基于流量的DOS攻击的CM-IMS终端业务可用性分析

1　背景概述

电信行业重组，中国移动、中国联通、中国电信均成为全业务运营商，面临固定和移动的网络融合、业务融合、产品融合的实际问题。中国移动在IMS国际标准的基础上，创新提出自主品牌CM―lMS，它是面向固定移动融合的下一代IP网络架构，更是面向全业务运营的端到端系统级解决方案。CM―lMS提供灵活、开放的网络平台，中国移动可以通过其向用户推出各种特色业务。由于系统采用端到端IP化系统架构，为了保证网络安全运行及提供的业务安全，需要进行深入分析和研究。

基于IP网络部署的cM―IMs业务终端比传统的使用TDM网络的模拟终端面临更多安全威胁：业务终端由众多厂家提供，终端设备部署在用户侧，运维人员不易及时发现和跟踪终端安全问题；终端的管理界面或协议栈的漏洞可以导致终端配置或IMS帐号信息泄漏；面向终端的DOs攻击可导致终端死机、重启、业务不能正常使用；局域网内的ARP欺骗实现的中间人攻击可以窃听终端的通话、注册信息和网管登录信息。面对多种安全威胁，需要对业务终端的自身安全、网络部署、维护管理方式进行分析，及时发现终端自身、用户网络以及终端管理存在的安全问题或者隐患，对CM―lMS业务终端侧的部署提供安全接入指导意见，以达到加强CM-IMS业务安全运营的目。

2010年，河南移动针对现网五个厂家的IPPBx、AG、lAD、多媒体终端、SIP话机共19款CM―lMS终端的安全性进行分析(终端类型和数量如表1所示)，其中一个重要关注点是基于流量的DOS攻击对CM―lMS终端业务可用性的影响。

2　终端分类和功能描述

2.1　CM-IMS业务终端分类

按照功能、支持的用户数和部署方式，CM-IMS的业务终端可以分为如下类型：

(1)软终端

软终端提供标准的语音业务，结合电脑／手机自带的摄像头提供视频业务；同时，也可以提供如即时通讯、短信、企业通讯录等增值业务。包括以下几种类型：

电脑软终端：安装在电脑中的IMS软终端软件；

手机软终端：手机上安装的IMS软终端软件；

嵌入式软终端：一些特定业务提供的基于Web页面或特定设备内的软终端。

(2)硬终端

所有的硬终端都能提供语音业务。多媒体话机和摄像头舰频会议设备能够提供视频交互。IP-PBX也支持多媒体话机的注册及视频数据的交互。硬终端一般包括以下类型：

SIP话机：只提供标准IMS语音业务的lP电话；

多媒体终端：提供语音和视频业务及其它附加业务的多媒体SlP话机；

摄像头／视频会议设备：基于IMS协议的摄像头和视频会议通讯设备；

IAD：提供PSTN双绞线的IMS语音接入设备，所提供的用户端口一般不超过32个；

AG：提供PSTN双绞线的IMS语音接入设备，所提供的用户端口一般大于32个；

IP-PBX：除满足IAD／AG的业务方式外，还可以提供IP话机注册，以及自带的标准PBX业务。

2.2　CM-IMS业务终端的一些特点

(1)存储帐号信息

与传统的固网终端不同，在CM-IMS终端内需要存储CM―IMS业务所用的IMPI(类似于手机的IMSI)和IMPU(类似于手机的号码)等相关信息。

(2)IP化，提供多种IP网络接口

终端和CM-IMS核心网闻的通讯都是基于IP网络。主要的通信控制协议是SIP协议，媒体传输协议是RTP协议。现阶段SIP和RTP都是承载于UDP的协议。除传统的模拟电话RJ21接口外，多数终端也提供了额外的RJ45以太网接口为电脑提供上网接口。同时部分终端也自带无线AP功能，可支持电脑通过WIFI上网。

(3)智能化

业务终端都采用了单独的CPU，内存和可擦除只读存储，能够处理单路和同时处理多路的语音，视频及数据业务的流量。部分多媒体终端，除了为CM-IMS业务提供相应的通讯服务，还提供了诸如网页浏览、天气预报、屏保、电话簿、视频／立频回放、甚至游戏等功能。

(4)通用化

终端采用了通用的智能操作系统：如Linux和Android等系统，并使用了如SIP、RTP、SNMP、NTP、HTTP、FTP、SYSlog等标准的通信协议。

2.3　IMS终端常见网络部署方式

(1)专线+专用网络

用户终端部署在一个专用的接入网络内，与用户的计算机等设备物理或逻辑隔离。

(2)用户自有网络

用户终端部署在用户已有的局域网中，并与用户的计算机共用网口或网络设备。一般在局域网出口通过NAT与外网连接。

(3)CMNET／Internet

用户终端直接分配CMNET或公网地址，直接连接到CMNET或通过其他运营商ADSL等接入方式连接到lnternet。

3　基于流量的DOS攻击对终端业务可用性影响

3.1　基于流量的DOS攻击

DOS攻击是IMS核心系统和业务终端面临的主要威胁之一。CM-IMS终端基于IP的业务本身就需要发送和接收大量的IP包，而攻击者的一种简单的DOS攻击方式就是只要能够访问CM-IMS业务终端的IP，并保持向其发送一定流量的构造数据包即可。而这种基于流量的DOS攻击，通过发送一定数量的IP数据包，可以导致目标设备的业务处理、内存、会话等资源耗尽。基于流量的DOS攻击包括以下类型：

(1)基于3―4层的流量DOS攻击

ICMP flood、Smurf、Ping of death攻击；

UDP flood攻击；

TCP SYN flood攻击。

(2)基于7层应用层协议的流量DOS的攻击

基于信令控制协议的攻击，如Register Flood，Invite flood，Options flood等；

基于媒体传输协议的攻击：RTP flood，RTCPflood。

3.2　CM-IMS终端业务可用性的安全分析

(1)各类基于流量DOS攻击对终端影响的效果分析

表2是一款AG终端的基于流量的DOS攻击测试记录。从记录可以看到，4000个ICMP包／秒的攻击流量即可导致AG终端的CPU过载，无法进行正常工作。而基于应用层SIP协议的流量攻击则只用基于3―4层协议流量攻击的几分之一甚至几十分之一的数据包即可达到同样效果。同时可以看到，与呼叫相关的SIP协议(invite)流量攻击，比与呼叫无关的SIP协议(Options)流量攻击更有效果。

(2)基于sIP协议的流量DOS攻击对业务终端业务可用性的影响

表3是安全分析中对8款个人终端I多媒体终端和SIP话机在受到基于SIP协议的流量DOS攻击时的影响统计结果。测试中，除一款终端由于软件问题未能完成相关测试外，其余七款终端在受到基于SIP协议的流量DOS攻击时，都产生了严重后果，其中包括自动重启、无法操 作和呼叫无法建立。可以得出结论，在缺少外部防护和部署规划时，个人终端不能有效对抗基于SIP协议的流量DOS的攻击。

表4是在安全分析中对11款多端口终端(1AD／AG／IP-PBX)在受到基于SIP协议的流量DOS攻击时的影响统计结果。测试中，有两款终端在受到基于SIP协议的流量DOS攻击时，会导致自动重启，有四款终端在收到基于SIP Invite的流量DOS攻击时无法发起和接收呼叫。通过测试可以得出结论，在遭受基于SlP协议的流量DOS-攻击时，多端口的cM IMS终端设备凭借更高的设备性能，受到的影响相对较小。但不可否认的是，一旦受到DOS的攻击影响，多端口的终端设备将比单端口的个人终端引起更大社会影响。

(3)小结

基于流量的DOS攻击会对CM-IMS的各类业务终端的业务可用性产生较大的影响。被攻击的终端重启或无法操作，将导致故障源判断和问题解决过程变得更加困难，会大大降低故障处理的时效性。而攻击产生的重启和通话无法建立等后果又会引起投诉，导致用户对CM―IMS业务的信任度减低。因此，需要重视基于流量的DOS攻击对CM-IMS终端可用性的影响，通过网络部署规划和加强终端自身的软件功能，来增强业务终端抵御基于流量的DOS攻击的能力。

4　可用性安全保护需求及对策

4.1　保证业务终端可用性的安全需求

CM―IMS业务终端在面对基于流量的DOS攻击时，需要满足如下安全需求：

(1)当终端受到各类采用异常IP数据包或sIP协议数据包流量的DOS攻击时，终端的各项功能不受影响；

(2)当终端受到基于IP或sIP协议的大流量DOS／DDOS攻击时，终端的网管功能能够正常工作；

(3)当终端受到基于IP或SIP协议的大流量DOS／DDOS攻击时，终端内已建立的呼叫不受影响；

(4)当终端受到基于IP或SIP协议的大流量DOS，DDOS攻击时，终端建立新呼叫不受影响；

(5)终端可以设置过载保护级别和处理优先级。

4.2　解决方案和建议

根据需要，采取以下手段进行基于流量DOS攻击防护：

(1)在终端的接入网络中或业务终端中正确的配置方位控制策略(ACL)，是防止业务终端遭受基于流量DOS攻击的一个有效措施。

(2)CM-IMS的终端尽量部署在封闭的私有网络中，不要部署在完全开放的网络，如Internet中。

(3)修改终端的控制协议和服务的缺省端口，如SIP的5060、HTTP的80、8080等。如有可能，采用动态的端口分配方式可以加大攻击者实施基于流量的DOS攻击的难度。

(4)部署外部安全防护设备，如防火墙、IPS、anti-DDOS设备等保护CM-IMS业务终端的安全。

(5)加强业务终端功能要求和配置要求，终端应支持CPU过载保护功能。在受到DOS攻击时，终端应能保证能够被管理和被监控。

(6)业务终端软件修改以支持协议流量抑制功能，如只配有一个业务帐号的个人终端只允许接收到的Invite请求消息每秒不超过10个，则超出的请求数据包将被丢弃。

上述建议也存在缺点，如启用ACL会导致终端的CPU占用率上升；协议流量抑制会导致攻击时的正常请求也会被丢弃等。因此在部署时，需要充分考虑用户侧网络条件、终端的功能等因素，综合考虑和规划终端的部署方式。

5　结束语

本文分析了基于流量的DOS攻击对CM―IMS业务终端业务可用性的影响，并有针对性地提出解决方案和建议。在部署CM―IMS业务终端时，除了考虑传统部署因素，如用户终端的IP地址如何分配、用户终端的网络接入方式、用户端口的数量、采用何种终端满足不同用户的业务需求、如何保证业务质量、如何穿越NAT／防火墙、如何解决跨运营商网络的接入等，还需要进一步考虑业务终端部署时的安全因素。因此，要了解各厂家、各类终端在遭受安全攻击时出现的安全问题，并有针对地制定业务终端部署和防护方案，才能有效保证CM―IMS业务的安全有效运营。