶而言,電話語音通信是最不可或缺的溝通形式。對家庭用戶來說,家庭電話的可靠性有時決定著家庭成員的人身安全。對企業來說,電話服務哪怕是出了任何暫時的故障,都有可能影響到企業的業績。
DoS 攻擊以前僅見于因特網上的網站和計算機,現在則影響到一部乃至一組 IP 電話,因為 IP 電話設備如同計算機、服務器和網站一樣必須通過因特網實現連接。因此,必須為用戶和服務供應商提供 IP 電話的防護機制,幫助他們在未來免受任何 DoS 攻擊。建立防護機制的最有效措施就是 IP 電話自身內置相關功能。基于路由器的及其他類型的外接 IP 電話 DoS 防護機制都相當昂貴,而最終的效果亦不如內置的好。如今,由于 IP 電話不斷集成了高級的技術以及先進的處理能力,因而完全有可能采用自適應防護機制來抵御最新的 DoS 攻擊方法,同時還能確保高質量的語音服務。