避免IP電話(huà)遭到服務(wù)拒絕的保護策略
Armitpal Mundra 2009/02/02
黑客 因特網(wǎng) IP 電話(huà)
舉例來(lái)說(shuō),如果以高速率發(fā)送 TCP SYN 數據包,就會(huì )對 IP 電話(huà)形成攻擊。作為對這些數據包的響應,受攻擊的電話(huà)將會(huì )分配一部分存儲器通過(guò) IP 通信連接來(lái)接收這些可疑的信息。在這類(lèi) DoS 攻擊情況下,黑客以高速率發(fā)送參數經(jīng)過(guò)修改的 SYN 數據包,導致電話(huà)最終耗盡所有可用的存儲器資源。其最終結果是電話(huà)不能處理合法的服務(wù)請求,甚至拒絕可能是非常重要的 VoIP 服務(wù)。對于分布式服務(wù)拒絕 (DDoS) 攻擊而言,這種情況就會(huì )變得更加可怕,攻擊者會(huì )利用多部計算機向目標設備發(fā)起聯(lián)合 DoS 攻擊。這時(shí),攻擊者就能夠通過(guò)利用多臺計算機的資源來(lái)大幅加強 DoS 攻擊的破壞力,快速耗盡資源,而許多計算機被利用為攻擊平臺卻通常毫不知情。
以太網(wǎng)上流量大 IP 電話(huà)
保護機制
船舶停在港灣中是安全的,但停在港灣并不是我們建造船舶的目的。為了讓 IP 電話(huà)實(shí)現高質(zhì)量的語(yǔ)音通信,就必須采取適當的策略來(lái)解決
DoS 攻擊問(wèn)題。
基于路由器的
DoS 防火墻在此情況下,IP 電話(huà)工作在可信賴(lài)的網(wǎng)絡(luò )上,該網(wǎng)絡(luò )通過(guò)路由器上安裝的防火墻與因特網(wǎng)上其他一般的通信流量實(shí)現很好的隔離,而且該防火墻還提供了處理
DoS 的工具,可吸收 DoS 攻擊,從而保護 IP 電話(huà)不受來(lái)自網(wǎng)絡(luò )的攻擊。不過(guò),這種方法最適合的是所有節點(diǎn)都是可信賴(lài)的小型網(wǎng)絡(luò )。此外,如果必須在每部路由器上都安裝防火墻,這就會(huì )大幅提高部署的成本。
具備 DoS 防護功能的
IP 電話(huà)隨著(zhù)局域網(wǎng) (LAN) 部署不斷普及,特別是企業(yè)、高校以及其他大型機構紛紛部署了局域網(wǎng),而這些地方的大量節點(diǎn)共享相同的網(wǎng)絡(luò )。因為許多
DoS 攻擊往往是通過(guò)虛假網(wǎng)絡(luò )地址且是從在我們看來(lái)封閉的網(wǎng)絡(luò )上中發(fā)出的,這就使我們難以用以上方法來(lái)確保 IP 電話(huà)的安全性。
因此,我們說(shuō),就特定的 IP 電話(huà)而言,最佳的 DoS 攻擊防范方法應當以電話(huà)本身為基礎,也就是說(shuō),IP 電話(huà)應當內置識別并具有抵制
DoS 攻擊的功能,同時(shí)又不會(huì )影響其自身的語(yǔ)音質(zhì)量。
黑客 因特網(wǎng) 路由器 IP 電話(huà)
這種策略為服務(wù)供應商和私營(yíng)企業(yè)提供了充分的靈活性,只需將 IP 電話(huà)連接至 LAN 或直接連接至因特網(wǎng)就能實(shí)現防護效果,除了電話(huà)自身提供的防護作用外無(wú)需采取其他安全保護措施。電話(huà)內置
DoS 的安全功能有助于最終大幅降低 DoS 防護措施的總體成本。
例來(lái)說(shuō),我們可為 IP 電話(huà)內置硬件邏輯塊,以便以線(xiàn)速檢查向電話(huà)傳輸的數據包。該硬件能夠根據預定義的一組規則識別并隔離與某已知
DoS 攻擊模式相匹配的、傳輸進(jìn)來(lái)的數據包流量。這些規則可通過(guò)安全監控主機服務(wù)器自動(dòng)更新或更改,以滿(mǎn)足當前最新防火墻技術(shù)的需求。
如果 IP 電話(huà)檢測到 DoS 攻擊模式,將丟棄可疑的數據包,并記錄相關(guān)事件以備進(jìn)一步分析。對被隔離的數據包進(jìn)行脫機分析,有助于我們對已識別的攻擊類(lèi)型采取更強大的防范措施。例如,如果
IP 電話(huà)的 DoS 防護機制可識別某一 IP 地址在不斷發(fā)送造成安全威脅的數據包,那么所有來(lái)自該 IP 地址的流量都將被拒絕,直到該
IP 地址發(fā)送的數據包可以信賴(lài)為止。
計算機網(wǎng)絡(luò ) 因特網(wǎng) IP 電話(huà)
拒絕服務(wù)攻擊
1 |
DoS 攻擊 |
OSI 層 |
描述 |
1 |
ICMP 洪流攻擊 | 2 |
以高速率傳輸進(jìn)來(lái)的 ICMP 數據包 |
2 |
ARP 欺詐 | 2 |
接收到無(wú) ARP 請求的 ARP 回復,導致有效 ARP 條目重寫(xiě) |
3 |
Land | 3 |
數據包的 IP 地址來(lái)源和目的地相同 |
4 |
碎片溢出 | 3 |
IP 數據包碎片的有效負載超過(guò)最大 IP 總長(cháng)度 |
5 |
Jolt2 | 3 |
接收到的實(shí)際長(cháng)度小于 IP 數據包給出的總長(cháng)度 |
6 |
微小碎片攻擊 | 3 |
數據量極小的數據包碎片 |
7 |
非法 IP 選項 | 3 |
超過(guò) IP 報頭空間的故障 IP 選項 |
8 |
破碎的 ICMP 數據包 | 3 |
破碎的 ICMP 數據包 |
9 |
非法的碎片偏移 | 3 |
偏移值均為“1”的數據包碎片 |
10 |
短 ICMP 數據包 | 3 |
數據包的 IP 總長(cháng)度小于 ICMP 報頭 |
11 |
Ss Ping | 3 |
破碎的 ICMP 數據包,有碎片偏移的重疊現象 |
12 |
Bonk | 3 |
高速率的 UDP 數據包碎片,在不同字節范圍內會(huì )發(fā)生偏移重疊 |
13 |
非法的 TCP 選項 | 4 |
TCP 選項發(fā)生故障或超出 TCP 長(cháng)度空間 |
14 |
SYN 洪流 | 4 |
高速率 TCP SYN 數據包 |
15 |
空掃描 | 4 |
TCP 數據包未設置標記 |
16 |
短 TCP 數據包 | 4 |
數據包的 IP 總長(cháng)度小于 TCP 報頭 |
17 |
FIN ACK | 4 |
TCP 數據包具有 Finish 和 Ack 標志設置 |
18 |
SYN 碎片 | 4 |
破碎的 TCP SYN 數據包 |
19 |
緊急偏移 | 4 |
TCP 緊急偏移指向當前有效負載之外的數據 |
20 |
短 UDP 報頭 | 4 |
數據包的 IP 總長(cháng)度小于 UDP 報頭 |
21 |
TCP SYN FIN | 4 |
TCP 數據包具有 SYN 和 Finish 標記設置 |
22 |
圣誕老人病毒襲擊(Xmas scan) | 4 |
TCP 數據包的序列號為零,同時(shí)具有完成和緊急標記設置 |
結論
我們必須保護 IP 電話(huà)免受 DoS 攻擊,以確保可靠而無(wú)縫的語(yǔ)音連接,實(shí)現高水平的語(yǔ)音質(zhì)量。對于大多數家庭和企業(yè)用戶(hù)而言,電話(huà)語(yǔ)音通信是最不可或缺的溝通形式。對家庭用戶(hù)來(lái)說(shuō),家庭電話(huà)的可靠性有時(shí)決定著(zhù)家庭成員的人身安全。對企業(yè)來(lái)說(shuō),電話(huà)服務(wù)哪怕是出了任何暫時(shí)的故障,都有可能影響到企業(yè)的業(yè)績(jì)。
DoS 攻擊以前僅見(jiàn)于因特網(wǎng)上的網(wǎng)站和計算機,現在則影響到一部乃至一組 IP 電話(huà),因為 IP 電話(huà)設備如同計算機、服務(wù)器和網(wǎng)站一樣必須通過(guò)因特網(wǎng)實(shí)現連接。因此,必須為用戶(hù)和服務(wù)供應商提供
IP 電話(huà)的防護機制,幫助他們在未來(lái)免受任何 DoS 攻擊。建立防護機制的最有效措施就是 IP 電話(huà)自身內置相關(guān)功能。基于路由器的及其他類(lèi)型的外接
IP 電話(huà) DoS 防護機制都相當昂貴,而最終的效果亦不如內置的好。如今,由于 IP 電話(huà)不斷集成了高級的技術(shù)以及先進(jìn)的處理能力,因而完全有可能采用自適應防護機制來(lái)抵御最新的
DoS 攻擊方法,同時(shí)還能確保高質(zhì)量的語(yǔ)音服務(wù)。
| TI成本硬件開(kāi)發(fā)套件 實(shí)現視頻網(wǎng)關(guān)應用 2009-09-18 |
| 德州儀器推出三款全新多通道視頻解碼器 2009-08-24 |
| 德州儀器演示單處理器8通道H.264主類(lèi)編碼 2009-06-01 |
| 德州儀器推出基于達芬奇技術(shù)的新型TMS320DM365處理器 2009-03-11 |
| TI發(fā)布基于OMAP 3的最新Android移動(dòng)平臺 2009-02-27 |