警惕!VoIP DDoS 攻击呈上升趋势,Cloudflare 保护您的网络安全!
在过去的一个月里,多个互联网协议语音 (VoIP) 提供商成为了声称是 REvil 实体的分布式拒绝服务 (DDoS) 攻击的目标。多向量攻击主要结合了针对关键的 HTTP 网站和 API 端点的 L7 攻击,以及针对 VoIP 服务器基础设施的 L3/4 攻击。在某些情况下,这些攻击会对目标的 VoIP 服务和网站/ API 可用性造成重大影响。然而幸运的是 Cloudflare 的网络却能够有效地保护和加速语音和视频基础设施,这主要得益于我们的全球覆盖范围、先进的流量过滤套件以及对攻击模式和威胁情报的独特视角。
如果您或您的组织已成为 DDoS 攻击、勒索攻击或勒索企图的目标,请立即寻求帮助以保护您的互联网财产。我们建议您不要支付赎金,并在第一时间向当地执法机构报告。
1
IP 语音(和视频、表情符号、会议、猫咪表情包和远程教室)
IP 语音(VoIP)是一个术语,用于描述允许通过 Internet 进行多媒体通信的一组技术。这项技术可以让您与朋友进行 FaceTime 通话,通过 Zoom 进行虚拟课堂课程,甚至可以通过手机拨打一些“正常”电话。
VoIP 背后的原理类似于通过电路交换网络进行的传统数字呼叫。这其中主要的区别在于,编码媒体(例如语音或视频)被划分为小的比特单元,这些比特单元根据专门定义的媒体协议作为 IP 数据包的有效载荷在互联网上传输。
与传统的“电路交换”相比,这种语音数据的“分组交换”可以更有效地利用网络资源。因此,通过 VoIP 进行呼叫比通过 POTS(“普通电话服务”)进行呼叫更具成本效益。改用 VoIP 可以将企业的电信成本降低 50% 以上,因此,每三家企业中就有一家已经采用了 VoIP 技术也就不足为奇了。VoIP 具有灵活性、可扩展性,在新冠病毒大流行期间将人们远程聚集在一起特别有用。
大多数 VoIP 呼叫背后的一个关键协议是广泛采用的会话发起协议(SIP)。SIP 最初是在RFC-2543(1999)中定义的,旨在作为一种灵活的模块化协议,用于发起呼叫(“会话”),无论是语音或视频,还是双方或多方。
2
速度是 VoIP 的关键
我们都知道,人与人之间的实时通信需要感觉自然、即时和反应迅速。因此,一个好的 VoIP 服务最重要的特征之一就是速度。用户可以将其体验为声音自然的音频和高清视频,没有延迟或卡顿。用户对通话质量的感知通常通过使用诸如语音质量的感知评估和平均意见得分等指标来进行密切的测量和跟踪。虽然 SIP 和其他 VoIP 协议可以通过使用 TCP 或 UDP 作为底层协议来实现,但通常选择 UDP 的原因是因为路由器和服务器处理它们的速度更快。
UDP 是一种不可靠、无状态且没有服务质量(QoS)保证的协议。这意味着路由器和服务器通常使用较少的内存和计算能力来处理 UDP 数据包,因此每秒可以处理更多数据包。通过更快地处理数据包可以更快地组装数据包的有效负载(编码媒体),从而提高通话质量。
在“越快越好”的指导方针下,VoIP 服务器将尝试以先到先得的方式尽可能快地处理数据包。因为 UDP 是无状态的,所以它不知道哪些数据包属于现有调用,哪些可以尝试发起新调用。这些详细信息以请求和响应的形式存在于 SIP 标头中,直到网络堆栈的更上层才对其进行处理。
当每秒数据包的速率增加超过路由器或服务器的容量时,越快越好实际上变成了一个缺点。虽然传统的电路交换系统在达到容量时会拒绝新的连接,并试图在不造成损害的情况下保持现有连接,但 VoIP 服务器在竞争处理尽可能多的数据包时,将无法在超过容量时处理所有数据包或所有调用。这会导致正在进行的呼叫延迟和中断,以及尝试拨打或接听新呼叫失败。
如果没有适当的保护措施,为获得卓越的通话体验而进行的竞争将会付出安全的代价,而恰巧攻击者则学会利用这些代价。
3
使用 DDoSing VoIP 服务器
攻击者可以利用 UDP 和 SIP 协议,通过大量精心编制的 UDP 数据包来压倒未受保护的 VoIP服务器。攻击者压倒 VoIP 服务器的一种方法是假装发起呼叫。每次向受害者发送恶意呼叫启动请求时,他们的服务器都会使用计算能力和内存对请求进行身份验证。如果攻击者能够生成足够多的呼叫启动,他们就可以压倒受害者的服务器并阻止其处理合法呼叫。这是一种应用于SIP 的经典 DDoS 技术。
这种技术的一种变体是 SIP 反射攻击。与前一种技术一样,会使用恶意调用启动请求。但是,在此变体中,攻击者不会直接将恶意流量发送给受害者。取而代之的是,攻击者将它们发送到互联网上成千上万个随机的、不知情的 SIP 服务器,然后他们将恶意流量的来源伪装成目标受害者的来源。这导致数千个 SIP 服务器开始向受害者发送未经请求的回复,随后受害者必须使用计算资源来辨别它们是否合法。这也会使受害者服务器无法获得处理合法呼叫所需的资源,从而导致用户发生普遍的拒绝服务事件。如果没有适当的保护,VoIP 服务极易受到 DDoS 攻击。
下图显示了最近的一次多向量 UDP DDoS 攻击,该攻击的目标是受 Cloudflare Magic Transit 服务保护的 VoIP 基础设施。攻击峰值略高于 70 Gbps 和每秒 1600 万个数据包。虽然这不是我们见过的最大的攻击,但这种规模的攻击可能会对未受保护的基础设施造成很大影响。这种特定攻击持续了 10 多个小时,并被自动检测到并缓解了。
下面是上周针对 SIP 基础设施的两个类似攻击的附加图表。在第一张图表中,我们看到有多个协议被用于发起攻击,其中大部分流量来自(欺骗性)DNS反射和其他常见的放大和反射向量。这些攻击的峰值超过 130 Gbps 和 1740 万 pps。
4
不以牺牲性能为代价保护 VoIP 服务
提供高质量 VoIP 服务的最重要因素之一是速度。延迟越低越好。Cloudflare 的 Magic Transit 服务可以帮助保护关键的 VoIP 基础设施,而不会影响延迟和通话质量。
通过 Cloudflare 的选播架构与我们网络的规模相结合,可以最大限度地减少延迟,甚至可以改善通过 Cloudflare 与公共互联网路由的流量的延迟。查看我们最近在 Cloudflare 的“速度周”上发布的文章,了解更多有关这一工作原理的详细信息,测试结果表明,使用 Magic Transit 的真实客户网络在全球平均性能提高了 36%。
此外,Cloudflare 数据中心中接收的每个数据包都会使用多层路径外检测来分析 DDoS 攻击,以避免延迟。一旦检测到攻击,边缘将生成与攻击数据包特征相匹配的实时指纹。然后在Linux 内核 eXpress 数据路径(XDP)中匹配指纹,以线速快速丢弃攻击数据包,而不会对合法数据包造成附带损害。最近我们还部署了额外的特定缓解规则来检查 UDP 流量,以确定它是否是有效的 SIP 流量。
检测和缓解是在每个 Cloudflare 边缘服务器中自主完成的-在等式中没有容量有限、部署范围有限的“清理中心”。此外,威胁情报会在我们的网络中实时自动共享,以“告知”其他边缘服务器有关攻击的信息。
边缘检测也是完全可配置的。Cloudflare Magic Transit 客户可以使用 L3/4 DDoS 托管规则集来调整和优化其 DDoS 保护设置,还可以使用 Cloudflare Magic 防火墙制定自定义数据包级别(包括深度数据包检查)防火墙规则,来强制实施积极的安全模型。
5
通过远程把人们聚集在一起
Cloudflare 的使命是帮助构建更好的互联网。这项使命的很大一部分是确保世界各地的人们能够不间断地与朋友、家人和同事交流——特别是在新冠疫情期间。无论是通过帮助开发者建立实时通信系统,还是通过让 VoIP 提供商保持在线,我们的网络都具有独特的优势,可以帮助人们保持与世界的连接。
我们的网络速度和我们始终在线的自主 DDoS 保护技术可以帮助 VoIP 提供商继续为其客户提供服务,而不会牺牲性能或不得不向勒索 DDoS 勒索者屈服。
您可以通过与 Cloudflare 专家交流了解更多信息。若您正在遭遇攻击?请不要犹豫,立即拨打我们的攻击防护热线获得帮助。 你是cf的代理商吗?还是机器人?怎么文本里面好多#
页:
[1]