基于流量的DOS攻擊的CM-IMS終端業務可用性分析

余謙 賀延敏 于娟娟

1背景概述

電信行業重組，中國移動、中國聯通、中國電信均成為全業務運營商，面臨固定和移動的網絡融合、業務融合、產品融合的實際問題。中國移動在IMS國際標準的基礎上，創新提出自主品牌CM—lMS，它是面向固定移動融合的下一代IP網絡架構，更是面向全業務運營的端到端系統級解決方案。CM—lMS提供靈活、開放的網絡平臺，中國移動可以通過其向用戶推出各種特色業務。由于系統采用端到端IP化系統架構，為了保證網絡安全運行及提供的業務安全，需要進行深入分析和研究。

基于IP網絡部署的cM—IMs業務終端比傳統的使用TDM網絡的模擬終端面臨更多安全威脅：業務終端由眾多廠家提供，終端設備部署在用戶側，運維人員不易及時發現和跟蹤終端安全問題；終端的管理界面或協議棧的漏洞可以導致終端配置或IMS帳號信息泄漏；面向終端的DOs攻擊可導致終端死機、重啟、業務不能正常使用；局域網內的ARP欺騙實現的中間人攻擊可以竊聽終端的通話、注冊信息和網管登錄信息。面對多種安全威脅，需要對業務終端的自身安全、網絡部署、維護管理方式進行分析，及時發現終端自身、用戶網絡以及終端管理存在的安全問題或者隱患，對CM—lMS業務終端側的部署提供安全接入指導意見，以達到加強CM-IMS業務安全運營的目。

2010年，河南移動針對現網五個廠家的IPPBx、AG、lAD、多媒體終端、SIP話機共19款CM—lMS終端的安全性進行分析(終端類型和數量如表1所示)，其中一個重要關注點是基于流量的DOS攻擊對CM—lMS終端業務可用性的影響。

2終端分類和功能描述

2.1CM-IMS業務終端分類

按照功能、支持的用戶數和部署方式，CM-IMS的業務終端可以分為如下類型：

(1)軟終端

軟終端提供標準的語音業務，結合電腦／手機自帶的攝像頭提供視頻業務；同時，也可以提供如即時通訊、短信、企業通訊錄等增值業務。包括以下幾種類型：

電腦軟終端：安裝在電腦中的IMS軟終端軟件；

手機軟終端：手機上安裝的IMS軟終端軟件；

嵌入式軟終端：一些特定業務提供的基于Web頁面或特定設備內的軟終端。

(2)硬終端

所有的硬終端都能提供語音業務。多媒體話機和攝像頭艦頻會議設備能夠提供視頻交互。IP-PBX也支持多媒體話機的注冊及視頻數據的交互。硬終端一般包括以下類型：

SIP話機：只提供標準IMS語音業務的lP電話；

多媒體終端：提供語音和視頻業務及其它附加業務的多媒體SlP話機；

攝像頭／視頻會議設備：基于IMS協議的攝像頭和視頻會議通訊設備；

IAD：提供PSTN雙絞線的IMS語音接入設備，所提供的用戶端口一般不超過32個；

AG：提供PSTN雙絞線的IMS語音接入設備，所提供的用戶端口一般大于32個；

IP-PBX：除滿足IAD／AG的業務方式外，還可以提供IP話機注冊，以及自帶的標準PBX業務。

2.2CM-IMS業務終端的一些特點

(1)存儲帳號信息

與傳統的固網終端不同，在CM-IMS終端內需要存儲CM—IMS業務所用的IMPI(類似于手機的IMSI)和IMPU(類似于手機的號碼)等相關信息。

(2)IP化，提供多種IP網絡接口

終端和CM-IMS核心網聞的通訊都是基于IP網絡。主要的通信控制協議是SIP協議，媒體傳輸協議是RTP協議?，F階段SIP和RTP都是承載于UDP的協議。除傳統的模擬電話RJ21接口外，多數終端也提供了額外的RJ45以太網接口為電腦提供上網接口。同時部分終端也自帶無線AP功能，可支持電腦通過WIFI上網。

(3)智能化

業務終端都采用了單獨的CPU，內存和可擦除只讀存儲，能夠處理單路和同時處理多路的語音，視頻及數據業務的流量。部分多媒體終端，除了為CM-IMS業務提供相應的通訊服務，還提供了諸如網頁瀏覽、天氣預報、屏保、電話簿、視頻／立頻回放、甚至游戲等功能。

(4)通用化

終端采用了通用的智能操作系統：如Linux和Android等系統，并使用了如SIP、RTP、SNMP、NTP、HTTP、FTP、SYSlog等標準的通信協議。

2.3IMS終端常見網絡部署方式

(1)專線+專用網絡

用戶終端部署在一個專用的接入網絡內，與用戶的計算機等設備物理或邏輯隔離。

(2)用戶自有網絡

用戶終端部署在用戶已有的局域網中，并與用戶的計算機共用網口或網絡設備。一般在局域網出口通過NAT與外網連接。

(3)CMNET／Internet

用戶終端直接分配CMNET或公網地址，直接連接到CMNET或通過其他運營商ADSL等接入方式連接到lnternet。

3基于流量的DOS攻擊對終端業務可用性影響

3.1基于流量的DOS攻擊

DOS攻擊是IMS核心系統和業務終端面臨的主要威脅之一。CM-IMS終端基于IP的業務本身就需要發送和接收大量的IP包，而攻擊者的一種簡單的DOS攻擊方式就是只要能夠訪問CM-IMS業務終端的IP，并保持向其發送一定流量的構造數據包即可。而這種基于流量的DOS攻擊，通過發送一定數量的IP數據包，可以導致目標設備的業務處理、內存、會話等資源耗盡?；诹髁康腄OS攻擊包括以下類型：

(1)基于3—4層的流量DOS攻擊

◆ICMP flood、Smurf、Ping of death攻擊；

◆UDP flood攻擊；

◆TCP SYN flood攻擊。

(2)基于7層應用層協議的流量DOS的攻擊

◆基于信令控制協議的攻擊，如Register Flood，Invite flood，Options flood等；

◆基于媒體傳輸協議的攻擊：RTP flood，RTCPflood。

3.2CM-IMS終端業務可用性的安全分析

(1)各類基于流量DOS攻擊對終端影響的效果分析

表2是一款AG終端的基于流量的DOS攻擊測試記錄。從記錄可以看到，4000個ICMP包／秒的攻擊流量即可導致AG終端的CPU過載，無法進行正常工作。而基于應用層SIP協議的流量攻擊則只用基于3—4層協議流量攻擊的幾分之一甚至幾十分之一的數據包即可達到同樣效果。同時可以看到，與呼叫相關的SIP協議(invite)流量攻擊，比與呼叫無關的SIP協議(Options)流量攻擊更有效果。

(2)基于sIP協議的流量DOS攻擊對業務終端業務可用性的影響

表3是安全分析中對8款個人終端I多媒體終端和SIP話機在受到基于SIP協議的流量DOS攻擊時的影響統計結果。測試中，除一款終端由于軟件問題未能完成相關測試外，其余七款終端在受到基于SIP協議的流量DOS攻擊時，都產生了嚴重后果，其中包括自動重啟、無法操

作和呼叫無法建立?？梢缘贸鼋Y論，在缺少外部防護和部署規劃時，個人終端不能有效對抗基于SIP協議的流量DOS的攻擊。

表4是在安全分析中對11款多端口終端(1AD／AG／IP-PBX)在受到基于SIP協議的流量DOS攻擊時的影響統計結果。測試中，有兩款終端在受到基于SIP協議的流量DOS攻擊時，會導致自動重啟，有四款終端在收到基于SIP Invite的流量DOS攻擊時無法發起和接收呼叫。通過測試可以得出結論，在遭受基于SlP協議的流量DOS-攻擊時，多端口的cM IMS終端設備憑借更高的設備性能，受到的影響相對較小。但不可否認的是，一旦受到DOS的攻擊影響，多端口的終端設備將比單端口的個人終端引起更大社會影響。

(3)小結

基于流量的DOS攻擊會對CM-IMS的各類業務終端的業務可用性產生較大的影響。被攻擊的終端重啟或無法操作，將導致故障源判斷和問題解決過程變得更加困難，會大大降低故障處理的時效性。而攻擊產生的重啟和通話無法建立等后果又會引起投訴，導致用戶對CM—IMS業務的信任度減低。因此，需要重視基于流量的DOS攻擊對CM-IMS終端可用性的影響，通過網絡部署規劃和加強終端自身的軟件功能，來增強業務終端抵御基于流量的DOS攻擊的能力。

4可用性安全保護需求及對策

4.1保證業務終端可用性的安全需求

CM—IMS業務終端在面對基于流量的DOS攻擊時，需要滿足如下安全需求：

(1)當終端受到各類采用異常IP數據包或sIP協議數據包流量的DOS攻擊時，終端的各項功能不受影響；

(2)當終端受到基于IP或sIP協議的大流量DOS／DDOS攻擊時，終端的網管功能能夠正常工作；

(3)當終端受到基于IP或SIP協議的大流量DOS／DDOS攻擊時，終端內已建立的呼叫不受影響；

(4)當終端受到基于IP或SIP協議的大流量DOS，DDOS攻擊時，終端建立新呼叫不受影響；

(5)終端可以設置過載保護級別和處理優先級。

4.2解決方案和建議

根據需要，采取以下手段進行基于流量DOS攻擊防護：

(1)在終端的接入網絡中或業務終端中正確的配置方位控制策略(ACL)，是防止業務終端遭受基于流量DOS攻擊的一個有效措施。

(2)CM-IMS的終端盡量部署在封閉的私有網絡中，不要部署在完全開放的網絡，如Internet中。

(3)修改終端的控制協議和服務的缺省端口，如SIP的5060、HTTP的80、8080等。如有可能，采用動態的端口分配方式可以加大攻擊者實施基于流量的DOS攻擊的難度。

(4)部署外部安全防護設備，如防火墻、IPS、anti-DDOS設備等保護CM-IMS業務終端的安全。

(5)加強業務終端功能要求和配置要求，終端應支持CPU過載保護功能。在受到DOS攻擊時，終端應能保證能夠被管理和被監控。

(6)業務終端軟件修改以支持協議流量抑制功能，如只配有一個業務帳號的個人終端只允許接收到的Invite請求消息每秒不超過10個，則超出的請求數據包將被丟棄。

上述建議也存在缺點，如啟用ACL會導致終端的CPU占用率上升；協議流量抑制會導致攻擊時的正常請求也會被丟棄等。因此在部署時，需要充分考慮用戶側網絡條件、終端的功能等因素，綜合考慮和規劃終端的部署方式。

5結束語

本文分析了基于流量的DOS攻擊對CM—IMS業務終端業務可用性的影響，并有針對性地提出解決方案和建議。在部署CM—IMS業務終端時，除了考慮傳統部署因素，如用戶終端的IP地址如何分配、用戶終端的網絡接入方式、用戶端口的數量、采用何種終端滿足不同用戶的業務需求、如何保證業務質量、如何穿越NAT／防火墻、如何解決跨運營商網絡的接入等，還需要進一步考慮業務終端部署時的安全因素。因此，要了解各廠家、各類終端在遭受安全攻擊時出現的安全問題，并有針對地制定業務終端部署和防護方案，才能有效保證CM—IMS業務的安全有效運營。