攻击者可能会对SIP服务器发送大量初始化消息,即intite消息,导致服务器耗费大量资源记录和会话,直至资源耗尽,无法响应合法用户的呼叫请求。针对VoIP设备的SIP协议实现中存在的漏洞,攻击者可以构造畸形SIP报文,导致SIP服务器拒绝服务。
当客户需要保护其SIP服务器时,可启用SIP功能以提供防护。若主要面临SIP inviteDDoS攻击,可启用SIP学习模式或防护模式。其中,学习模式的性能表现更佳;若同时受到SIP register DDoS和SIP inviteDDoS攻击,应开启SIP防护模式进行全面防护。
为判断SIP包是否为register报文,若为真则直接加入。在SIP学习模式下,系统将主动学习并记录发送register报文的源IP地址。无论目的IP是否处于防护状态,当报文的目的端口为5060且开启SIP学习模式时,该报文将进入学习流程。
具体处理流程如下:首先对SIP报文进行解码,仅对register报文和invite报文进行解码,其他报文将解码失败。若报文为register类型,其源IP将被视为高级信任并放行;否则,将检查目的IP是否处于攻击状态,如在则丢弃invite报文,否则允许报文继续后续处理。
在不同的操作系统中,Asterisk服务器运行于Linux平台,而Windows平台则运行sip server 2008。常见的客户端软件包括eyebeam客户端或X-Lite软电话客户端。
网络中存在多种与SIP相关的工具:Scapy是一个强大的封包操控程序,可广泛应用于网络扫描、追踪及探测等领域;Seagull支持多种协议流量制造,特别是针对IMS的流量模拟;SIPBomber、SIPNess及SIPp等则是针对SIP协议的测试工具;而IAXFlooder、INVITE Flooder及kphone-ddos等工具则可用于实施针对SIP的攻击。
RTP Flooder则是一种建立大量“合法”RTP封包进行flooding攻击的工具。这些工具在网络安全领域中扮演着重要的角色。