SIP DDOS攻击与防御方法(二)

针对上篇提出的SIP DDOS攻击，在音视频会议系统架构时，可结合天融信信异常流量管理与抗拒绝服务系统，简称TopADS 3000进行同步部署防护。针对政府、中小型企业的云视频应用网络环境，在互联网进入防火墙前采用TopADS 3000设备串接透明接入方式，RPAD部署在防火墙DMZ区，提升云视频会议系统的安全性以及抗攻击能力。具体网络拓扑架构如图所示：

天融信TopADS 3000设备针对SIP DDOS防护具体配置如下：

1、配置开启SIP攻击检测策略：

2、配置相关源认证：

源认证主要有两个方面：

（1）SIP的源限速、目的限速：源限速就是基于源进行限速，并且防御的动作有两种，一种是加黑名单，一种是放过限定的阈值，对超过的部分丢弃，目的限速就是基于目的对数据包进行限速。

（2）SIP的自定义端口功能，针对需求的不同，在实际的应用环境中，使用SIP的服务可能会使用非默认的端口，此时也可以通过自定义端口的功能对SIP类的报文进行防护流程的处理，相关配置如下图所示：

通过以上安全手段与防护策略，可有效避免网络上带来的SIP DDOS攻击，保障音视频会议系统的正常运行。

返回首页