SIP DDOS攻击与防御方法(一)

随着网络应用普遍性的不断扩展，基于互联网云架构的音视频会议系统正在被大量的客户所接受。而在实际应用过程中出现广泛的来自互联网的恶意SIP DDOS攻击，导致音视频会议系统中SIP服务器（DMA7000）出现并发呼叫数资源占满，无法正常呼叫等情况，严重影响了客户实际会议交互业务开展。

攻击原理

SIP(Session Initiation Protocol)是一个应用层的信令控制协议。用于创建、修改和释放一个或多个参与者的会话。这些会话一般是Internet多媒体会议、IP电话或多媒体分发。

攻击者通过发送大量的INVITE消息到SIP服务器，导致被攻击SIP服务器分配大量的资源用以记录和跟踪会话，直到资源耗尽而无法响应合法用户的呼叫请求；或者针对VoIP设备在SIP协议实现上的漏洞构造并发送相应的畸形SIP报文，从而导致SIP服务器拒绝服务

防御方法

目前主要的防御手段采用SIP源认证的方式来避免该攻击带来的危害。源认证的思想就是对源的合法性进行认证，通过对访问源的验证，区别哪些是虚假的流量，哪些是真实用户的流量，丢弃虚假的流量，保证真实用户的流量不受影响。利用OPTIONS方法，用于SIP协议通信双方查询对方支持的方法、内容类型、扩展等。SIP源认证是发送OPTIONS请求报文作为探测报文探测源的真实性，如果发送端的源IP真实存在，就会对该探测报文进行回应，Anti-DDoS设备检查回应报文是否正确，正确则允许通过，将源IP地址加入白名单，否则丢弃报文。

通过采用具备类似功能的安全产品设备，能够有效避免SIP攻击带来的系统影响；另外，如果系统采用H.323协议作为主要应用方式，在客户不具备类似预防SIP攻击功能的安全设备，可暂时关闭SIP服务或采用非常规的自定义SIP端口进行部署。

返回首页