針對(duì)SIP的拒絕服務(wù)攻擊與防御研究.pdf

1、拒絕服務(wù)攻擊(DOS)是近年來(lái)很流行的一種網(wǎng)絡(luò)攻擊方式，在拒絕服務(wù)攻擊基礎(chǔ)上還發(fā)展起來(lái)了分布式拒絕服務(wù)攻擊（DDOS)，其破壞力更為巨大。由于DOS/DDOS攻擊實(shí)施相對(duì)簡(jiǎn)單，隱蔽性較高，目前拒絕服務(wù)攻擊已成為互聯(lián)網(wǎng)上最大威脅。 隨著互聯(lián)網(wǎng)的迅猛發(fā)展和廣泛應(yīng)用，統(tǒng)一的、基于IP的核心網(wǎng)絡(luò)將會(huì)是網(wǎng)絡(luò)融合和下一代網(wǎng)絡(luò)（NGN）的必然選擇。作為NGN核心的會(huì)話初始協(xié)議（SIP）在網(wǎng)絡(luò)中的運(yùn)用越來(lái)越廣泛，其安全問(wèn)題也越來(lái)越受到關(guān)注。作為

2、當(dāng)前網(wǎng)絡(luò)中威脅最大的拒絕服務(wù)攻擊，將是SIP安全問(wèn)題研究中的一個(gè)重點(diǎn)和熱點(diǎn)。同時(shí)，由于DOS和DDOS基本原理的類似性，針對(duì)SIP的拒絕服務(wù)攻擊與防御研究同樣也可擴(kuò)展到DDOS領(lǐng)域。 本文首先對(duì)SIP的基本知識(shí)進(jìn)行簡(jiǎn)要介紹，作為文章研究的基本理論基礎(chǔ)。然后描述傳統(tǒng)拒絕服務(wù)攻擊與防御的基本技術(shù)，根據(jù)拒絕服務(wù)攻擊的基本思路和原理，結(jié)合SIP的特點(diǎn)，提出了從應(yīng)用層發(fā)起的、針對(duì)SIP的拒絕服務(wù)攻擊這一概念。參考如SYN Flood和反射

3、攻擊等典型拒絕服務(wù)攻擊技術(shù)，設(shè)計(jì)了四種典型的針對(duì)SIP的拒絕服務(wù)攻擊方式:INVITE請(qǐng)求消息洪泛，DNS查詢請(qǐng)求洪泛，注冊(cè)消息洪泛以及反射攻擊，并結(jié)合模擬攻擊實(shí)驗(yàn)，對(duì)SIP在面對(duì)拒絕服務(wù)攻擊時(shí)的脆弱性進(jìn)行了研究和分析。 隨后本文對(duì)針對(duì)SIP的拒絕服務(wù)防御機(jī)制進(jìn)行研究。傳統(tǒng)的拒絕服務(wù)防御機(jī)制可以從攻擊源端，中間網(wǎng)絡(luò)，受攻擊端三個(gè)方面進(jìn)行防御，但由于SIP是應(yīng)用層協(xié)議，難于在SIP網(wǎng)絡(luò)中回溯追蹤拒絕服務(wù)攻擊的源頭，因此只能從SIP

4、的消息傳輸機(jī)制和服務(wù)器消息處理機(jī)制兩個(gè)角度進(jìn)行防御。通過(guò)加密和身份認(rèn)證技術(shù)，可以提高SIP協(xié)議的安全性，從消息傳輸機(jī)制的角度對(duì)SIP INVITE請(qǐng)求消息洪泛、注冊(cè)消息洪泛等攻擊進(jìn)行防御。另一方面，作為被攻擊端的服務(wù)器，研究對(duì)消息處理機(jī)制的三種不同改進(jìn)方案：增加并行消息處理隊(duì)列數(shù)目，采用非阻塞處理模式以及采用消息選擇處理機(jī)制，并比較和分析三種方案下服務(wù)器對(duì)拒絕服務(wù)攻擊的防御能力。 最后，本文對(duì)針對(duì)SIP的拒絕服務(wù)攻擊與防御的發(fā)展