避免避免 IP 电话遭到服务拒绝的保护策略电话遭到服务拒绝的保护策略
多年来,计算机与基础局端通信系统遭受的服务拒绝(DoS)攻击层出不穷。与此同时,家庭及企业环境中的IP语
音(VoIP)服务部署不断加快,这也大幅增加了家庭用户与企业用户遭遇此类安全性问题的风险性。语音服务的时
间要求非常严格,这使VoIP通信尤其易受DoS攻击的影响。
关键字:
作者:Armitpal Mundra
DSP 系统产品部
作者:Maneesh Soni
DSP 系统产品部设计工程师msoni@ti.com
通信
多年来,计算机与基础局端通信系统遭受的服务拒绝 (DoS) 攻击层出不穷。与此同时,家庭及企业环境中的 IP 语音 (VoIP) 服
务部署不断加快,这也大幅增加了家庭用户与企业用户遭遇此类安全性问题的风险性。
引言
IP 电话是一种在 IP 网络中类似于计算机、服务器或网关的设备,因此也会受到畸形数据包 (malformed packet) 或数据包洪流
(packet flooding) 等 DoS 攻击,从而影响用户所预期的电话服务质量,进而导致服务完全中断。一旦安全性机制被 DoS 攻击
所破坏,就会发生欺诈、服务滥用及数据被盗窃等较严重的安全漏洞。VoIP 服务的质量及其可靠性的高低取决于能否快速识
别攻击,并在后续攻击进入 IP 电话等设备的进入点上隔离 DoS 流量。
本白皮书将介绍 DoS 攻击在 IP 电话及其它如小区网关等客户端 (CPE) 上是如何发生的。此外,我们还将探讨部署高稳定性
攻击防御机制的高度重要性,并推荐几种防范策略。
概念概念
DoS 攻击是指 IP 电话因处理恶意节点以超
黑客黑客 因特网因特网 IP 电话电话
举例来说,如果以高速率发送 TCP SYN 数据包,就会对 IP 电话形成攻击。作为对这些数据包的响应,受攻击的电话将会分
配一部分存储器通过 IP 通信连接来接收这些可疑的信息。在这类 DoS 攻击情况下,黑客以高速率发送参数经过修改的 SYN
数据包,导致电话最终耗尽所有可用的存储器资源。其最终结果是电话不能处理合法的服务请求,甚至拒绝可能是非常重要的
VoIP 服务。对于分布式服务拒绝 (DDoS) 攻击而言,这种情况就会变得更加可怕,攻击者会利用多部计算机向目标设备发起
联合 DoS 攻击。这时,攻击者就能够通过利用多台计算机的资源来大幅加强 DoS 攻击的破坏力,快速耗尽资源,而许多计算
机被利用为攻击平台却通常毫不知情。
IP 电话还会被 ping 响应攻击,这时,黑客发出广播 ping 请求数据包来欺骗目标电话的返回路径。这会导致大量 ping 响应数
据包突发进入目标电话,占用所有资源来处理其大量请求。
另一种类型的 DoS 攻击会利用协议软件的弱点。攻击者利用高级工具和数据模式 (data pattern) 来创建专用于探查安全漏洞
的数据包,从而使目标电话的资源瘫痪。此外,还有一种称为配置篡改攻击的 DoS 攻击,攻击者通过编辑路径选择表
(routing table) 来篡改 VoIP 系统的配置。方法是将数据包指向错误的方向,或造成系统不能与 VoIP 呼叫管理器协作,从而导
致服务拒绝。随着因特网不断推广,遭受 DoS 攻击的可能性也在不断增加,对于语音这类应用而言尤其如此,因为这种应用