NGN網(wǎng)絡(luò)安全問題分析和對策[2]

  高層協(xié)議攻擊

  高層協(xié)議攻擊主要是針對NGN協(xié)議的攻擊，比如SIP、H.323、MEGACO、COPS等協(xié)議。由于來自高層協(xié)議的攻擊一般都是針對特定目標(biāo)協(xié)議的，因此一般的防護(hù)方法是，或針對特定的協(xié)議，或使用安全的隧道機(jī)制。

  另外，NGN中還存在一些其他的常見攻擊種類。

  拒絕服務(wù)攻擊

  拒絕服務(wù)攻擊的目的是，讓正常用戶無法使用某種服務(wù)，比如，讓系統(tǒng)設(shè)備無法工作或者是讓系統(tǒng)的資源不足。這種攻擊采用的方法有很多，比如：發(fā)送大量的數(shù)據(jù)包給特定的系統(tǒng)或設(shè)備，讓設(shè)備無法接收正常的數(shù)據(jù)包，或使系統(tǒng)忙于處理這些無用的數(shù)據(jù)包；利用系統(tǒng)的弱點(diǎn)入侵，讓系統(tǒng)無法正常工作或開機(jī)。另外還有：發(fā)送大量的偽造請求給某個(gè)設(shè)備；TCP數(shù)據(jù)洪流，即發(fā)送大量的帶有不同TCP標(biāo)記的數(shù)據(jù)包，比較常用的有SYN、ACK或RST的TCP數(shù)據(jù)包；ICMP洪流，即發(fā)送大量的ICMP請求/ 回應(yīng)（ping洪流）數(shù)據(jù)包給特定IP地址的網(wǎng)絡(luò)設(shè)備；發(fā)送大量的大數(shù)據(jù)包的Ping數(shù)據(jù)流給特定IP地址的網(wǎng)絡(luò)設(shè)備；UDP洪流，即發(fā)送大量的數(shù)據(jù)包給特定IP地址的設(shè)備；呼叫建立洪流，即在使用SIP協(xié)議時(shí)，發(fā)送大量的INVITE/BYTE呼叫建立請求等數(shù)據(jù)包給特定的設(shè)備，或者發(fā)送大量的其他協(xié)議的呼叫建立請求；非法的通信結(jié)束請求，使得正常用戶的呼叫中斷；注冊洪流，即發(fā)送大量的注冊請求給一個(gè)特定的設(shè)備，使得正常的用戶注冊服務(wù)無法進(jìn)行；從物理上斷開網(wǎng)絡(luò)設(shè)備（當(dāng)然，由于大量設(shè)備都在比較安全的機(jī)房里，所以這點(diǎn)相對比較難做到）。

  偷聽

  這類攻擊的目的主要是想非法獲取一些信息或者資源，比如機(jī)密的數(shù)據(jù)。

  偷聽攻擊的種類主要有：偷聽通信的數(shù)據(jù)內(nèi)容；偷聽網(wǎng)絡(luò)設(shè)備的ID（用于網(wǎng)絡(luò)設(shè)備間通信前的身份驗(yàn)證）；使用特定的消息比如OPTIONS或Audit請求，獲取SIP代理/ 服務(wù)器、網(wǎng)關(guān)以及軟交換的信息等。

  偽裝

  入侵者使用偷聽的信息來偽裝一個(gè)合法的請求，比如，他可以先截取用戶名和密碼，然后修改其信息，非法訪問某個(gè)網(wǎng)絡(luò)或者設(shè)備。在合法用戶和某個(gè)設(shè)備建立連接以后，入侵者還可以使用偽裝的方法使用這種現(xiàn)成的連接進(jìn)行其他類型的攻擊，比如拒絕服務(wù)攻擊。下面是一些偽裝的例子：在注冊過程中偽裝成一個(gè)合法用戶來截取所有用戶的通信；在驗(yàn)證過程中偽裝成一個(gè)合法用戶，把所有的通信費(fèi)都算在其他合法用戶賬戶上；在用戶驗(yàn)證過程中偽裝成一個(gè)網(wǎng)絡(luò)設(shè)備，來獲取這個(gè)用戶的賬戶信息；在呼叫建立過程中偽裝成合法用戶，使得呼叫費(fèi)用記在那個(gè)合法用戶賬戶上；在呼叫建立過程中偽裝成被叫，使通信費(fèi)用發(fā)生在通信的另一端。另外還有通過MAC地址和IP地址的偽裝攻擊。

[1]  [2]  [3]  [4]