论文部分内容阅读
[摘 要]近年来,SIP(会话初始协议)已经在VoIP体系中越来越多的使用。SIP协议是一个简单的应用层文本协议,它的安全性存在很大的隐患。本文在OPNET软件中设计了一个INVITE泛洪攻击模型并对相关参数进行了分析。该模型对SIP网络的防护起到一定的作用。
[关键词]SIP协议;INVITE泛洪攻击;PDS
中图分类号:TN42.5 文献标识码:A 文章编号:1009-914X(2015)32-0114-01
1 基于SIP协议的INVITE攻击
SIP(Session Initiation Protocol)会话初始协议是一个应用层的信令控制协议,用来创建修改一个或者多个会话。SIP 协议INVITE攻击原理如下:呼叫者首先发起INVITE请求,等待被呼叫者(用户)的响应。用户收到INVITE 请求,首先为本次连接分配一定的内存空间,然后发送180 Ringing 和200 OK 确认信息,等待源主机的回复。这种等待状态被称为半连接状态,定时器的最長等待时间为半连接超时阈值。如果攻击者同时发起大量INVITE 连接,目标主机需要为INVITE半连接分配大量内存,导致内存资源完全耗尽。造成拒绝服务攻击。
2 模拟攻击环境
该攻击环境在OPNET软件进行。OPNET可以模拟现实的网络环境,直观性强,符合现在的OSI模型标准。主要部件的功能作用:INVITE Flood Attacker:泛洪攻击的发起者;SIP Proxy服务器:INVITE 泛洪攻击的对象;应用配置物件(Application Config):具体描述应用的动作,包括开始时间、结束时间,持续时间等;业务配置物件(Profile Config)?:描述的是一个用户一段时间发起的业务。模拟的INVITE泛洪攻击网络模型如下:
3 攻击模块描述
OPNET中应用层有四种进程:根进程gna_clsvr_mgr,业务规格管理进程gna_profile_mgr,攻击管理进程gna_inviteflood_mgr和攻击执行进程gna_inviteflood _cli。进程的调用如下:gna_clsvr_mgr →gna_profile_mgr→ gna_inviteflood_mgr→gna_inviteflood _cli。
(1)根进程要实现解析攻击属性和打开服务器的监听的端口这两个功能。
(2)业务规格管理进程gna_profile_mgr的作用是控制业务规格之间的间隔以及持续时间,并创建激活应用管理进程,传递有用的信息。
(3)攻击管理进程gna_inviteflood_mgr是对具体攻击的管理。一方面该进程将业务规格进程传递的攻击属性进行处理,另一方面,它为具体的攻击进程提供管理。
(4)攻击执行进程gna_inviteflood _cli主要进行INVITE连接,包含攻击行为的相关属性。
4 仿真结果的分析
仿真的结果利用拒绝服务成功的概率(PDS)加以描述。公式如下:
PDS=1—(Successfully Connections/Attempts)
Successfully Connections表示成功连接的数量,Attempts表示发起请求的总数量。用半连接总数及攻击速率两个参数衡量攻击的效果。用户的业务请求速率均不相同,统计每组输出数据,得到平均的PDS。
(1)观察最大半连接数与PDS之间的关系。设定攻击速率为每秒30个请求;设定服务器最大半连接总数分别: 200、400、800、1000、1500、2000;设定运行18次仿真,3次一组(固定每组最大半连接数),一共6组。结果如表4.1。
结果分析:当服务器的允许半连接数为200到400之间的时候,PDS数值比较大,当超过2000之后,可以看到,PDS值明显减少。说明服务的允许的半连接数越大,则PDS的值越小。
(2)观察攻击速率和PDS的关系。设置服务器最大半连接总数为400个;攻击速率为每秒5、10、15、20、30、40个请求;设定运行18次仿真,3次一组(每组的攻击的速率固定),一共6组。结果如表4.2。
结果分析:攻击速率越快,PDS越高。由此可以看出,当每秒20个请求就可以造成明显的拒绝服务攻击。
5 结束语
本文探讨设计一个INVITE泛洪的攻击场景,并对被攻击的服务器性能做出仿真测试。基于SIP协议的攻击还有很多,该攻击模型的设计对于SIP安全防范具有一定的借鉴意义。
参考文献
[1]David Endler著. 李祥军等译.黑客大曝光:VoIP安全机密与解决方案.北京:电子工业出版社,2010.
[2]贾衍. SIP协议安全性研究及评估工具的实现.北京邮电大学学位论文,2009.
[3]俸学文.基于SIP协议的VoIP系统安全性研究,中南民族大学学位论文,2010.
[4]陈庆华.基于SIP协议的拒绝服务攻击的安全性研究,2013.
[5]胡健.NGN中SIP协议安全性研究与实现,华南理工大学学位论文,2012.
[6]谢希仁.计算机网络教程[M].北京:人民邮电出版社,2012.
[关键词]SIP协议;INVITE泛洪攻击;PDS
中图分类号:TN42.5 文献标识码:A 文章编号:1009-914X(2015)32-0114-01
1 基于SIP协议的INVITE攻击
SIP(Session Initiation Protocol)会话初始协议是一个应用层的信令控制协议,用来创建修改一个或者多个会话。SIP 协议INVITE攻击原理如下:呼叫者首先发起INVITE请求,等待被呼叫者(用户)的响应。用户收到INVITE 请求,首先为本次连接分配一定的内存空间,然后发送180 Ringing 和200 OK 确认信息,等待源主机的回复。这种等待状态被称为半连接状态,定时器的最長等待时间为半连接超时阈值。如果攻击者同时发起大量INVITE 连接,目标主机需要为INVITE半连接分配大量内存,导致内存资源完全耗尽。造成拒绝服务攻击。
2 模拟攻击环境
该攻击环境在OPNET软件进行。OPNET可以模拟现实的网络环境,直观性强,符合现在的OSI模型标准。主要部件的功能作用:INVITE Flood Attacker:泛洪攻击的发起者;SIP Proxy服务器:INVITE 泛洪攻击的对象;应用配置物件(Application Config):具体描述应用的动作,包括开始时间、结束时间,持续时间等;业务配置物件(Profile Config)?:描述的是一个用户一段时间发起的业务。模拟的INVITE泛洪攻击网络模型如下:
3 攻击模块描述
OPNET中应用层有四种进程:根进程gna_clsvr_mgr,业务规格管理进程gna_profile_mgr,攻击管理进程gna_inviteflood_mgr和攻击执行进程gna_inviteflood _cli。进程的调用如下:gna_clsvr_mgr →gna_profile_mgr→ gna_inviteflood_mgr→gna_inviteflood _cli。
(1)根进程要实现解析攻击属性和打开服务器的监听的端口这两个功能。
(2)业务规格管理进程gna_profile_mgr的作用是控制业务规格之间的间隔以及持续时间,并创建激活应用管理进程,传递有用的信息。
(3)攻击管理进程gna_inviteflood_mgr是对具体攻击的管理。一方面该进程将业务规格进程传递的攻击属性进行处理,另一方面,它为具体的攻击进程提供管理。
(4)攻击执行进程gna_inviteflood _cli主要进行INVITE连接,包含攻击行为的相关属性。
4 仿真结果的分析
仿真的结果利用拒绝服务成功的概率(PDS)加以描述。公式如下:
PDS=1—(Successfully Connections/Attempts)
Successfully Connections表示成功连接的数量,Attempts表示发起请求的总数量。用半连接总数及攻击速率两个参数衡量攻击的效果。用户的业务请求速率均不相同,统计每组输出数据,得到平均的PDS。
(1)观察最大半连接数与PDS之间的关系。设定攻击速率为每秒30个请求;设定服务器最大半连接总数分别: 200、400、800、1000、1500、2000;设定运行18次仿真,3次一组(固定每组最大半连接数),一共6组。结果如表4.1。
结果分析:当服务器的允许半连接数为200到400之间的时候,PDS数值比较大,当超过2000之后,可以看到,PDS值明显减少。说明服务的允许的半连接数越大,则PDS的值越小。
(2)观察攻击速率和PDS的关系。设置服务器最大半连接总数为400个;攻击速率为每秒5、10、15、20、30、40个请求;设定运行18次仿真,3次一组(每组的攻击的速率固定),一共6组。结果如表4.2。
结果分析:攻击速率越快,PDS越高。由此可以看出,当每秒20个请求就可以造成明显的拒绝服务攻击。
5 结束语
本文探讨设计一个INVITE泛洪的攻击场景,并对被攻击的服务器性能做出仿真测试。基于SIP协议的攻击还有很多,该攻击模型的设计对于SIP安全防范具有一定的借鉴意义。
参考文献
[1]David Endler著. 李祥军等译.黑客大曝光:VoIP安全机密与解决方案.北京:电子工业出版社,2010.
[2]贾衍. SIP协议安全性研究及评估工具的实现.北京邮电大学学位论文,2009.
[3]俸学文.基于SIP协议的VoIP系统安全性研究,中南民族大学学位论文,2010.
[4]陈庆华.基于SIP协议的拒绝服务攻击的安全性研究,2013.
[5]胡健.NGN中SIP协议安全性研究与实现,华南理工大学学位论文,2012.
[6]谢希仁.计算机网络教程[M].北京:人民邮电出版社,2012.