曹旭東，李微微

(中國石油大學 信息工程學院，北京102249)

三大運營商正式獲取4G牌照，助力我國進入高清視頻通信新時代，給網絡視頻電話帶來了蓬勃的生命力。隨著WiFi的大規(guī)模覆蓋，3G到4G網絡的快速發(fā)展，將給具有較低資費標準的VoIP視頻通信軟件創(chuàng)造更有競爭力的發(fā)展空間，國內主流的VoIP軟件QQ，國際上的Yahoo Messenger，MSN，ICQ等都在視頻通話軟件市場上占據(jù)了較大的份額，現(xiàn)階段更有許多非法組織大肆利用網絡資源，開展不正當?shù)木W絡視頻業(yè)務，給網絡安全造成了重大隱患，嚴重干擾了電信市場的運營秩序，違反了國家對VoIP業(yè)務的監(jiān)管政策。在給客戶帶來滿意的網絡體驗的同時，如何給VoIP業(yè)務提供可靠的安全保障、準確的流量分析、有效的管理和控制，都演變成了互聯(lián)網行業(yè)、電信行業(yè)在創(chuàng)造產值、保護產值上技術發(fā)展的關鍵，本文針對這些問題設計了一種適合主流VoIP即時視頻通話軟件的旁路干擾算法，并對干擾結果進行了有效的驗證。

1 技術發(fā)展背景

現(xiàn)階段網絡上的實際應用控制系統(tǒng)，主要有直路控制系統(tǒng)和旁路干擾系統(tǒng)［1］。

直路控制系統(tǒng)直接接入應用網絡，當所分析信息流的數(shù)據(jù)包被流控設備探測到后，后面數(shù)據(jù)包信息將全部被丟棄，這條信息流因不能與服務器有效地交互信息導致中斷，這種控制效果直接、明顯，而且投入小，被廣泛應用。但它也存在不可忽視的弊端，如果流控設備出現(xiàn)問題，它所應用的網絡就會直接癱瘓。

旁路干擾系統(tǒng)如圖1所示，通過鏡像設備將網絡中的數(shù)據(jù)流量復制傳遞給監(jiān)控設備進行分析控制，不與網絡發(fā)生直接聯(lián)系，克服了直路控制系統(tǒng)直接作用于網絡、改變網絡結構、易引發(fā)由監(jiān)控設備失效而產生不可估量損失的缺點。雖然其構造復雜，經濟成本也有所提升，但是在核心網絡部分，卻逐漸代替直路控制系統(tǒng)，隨著技術和網絡QoS要求提升，在網絡系統(tǒng)中逐漸占據(jù)重要地位。

目前VoIP的流量控制多采用直路控制系統(tǒng)［2］，以實現(xiàn)較為明顯的阻斷效果，而本文針對VoIP軟件中具有明顯的信令流和數(shù)據(jù)流的映射關系，通過對信令流的準確識別和干擾，實現(xiàn)了旁路控制系統(tǒng)對數(shù)據(jù)流的有效阻斷，更為簡單和高效。

圖1 VoIP旁路干擾系統(tǒng)

2 信令流和數(shù)據(jù)流協(xié)議原理分析

2.1 信令流SIP的傳輸分析

SIP［3］(Session Initiation Protocol，會話初始協(xié)議)是由IETF(Internet工程任務組)提出的IP電話信令協(xié)議，可以很好地承載語音和視頻等多媒體業(yè)務，在通信和網絡研究領域中受到了極大關注，是主流VoIP視頻通信軟件中最常用的控制協(xié)議，對其數(shù)據(jù)流格式、字段含義的準確判斷都是算法分析的基礎。

SIP協(xié)議是一個應用層的信令控制協(xié)議，用于創(chuàng)建、修改和釋放一個或多個參與者的會話，SIP協(xié)議不可以單獨完成多媒體呼叫，必須要與其他協(xié)議一起才能組建完整的多媒體通信系統(tǒng)，與 RTP，RTCP，SDP，MGCP，DNS 等協(xié)議配合完成多媒體會話過程，所以進行算法分析時，SIP與RTP等協(xié)議的交互細節(jié)的設計是算法分析的難點。

信令流在傳輸層應識別為TCP協(xié)議，因為TCP有一系列機制來保證信令數(shù)據(jù)可靠、安全、高效率地到達，不丟包、不失序，所以在構造SIP控制流的時候，也要注意保障TCP協(xié)議的格式和數(shù)據(jù)的正確，使構造的控制流在每一層都可以滿足流判定。

在應用層識別為SIP協(xié)議，SIP是一個基于文本的應用層協(xié)議，使用443端口號SSL信息。由于SIP協(xié)議本身無法允許SIP消息安全地穿過NAT和防火墻。所以，VoIP通信從SIP消息的特點出發(fā)，提出一種無需擴展SIP協(xié)議的應用層解決方案:引入STUN協(xié)議，取得IP地址和端口的映射關系，修改SIP和SDP消息的內容來保證通信連接，從而實現(xiàn)對NAT的穿越，所以在構造控制流的時候注意滿足SIP外層封裝，STUN交互，IP地址和端口設定等要求。

2.2 數(shù)據(jù)流RTP的傳輸分析

數(shù)據(jù)流在傳輸層識別為UDP協(xié)議，UDP為一種不可靠的網絡協(xié)議，它沒有TCP協(xié)議中植入的各種安全保障功能，也就降低了在實際執(zhí)行過程中的大量系統(tǒng)開銷，將安全和排序等功能移交給上層應用層來完成，極大降低了執(zhí)行時間，使速度得到了保證，所以數(shù)據(jù)流的構造要注意UDP的協(xié)議和數(shù)據(jù)要求等。

在應用層識別為RTP協(xié)議進行數(shù)據(jù)傳輸。RTP提供具有實時特征的、端到端的數(shù)據(jù)傳輸業(yè)務，在RTP包頭中包含裝載數(shù)據(jù)的標示符、序列號、時間戳以及傳送監(jiān)視等，VoIP語音分組開銷很大，采用RTP協(xié)議的VoIP格式，在這種方式中將多路語音插入語音數(shù)據(jù)段中，這樣提高了傳輸效率。

RTP細分為RTP和RTCP協(xié)議，與下面的傳輸層、網絡層無關，這兩個協(xié)議配合使用，能以有效的反饋和最小的開銷使傳輸速率最佳化，故特別適合傳送網上的實時數(shù)據(jù)。

RTP和RTCP經常用于UDP之上，使用不同的端口。必須為RTP指定一個偶數(shù)UDP端口號，而為相應的RTCP指定與之相鄰但比它大的基數(shù)UDP端口。工作時，RTP協(xié)議從上層接收媒體信息碼流，裝配成RTP數(shù)據(jù)包發(fā)送給下層，下層協(xié)議提供RTP和RTCP的分流。這些都是算法分析時的技術點，以及驗證控制效果時判斷構造的數(shù)據(jù)流是否達到預期目標的標準。

3 干擾算法的研究和設計過程

3.1 設計流程圖

旁路干擾算法的設計流程如圖2所示。

3.2 具體設計過程

1)干擾包的構造需要先捕獲數(shù)據(jù)包，利用Winpcap軟件系統(tǒng)，把參數(shù)設置為混雜模式，用以“嗅探”到流經所需網卡上所有的完整的數(shù)據(jù)包。

2)啟動監(jiān)聽到數(shù)據(jù)包的線程InPacketData。

3)啟動一個分析數(shù)據(jù)包的線程，判斷捕獲到數(shù)據(jù)包的長度，PacketLength=Header－＞Len，如果這個包的長度為0，或是捕獲到的數(shù)據(jù)包為UDP包，即InPacketData+23=0x11，則丟棄這個數(shù)據(jù)包，繼續(xù)抓包。

4)為了提高代碼執(zhí)行效率，截獲數(shù)據(jù)包時只對正常數(shù)據(jù)進行分析處理，不對自己發(fā)送的偽造包進行分析處理，所以把自己構造的數(shù)據(jù)包Identification設置為1111。

InPktIpHeader－ ＞ Identification=0x1111，當掃描到標識為1111的數(shù)據(jù)包時，不會繼續(xù)掃描數(shù)據(jù)包的內部特征，直接放棄這個數(shù)據(jù)包，繼續(xù)嗅探。

5)如果截獲的數(shù)據(jù)包滿足基礎條件，InPacketData+23=0x06，并且這個數(shù)據(jù)包有負載數(shù)據(jù)，則根據(jù)數(shù)據(jù)包

圖2 VoIP旁路干擾算法的流程圖

的封裝格式和封裝順序，對數(shù)據(jù)包各層頭部指針逐層定位，以便精確分析數(shù)據(jù)包的構造特征，也為后面構造符合協(xié)議特征的數(shù)據(jù)包做準備［4］。

6)對抓取的數(shù)據(jù)包進行第二層信息過濾，篩選符合自己條件的信令流的數(shù)據(jù)包，設置處理的起始條件。

7)構造有效的停止信令標識去篡改信令流的數(shù)據(jù)包信息［5］。

8)組合并計算干擾報文長度。

9)干擾報文指針重新定位。

10)IP校驗。

11)TCP 校驗［6］。

12)重置發(fā)送和接收地址。

//式中:SourceAdd、DestAdd分別為構造的干擾包的源地址和目的地址。

13)校驗完成后，把構造的干擾包發(fā)送出去。

4 干擾算法的實現(xiàn)結果及其分析

本算法開發(fā)環(huán)境為VC6．0，操作系統(tǒng)為WIN7，測試軟件為Yahoo Messenger(雅虎通)，圖3所示為實驗測試環(huán)境。

圖3 本次實驗的網絡拓撲圖

驗證結果:實際VoIP視頻通話數(shù)據(jù)流被明顯切斷，物理通話結束。

圖4為YahooMessenger視頻通話被干擾后視頻被切斷的畫面，視頻媒體信息的建立及存在為3 min 3 s，然后視頻畫面出現(xiàn)明顯的馬賽克現(xiàn)象，對方的視頻信息消失，同時提示警告:接收不到voice signal信號。

圖4 Yahoo Messenger視頻通話被干擾后視頻被切斷(截圖)

數(shù)據(jù)分析:使用Wireshark網絡封包分析軟件記錄本次試驗樣本的實際識別情況如表1所示。

表1 語音流的識別情況

數(shù)據(jù)表明這次視頻通話信令流YahooMsg_Signal和數(shù)據(jù)流YahooMsg_Video被高效識別出來。

實驗過程中捕獲到了數(shù)據(jù)流開始到建立的過程，如圖5所示，剛開始的CLASSIC－STUN是局域網穿越流量。按照五元組信息來判斷，ip．addr==58．60．106．237 ＆＆udp．port==27800 ＆＆ ip．addr==10．2．0．246 ＆＆ udp．port==8120為數(shù)據(jù)流，其負載逐漸穩(wěn)定增大。

圖5 Wireshark實時獲取的數(shù)據(jù)流開始時流量(截圖)

數(shù)據(jù)流被干擾后的結果，如圖6所示，其中可以看出數(shù)據(jù)流的負載已逐漸降低，而VoIP視頻流的實時傳輸需要較大的負載，已經不再支持視頻傳輸，此時物理通話已經結束。

圖6 Wireshark實時獲取的被干擾后的數(shù)據(jù)流流量(截圖)

圖7為干擾驗證過程中wireshark捕獲的ip．addr==58．60．106．237 ＆＆ udp．port==27800 ＆＆ ip．addr==10．2．0．246 ＆＆ udp．port==8120 數(shù)據(jù)流的流量圖，分析此圖可知，0～25 s左右時是SIP信令的建立過程，數(shù)據(jù)流尚未建立;25～65 s當SIP協(xié)議建立之后，隨著STUN局域網穿越，RTP數(shù)據(jù)流開始建立而且負載不斷增加;195 s左右時，發(fā)送干擾包，從流量圖中可以看到，數(shù)據(jù)流被嚴重影響，數(shù)據(jù)包的負載明顯降低，但是仍有少量的交互包，此時已經不可以視頻通話。最后這條數(shù)據(jù)流結束，物理顯示VoIP通話結束。

圖7 約220 s數(shù)據(jù)流的流量圖

5 結束語

本文設計了一種可以在主流VoIP視頻通信軟件上使用的旁路干擾算法，以國際通用的Yahoo!Messenger(v11．5．0．228－us)作為此次驗證的正例樣本。文中給出了比較詳細的算法設計，直觀地展示了被干擾后的視頻通話狀態(tài)，也提供了Wireshark捕獲的數(shù)據(jù)流的情況和此數(shù)據(jù)流的流量圖，佐證了本算法可以應用于主流的VoIP視頻通信軟件，具有可擴展性和應用性，具備良好的發(fā)展前景和商業(yè)價值。

:

［1］米淑云．IP網絡流量監(jiān)控系統(tǒng)的設計與實現(xiàn)［D］．北京:北京郵電大學，2009．

［2］韓耀明．基于DPI技術的VoIP流量檢測系統(tǒng)的設計與實現(xiàn)［D］．北京:北京郵電大學，2010．

［3］張功國，陳瑩星．實時視頻中SIP與 RTSP的應用［J］．電視技術，2013，37(9):3－9．

［4］ CHEN Hongwei，YOU Fangping，ZHOU Xin，et al．The study of DPI identification technology based on sampling［J］．Information Engineering and Computer Science，2009，33(4):375－380．

［5］ 陳明．網絡協(xié)議教程［M］．北京:清華大學出版社，2004．

［6］趙川，伍瑞卿，樊豐．一種精簡TCP/IP協(xié)議棧的設計與實現(xiàn)［J］．電視技術，2010，34(S1):2－8．