避免IP電話(huà)遭到服務(wù)拒絕的保護策略

多年來(lái)，計算機與基礎局端通信系統遭受的服務(wù)拒絕(DoS)攻擊層出不窮。與此同時(shí)，家庭及企業(yè)環(huán)境中的IP語(yǔ)音(VoIP)服務(wù)部署不斷加快，這也大幅增加了家庭用戶(hù)與企業(yè)用戶(hù)遭遇此類(lèi)安全性問(wèn)題的風(fēng)險性。

語(yǔ)音服務(wù)的時(shí)間要求非常嚴格，這使VoIP通信尤其易受DoS攻擊的影響。通常情況下，VoIP通信通道即便遇到最輕微的延遲或時(shí)延，也會(huì )大幅降低通話(huà)質(zhì)量，導致用戶(hù)滿(mǎn)意度盡失，從而致使服務(wù)難以繼續，最終導致VoIP服務(wù)完全中斷。

引言

IP電話(huà)是一種在IP網(wǎng)絡(luò )中類(lèi)似于計算機、服務(wù)器或網(wǎng)關(guān)的設備，因此也會(huì )受到畸形數據包(malformed packet)或數據包洪流(packet flooding)等DoS攻擊，從而影響用戶(hù)所預期的電話(huà)服務(wù)質(zhì)量，進(jìn)而導致服務(wù)完全中斷。一旦安全性機制被DoS攻擊所破壞，就會(huì )發(fā)生欺詐、服務(wù)濫用及數據被盜竊等較嚴重的安全漏洞。VoIP服務(wù)的質(zhì)量及其可靠性的高低取決于能否快速識別攻擊，并在后續攻擊進(jìn)入IP電話(huà)等設備的進(jìn)入點(diǎn)上隔離DoS流量。

本白皮書(shū)將介紹DoS攻擊在IP電話(huà)及其它如小區網(wǎng)關(guān)等客戶(hù)端(CPE)上是如何發(fā)生的。此外，我們還將探討部署高穩定性攻擊防御機制的高度重要性，并推薦幾種防范策略。

概念

DoS攻擊是指IP電話(huà)因處理惡意節點(diǎn)以超高速率發(fā)送的冗余數據而被占用，從而導致的安全問(wèn)題。這種無(wú)謂的處理工作會(huì )消耗大量的系統資源并占用大量CPU時(shí)間，導致電話(huà)不能有效地處理合法服務(wù)請求，進(jìn)而影響語(yǔ)音通話(huà)的質(zhì)量。

舉例來(lái)說(shuō)，如果以高速率發(fā)送TCP SYN數據包，就會(huì )對IP電話(huà)形成攻擊。作為對這些數據包的響應，受攻擊的電話(huà)將會(huì )分配一部分存儲器通過(guò)IP通信連接來(lái)接收這些可疑的信息。在這類(lèi)DoS攻擊情況下，黑客以高速率發(fā)送參數經(jīng)過(guò)修改的SYN數據包，導致電話(huà)最終耗盡所有可用的存儲器資源。其最終結果是電話(huà)不能處理合法的服務(wù)請求，甚至拒絕可能是非常重要的VoIP服務(wù)。對于分布式服務(wù)拒絕(DDoS)攻擊而言，這種情況就會(huì )變得更加可怕，攻擊者會(huì )利用多部計算機向目標設備發(fā)起聯(lián)合DoS攻擊。這時(shí)，攻擊者就能夠通過(guò)利用多臺計算機的資源來(lái)大幅加強DoS攻擊的破壞力，快速耗盡資源，而許多計算機被利用為攻擊平臺卻通常毫不知情。

IP電話(huà)還會(huì )被ping響應攻擊，這時(shí)，黑客發(fā)出廣播ping請求數據包來(lái)欺騙目標電話(huà)的返回路徑。這會(huì )導致大量ping響應數據包突發(fā)進(jìn)入目標電話(huà)，占用所有資源來(lái)處理其大量請求。

另一種類(lèi)型的DoS攻擊會(huì )利用協(xié)議軟件的弱點(diǎn)。攻擊者利用高級工具和數據模式(data pattern)來(lái)創(chuàng )建專(zhuān)用于探查安全漏洞的數據包，從而使目標電話(huà)的資源癱瘓。此外，還有一種稱(chēng)為配置篡改攻擊的DoS攻擊，攻擊者通過(guò)編輯路徑選擇表(routing table)來(lái)篡改VoIP系統的配置。方法是將數據包指向錯誤的方向，或造成系統不能與VoIP呼叫管理器協(xié)作，從而導致服務(wù)拒絕。隨著(zhù)因特網(wǎng)不斷推廣，遭受DoS攻擊的可能性也在不斷增加，對于語(yǔ)音這類(lèi)應用而言尤其如此，因為這種應用需要持續而可靠的帶寬才能確保高質(zhì)量通話(huà)。

友軍炮火

“友軍炮火(friendly fire)”型DoS攻擊是指IP電話(huà)無(wú)意間遭到攻擊。如果在某特定網(wǎng)絡(luò )上的各節點(diǎn)之間交換大量協(xié)議了解數據包(protocol-learning packet)，通常就會(huì )發(fā)生這種情況。網(wǎng)絡(luò )中心設備會(huì )遭受大流量的影響，由于其必須要處理這些無(wú)用的數據而耗盡資源。這種問(wèn)題通常是由系統管理員對網(wǎng)絡(luò )資源管理不善所致。

保護機制

船舶停在港灣中是安全的，但停在港灣并不是我們建造船舶的目的。為了讓IP電話(huà)實(shí)現高質(zhì)量的語(yǔ)音通信，就必須采取適當的策略來(lái)解決DoS攻擊問(wèn)題。

基于路由器的 DoS 防火墻

在此情況下，IP電話(huà)工作在可信賴(lài)的網(wǎng)絡(luò )上，該網(wǎng)絡(luò )通過(guò)路由器上安裝的防火墻與因特網(wǎng)上其他一般的通信流量實(shí)現很好的隔離，而且該防火墻還提供了處理DoS的工具，可吸收DoS攻擊，從而保護IP電話(huà)不受來(lái)自網(wǎng)絡(luò )的攻擊。不過(guò)，這種方法最適合的是所有節點(diǎn)都是可信賴(lài)的小型網(wǎng)絡(luò )。此外，如果必須在每部路由器上都安裝防火墻，這就會(huì )大幅提高部署的成本。

具備 DoS 防護功能的 IP 電話(huà)

隨著(zhù)局域網(wǎng)(LAN)部署不斷普及，特別是企業(yè)、高校以及其他大型機構紛紛部署了局域網(wǎng)，而這些地方的大量節點(diǎn)共享相同的網(wǎng)絡(luò )。因為許多DoS攻擊往往是通過(guò)虛假網(wǎng)絡(luò )地址且是從在我們看來(lái)封閉的網(wǎng)絡(luò )上中發(fā)出的，這就使我們難以用以上方法來(lái)確保IP電話(huà)的安全性。

因此，我們說(shuō)，就特定的IP電話(huà)而言，最佳的DoS攻擊防范方法應當以電話(huà)本身為基礎，也就是說(shuō)，IP電話(huà)應當內置識別并具有抵制DoS攻擊的功能，同時(shí)又不會(huì )影響其自身的語(yǔ)音質(zhì)量。

這種策略為服務(wù)供應商和私營(yíng)企業(yè)提供了充分的靈活性，只需將IP電話(huà)連接至LAN或直接連接至因特網(wǎng)就能實(shí)現防護效果，除了電話(huà)自身提供的防護作用外無(wú)需采取其他安全保護措施。電話(huà)內置DoS的安全功能有助于最終大幅降低DoS防護措施的總體成本。

舉例來(lái)說(shuō)，我們可為IP電話(huà)內置硬件邏輯塊，以便以線(xiàn)速檢查向電話(huà)傳輸的數據包。該硬件能夠根據預定義的一組規則識別并隔離與某已知DoS攻擊模式相匹配的、傳輸進(jìn)來(lái)的數據包流量。這些規則可通過(guò)安全監控主機服務(wù)器自動(dòng)更新或更改，以滿(mǎn)足當前最新防火墻技術(shù)的需求。

如果IP電話(huà)檢測到DoS攻擊模式，將丟棄可疑的數據包，并記錄相關(guān)事件以備進(jìn)一步分析。對被隔離的數據包進(jìn)行脫機分析，有助于我們對已識別的攻擊類(lèi)型采取更強大的防范措施。例如，如果IP電話(huà)的DoS防護機制可識別某一IP地址在不斷發(fā)送造成安全威脅的數據包，那么所有來(lái)自該IP地址的流量都將被拒絕，直到該IP地址發(fā)送的數據包可以信賴(lài)為止。

拒絕服務(wù)攻擊

結論

我們必須保護IP電話(huà)免受DoS攻擊，以確?？煽慷鵁o(wú)縫的語(yǔ)音連接，實(shí)現高水平的語(yǔ)音質(zhì)量。對于大多數家庭和企業(yè)用戶(hù)而言，電話(huà)語(yǔ)音通信是最不可或缺的溝通形式。對家庭用戶(hù)來(lái)說(shuō)，家庭電話(huà)的可靠性有時(shí)決定著(zhù)家庭成員的人身安全。對企業(yè)來(lái)說(shuō)，電話(huà)服務(wù)哪怕是出了任何暫時(shí)的故障，都有可能影響到企業(yè)的業(yè)績(jì)。

DoS攻擊以前僅見(jiàn)于因特網(wǎng)上的網(wǎng)站和計算機，現在則影響到一部乃至一組IP電話(huà)，因為IP電話(huà)設備如同計算機、服務(wù)器和網(wǎng)站一樣必須通過(guò)因特網(wǎng)實(shí)現連接。因此，必須為用戶(hù)和服務(wù)供應商提供IP電話(huà)的防護機制，幫助他們在未來(lái)免受任何DoS攻擊。建立防護機制的最有效措施就是IP電話(huà)自身內置相關(guān)功能?；诼酚善鞯募捌渌?lèi)型的外接IP電話(huà)DoS防護機制都相當昂貴，而最終的效果亦不如內置的好。如今，由于IP電話(huà)不斷集成了高級的技術(shù)以及先進(jìn)的處理能力，因而完全有可能采用自適應防護機制來(lái)抵御最新的DoS攻擊方法，同時(shí)還能確保高質(zhì)量的語(yǔ)音服務(wù)。

重要通告：本文所述德州儀器公司及其子公司的產(chǎn)品和服務(wù)均按照TI的標準條款和銷(xiāo)售條件進(jìn)行銷(xiāo)售。建議客戶(hù)在下訂單之前，先獲取有關(guān)TI產(chǎn)品和服務(wù)最新和最全面的信息。TI對應用援助、客戶(hù)的應用或產(chǎn)品設計、軟件性能或專(zhuān)利侵權概不負責。有關(guān)其他任何公司的產(chǎn)品或服務(wù)信息的發(fā)表并不等同于TI的批準、保證或認可。