新聞中心

EEPW首頁 > 手機與無線通信 > 設計應用 > 避免IP電話遭到服務拒絕的保護策略

避免IP電話遭到服務拒絕的保護策略

作者: 時間:2006-12-01 來源:網(wǎng)絡 收藏
通信基礎局端及語音產(chǎn)品部

多年來,計算機與基礎局端通信系統(tǒng)遭受的(DoS)攻擊層出不窮。與此同時,家庭及企業(yè)環(huán)境中的語音(Vo)部署不斷加快,這也大幅增加了家庭用戶與企業(yè)用戶遭遇此類安全性問題的風險性。

語音的時間要求非常嚴格,這使Vo通信尤其易受DoS攻擊的影響。通常情況下,VoIP通信通道即便遇到最輕微的延遲或時延,也會大幅降低通話質量,導致用戶滿意度盡失,從而致使服務難以繼續(xù),最終導致VoIP服務完全中斷。

引言

IP是一種在IP網(wǎng)絡中類似于計算機、服務器或網(wǎng)關的設備,因此也會受到畸形數(shù)據(jù)包(malformed packet)或數(shù)據(jù)包洪流(packet flooding)等DoS攻擊,從而影響用戶所預期的服務質量,進而導致服務完全中斷。一旦安全性機制被DoS攻擊所破壞,就會發(fā)生欺詐、服務濫用及數(shù)據(jù)被盜竊等較嚴重的安全漏洞。VoIP服務的質量及其可靠性的高低取決于能否快速識別攻擊,并在后續(xù)攻擊進入IP等設備的進入點上隔離DoS流量。

本白皮書將介紹DoS攻擊在IP電話及其它如小區(qū)網(wǎng)關等客戶端(CPE)上是如何發(fā)生的。此外,我們還將探討部署高穩(wěn)定性攻擊防御機制的高度重要性,并推薦幾種防范。

概念

DoS攻擊是指IP電話因處理惡意節(jié)點以超高速率發(fā)送的冗余數(shù)據(jù)而被占用,從而導致的安全問題。這種無謂的處理工作會消耗大量的系統(tǒng)資源并占用大量CPU時間,導致電話不能有效地處理合法服務請求,進而影響語音通話的質量。

舉例來說,如果以高速率發(fā)送TCP SYN數(shù)據(jù)包,就會對IP電話形成攻擊。作為對這些數(shù)據(jù)包的響應,受攻擊的電話將會分配一部分存儲器通過IP通信連接來接收這些可疑的信息。在這類DoS攻擊情況下,黑客以高速率發(fā)送參數(shù)經(jīng)過修改的SYN數(shù)據(jù)包,導致電話最終耗盡所有可用的存儲器資源。其最終結果是電話不能處理合法的服務請求,甚至可能是非常重要的VoIP服務。對于分布式服務(DDoS)攻擊而言,這種情況就會變得更加可怕,攻擊者會利用多部計算機向目標設備發(fā)起聯(lián)合DoS攻擊。這時,攻擊者就能夠通過利用多臺計算機的資源來大幅加強DoS攻擊的破壞力,快速耗盡資源,而許多計算機被利用為攻擊平臺卻通常毫不知情。

IP電話還會被ping響應攻擊,這時,黑客發(fā)出廣播ping請求數(shù)據(jù)包來欺騙目標電話的返回路徑。這會導致大量ping響應數(shù)據(jù)包突發(fā)進入目標電話,占用所有資源來處理其大量請求。

另一種類型的DoS攻擊會利用協(xié)議軟件的弱點。攻擊者利用高級工具和數(shù)據(jù)模式(data pattern)來創(chuàng)建專用于探查安全漏洞的數(shù)據(jù)包,從而使目標電話的資源癱瘓。此外,還有一種稱為配置篡改攻擊的DoS攻擊,攻擊者通過編輯路徑選擇表(routing table)來篡改VoIP系統(tǒng)的配置。方法是將數(shù)據(jù)包指向錯誤的方向,或造成系統(tǒng)不能與VoIP呼叫管理器協(xié)作,從而導致服務拒絕。隨著因特網(wǎng)不斷推廣,遭受DoS攻擊的可能性也在不斷增加,對于語音這類應用而言尤其如此,因為這種應用需要持續(xù)而可靠的帶寬才能確保高質量通話。

友軍炮火

“友軍炮火(friendly fire)”型DoS攻擊是指IP電話無意間攻擊。如果在某特定網(wǎng)絡上的各節(jié)點之間交換大量協(xié)議了解數(shù)據(jù)包(protocol-learning packet),通常就會發(fā)生這種情況。網(wǎng)絡中心設備會遭受大流量的影響,由于其必須要處理這些無用的數(shù)據(jù)而耗盡資源。這種問題通常是由系統(tǒng)管理員對網(wǎng)絡資源管理不善所致。

機制

船舶停在港灣中是安全的,但停在港灣并不是我們建造船舶的目的。為了讓IP電話實現(xiàn)高質量的語音通信,就必須采取適當?shù)?a class="contentlabel" href="http://m.butianyuan.cn/news/listbylabel/label/策略">策略來解決DoS攻擊問題。

基于路由器的 DoS 防火墻

在此情況下,IP電話工作在可信賴的網(wǎng)絡上,該網(wǎng)絡通過路由器上安裝的防火墻與因特網(wǎng)上其他一般的通信流量實現(xiàn)很好的隔離,而且該防火墻還提供了處理DoS的工具,可吸收DoS攻擊,從而IP電話不受來自網(wǎng)絡的攻擊。不過,這種方法最適合的是所有節(jié)點都是可信賴的小型網(wǎng)絡。此外,如果必須在每部路由器上都安裝防火墻,這就會大幅提高部署的成本。

具備 DoS 防護功能的 IP 電話

隨著局域網(wǎng)(LAN)部署不斷普及,特別是企業(yè)、高校以及其他大型機構紛紛部署了局域網(wǎng),而這些地方的大量節(jié)點共享相同的網(wǎng)絡。因為許多DoS攻擊往往是通過虛假網(wǎng)絡地址且是從在我們看來封閉的網(wǎng)絡上中發(fā)出的,這就使我們難以用以上方法來確保IP電話的安全性。

因此,我們說,就特定的IP電話而言,最佳的DoS攻擊防范方法應當以電話本身為基礎,也就是說,IP電話應當內置識別并具有抵制DoS攻擊的功能,同時又不會影響其自身的語音質量。

這種為服務供應商和私營企業(yè)提供了充分的靈活性,只需將IP電話連接至LAN或直接連接至因特網(wǎng)就能實現(xiàn)防護效果,除了電話自身提供的防護作用外無需采取其他安全措施。電話內置DoS的安全功能有助于最終大幅降低DoS防護措施的總體成本。

舉例來說,我們可為IP電話內置硬件邏輯塊,以便以線速檢查向電話傳輸?shù)臄?shù)據(jù)包。該硬件能夠根據(jù)預定義的一組規(guī)則識別并隔離與某已知DoS攻擊模式相匹配的、傳輸進來的數(shù)據(jù)包流量。這些規(guī)則可通過安全監(jiān)控主機服務器自動更新或更改,以滿足當前最新防火墻技術的需求。

如果IP電話檢測到DoS攻擊模式,將丟棄可疑的數(shù)據(jù)包,并記錄相關事件以備進一步分析。對被隔離的數(shù)據(jù)包進行脫機分析,有助于我們對已識別的攻擊類型采取更強大的防范措施。例如,如果IP電話的DoS防護機制可識別某一IP地址在不斷發(fā)送造成安全威脅的數(shù)據(jù)包,那么所有來自該IP地址的流量都將被拒絕,直到該IP地址發(fā)送的數(shù)據(jù)包可以信賴為止。

拒絕服務攻擊

DoS 攻擊

OSI

描述

1

ICMP 洪流攻擊

2

以高速率傳輸進來的 ICMP 數(shù)據(jù)包

2

ARP 欺詐

2

接收到無 ARP 請求的 ARP 回復,導致有效 ARP 條目重寫

3

Land

3

數(shù)據(jù)包的 IP 地址來源和目的地相同

4

碎片溢出

3

IP 數(shù)據(jù)包碎片的有效負載超過最大 IP 總長度

5

Jolt2

3

接收到的實際長度小于 IP 數(shù)據(jù)包給出的總長度

6

微小碎 片攻擊

3

數(shù)據(jù)量極小的數(shù)據(jù)包碎片

7

非法 IP 選項

3

超過 IP 報頭空間的故障 IP 選項

8

破碎的 ICMP 數(shù)據(jù)包

3

破碎的 ICMP 數(shù)據(jù)包

9

非法的碎片偏移

3

偏移值均為“ 1 ”的數(shù)據(jù)包碎片

10

短 ICMP 數(shù)據(jù)包

3

數(shù)據(jù)包的 IP 總長度小于 ICMP 報頭

11

Ss Ping

3

破碎的 ICMP 數(shù)據(jù)包,有 碎片 偏移的重疊 現(xiàn)象

12

Bonk

3

高速率的 UDP 數(shù)據(jù)包碎片,在不同字節(jié)范圍內會發(fā)生偏移重疊

13

非法的 TCP 選項

4

TCP 選項發(fā)生故障或超出 TCP 長度空間

14

SYN 洪流

4

高速率 TCP SYN 數(shù)據(jù)包

15

空掃描

4

TCP 數(shù)據(jù)包未設置標記

16

短 TCP 數(shù)據(jù)包

4

數(shù)據(jù)包的 IP 總長度小于 TCP 報頭

17

FIN ACK

4

TCP 數(shù)據(jù)包具有 Finish 和 Ack 標志設置

18

SYN 碎片

4

破碎的 TCP SYN 數(shù)據(jù)包

19

緊急偏移

4

TCP 緊急偏移指向當前有效負載之外的數(shù)據(jù)

20

短 UDP 報頭

4

數(shù)據(jù)包的 IP 總長度小于 UDP 報頭

21

TCP SYN FIN

4

TCP 數(shù)據(jù)包具有 SYN 和 Finish 標記設置

22

圣誕老人病毒襲擊 ( Xmas scan )

4

TCP 數(shù)據(jù)包的序列號為零,同時具有完成和緊急標記設置

結論

我們必須保護IP電話免受DoS攻擊,以確??煽慷鵁o縫的語音連接,實現(xiàn)高水平的語音質量。對于大多數(shù)家庭和企業(yè)用戶而言,電話語音通信是最不可或缺的溝通形式。對家庭用戶來說,家庭電話的可靠性有時決定著家庭成員的人身安全。對企業(yè)來說,電話服務哪怕是出了任何暫時的故障,都有可能影響到企業(yè)的業(yè)績。

DoS攻擊以前僅見于因特網(wǎng)上的網(wǎng)站和計算機,現(xiàn)在則影響到一部乃至一組IP電話,因為IP電話設備如同計算機、服務器和網(wǎng)站一樣必須通過因特網(wǎng)實現(xiàn)連接。因此,必須為用戶和服務供應商提供IP電話的防護機制,幫助他們在未來免受任何DoS攻擊。建立防護機制的最有效措施就是IP電話自身內置相關功能?;诼酚善鞯募捌渌愋偷耐饨覫P電話DoS防護機制都相當昂貴,而最終的效果亦不如內置的好。如今,由于IP電話不斷集成了高級的技術以及先進的處理能力,因而完全有可能采用自適應防護機制來抵御最新的DoS攻擊方法,同時還能確保高質量的語音服務。

重要通告:本文所述德州儀器公司及其子公司的產(chǎn)品和服務均按照TI的標準條款和銷售條件進行銷售。建議客戶在下訂單之前,先獲取有關TI產(chǎn)品和服務最新和最全面的信息。TI對應用援助、客戶的應用或產(chǎn)品設計、軟件性能或專利侵權概不負責。有關其他任何公司的產(chǎn)品或服務信息的發(fā)表并不等同于TI的批準、保證或認可。

tcp/ip相關文章:tcp/ip是什么




評論


相關推薦

技術專區(qū)

關閉