以交换机、业务服务器为目标的DoS攻击主要通过洪泛攻击耗尽目标资源使其无法提供正常服务,而该节点下属的所有终端的接通率均将受到影响,攻击手段与互联网内传统DoS攻击类似,主要利用洪泛式的攻击方法,但利用的是高层协议的漏洞。
以电信业务终端为目标的DoS攻击主要用于剥夺单个用户的语音资源,通过强行控制其状态达到降低接通率。各种电信业务终端的状态是有限的,一般包括待机、振铃和通话三个状态,信令则触发终端在这3种状态的转换,如图1所示。
图1(a)是以ISUP为控制信令的业务终端状态转移图,图1(b)是H.323终端的状态转移图。不论是何种业务终端,当终端处于通话和振铃状态时,用户线路处于被占用状态,不能接收其他外部呼叫。除了用户主动发出动作,终端状态的转移主要受信令消息控制,如果攻击者能够构造足够的恶意信令消息,就能够对终端的状态造成攻击。当这些恶意信令使用户线路长期或频繁处于占线状态而不能正常接入其他呼叫时,就达到了攻击的目的。此外,恶意信令还可以强行切断被攻击者终端已经成功建立的呼叫,达到破坏通信连接的目的,以下是3种典型的攻击方式。
(1)呼叫请求消息攻击
呼叫请求消息是用户发起呼叫时向被叫发送的第一条信令,用于邀请对方参加一个会话,该消息主要指明被叫身份、会话描述或主叫身份等信息。在7号信令系统中使用IAM消息发起呼叫,由被叫所属SP接收;而SIP和H.323系统中相应的消息类型分别是invite和setup,由被叫所属代理接收。攻击者可以不断向被叫发送呼叫请求消息,以振铃超时为间隔发送,或者当目标机主动挂机后立即进行下一次发送,造成被叫用户几乎不能接收其他正常呼叫。同时,因为被叫用户所属的SP或代理服务器将为收到的每一个呼叫分配一定的资源,如果攻击者发送信令的数量和频率足够大,目标SP或代理服务器将很快耗尽资源,使其所属的用户都不能使用服务,无法建立任何呼叫,达到攻击目的。
(2)释放消息攻击
一般情况下,电信业务中的会话由参加会话的任一个用户发出释放消息来结束该次会话。但是,几乎所有的电信业务信令系统都不会对释放消息的合法性进行检验。因此,攻击者可以通过构造虚假的释放消息发送给目标来强行结束一次呼叫。攻击者通过截获目标链路上的信令,按照其中携带的呼叫标识或用户身份伪造释放消息来强行结束合法呼叫,达到攻击目的。
(3)畸形消息
ISUP与SIP等协议都包含了多种不同的消息类别,正常情况下这些消息都有严格按照协议标准的正确语法结构和字段格式。如果攻击者发送大量畸形消息,就可造成包括DoS攻击在内的多种安全威胁。参考文献[13]对一些投入实用的主流SIP产品进行了实验,发现多种畸形信令消息都能导致软件错误并进一步形成DoS攻击。参考文献[2]对这些畸形消息进行了分类,包括不符合协议规则的语法错误消息和几乎符合协议规则的结构畸形消息。由于各种电信业务信令协议作为普遍采纳的国际标准,帧格式、内容及定义都完全公开,任何个人或组织都可以获取信令中的内容或伪造信令,这导致利用信令消息对电信业务发起DoS攻击的方式多种多样[2]。
由于信令消息在各种攻击方式中扮演了重要的角色,攻击行为都会在信令消息或信令消息交互过程中有所体现,这是针对电信网业务DoS攻击的普遍特征。
2.2 攻击检测
SYN/ACK Flooding、UDP Flooding、ICMP Flooding等[14]传统的DDoS攻击通常利用传输层和网络层的漏洞,针对这些发生在底层的DDoS攻击已经有许多有效的检测方案。如Savage 等[15]提出了利用概率包标记(probabilistic packet marking,PPM)来进行攻击源追踪;Feinstein[16]和Mirkovic 等[17]提出了利用统计方法来防御网络层DDoS攻击; Cabrera等[18]通过对实测传输层分组属性与特定DDoS攻击的异常特征进行匹配分析实现了有效检测。随着研究的深入,对于发生在底层的传统DDoS攻击,防御措施已经越来越完善。
