避免IP电话遭到服务拒绝的保护策略
Armitpal Mundra 2009/02/02
黑客 因特网 IP 电话
举例来说,如果以高速率发送 TCP SYN 数据包,就会对 IP 电话形成攻击。作为对这些数据包的响应,受攻击的电话将会分配一部分存储器通过 IP 通信连接来接收这些可疑的信息。在这类 DoS 攻击情况下,黑客以高速率发送参数经过修改的 SYN 数据包,导致电话最终耗尽所有可用的存储器资源。其最终结果是电话不能处理合法的服务请求,甚至拒绝可能是非常重要的 VoIP 服务。对于分布式服务拒绝 (DDoS) 攻击而言,这种情况就会变得更加可怕,攻击者会利用多部计算机向目标设备发起联合 DoS 攻击。这时,攻击者就能够通过利用多台计算机的资源来大幅加强 DoS 攻击的破坏力,快速耗尽资源,而许多计算机被利用为攻击平台却通常毫不知情。
以太网上流量大 IP 电话
保护机制
船舶停在港湾中是安全的,但停在港湾并不是我们建造船舶的目的。为了让 IP 电话实现高质量的语音通信,就必须采取适当的策略来解决
DoS 攻击问题。
基于路由器的
DoS 防火墙在此情况下,IP 电话工作在可信赖的网络上,该网络通过路由器上安装的防火墙与因特网上其他一般的通信流量实现很好的隔离,而且该防火墙还提供了处理
DoS 的工具,可吸收 DoS 攻击,从而保护 IP 电话不受来自网络的攻击。不过,这种方法最适合的是所有节点都是可信赖的小型网络。此外,如果必须在每部路由器上都安装防火墙,这就会大幅提高部署的成本。
具备 DoS 防护功能的
IP 电话随着局域网 (LAN) 部署不断普及,特别是企业、高校以及其他大型机构纷纷部署了局域网,而这些地方的大量节点共享相同的网络。因为许多
DoS 攻击往往是通过虚假网络地址且是从在我们看来封闭的网络上中发出的,这就使我们难以用以上方法来确保 IP 电话的安全性。
因此,我们说,就特定的 IP 电话而言,最佳的 DoS 攻击防范方法应当以电话本身为基础,也就是说,IP 电话应当内置识别并具有抵制
DoS 攻击的功能,同时又不会影响其自身的语音质量。
黑客 因特网 路由器 IP 电话
这种策略为服务供应商和私营企业提供了充分的灵活性,只需将 IP 电话连接至 LAN 或直接连接至因特网就能实现防护效果,除了电话自身提供的防护作用外无需采取其他安全保护措施。电话内置
DoS 的安全功能有助于最终大幅降低 DoS 防护措施的总体成本。
例来说,我们可为 IP 电话内置硬件逻辑块,以便以线速检查向电话传输的数据包。该硬件能够根据预定义的一组规则识别并隔离与某已知
DoS 攻击模式相匹配的、传输进来的数据包流量。这些规则可通过安全监控主机服务器自动更新或更改,以满足当前最新防火墙技术的需求。
如果 IP 电话检测到 DoS 攻击模式,将丢弃可疑的数据包,并记录相关事件以备进一步分析。对被隔离的数据包进行脱机分析,有助于我们对已识别的攻击类型采取更强大的防范措施。例如,如果
IP 电话的 DoS 防护机制可识别某一 IP 地址在不断发送造成安全威胁的数据包,那么所有来自该 IP 地址的流量都将被拒绝,直到该
IP 地址发送的数据包可以信赖为止。
计算机网络 因特网 IP 电话
拒绝服务攻击
1 |
DoS 攻击 |
OSI 层 |
描述 |
1 |
ICMP 洪流攻击 | 2 |
以高速率传输进来的 ICMP 数据包 |
2 |
ARP 欺诈 | 2 |
接收到无 ARP 请求的 ARP 回复,导致有效 ARP 条目重写 |
3 |
Land | 3 |
数据包的 IP 地址来源和目的地相同 |
4 |
碎片溢出 | 3 |
IP 数据包碎片的有效负载超过最大 IP 总长度 |
5 |
Jolt2 | 3 |
接收到的实际长度小于 IP 数据包给出的总长度 |
6 |
微小碎片攻击 | 3 |
数据量极小的数据包碎片 |
7 |
非法 IP 选项 | 3 |
超过 IP 报头空间的故障 IP 选项 |
8 |
破碎的 ICMP 数据包 | 3 |
破碎的 ICMP 数据包 |
9 |
非法的碎片偏移 | 3 |
偏移值均为“1”的数据包碎片 |
10 |
短 ICMP 数据包 | 3 |
数据包的 IP 总长度小于 ICMP 报头 |
11 |
Ss Ping | 3 |
破碎的 ICMP 数据包,有碎片偏移的重叠现象 |
12 |
Bonk | 3 |
高速率的 UDP 数据包碎片,在不同字节范围内会发生偏移重叠 |
13 |
非法的 TCP 选项 | 4 |
TCP 选项发生故障或超出 TCP 长度空间 |
14 |
SYN 洪流 | 4 |
高速率 TCP SYN 数据包 |
15 |
空扫描 | 4 |
TCP 数据包未设置标记 |
16 |
短 TCP 数据包 | 4 |
数据包的 IP 总长度小于 TCP 报头 |
17 |
FIN ACK | 4 |
TCP 数据包具有 Finish 和 Ack 标志设置 |
18 |
SYN 碎片 | 4 |
破碎的 TCP SYN 数据包 |
19 |
紧急偏移 | 4 |
TCP 紧急偏移指向当前有效负载之外的数据 |
20 |
短 UDP 报头 | 4 |
数据包的 IP 总长度小于 UDP 报头 |
21 |
TCP SYN FIN | 4 |
TCP 数据包具有 SYN 和 Finish 标记设置 |
22 |
圣诞老人病毒袭击(Xmas scan) | 4 |
TCP 数据包的序列号为零,同时具有完成和紧急标记设置 |
结论
我们必须保护 IP 电话免受 DoS 攻击,以确保可靠而无缝的语音连接,实现高水平的语音质量。对于大多数家庭和企业用户而言,电话语音通信是最不可或缺的沟通形式。对家庭用户来说,家庭电话的可靠性有时决定着家庭成员的人身安全。对企业来说,电话服务哪怕是出了任何暂时的故障,都有可能影响到企业的业绩。
DoS 攻击以前仅见于因特网上的网站和计算机,现在则影响到一部乃至一组 IP 电话,因为 IP 电话设备如同计算机、服务器和网站一样必须通过因特网实现连接。因此,必须为用户和服务供应商提供
IP 电话的防护机制,帮助他们在未来免受任何 DoS 攻击。建立防护机制的最有效措施就是 IP 电话自身内置相关功能。基于路由器的及其他类型的外接
IP 电话 DoS 防护机制都相当昂贵,而最终的效果亦不如内置的好。如今,由于 IP 电话不断集成了高级的技术以及先进的处理能力,因而完全有可能采用自适应防护机制来抵御最新的
DoS 攻击方法,同时还能确保高质量的语音服务。
TI成本硬件开发套件 实现视频网关应用 2009-09-18 |
德州仪器推出三款全新多通道视频解码器 2009-08-24 |
德州仪器演示单处理器8通道H.264主类编码 2009-06-01 |
德州仪器推出基于达芬奇技术的新型TMS320DM365处理器 2009-03-11 |
TI发布基于OMAP 3的最新Android移动平台 2009-02-27 |