避免IP电话遭到服务拒绝的保护策略

这种策略为服务供应商和私营企业提供了充分的灵活性，只需将IP电话连接至LAN或直接连接至因特网就能实现防护效果，除了电话自身提供的防护作用外无需采取其他安全保护措施。电话内置DoS的安全功能有助于最终大幅降低DoS防护措施的总体成本。

举例来说，我们可为IP电话内置硬件逻辑块，以便以线速检查向电话传输的数据包。该硬件能够根据预定义的一组规则识别并隔离与某已知DoS攻击模式相匹配的、传输进来的数据包流量。这些规则可通过安全监控主机服务器自动更新或更改，以满足当前最新防火墙技术的需求。

如果IP电话检测到DoS攻击模式，将丢弃可疑的数据包，并记录相关事件以备进一步分析。对被隔离的数据包进行脱机分析，有助于我们对已识别的攻击类型采取更强大的防范措施。例如，如果IP电话的DoS防护机制可识别某一IP地址在不断发送造成安全威胁的数据包，那么所有来自该IP地址的流量都将被拒绝，直到该IP地址发送的数据包可以信赖为止。

拒绝服务攻击

DoS 攻击

OSI 层

描述

1

ICMP 洪流攻击

2

以高速率传输进来的 ICMP 数据包

2

ARP 欺诈

2

接收到无 ARP 请求的 ARP 回复，导致有效 ARP 条目重写

3

Land

3

数据包的 IP 地址来源和目的地相同

4

碎片溢出

3

IP 数据包碎片的有效负载超过最大 IP 总长度

5

Jolt2

3

接收到的实际长度小于 IP 数据包给出的总长度

6

微小碎 片攻击

3

数据量极小的数据包碎片

7

非法 IP 选项

3

超过 IP 报头空间的故障 IP 选项

8

破碎的 ICMP 数据包

3

破碎的 ICMP 数据包

9

非法的碎片偏移

3

偏移值均为“ 1 ”的数据包碎片

10

短 ICMP 数据包

3

数据包的 IP 总长度小于 ICMP 报头

11

Ss Ping

3

破碎的 ICMP 数据包，有 碎片 偏移的重叠 现象

12

Bonk

3

高速率的 UDP 数据包碎片，在不同字节范围内会发生偏移重叠

13

非法的 TCP 选项

4

TCP 选项发生故障或超出 TCP 长度空间

14

SYN 洪流

4

高速率 TCP SYN 数据包

15

空扫描

4

TCP 数据包未设置标记

16

短 TCP 数据包

4

数据包的 IP 总长度小于 TCP 报头

17

FIN ACK

4

TCP 数据包具有 Finish 和 Ack 标志设置

18

SYN 碎片

4

破碎的 TCP SYN 数据包

19

紧急偏移

4

TCP 紧急偏移指向当前有效负载之外的数据

20

短 UDP 报头

4

数据包的 IP 总长度小于 UDP 报头

21

TCP SYN FIN

4

TCP 数据包具有 SYN 和 Finish 标记设置

22

圣诞老人病毒袭击 ( Xmas scan )

4

TCP 数据包的序列号为零，同时具有完成和紧急标记设置

结论

我们必须保护IP电话免受DoS攻击，以确保可靠而无缝的语音连接，实现高水平的语音质量。对于大多数家庭和企业用户而言，电话语音通信是最不可或缺的沟通形式。对家庭用户来说，家庭电话的可靠性有时决定着家庭成员的人身安全。对企业来说，电话服务哪怕是出了任何暂时的故障，都有可能影响到企业的业绩。

DoS攻击以前仅见于因特网上的网站和计算机，现在则影响到一部乃至一组IP电话，因为IP电话设备如同计算机、服务器和网站一样必须通过因特网实现连接。因此，必须为用户和服务供应商提供IP电话的防护机制，帮助他们在未来免受任何DoS攻击。建立防护机制的最有效措施就是IP电话自身内置相关功能。基于路由器的及其他类型的外接IP电话DoS防护机制都相当昂贵，而最终的效果亦不如内置的好。如今，由于IP电话不断集成了高级的技术以及先进的处理能力，因而完全有可能采用自适应防护机制来抵御最新的DoS攻击方法，同时还能确保高质量的语音服务。

来源：全球IP通信联盟