sip系统中dos攻击及防范机制.pdfVIP

第27卷第1期 山东通信技术 V01．27No．1 1111篁!旦 曼垒垒坚垒竺里塞篁竺塑竺里坚垒!!堑竺里!皇!垒塾窒!竺墅!!竺!堡垒! SIP系统中DoS攻击及防范机制 宗晓飞万晓榆樊自甫 (重庆邮电大学下一代网络应用技术研究所，重庆400065) 摘要：S口本身提供了许多属性可被用来发起拒绝服务攻击，本文通过对SIP系统中DoS攻击的详细分析，提出了具 有针对性的防范机制，以减小DoS攻击对SIP系统的影响。 关键词：DoS攻击SIP安全防范机制 中图分类号：TP393文献标识码：A 1 引言 出了部署安全的SIP系统的一些安全建议。 2针对SIP系统的DoS攻击 拒绝服务(DenialofService．DoS)攻击是目前较 常见的一类网络攻击行为，这类攻击以剥夺网络节点 提供正常服务的能力为目的。自从2000年2月Ya．大多数的DoS攻击都以耗尽服务器的某种资源 为目的，使服务器由于资源缺乏而拒绝合法用户的各 hoo、eBay、Amazon等大型网站遭受的DoS攻击以 来，DoS在网络上日渐泛滥。CSI／FBI计算机犯罪与安类服务请求。对SP服务器来说主要包括CPU、内存 全调查报告表明：2003年，DoS攻击造成的经济损失 高达65，643，300美元，高居造成最多经济损失的计算 机犯罪的第二位，危害仅次于计算机病毒；2004至消息解析，然后对其做相应的处理(例如鉴权)，寻找 2006年造成的经济损失分居第二．三，五位【”。 路由然后转发消息。由于内容、消息类型和服务器策 现有的DoS检测、防御技术的研究多集中于h1．略的不同，实际消耗的CPU资源都有很夫韵差别。 ternet上的各类服务器、路由器及其它的网络服务方 内存：为了处理SIP消息．SIP服务器需要拷贝每 一个收到的SⅢ请求到其内部缓存。工作在不同的模 面。随着基于口网络的下一代网络(NGN)大规模的 部署商用，它的一些功能实体(包括硬件和软件)渐渐 式(有状态和无状态模式)下，服务器保存缓存数据的 成为DoS新的攻击目标。NGN完全构建在口网之大小和保存数据时间长短均不相同。一般情况下，服 上，它面临着与现有的Internet同样的安全威胁．而且务器至少需要在联系其他实体(例如A触服务器、 由于其开放性的特点，NGN的功能实体将更容易遭DNS服务器，数据库)时维持缓存数据。无状态服务 Initiation 受DoS攻击。SIP(SessionProtoc01)协议【2】已器只需在处理消息的时候保存一个消息拷贝，消息一 经成为VoIP和NGN事实上的标准。由于协议自身 被发送出去，服务器就可以删除缓存数据。有状态服 设计的原因，SIP存在很多安全隐患，特别是SIP提供务器从一个事务开始(收到一个请求)直至该事务结 许多功能。利用它们很容易对SIP系统发起各种类型 束(收到该请求的最终响应)都要维护该事务状态。典 的DoS攻击。本文首先分析了SD系统中易遭受DoS 攻击的资源，然后重点讨论针对内存、CPU等资源的 于消息大小、分叉转发和内存管理开销)内存几秒到 攻击及应对策略，详细分析了两个攻击实例，最后提 几十秒的时间。在计费或NAT穿越情况下，服务器还 万方数据 第1期 宗晓飞等：SIP系统中DoS攻击及防范机制 24 需在整个会话期内维护该会话信息。 指定SIP代理以TCP作为传输协议，向某个目的地 带宽：SIP服务器接入Intemet的链路过载将会址发起TCP连接。如果被叫方无应答，SIP代理在失 导致拥塞丢失，SIP消息的丢失将导致过长的会话建败超时前将被阻塞。通过把无应答地址添加到Via，