来源：ti公司 作者：maneesh soni/armitpal mundra

    通信基础局端及语音产品部

    多年来，计算机与基础局端通信系统遭受的服务拒绝(dos)攻击层出不穷。与此同时，家庭及企业环境中的ip语音(voip)服务部署不断加快，这也大幅增加了家庭用户与企业用户遭遇此类安全性问题的风险性。

    语音服务的时间要求非常严格，这使voip通信尤其易受dos攻击的影响。通常情况下，voip通信通道即便遇到最轻微的延迟或时延，也会大幅降低通话质量，导致用户满意度尽失，从而致使服务难以继续，最终导致voip服务完全中断。

    引言

    ip电话是一种在ip网络中类似于计算机、服务器或网关的设备，因此也会受到畸形数据包(malformed packet)或数据包洪流(packet flooding)等dos攻击，从而影响用户所预期的电话服务质量，进而导致服务完全中断。一旦安全性机制被dos攻击所破坏，就会发生欺诈、服务滥用及数据被盗窃等较严重的安全漏洞。voip服务的质量及其可靠性的高低取决于能否快速识别攻击，并在后续攻击进入ip电话等设备的进入点上隔离dos流量。

    本白皮书将介绍dos攻击在ip电话及其它如小区网关等客户端(cpe)上是如何发生的。此外，我们还将探讨部署高稳定性攻击防御机制的高度重要性，并推荐几种防范策略。

    概念

    dos攻击是指ip电话因处理恶意节点以超高速率发送的冗余数据而被占用，从而导致的安全问题。这种无谓的处理工作会消耗大量的系统资源并占用大量cpu时间，导致电话不能有效地处理合法服务请求，进而影响语音通话的质量。

    举例来说，如果以高速率发送tcp syn数据包，就会对ip电话形成攻击。作为对这些数据包的响应，受攻击的电话将会分配一部分存储器通过ip通信连接来接收这些可疑的信息。在这类dos攻击情况下，黑客以高速率发送参数经过修改的syn数据包，导致电话最终耗尽所有可用的存储器资源。其最终结果是电话不能处理合法的服务请求，甚至拒绝可能是非常重要的voip服务。对于分布式服务拒绝(ddos)攻击而言，这种情况就会变得更加可怕，攻击者会利用多部计算机向目标设备发起联合dos攻击。这时，攻击者就能够通过利用多台计算机的资源来大幅加强dos攻击的破坏力，快速耗尽资源，而许多计算机被利用为攻击平台却通常毫不知情。

    ip电话还会被ping响应攻击，这时，黑客发出广播ping请求数据包来欺骗目标电话的返回路径。这会导致大量ping响应数据包突发进入目标电话，占用所有资源来处理其大量请求。

    另一种类型的dos攻击会利用协议软件的弱点。攻击者利用高级工具和数据模式(data pattern)来创建专用于探查安全漏洞的数据包，从而使目标电话的资源瘫痪。此外，还有一种称为配置篡改攻击的dos攻击，攻击者通过编辑路径选择表(routing table)来篡改voip系统的配置。方法是将数据包指向错误的方向，或造成系统不能与voip呼叫管理器协作，从而导致服务拒绝。随着因特网不断推广，遭受dos攻击的可能性也在不断增加，对于语音这类应用而言尤其如此，因为这种应用需要持续而可靠的带宽才能确保高质量通话。

    友军炮火

    “友军炮火(friendly fire)”型dos攻击是指ip电话无意间遭到攻击。如果在某特定网络上的各节点之间交换大量协议了解数据包(protocol-learning packet)，通常就会发生这种情况。网络中心设备会遭受大流量的影响，由于其必须要处理这些无用的数据而耗尽资源。这种问题通常是由系统管理员对网络资源管理不善所致。

    保护机制

    船舶停在港湾中是安全的，但停在港湾并不是我们建造船舶的目的。为了让ip电话实现高质量的语音通信，就必须采取适当的策略来解决dos攻击问题。

    基于路由器的 dos 防火墙

    在此情况下，ip