關(guān)鍵字:
作者:Armitpal Mundra
DSP 系統(tǒng)產(chǎn)品部設(shè)計(jì)工程師amrit@ti.com
作者:Maneesh Soni
DSP 系統(tǒng)產(chǎn)品部設(shè)計(jì)工程師msoni@ti.com
通信基礎(chǔ)局端及語(yǔ)音產(chǎn)品部
多年來(lái),計(jì)算機(jī)與基礎(chǔ)局端通信系統(tǒng)遭受的服務(wù)拒絕 (DoS) 攻擊層出不窮。與此同時(shí),家庭及企業(yè)環(huán)境中的 IP 語(yǔ)音 (VoIP) 服務(wù)部署不斷加快,這也大幅增加了家庭用戶與企業(yè)用戶遭遇此類(lèi)安全性問(wèn)題的風(fēng)險(xiǎn)性。
語(yǔ)音服務(wù)的時(shí)間要求非常嚴(yán)格,這使 VoIP 通信尤其易受 DoS 攻擊的影響。通常情況下,VoIP 通信通道即便遇到最輕微的延遲或時(shí)延,也會(huì)大幅降低通話質(zhì)量,導(dǎo)致用戶滿意度盡失,從而致使服務(wù)難以繼續(xù),最終導(dǎo)致 VoIP 服務(wù)完全中斷。
引言
IP 電話是一種在 IP 網(wǎng)絡(luò)中類(lèi)似于計(jì)算機(jī)、服務(wù)器或網(wǎng)關(guān)的設(shè)備,因此也會(huì)受到畸形數(shù)據(jù)包 (malformed packet) 或數(shù)據(jù)包洪流 (packet flooding) 等 DoS 攻擊,從而影響用戶所預(yù)期的電話服務(wù)質(zhì)量,進(jìn)而導(dǎo)致服務(wù)完全中斷。一旦安全性機(jī)制被 DoS 攻擊所破壞,就會(huì)發(fā)生欺詐、服務(wù)濫用及數(shù)據(jù)被盜竊等較嚴(yán)重的安全漏洞。VoIP 服務(wù)的質(zhì)量及其可靠性的高低取決于能否快速識(shí)別攻擊,并在后續(xù)攻擊進(jìn)入 IP 電話等設(shè)備的進(jìn)入點(diǎn)上隔離 DoS 流量。
本白皮書(shū)將介紹 DoS 攻擊在 IP 電話及其它如小區(qū)網(wǎng)關(guān)等客戶端 (CPE) 上是如何發(fā)生的。此外,我們還將探討部署高穩(wěn)定性攻擊防御機(jī)制的高度重要性,并推薦幾種防范策略。
概念
DoS 攻擊是指 IP 電話因處理惡意節(jié)點(diǎn)以超高速率發(fā)送的冗余數(shù)據(jù)而被占用,從而導(dǎo)致的安全問(wèn)題。這種無(wú)謂的處理工作會(huì)消耗大量的系統(tǒng)資源并占用大量 CPU 時(shí)間,導(dǎo)致電話不能有效地處理合法服務(wù)請(qǐng)求,進(jìn)而影響語(yǔ)音通話的質(zhì)量。
黑客 因特網(wǎng) IP 電話
舉例來(lái)說(shuō),如果以高速率發(fā)送 TCP SYN 數(shù)據(jù)包,就會(huì)對(duì) IP 電話形成攻擊。作為對(duì)這些數(shù)據(jù)包的響應(yīng),受攻擊的電話將會(huì)分配一部分存儲(chǔ)器通過(guò) IP 通信連接來(lái)接收這些可疑的信息。在這類(lèi) DoS 攻擊情況下,黑客以高速率發(fā)送參數(shù)經(jīng)過(guò)修改的 SYN 數(shù)據(jù)包,導(dǎo)致電話最終耗盡所有可用的存儲(chǔ)器資源。其最終結(jié)果是電話不能處理合法的服務(wù)請(qǐng)求,甚至拒絕可能是非常重要的 VoIP 服務(wù)。對(duì)于分布式服務(wù)拒絕 (DDoS) 攻擊而言,這種情況就會(huì)變得更加可怕,攻擊者會(huì)利用多部計(jì)算機(jī)向目標(biāo)設(shè)備發(fā)起聯(lián)合 DoS 攻擊。這時(shí),攻擊者就能夠通過(guò)利用多臺(tái)計(jì)算機(jī)的資源來(lái)大幅加強(qiáng) DoS 攻擊的破壞力,快速耗盡資源,而許多計(jì)算機(jī)被利用為攻擊平臺(tái)卻通常毫不知情。
IP 電話還會(huì)被 ping 響應(yīng)攻擊,這時(shí),黑客發(fā)出廣播 ping 請(qǐng)求數(shù)據(jù)包來(lái)欺騙目標(biāo)電話的返回路徑。這會(huì)導(dǎo)致大量 ping 響應(yīng)數(shù)據(jù)包突發(fā)進(jìn)入目標(biāo)電話,占用所有資源來(lái)處理其大量請(qǐng)求。
另一種類(lèi)型的 DoS 攻擊會(huì)利用協(xié)議軟件的弱點(diǎn)。攻擊者利用高級(jí)工具和數(shù)據(jù)模式 (data pattern) 來(lái)創(chuàng)建專(zhuān)用于探查安全漏洞的數(shù)據(jù)包,從而使目標(biāo)電話的資源癱瘓。此外,還有一種稱為配置篡改攻擊的 DoS 攻擊,攻擊者通過(guò)編輯路徑選擇表 (routing table) 來(lái)篡改 VoIP 系統(tǒng)的配置。方法是將數(shù)據(jù)包指向錯(cuò)誤的方向,或造成系統(tǒng)不能與 VoIP 呼叫管理器協(xié)作,從而導(dǎo)致服務(wù)拒絕。隨著因特網(wǎng)不斷推廣,遭受 DoS 攻擊的可能性也在不斷增加,對(duì)于語(yǔ)音這類(lèi)應(yīng)用而言尤其如此,因?yàn)檫@種應(yīng)用需要持續(xù)而可靠的帶寬才能確保高質(zhì)量通話。
友軍炮火
“友軍炮火 (friendly fire)”型 DoS 攻擊是指 IP 電話無(wú)意間遭到攻擊。如果在某特定網(wǎng)絡(luò)上的各節(jié)點(diǎn)之間交換大量協(xié)議了解數(shù)據(jù)包 (protocol-learning packet),通常就會(huì)發(fā)生這種情況。網(wǎng)絡(luò)中心設(shè)備會(huì)遭受大流量的影響,由于其必須要處理這些無(wú)用的數(shù)據(jù)而耗盡資源。這種問(wèn)題通常是由系統(tǒng)管理員對(duì)網(wǎng)絡(luò)資源管理不善所致。
以太網(wǎng)上流量大 IP 電話
保護(hù)機(jī)制
船舶停在港灣中是安全的,但停在港灣并不是我們建造船舶的目的。為了讓 IP 電話實(shí)現(xiàn)高質(zhì)量的語(yǔ)音通信,就必須采取適當(dāng)?shù)牟呗詠?lái)解決 DoS 攻擊問(wèn)題。
基于路由器的DoS 防火墻
在此情況下,IP 電話工作在可信賴的網(wǎng)絡(luò)上,該網(wǎng)絡(luò)通過(guò)路由器上安裝的防火墻與因特網(wǎng)上其他一般的通信流量實(shí)現(xiàn)很好的隔離,而且該防火墻還提供了處理 DoS 的工具,可吸收 DoS 攻擊,從而保護(hù) IP 電話不受來(lái)自網(wǎng)絡(luò)的攻擊。不過(guò),這種方法最適合的是所有節(jié)點(diǎn)都是可信賴的小型網(wǎng)絡(luò)。此外,如果必須在每部路由器上都安裝防火墻,這就會(huì)大幅提高部署的成本。
具備DoS 防護(hù)功能的 IP 電話
隨著局域網(wǎng) (LAN) 部署不斷普及,特別是企業(yè)、高校以及其他大型機(jī)構(gòu)紛紛部署了局域網(wǎng),而這些地方的大量節(jié)點(diǎn)共享相同的網(wǎng)絡(luò)。因?yàn)樵S多 DoS 攻擊往往是通過(guò)虛假網(wǎng)絡(luò)地址且是從在我們看來(lái)封閉的網(wǎng)絡(luò)上中發(fā)出的,這就使我們難以用以上方法來(lái)確保 IP 電話的安全性。
因此,我們說(shuō),就特定的 IP 電話而言,最佳的 DoS 攻擊防范方法應(yīng)當(dāng)以電話本身為基礎(chǔ),也就是說(shuō),IP 電話應(yīng)當(dāng)內(nèi)置識(shí)別并具有抵制 DoS 攻擊的功能,同時(shí)又不會(huì)影響其自身的語(yǔ)音質(zhì)量。
黑客 因特網(wǎng) 路由器 IP 電話
這種策略為服務(wù)供應(yīng)商和私營(yíng)企業(yè)提供了充分的靈活性,只需將 IP 電話連接至 LAN 或直接連接至因特網(wǎng)就能實(shí)現(xiàn)防護(hù)效果,除了電話自身提供的防護(hù)作用外無(wú)需采取其他安全保護(hù)措施。電話內(nèi)置 DoS 的安全功能有助于最終大幅降低 DoS 防護(hù)措施的總體成本。
舉例來(lái)說(shuō),我們可為 IP 電話內(nèi)置硬件邏輯塊,以便以線速檢查向電話傳輸?shù)臄?shù)據(jù)包。該硬件能夠根據(jù)預(yù)定義的一組規(guī)則識(shí)別并隔離與某已知 DoS 攻擊模式相匹配的、傳輸進(jìn)來(lái)的數(shù)據(jù)包流量。這些規(guī)則可通過(guò)安全監(jiān)控主機(jī)服務(wù)器自動(dòng)更新或更改,以滿足當(dāng)前最新防火墻技術(shù)的需求。
如果 IP 電話檢測(cè)到 DoS 攻擊模式,將丟棄可疑的數(shù)據(jù)包,并記錄相關(guān)事件以備進(jìn)一步分析。對(duì)被隔離的數(shù)據(jù)包進(jìn)行脫機(jī)分析,有助于我們對(duì)已識(shí)別的攻擊類(lèi)型采取更強(qiáng)大的防范措施。例如,如果 IP 電話的 DoS 防護(hù)機(jī)制可識(shí)別某一 IP 地址在不斷發(fā)送造成安全威脅的數(shù)據(jù)包,那么所有來(lái)自該 IP 地址的流量都將被拒絕,直到該 IP 地址發(fā)送的數(shù)據(jù)包可以信賴為止。
計(jì)算機(jī)網(wǎng)絡(luò) 因特網(wǎng) IP 電話
拒絕服務(wù)攻擊
DoS 攻擊 OSI 層 描述 1 ICMP 洪流攻擊 2 以高速率傳輸進(jìn)來(lái)的 ICMP 數(shù)據(jù)包 2 ARP 欺詐 2 接收到無(wú) ARP 請(qǐng)求的 ARP 回復(fù),導(dǎo)致有效 ARP 條目重寫(xiě) 3 Land 3 數(shù)據(jù)包的 IP 地址來(lái)源和目的地相同 4 碎片溢出 3 IP 數(shù)據(jù)包碎片的有效負(fù)載超過(guò)最大 IP 總長(zhǎng)度 5 Jolt2 3 接收到的實(shí)際長(zhǎng)度小于 IP 數(shù)據(jù)包給出的總長(zhǎng)度 6 微小碎片攻擊 3 數(shù)據(jù)量極小的數(shù)據(jù)包碎片 7 非法 IP 選項(xiàng) 3 超過(guò) IP 報(bào)頭空間的故障 IP 選項(xiàng) 8 破碎的 ICMP 數(shù)據(jù)包 3 破碎的 ICMP 數(shù)據(jù)包 9 非法的碎片偏移 3 偏移值均為“1”的數(shù)據(jù)包碎片 10 短 ICMP 數(shù)據(jù)包 3 數(shù)據(jù)包的 IP 總長(zhǎng)度小于 ICMP 報(bào)頭 11 Ss Ping 3 破碎的 ICMP 數(shù)據(jù)包,有碎片偏移的重疊現(xiàn)象 12 Bonk 3 高速率的 UDP 數(shù)據(jù)包碎片,在不同字節(jié)范圍內(nèi)會(huì)發(fā)生偏移重疊 13 非法的 TCP 選項(xiàng) 4 TCP 選項(xiàng)發(fā)生故障或超出 TCP 長(zhǎng)度空間 14 SYN 洪流 4 高速率 TCP SYN 數(shù)據(jù)包 15 空掃描 4 TCP 數(shù)據(jù)包未設(shè)置標(biāo)記 16 短 TCP 數(shù)據(jù)包 4 數(shù)據(jù)包的 IP 總長(zhǎng)度小于 TCP 報(bào)頭 17 FIN ACK 4 TCP 數(shù)據(jù)包具有 Finish 和 Ack 標(biāo)志設(shè)置 18 SYN 碎片 4 破碎的 TCP SYN 數(shù)據(jù)包 19 緊急偏移 4 TCP 緊急偏移指向當(dāng)前有效負(fù)載之外的數(shù)據(jù) 20 短 UDP 報(bào)頭 4 數(shù)據(jù)包的 IP 總長(zhǎng)度小于 UDP 報(bào)頭 21 TCP SYN FIN 4 TCP 數(shù)據(jù)包具有 SYN 和 Finish 標(biāo)記設(shè)置 22 圣誕老人病毒襲擊(Xmas scan) 4 TCP 數(shù)據(jù)包的序列號(hào)為零,同時(shí)具有完成和緊急標(biāo)記設(shè)置
結(jié)論
我們必須保護(hù) IP 電話免受 DoS 攻擊,以確保可靠而無(wú)縫的語(yǔ)音連接,實(shí)現(xiàn)高水平的語(yǔ)音質(zhì)量。對(duì)于大多數(shù)家庭和企業(yè)用戶而言,電話語(yǔ)音通信是最不可或缺的溝通形式。對(duì)家庭用戶來(lái)說(shuō),家庭電話的可靠性有時(shí)決定著家庭成員的人身安全。對(duì)企業(yè)來(lái)說(shuō),電話服務(wù)哪怕是出了任何暫時(shí)的故障,都有可能影響到企業(yè)的業(yè)績(jī)。
DoS 攻擊以前僅見(jiàn)于因特網(wǎng)上的網(wǎng)站和計(jì)算機(jī),現(xiàn)在則影響到一部乃至一組 IP 電話,因?yàn)?IP 電話設(shè)備如同計(jì)算機(jī)、服務(wù)器和網(wǎng)站一樣必須通過(guò)因特網(wǎng)實(shí)現(xiàn)連接。因此,必須為用戶和服務(wù)供應(yīng)商提供 IP 電話的防護(hù)機(jī)制,幫助他們?cè)谖磥?lái)免受任何 DoS 攻擊。建立防護(hù)機(jī)制的最有效措施就是 IP 電話自身內(nèi)置相關(guān)功能。基于路由器的及其他類(lèi)型的外接 IP 電話 DoS 防護(hù)機(jī)制都相當(dāng)昂貴,而最終的效果亦不如內(nèi)置的好。如今,由于 IP 電話不斷集成了高級(jí)的技術(shù)以及先進(jìn)的處理能力,因而完全有可能采用自適應(yīng)防護(hù)機(jī)制來(lái)抵御最新的 DoS 攻擊方法,同時(shí)還能確保高質(zhì)量的語(yǔ)音服務(wù)。