当前位置:首页 > 通信技术 > 通信技术
[导读]本白皮书将介绍DoS攻击在IP电话及其它如小区网关等客户端(CPE)上是如何发生的。此外,我们还将探讨部署高稳定性攻击防御机制的高度重要性,并推荐几种防范策略。

通信基础局端及语音产品部

    多年来,计算机与基础局端通信系统遭受的服务拒绝(DoS)攻击层出不穷。与此同时,家庭及企业环境中的IP语音(VoIP)服务部署不断加快,这也大幅增加了家庭用户与企业用户遭遇此类安全性问题的风险性。

    语音服务的时间要求非常严格,这使VoIP通信尤其易受DoS攻击的影响。通常情况下,VoIP通信通道即便遇到最轻微的延迟或时延,也会大幅降低通话质量,导致用户满意度尽失,从而致使服务难以继续,最终导致VoIP服务完全中断。

引言

    IP电话是一种在IP网络中类似于计算机、服务器或网关的设备,因此也会受到畸形数据包(malformed packet)或数据包洪流(packet flooding)等DoS攻击,从而影响用户所预期的电话服务质量,进而导致服务完全中断。一旦安全性机制被DoS攻击所破坏,就会发生欺诈、服务滥用及数据被盗窃等较严重的安全漏洞。VoIP服务的质量及其可靠性的高低取决于能否快速识别攻击,并在后续攻击进入IP电话等设备的进入点上隔离DoS流量。

    本白皮书将介绍DoS攻击在IP电话及其它如小区网关等客户端(CPE)上是如何发生的。此外,我们还将探讨部署高稳定性攻击防御机制的高度重要性,并推荐几种防范策略。

概念

    DoS攻击是指IP电话因处理恶意节点以超高速率发送的冗余数据而被占用,从而导致的安全问题。这种无谓的处理工作会消耗大量的系统资源并占用大量CPU时间,导致电话不能有效地处理合法服务请求,进而影响语音通话的质量。

    举例来说,如果以高速率发送TCP SYN数据包,就会对IP电话形成攻击。作为对这些数据包的响应,受攻击的电话将会分配一部分存储器通过IP通信连接来接收这些可疑的信息。在这类DoS攻击情况下,黑客以高速率发送参数经过修改的SYN数据包,导致电话最终耗尽所有可用的存储器资源。其最终结果是电话不能处理合法的服务请求,甚至拒绝可能是非常重要的VoIP服务。对于分布式服务拒绝(DDoS)攻击而言,这种情况就会变得更加可怕,攻击者会利用多部计算机向目标设备发起联合DoS攻击。这时,攻击者就能够通过利用多台计算机的资源来大幅加强DoS攻击的破坏力,快速耗尽资源,而许多计算机被利用为攻击平台却通常毫不知情。

    IP电话还会被ping响应攻击,这时,黑客发出广播ping请求数据包来欺骗目标电话的返回路径。这会导致大量ping响应数据包突发进入目标电话,占用所有资源来处理其大量请求。

    另一种类型的DoS攻击会利用协议软件的弱点。攻击者利用高级工具和数据模式(data pattern)来创建专用于探查安全漏洞的数据包,从而使目标电话的资源瘫痪。此外,还有一种称为配置篡改攻击的DoS攻击,攻击者通过编辑路径选择表(routing table)来篡改VoIP系统的配置。方法是将数据包指向错误的方向,或造成系统不能与VoIP呼叫管理器协作,从而导致服务拒绝。随着因特网不断推广,遭受DoS攻击的可能性也在不断增加,对于语音这类应用而言尤其如此,因为这种应用需要持续而可靠的带宽才能确保高质量通话。

友军炮火

    “友军炮火(friendly fire)”型DoS攻击是指IP电话无意间遭到攻击。如果在某特定网络上的各节点之间交换大量协议了解数据包(protocol-learning packet),通常就会发生这种情况。网络中心设备会遭受大流量的影响,由于其必须要处理这些无用的数据而耗尽资源。这种问题通常是由系统管理员对网络资源管理不善所致。

保护机制

    船舶停在港湾中是安全的,但停在港湾并不是我们建造船舶的目的。为了让IP电话实现高质量的语音通信,就必须采取适当的策略来解决DoS攻击问题。

基于路由器的 DoS 防火墙

    在此情况下,IP电话工作在可信赖的网络上,该网络通过路由器上安装的防火墙与因特网上其他一般的通信流量实现很好的隔离,而且该防火墙还提供了处理DoS的工具,可吸收DoS攻击,从而保护IP电话不受来自网络的攻击。不过,这种方法最适合的是所有节点都是可信赖的小型网络。此外,如果必须在每部路由器上都安装防火墙,这就会大幅提高部署的成本。

具备 DoS 防护功能的 IP 电话

    随着局域网(LAN)部署不断普及,特别是企业、高校以及其他大型机构纷纷部署了局域网,而这些地方的大量节点共享相同的网络。因为许多DoS攻击往往是通过虚假网络地址且是从在我们看来封闭的网络上中发出的,这就使我们难以用以上方法来确保IP电话的安全性。

    因此,我们说,就特定的IP电话而言,最佳的DoS攻击防范方法应当以电话本身为基础,也就是说,IP电话应当内置识别并具有抵制DoS攻击的功能,同时又不会影响其自身的语音质量。

    这种策略为服务供应商和私营企业提供了充分的灵活性,只需将IP电话连接至LAN或直接连接至因特网就能实现防护效果,除了电话自身提供的防护作用外无需采取其他安全保护措施。电话内置DoS的安全功能有助于最终大幅降低DoS防护措施的总体成本。

    举例来说,我们可为IP电话内置硬件逻辑块,以便以线速检查向电话传输的数据包。该硬件能够根据预定义的一组规则识别并隔离与某已知DoS攻击模式相匹配的、传输进来的数据包流量。这些规则可通过安全监控主机服务器自动更新或更改,以满足当前最新防火墙技术的需求。

    如果IP电话检测到DoS攻击模式,将丢弃可疑的数据包,并记录相关事件以备进一步分析。对被隔离的数据包进行脱机分析,有助于我们对已识别的攻击类型采取更强大的防范措施。例如,如果IP电话的DoS防护机制可识别某一IP地址在不断发送造成安全威胁的数据包,那么所有来自该IP地址的流量都将被拒绝,直到该IP地址发送的数据包可以信赖为止。

拒绝服务攻击

DoS 攻击

OSI

描述

1

ICMP 洪流攻击

2

以高速率传输进来的 ICMP 数据包

2

ARP 欺诈

2

接收到无 ARP 请求的 ARP 回复,导致有效 ARP 条目重写

3

Land

3

数据包的 IP 地址来源和目的地相同

4

碎片溢出

3

IP 数据包碎片的有效负载超过最大 IP 总长度

5

Jolt2

3

接收到的实际长度小于 IP 数据包给出的总长度

6

微小碎 片攻击

3

数据量极小的数据包碎片

7

非法 IP 选项

3

超过 IP 报头空间的故障 IP 选项

8

破碎的 ICMP 数据包

3

破碎的 ICMP 数据包

9

非法的碎片偏移

3

偏移值均为“ 1 ”的数据包碎片

10

短 ICMP 数据包

3

数据包的 IP 总长度小于 ICMP 报头

11

Ss Ping

3

破碎的 ICMP 数据包,有 碎片 偏移的重叠 现象

12

Bonk

3

高速率的 UDP 数据包碎片,在不同字节范围内会发生偏移重叠

13

非法的 TCP 选项

4

TCP 选项发生故障或超出 TCP 长度空间

14

SYN 洪流

4

高速率 TCP SYN 数据包

15

空扫描

4

TCP 数据包未设置标记

16

短 TCP 数据包

4

数据包的 IP 总长度小于 TCP 报头

17

FIN ACK

4

TCP 数据包具有 Finish 和 Ack 标志设置

18

SYN 碎片

4

破碎的 TCP SYN 数据包

19

紧急偏移

4

TCP 紧急偏移指向当前有效负载之外的数据

20

短 UDP 报头

4

数据包的 IP 总长度小于 UDP 报头

21

TCP SYN FIN

4

TCP 数据包具有 SYN 和 Finish 标记设置

22

圣诞老人病毒袭击 ( Xmas scan )

4

TCP 数据包的序列号为零,同时具有完成和紧急标记设置

结论

    我们必须保护IP电话免受DoS攻击,以确保可靠而无缝的语音连接,实现高水平的语音质量。对于大多数家庭和企业用户而言,电话语音通信是最不可或缺的沟通形式。对家庭用户来说,家庭电话的可靠性有时决定着家庭成员的人身安全。对企业来说,电话服务哪怕是出了任何暂时的故障,都有可能影响到企业的业绩。

    DoS攻击以前仅见于因特网上的网站和计算机,现在则影响到一部乃至一组IP电话,因为IP电话设备如同计算机、服务器和网站一样必须通过因特网实现连接。因此,必须为用户和服务供应商提供IP电话的防护机制,帮助他们在未来免受任何DoS攻击。建立防护机制的最有效措施就是IP电话自身内置相关功能。基于路由器的及其他类型的外接IP电话DoS防护机制都相当昂贵,而最终的效果亦不如内置的好。如今,由于IP电话不断集成了高级的技术以及先进的处理能力,因而完全有可能采用自适应防护机制来抵御最新的DoS攻击方法,同时还能确保高质量的语音服务。

    重要通告:本文所述德州仪器公司及其子公司的产品和服务均按照TI的标准条款和销售条件进行销售。建议客户在下订单之前,先获取有关TI产品和服务最新和最全面的信息。TI对应用援助、客户的应用或产品设计、软件性能或专利侵权概不负责。有关其他任何公司的产品或服务信息的发表并不等同于TI的批准、保证或认可。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭