基于SI P网络的D oS攻击分析应甩科技
陈海申永军
(兰州大学信息科学与工程学院,甘肃兰州730000)
隅要】r a3蕾-基于s IP协议应用的不断增多,其安全『生能成为人们关注的焦点。SIP采用文本形式表示消息的特点使英受到D oS攻击的严重威胁。如何设置代理服务器
【荚建词}会话初始协议;网络安全;D oS攻击
会话初始捺议S I P fSes si onIni t i at i onP r ot oc01)以它多方面的优势正在成为下一代网络通信(N G N)和多媒体通信的标准。由于SI P 协议的篱单性、设计上的轻巧性使得SIP协议已经作为一个非常流行的呼叫信号协议而日益得科普及。SI P(会话起始协议)协议是依据简化的思路,而不是安全的思路设计的。所以本文将对SI P网络面临的D oS攻击选行分析。
’会话初始协议协议箍介
会话视始协议《SO Ss i on I ni t i a l Prot oc01)是由t ETF提出并主持研究的一种纂手应用器的多媒体会话控制{办议。SIP用来创建、修改和终止一个或多个多媒体会话。Sl P网络模型,实体包括:用户代理(
U se r A ge nt U A),代理服务器(P r oxyl,熏定服务器(R edi rect),注册服务器(R egi s t r ar)。—个典型的SIP网络如萄1所示:
图1一个典型的SI P网
2SIP面临的安全威胁
SIP采用文本形式表示消息,因此容易被攻击者模仿、篡改,从而被非法利用毒IETF在最初设计V oI P体系及S I P时,把重点放在了提供信令的动态的、强大的韭务的可能性和简单性方面,很少注意安全特征。SIP网络面临拒绝服务的安全威胁最常见,破坏性也最强。下面主要对基于S I P同络的拒绝服务攻击分析。
2l S撙网络下的D oS攻击
SIP协议的固有特点是造成对SIP网络D oS攻击容易发生的原因。SI P消息的头字段会被误用并雩I发D oS攻击。SI P网络实体中S I P代理服务器是核心设备,也是最易受到D oS攻击的,所以也是我们关注的主要对象。
22SI P京统的D oS攻击
下面从已认证的合法用户可能发起的D oS攻击和未认证的任意用户可能发起的D oS攻击两方面进行分柝:
221已认诳的合法用户可能发起的D oS攻击
合法用户(被SI P代理服务器信任的用户)很容易发起D oS攻击,而且难于防范。当然这种D oS攻击不一定是用户有意发起的,也会由合法用户误操作或用户代理端配置错误造成。
利用I N V I T E消息:1)用户代理构造一个l N V I T E消息(包含有被攻击主机IP地址及其相关的V i a字段),然后把这个请求发给大量的SIP节点。这些不幸的SI P节点就对给被攻击的主机产生大量的垃圾应答。2)SIP重定向行为(如图1示).用户B终端在收到代理服务器转发的IN V ITE消息后,向代理服务器的重定向服务器回复一个302消息(M o vedTem por ar i l y)或其他3X X消息告诉代理服务器用户B终端的新地址.代理服务器2会重发IN V ITE消息到终端的新地址完成呼叫请求。而用户终端B可以在收到I N V I TE消息后多次要求重定向造成代理服务器出现无限重定向循环。
利用注册(R E G I STE R)消息在RE G I ST E R消息中的C ont a ct字段可以N个包含绑定地址信息的值。用户代理不管有没有收到上一个注册请求的应答也不管上一个R EG ISTE R请求是否超时,而大量发送C on t act宇段包含多个绑定地址的R EG I S TER请求,造成注册服务器系统资源被大量占用,使其他用户无法接受眼务。
对SI P代理服务器D N S解析合法用户发送的请求消息中含有无法解析或者不存在的地址,使SIP代理服务器阻塞在D N S解析过程中几秒种,造成SIP代理服务器被阻塞。
22.2未认证的任意用户可能发起的D oS攻击
未认证的非法用户通过一些技术手段仍可以对SIP系统发起D o S 攻击。截取合法用户信息,冒充合法用户攻击者可以通过截取合法用户的通信信息从而冒充成为认证的合法用户就可以很容易像33.1中提到的方式发起D oS攻击。
伪造或者篡改S I P消息头攻击者通过欺骗取得SI P代理服务器的信任并伪造含有攻击信息的SI P消息,也可以发起对代理服务器的D oS攻击,困难在于如何取得代理服务器的信任。
冒充代理服务器D oS攻击者冒充代理服务器并拦截用户I N V ITE 消息,使用户发送的I N V I T E消息全部转到假冒代理服务器上并不做响应,使通过这个节点的所有用户无法发起正常的会话请求和服务。
23解决的SI P网络D os攻击的对策
D oS玫击没有办法完全避免,只能防止和减少D oS攻击,将其影响减到最少。这就要求我们通过各种安全机制将拒绝服务攻击造成的影响最小化。主要可以采取的措施是:1)SI P代理服务器在鉴别身份
通过之前不为请求分配状态,减少非法用户通过伪造或者篡改SI P消息对代理服务器进行D oS攻击。2)检查收到的I N V ITE消息,如果已建立了这个请求的事务,则丢弃这个IN V ITE消息。减少利用重复发送l N—V t T E消息进行D oS攻击。3)代理服务器应当拒绝有问题的请求,对这些请求不使用正常的应答重发机制,并且服务器也不保存这些请求的状态以降低攻击者利用代理服务器发产生应答洪水攻击第三方主机的可能性。4}对SI P消息进行扩展,引进双向认证机制,减少冒充SI P代理服务器的可能。可以看出,给S I P网络加入专用的防火墙是较好的方法。但防火墙的力B入还会引起新的D oS攻击漏洞产生。
3结语
SI P协议是借鉴了H TTP和SM TP协议依据简化的思路设计的,所以SI P网络主要依靠SI P协议外的设置来保障其安全。对D oS攻击行为可以构建SI P网络安全框架使SIP网络更安全。但是D o S攻击的威胁仍然存在,在使用l Ps ec、S SL厂『L S或者s/M l M E保护的SI P协议中“t o”和“vi a”等某些文件头字段必须保持可见性,这样才能够正确地传递SI P请求。攻击者仍然可以利用这些消息字段发送欺骗性的“l N V ITE”请求进行D o S攻击,所以还要对减少D oS攻击进行更多的研究。可以从SI P代理服务器如何尽量丢弃应该丢弃的请求方面做进一步分析。
【参考文献]
【1J J K os enb er g,H Schul z ri nn e,G C a m ar i l l o,A,”S es si o n I ni t i at i on P r ot oc ol”
R FC3261.2002
【2】储泰山,潘雪增.SI P安全模型研究及实现Ⅱ】计算机应用与软件2
004
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论