余謙 賀延敏 于娟娟

1背景概述

電信行業(yè)重組，中國移動(dòng)、中國聯(lián)通、中國電信均成為全業(yè)務(wù)運(yùn)營商，面臨固定和移動(dòng)的網(wǎng)絡(luò)融合、業(yè)務(wù)融合、產(chǎn)品融合的實(shí)際問題。中國移動(dòng)在IMS國際標(biāo)準(zhǔn)的基礎(chǔ)上，創(chuàng)新提出自主品牌CM—lMS，它是面向固定移動(dòng)融合的下一代IP網(wǎng)絡(luò)架構(gòu)，更是面向全業(yè)務(wù)運(yùn)營的端到端系統(tǒng)級解決方案。CM—lMS提供靈活、開放的網(wǎng)絡(luò)平臺，中國移動(dòng)可以通過其向用戶推出各種特色業(yè)務(wù)。由于系統(tǒng)采用端到端IP化系統(tǒng)架構(gòu)，為了保證網(wǎng)絡(luò)安全運(yùn)行及提供的業(yè)務(wù)安全，需要進(jìn)行深入分析和研究。

基于IP網(wǎng)絡(luò)部署的cM—IMs業(yè)務(wù)終端比傳統(tǒng)的使用TDM網(wǎng)絡(luò)的模擬終端面臨更多安全威脅：業(yè)務(wù)終端由眾多廠家提供，終端設(shè)備部署在用戶側(cè)，運(yùn)維人員不易及時(shí)發(fā)現(xiàn)和跟蹤終端安全問題；終端的管理界面或協(xié)議棧的漏洞可以導(dǎo)致終端配置或IMS帳號信息泄漏；面向終端的DOs攻擊可導(dǎo)致終端死機(jī)、重啟、業(yè)務(wù)不能正常使用；局域網(wǎng)內(nèi)的ARP欺騙實(shí)現(xiàn)的中間人攻擊可以竊聽終端的通話、注冊信息和網(wǎng)管登錄信息。面對多種安全威脅，需要對業(yè)務(wù)終端的自身安全、網(wǎng)絡(luò)部署、維護(hù)管理方式進(jìn)行分析，及時(shí)發(fā)現(xiàn)終端自身、用戶網(wǎng)絡(luò)以及終端管理存在的安全問題或者隱患，對CM—lMS業(yè)務(wù)終端側(cè)的部署提供安全接入指導(dǎo)意見，以達(dá)到加強(qiáng)CM-IMS業(yè)務(wù)安全運(yùn)營的目。

2010年，河南移動(dòng)針對現(xiàn)網(wǎng)五個(gè)廠家的IPPBx、AG、lAD、多媒體終端、SIP話機(jī)共19款CM—lMS終端的安全性進(jìn)行分析(終端類型和數(shù)量如表1所示)，其中一個(gè)重要關(guān)注點(diǎn)是基于流量的DOS攻擊對CM—lMS終端業(yè)務(wù)可用性的影響。

2終端分類和功能描述

2.1CM-IMS業(yè)務(wù)終端分類

按照功能、支持的用戶數(shù)和部署方式，CM-IMS的業(yè)務(wù)終端可以分為如下類型：

(1)軟終端

軟終端提供標(biāo)準(zhǔn)的語音業(yè)務(wù)，結(jié)合電腦／手機(jī)自帶的攝像頭提供視頻業(yè)務(wù)；同時(shí)，也可以提供如即時(shí)通訊、短信、企業(yè)通訊錄等增值業(yè)務(wù)。包括以下幾種類型：

電腦軟終端：安裝在電腦中的IMS軟終端軟件；

手機(jī)軟終端：手機(jī)上安裝的IMS軟終端軟件；

嵌入式軟終端：一些特定業(yè)務(wù)提供的基于Web頁面或特定設(shè)備內(nèi)的軟終端。

(2)硬終端

所有的硬終端都能提供語音業(yè)務(wù)。多媒體話機(jī)和攝像頭艦頻會(huì)議設(shè)備能夠提供視頻交互。IP-PBX也支持多媒體話機(jī)的注冊及視頻數(shù)據(jù)的交互。硬終端一般包括以下類型：

SIP話機(jī)：只提供標(biāo)準(zhǔn)IMS語音業(yè)務(wù)的lP電話；

多媒體終端：提供語音和視頻業(yè)務(wù)及其它附加業(yè)務(wù)的多媒體SlP話機(jī)；

攝像頭／視頻會(huì)議設(shè)備：基于IMS協(xié)議的攝像頭和視頻會(huì)議通訊設(shè)備；

IAD：提供PSTN雙絞線的IMS語音接入設(shè)備，所提供的用戶端口一般不超過32個(gè)；

AG：提供PSTN雙絞線的IMS語音接入設(shè)備，所提供的用戶端口一般大于32個(gè)；

IP-PBX：除滿足IAD／AG的業(yè)務(wù)方式外，還可以提供IP話機(jī)注冊，以及自帶的標(biāo)準(zhǔn)PBX業(yè)務(wù)。

2.2CM-IMS業(yè)務(wù)終端的一些特點(diǎn)

(1)存儲(chǔ)帳號信息

與傳統(tǒng)的固網(wǎng)終端不同，在CM-IMS終端內(nèi)需要存儲(chǔ)CM—IMS業(yè)務(wù)所用的IMPI(類似于手機(jī)的IMSI)和IMPU(類似于手機(jī)的號碼)等相關(guān)信息。

(2)IP化，提供多種IP網(wǎng)絡(luò)接口

終端和CM-IMS核心網(wǎng)聞的通訊都是基于IP網(wǎng)絡(luò)。主要的通信控制協(xié)議是SIP協(xié)議，媒體傳輸協(xié)議是RTP協(xié)議?，F(xiàn)階段SIP和RTP都是承載于UDP的協(xié)議。除傳統(tǒng)的模擬電話RJ21接口外，多數(shù)終端也提供了額外的RJ45以太網(wǎng)接口為電腦提供上網(wǎng)接口。同時(shí)部分終端也自帶無線AP功能，可支持電腦通過WIFI上網(wǎng)。

(3)智能化

業(yè)務(wù)終端都采用了單獨(dú)的CPU，內(nèi)存和可擦除只讀存儲(chǔ)，能夠處理單路和同時(shí)處理多路的語音，視頻及數(shù)據(jù)業(yè)務(wù)的流量。部分多媒體終端，除了為CM-IMS業(yè)務(wù)提供相應(yīng)的通訊服務(wù)，還提供了諸如網(wǎng)頁瀏覽、天氣預(yù)報(bào)、屏保、電話簿、視頻／立頻回放、甚至游戲等功能。

(4)通用化

終端采用了通用的智能操作系統(tǒng)：如Linux和Android等系統(tǒng)，并使用了如SIP、RTP、SNMP、NTP、HTTP、FTP、SYSlog等標(biāo)準(zhǔn)的通信協(xié)議。

2.3IMS終端常見網(wǎng)絡(luò)部署方式

(1)專線+專用網(wǎng)絡(luò)

用戶終端部署在一個(gè)專用的接入網(wǎng)絡(luò)內(nèi)，與用戶的計(jì)算機(jī)等設(shè)備物理或邏輯隔離。

(2)用戶自有網(wǎng)絡(luò)

用戶終端部署在用戶已有的局域網(wǎng)中，并與用戶的計(jì)算機(jī)共用網(wǎng)口或網(wǎng)絡(luò)設(shè)備。一般在局域網(wǎng)出口通過NAT與外網(wǎng)連接。

(3)CMNET／Internet

用戶終端直接分配CMNET或公網(wǎng)地址，直接連接到CMNET或通過其他運(yùn)營商ADSL等接入方式連接到lnternet。

3基于流量的DOS攻擊對終端業(yè)務(wù)可用性影響

3.1基于流量的DOS攻擊

DOS攻擊是IMS核心系統(tǒng)和業(yè)務(wù)終端面臨的主要威脅之一。CM-IMS終端基于IP的業(yè)務(wù)本身就需要發(fā)送和接收大量的IP包，而攻擊者的一種簡單的DOS攻擊方式就是只要能夠訪問CM-IMS業(yè)務(wù)終端的IP，并保持向其發(fā)送一定流量的構(gòu)造數(shù)據(jù)包即可。而這種基于流量的DOS攻擊，通過發(fā)送一定數(shù)量的IP數(shù)據(jù)包，可以導(dǎo)致目標(biāo)設(shè)備的業(yè)務(wù)處理、內(nèi)存、會(huì)話等資源耗盡?；诹髁康腄OS攻擊包括以下類型：

(1)基于3—4層的流量DOS攻擊

◆ICMP flood、Smurf、Ping of death攻擊；

◆UDP flood攻擊；

◆TCP SYN flood攻擊。

(2)基于7層應(yīng)用層協(xié)議的流量DOS的攻擊

◆基于信令控制協(xié)議的攻擊，如Register Flood，Invite flood，Options flood等；

◆基于媒體傳輸協(xié)議的攻擊：RTP flood，RTCPflood。

3.2CM-IMS終端業(yè)務(wù)可用性的安全分析

(1)各類基于流量DOS攻擊對終端影響的效果分析

表2是一款A(yù)G終端的基于流量的DOS攻擊測試記錄。從記錄可以看到，4000個(gè)ICMP包／秒的攻擊流量即可導(dǎo)致AG終端的CPU過載，無法進(jìn)行正常工作。而基于應(yīng)用層SIP協(xié)議的流量攻擊則只用基于3—4層協(xié)議流量攻擊的幾分之一甚至幾十分之一的數(shù)據(jù)包即可達(dá)到同樣效果。同時(shí)可以看到，與呼叫相關(guān)的SIP協(xié)議(invite)流量攻擊，比與呼叫無關(guān)的SIP協(xié)議(Options)流量攻擊更有效果。

(2)基于sIP協(xié)議的流量DOS攻擊對業(yè)務(wù)終端業(yè)務(wù)可用性的影響

表3是安全分析中對8款個(gè)人終端I多媒體終端和SIP話機(jī)在受到基于SIP協(xié)議的流量DOS攻擊時(shí)的影響統(tǒng)計(jì)結(jié)果。測試中，除一款終端由于軟件問題未能完成相關(guān)測試外，其余七款終端在受到基于SIP協(xié)議的流量DOS攻擊時(shí)，都產(chǎn)生了嚴(yán)重后果，其中包括自動(dòng)重啟、無法操

作和呼叫無法建立。可以得出結(jié)論，在缺少外部防護(hù)和部署規(guī)劃時(shí)，個(gè)人終端不能有效對抗基于SIP協(xié)議的流量DOS的攻擊。

表4是在安全分析中對11款多端口終端(1AD／AG／IP-PBX)在受到基于SIP協(xié)議的流量DOS攻擊時(shí)的影響統(tǒng)計(jì)結(jié)果。測試中，有兩款終端在受到基于SIP協(xié)議的流量DOS攻擊時(shí)，會(huì)導(dǎo)致自動(dòng)重啟，有四款終端在收到基于SIP Invite的流量DOS攻擊時(shí)無法發(fā)起和接收呼叫。通過測試可以得出結(jié)論，在遭受基于SlP協(xié)議的流量DOS-攻擊時(shí)，多端口的cM IMS終端設(shè)備憑借更高的設(shè)備性能，受到的影響相對較小。但不可否認(rèn)的是，一旦受到DOS的攻擊影響，多端口的終端設(shè)備將比單端口的個(gè)人終端引起更大社會(huì)影響。

(3)小結(jié)

基于流量的DOS攻擊會(huì)對CM-IMS的各類業(yè)務(wù)終端的業(yè)務(wù)可用性產(chǎn)生較大的影響。被攻擊的終端重啟或無法操作，將導(dǎo)致故障源判斷和問題解決過程變得更加困難，會(huì)大大降低故障處理的時(shí)效性。而攻擊產(chǎn)生的重啟和通話無法建立等后果又會(huì)引起投訴，導(dǎo)致用戶對CM—IMS業(yè)務(wù)的信任度減低。因此，需要重視基于流量的DOS攻擊對CM-IMS終端可用性的影響，通過網(wǎng)絡(luò)部署規(guī)劃和加強(qiáng)終端自身的軟件功能，來增強(qiáng)業(yè)務(wù)終端抵御基于流量的DOS攻擊的能力。

4可用性安全保護(hù)需求及對策

4.1保證業(yè)務(wù)終端可用性的安全需求

CM—IMS業(yè)務(wù)終端在面對基于流量的DOS攻擊時(shí)，需要滿足如下安全需求：

(1)當(dāng)終端受到各類采用異常IP數(shù)據(jù)包或sIP協(xié)議數(shù)據(jù)包流量的DOS攻擊時(shí)，終端的各項(xiàng)功能不受影響；

(2)當(dāng)終端受到基于IP或sIP協(xié)議的大流量DOS／DDOS攻擊時(shí)，終端的網(wǎng)管功能能夠正常工作；

(3)當(dāng)終端受到基于IP或SIP協(xié)議的大流量DOS／DDOS攻擊時(shí)，終端內(nèi)已建立的呼叫不受影響；

(4)當(dāng)終端受到基于IP或SIP協(xié)議的大流量DOS，DDOS攻擊時(shí)，終端建立新呼叫不受影響；

(5)終端可以設(shè)置過載保護(hù)級別和處理優(yōu)先級。

4.2解決方案和建議

根據(jù)需要，采取以下手段進(jìn)行基于流量DOS攻擊防護(hù)：

(1)在終端的接入網(wǎng)絡(luò)中或業(yè)務(wù)終端中正確的配置方位控制策略(ACL)，是防止業(yè)務(wù)終端遭受基于流量DOS攻擊的一個(gè)有效措施。

(2)CM-IMS的終端盡量部署在封閉的私有網(wǎng)絡(luò)中，不要部署在完全開放的網(wǎng)絡(luò)，如Internet中。

(3)修改終端的控制協(xié)議和服務(wù)的缺省端口，如SIP的5060、HTTP的80、8080等。如有可能，采用動(dòng)態(tài)的端口分配方式可以加大攻擊者實(shí)施基于流量的DOS攻擊的難度。

(4)部署外部安全防護(hù)設(shè)備，如防火墻、IPS、anti-DDOS設(shè)備等保護(hù)CM-IMS業(yè)務(wù)終端的安全。

(5)加強(qiáng)業(yè)務(wù)終端功能要求和配置要求，終端應(yīng)支持CPU過載保護(hù)功能。在受到DOS攻擊時(shí)，終端應(yīng)能保證能夠被管理和被監(jiān)控。

(6)業(yè)務(wù)終端軟件修改以支持協(xié)議流量抑制功能，如只配有一個(gè)業(yè)務(wù)帳號的個(gè)人終端只允許接收到的Invite請求消息每秒不超過10個(gè)，則超出的請求數(shù)據(jù)包將被丟棄。

上述建議也存在缺點(diǎn)，如啟用ACL會(huì)導(dǎo)致終端的CPU占用率上升；協(xié)議流量抑制會(huì)導(dǎo)致攻擊時(shí)的正常請求也會(huì)被丟棄等。因此在部署時(shí)，需要充分考慮用戶側(cè)網(wǎng)絡(luò)條件、終端的功能等因素，綜合考慮和規(guī)劃終端的部署方式。

5結(jié)束語

本文分析了基于流量的DOS攻擊對CM—IMS業(yè)務(wù)終端業(yè)務(wù)可用性的影響，并有針對性地提出解決方案和建議。在部署CM—IMS業(yè)務(wù)終端時(shí)，除了考慮傳統(tǒng)部署因素，如用戶終端的IP地址如何分配、用戶終端的網(wǎng)絡(luò)接入方式、用戶端口的數(shù)量、采用何種終端滿足不同用戶的業(yè)務(wù)需求、如何保證業(yè)務(wù)質(zhì)量、如何穿越NAT／防火墻、如何解決跨運(yùn)營商網(wǎng)絡(luò)的接入等，還需要進(jìn)一步考慮業(yè)務(wù)終端部署時(shí)的安全因素。因此，要了解各廠家、各類終端在遭受安全攻擊時(shí)出現(xiàn)的安全問題，并有針對地制定業(yè)務(wù)終端部署和防護(hù)方案，才能有效保證CM—IMS業(yè)務(wù)的安全有效運(yùn)營。