避免IP電話遭到服務拒絕的保護策略
Armitpal Mundra 2009/02/02
黑客 因特網 IP 電話
舉例來說,如果以高速率發(fā)送 TCP SYN 數據包,就會對 IP 電話形成攻擊。作為對這些數據包的響應,受攻擊的電話將會分配一部分存儲器通過 IP 通信連接來接收這些可疑的信息。在這類 DoS 攻擊情況下,黑客以高速率發(fā)送參數經過修改的 SYN 數據包,導致電話最終耗盡所有可用的存儲器資源。其最終結果是電話不能處理合法的服務請求,甚至拒絕可能是非常重要的 VoIP 服務。對于分布式服務拒絕 (DDoS) 攻擊而言,這種情況就會變得更加可怕,攻擊者會利用多部計算機向目標設備發(fā)起聯合 DoS 攻擊。這時,攻擊者就能夠通過利用多臺計算機的資源來大幅加強 DoS 攻擊的破壞力,快速耗盡資源,而許多計算機被利用為攻擊平臺卻通常毫不知情。
以太網上流量大 IP 電話
保護機制
船舶停在港灣中是安全的,但停在港灣并不是我們建造船舶的目的。為了讓 IP 電話實現高質量的語音通信,就必須采取適當的策略來解決
DoS 攻擊問題。
基于路由器的
DoS 防火墻在此情況下,IP 電話工作在可信賴的網絡上,該網絡通過路由器上安裝的防火墻與因特網上其他一般的通信流量實現很好的隔離,而且該防火墻還提供了處理
DoS 的工具,可吸收 DoS 攻擊,從而保護 IP 電話不受來自網絡的攻擊。不過,這種方法最適合的是所有節(jié)點都是可信賴的小型網絡。此外,如果必須在每部路由器上都安裝防火墻,這就會大幅提高部署的成本。
具備 DoS 防護功能的
IP 電話隨著局域網 (LAN) 部署不斷普及,特別是企業(yè)、高校以及其他大型機構紛紛部署了局域網,而這些地方的大量節(jié)點共享相同的網絡。因為許多
DoS 攻擊往往是通過虛假網絡地址且是從在我們看來封閉的網絡上中發(fā)出的,這就使我們難以用以上方法來確保 IP 電話的安全性。
因此,我們說,就特定的 IP 電話而言,最佳的 DoS 攻擊防范方法應當以電話本身為基礎,也就是說,IP 電話應當內置識別并具有抵制
DoS 攻擊的功能,同時又不會影響其自身的語音質量。
黑客 因特網 路由器 IP 電話
這種策略為服務供應商和私營企業(yè)提供了充分的靈活性,只需將 IP 電話連接至 LAN 或直接連接至因特網就能實現防護效果,除了電話自身提供的防護作用外無需采取其他安全保護措施。電話內置
DoS 的安全功能有助于最終大幅降低 DoS 防護措施的總體成本。
例來說,我們可為 IP 電話內置硬件邏輯塊,以便以線速檢查向電話傳輸的數據包。該硬件能夠根據預定義的一組規(guī)則識別并隔離與某已知
DoS 攻擊模式相匹配的、傳輸進來的數據包流量。這些規(guī)則可通過安全監(jiān)控主機服務器自動更新或更改,以滿足當前最新防火墻技術的需求。
如果 IP 電話檢測到 DoS 攻擊模式,將丟棄可疑的數據包,并記錄相關事件以備進一步分析。對被隔離的數據包進行脫機分析,有助于我們對已識別的攻擊類型采取更強大的防范措施。例如,如果
IP 電話的 DoS 防護機制可識別某一 IP 地址在不斷發(fā)送造成安全威脅的數據包,那么所有來自該 IP 地址的流量都將被拒絕,直到該
IP 地址發(fā)送的數據包可以信賴為止。
計算機網絡 因特網 IP 電話
拒絕服務攻擊
1 |
DoS 攻擊 |
OSI 層 |
描述 |
1 |
ICMP 洪流攻擊 | 2 |
以高速率傳輸進來的 ICMP 數據包 |
2 |
ARP 欺詐 | 2 |
接收到無 ARP 請求的 ARP 回復,導致有效 ARP 條目重寫 |
3 |
Land | 3 |
數據包的 IP 地址來源和目的地相同 |
4 |
碎片溢出 | 3 |
IP 數據包碎片的有效負載超過最大 IP 總長度 |
5 |
Jolt2 | 3 |
接收到的實際長度小于 IP 數據包給出的總長度 |
6 |
微小碎片攻擊 | 3 |
數據量極小的數據包碎片 |
7 |
非法 IP 選項 | 3 |
超過 IP 報頭空間的故障 IP 選項 |
8 |
破碎的 ICMP 數據包 | 3 |
破碎的 ICMP 數據包 |
9 |
非法的碎片偏移 | 3 |
偏移值均為“1”的數據包碎片 |
10 |
短 ICMP 數據包 | 3 |
數據包的 IP 總長度小于 ICMP 報頭 |
11 |
Ss Ping | 3 |
破碎的 ICMP 數據包,有碎片偏移的重疊現象 |
12 |
Bonk | 3 |
高速率的 UDP 數據包碎片,在不同字節(jié)范圍內會發(fā)生偏移重疊 |
13 |
非法的 TCP 選項 | 4 |
TCP 選項發(fā)生故障或超出 TCP 長度空間 |
14 |
SYN 洪流 | 4 |
高速率 TCP SYN 數據包 |
15 |
空掃描 | 4 |
TCP 數據包未設置標記 |
16 |
短 TCP 數據包 | 4 |
數據包的 IP 總長度小于 TCP 報頭 |
17 |
FIN ACK | 4 |
TCP 數據包具有 Finish 和 Ack 標志設置 |
18 |
SYN 碎片 | 4 |
破碎的 TCP SYN 數據包 |
19 |
緊急偏移 | 4 |
TCP 緊急偏移指向當前有效負載之外的數據 |
20 |
短 UDP 報頭 | 4 |
數據包的 IP 總長度小于 UDP 報頭 |
21 |
TCP SYN FIN | 4 |
TCP 數據包具有 SYN 和 Finish 標記設置 |
22 |
圣誕老人病毒襲擊(Xmas scan) | 4 |
TCP 數據包的序列號為零,同時具有完成和緊急標記設置 |
結論
我們必須保護 IP 電話免受 DoS 攻擊,以確?煽慷鵁o縫的語音連接,實現高水平的語音質量。對于大多數家庭和企業(yè)用戶而言,電話語音通信是最不可或缺的溝通形式。對家庭用戶來說,家庭電話的可靠性有時決定著家庭成員的人身安全。對企業(yè)來說,電話服務哪怕是出了任何暫時的故障,都有可能影響到企業(yè)的業(yè)績。
DoS 攻擊以前僅見于因特網上的網站和計算機,現在則影響到一部乃至一組 IP 電話,因為 IP 電話設備如同計算機、服務器和網站一樣必須通過因特網實現連接。因此,必須為用戶和服務供應商提供
IP 電話的防護機制,幫助他們在未來免受任何 DoS 攻擊。建立防護機制的最有效措施就是 IP 電話自身內置相關功能;诼酚善鞯募捌渌愋偷耐饨
IP 電話 DoS 防護機制都相當昂貴,而最終的效果亦不如內置的好。如今,由于 IP 電話不斷集成了高級的技術以及先進的處理能力,因而完全有可能采用自適應防護機制來抵御最新的
DoS 攻擊方法,同時還能確保高質量的語音服務。
TI成本硬件開發(fā)套件 實現視頻網關應用 2009-09-18 |
德州儀器推出三款全新多通道視頻解碼器 2009-08-24 |
德州儀器演示單處理器8通道H.264主類編碼 2009-06-01 |
德州儀器推出基于達芬奇技術的新型TMS320DM365處理器 2009-03-11 |
TI發(fā)布基于OMAP 3的最新Android移動平臺 2009-02-27 |