基于Netfilter的深度包检测SIP防火墙的设计
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
9 9 - 3 1 % 9 95 2 %
.Hale Waihona Puke R T P地址 、 目的 R T P地址、
源 R T P端 口和 目的 R T P端 口这 四个参数打开媒体流通道。 ( 4 ) 若是 B Y E请求消息, 则根据其 C a l l - I D查找出其会话 状 态表项,把 原会话表项 中的会话状态 由 I n v i t e _ A C K 改为 E n d , 并且根据此表项 中的源 R T P 地 址、 目的R T P 地址、 源R T P 端 口和 目的 R T P端 口这 四个参数关 闭媒体流通道 。 ( 5 ) 其他消息不会更改会话状 态表 。
v i t e AC K, 并且根据此表项中的源
_
发 出的畸 形 , 洪泛S I P 消 息 2 4 O o 0
3 O O 0 0 3 0 o o 0
检测 出的 畸形 / 洪泛 s 口消息 2 3 9 5 6
2 9 7 9 3 2 9 8 5 6
检 出率 9 9 . 8 2 %
攻击类 型 畸形 S I P消息攻 击
R E GI S T E R洪泛 攻击 Ⅱ 卫 洪泛攻击
提取 出 目的 R T P 地址和 目的R T P端 口, 保存到此会话表项 中,
此 时此会话表项才算完整 。
( 3 ) 若 是 AC K请 求 消 息 , 则根 据 其 C a l l — I D 查 找 出其 会 话 状态表项 , 把 原会 话 表 项 中 的会 话 状 态 由 I n v i t e _ OK 改 为 I n —
建 的会 话 状 态 表 项 中 。
2 . 2 测试 过程 及结 果分 析
测试分两部分 , 一部分测试深度包检测 S I P防火墙 的 S I P 防护 能力 , 另一部分是测试深度包检 测 S I P防火墙动态打开/ 关闭媒 体流通道 的能力 。
2 . 2 . 1 S I P防护 能 力测 试
开源 S l P服 务 器 y a t e 2。 ( 5 ) 网络环境: 采用 1 0 0 M 以太 网 。
1 - 3 S I P / R T P会 话状 态表 的更新 以及 媒体 流通道 动 态打 开/ 关 闭过程
S I P消息规则匹配过程成功后 , 进入 S I P / R T P会话状态表 更新 以及媒体流通道动态 打开/ 关闭流程 。 ( 1 ) 判断消息的类型。若是 I NV I T E请求消息, 则查找会 话状态表中看 是否有与其相同的Ca l l — I I 3 , 若无 , 则在会话状态 表 中新建此会话表项 , 把会话状态设置为 I n v i t e _ T r y i n g , 并且 从此 S I P消息 中提取 出源 R T P地址和源 R T P端 口, 保存到新
洪泛攻击作为测试用例来测试深度包检测 S I P防火墙 的 S I P 防护功能 。其中畸形 S P 消息 由 S I I P p产生 , R E G I S T E R洪泛
攻击消息和 I NV I T E洪泛攻击 消息 由攻击设备T h r e a t E x 产生 。
测试结果如表 1 所 示: 表 1攻击测试结果
s R T P P o n ( 源R T P 端 口) 、 d R T P P o  ̄ ( 目的R T P端 口) 和S e s s i o n — S t a t e ( 会话状态) 字段 。会话状态包括: 尝试建立会话 ( I n v i t e — T r y i n g ) 、 被 叫方接受会话请求 ( I n v i t e _ OK) 、 主叫方确认会话 已建立( I n v i t e _ AC K) 、 会话 已结束 ( B y e ) 等。
标识 ) 、 s R T P A d d r ( 源R T P地 址 ) 、 d R T P A d d r ( 目的R T P地 址 ) 、
它可真实地模拟数 千种攻击及变种 , 包括: D Do s 、 病毒、 Vo l P 攻击、 无线攻击 、 协 议模糊攻击和应用渗透等 。
( 3 ) 深度包检测 S I P防火墙: I n t e l Co r e — i 5 处理器 , 2 G内 存 。运行 L i n u x操作系统 ,版本为 Ub u n t u l O . 1 0 ,选用 L i n .
上述实验表 明, 深度包检测 S P 防火墙能够有 效地检测 出 I 畸形 S I P消息攻击 以及 D o S攻击, 具备 良好的 S I P防护能力。 2 . 2 . 2 动 态打开, 关闭媒体流通道的能力测试 在正常的 S I P 会话过程 中( 无攻击流量) , 只需验证在深度 包检测 S I P防火墙开启的情况下 , 会话 的持续时间与未 开启 防 火墙时的会话持续时 间相差不大 , 以及具有很小 的丢包率 , 即
U X . 2 . 6 . 3 5内核, 安装 自主开发的深度包 检测 S I P防火墙。 ( 4 ) S I P服务器 : I n t e l Co r e — i 5处理器 , 2 G内存 。 运行 L i n u x
操作系统 , 版本 为 Ub u n t u 1 0 . 1 0 , 选用 L i n u x 一 2 . 6 . 3 5内核 。 运行
信息通信
张春晓等 : 基于 Ne t f i l t e r 的深度包检测 S I P防火墙的设计 是由S p i r e n t 公司推 出的一种 可重现最极端攻击 的高级工具 ,
1 . 2 s I P T P会 话状 态表 设计
S I P / R T P 会话状态表包含五个字段 , 分别是 : C a l l — I D( 呼叫
我 们选 取 畸 形 S I P消 息 、 R E G I S T E R 洪 泛攻 击 和 I NV I T E
( 2 ) 若是 I N VI T E请求消息 的 2 0 0 O K 响应消息 , 则根据 其C a l l — I D查找出其会话状态表项 , 把原会 话表 项中的会话状 态由I n v i t e T r y i n g改为 I n v i t e _ O K, 并且从此 2 0 0 OK消息中
.Hale Waihona Puke R T P地址 、 目的 R T P地址、
源 R T P端 口和 目的 R T P端 口这 四个参数打开媒体流通道。 ( 4 ) 若是 B Y E请求消息, 则根据其 C a l l - I D查找出其会话 状 态表项,把 原会话表项 中的会话状态 由 I n v i t e _ A C K 改为 E n d , 并且根据此表项 中的源 R T P 地 址、 目的R T P 地址、 源R T P 端 口和 目的 R T P端 口这 四个参数关 闭媒体流通道 。 ( 5 ) 其他消息不会更改会话状 态表 。
v i t e AC K, 并且根据此表项中的源
_
发 出的畸 形 , 洪泛S I P 消 息 2 4 O o 0
3 O O 0 0 3 0 o o 0
检测 出的 畸形 / 洪泛 s 口消息 2 3 9 5 6
2 9 7 9 3 2 9 8 5 6
检 出率 9 9 . 8 2 %
攻击类 型 畸形 S I P消息攻 击
R E GI S T E R洪泛 攻击 Ⅱ 卫 洪泛攻击
提取 出 目的 R T P 地址和 目的R T P端 口, 保存到此会话表项 中,
此 时此会话表项才算完整 。
( 3 ) 若 是 AC K请 求 消 息 , 则根 据 其 C a l l — I D 查 找 出其 会 话 状态表项 , 把 原会 话 表 项 中 的会 话 状 态 由 I n v i t e _ OK 改 为 I n —
建 的会 话 状 态 表 项 中 。
2 . 2 测试 过程 及结 果分 析
测试分两部分 , 一部分测试深度包检测 S I P防火墙 的 S I P 防护 能力 , 另一部分是测试深度包检 测 S I P防火墙动态打开/ 关闭媒 体流通道 的能力 。
2 . 2 . 1 S I P防护 能 力测 试
开源 S l P服 务 器 y a t e 2。 ( 5 ) 网络环境: 采用 1 0 0 M 以太 网 。
1 - 3 S I P / R T P会 话状 态表 的更新 以及 媒体 流通道 动 态打 开/ 关 闭过程
S I P消息规则匹配过程成功后 , 进入 S I P / R T P会话状态表 更新 以及媒体流通道动态 打开/ 关闭流程 。 ( 1 ) 判断消息的类型。若是 I NV I T E请求消息, 则查找会 话状态表中看 是否有与其相同的Ca l l — I I 3 , 若无 , 则在会话状态 表 中新建此会话表项 , 把会话状态设置为 I n v i t e _ T r y i n g , 并且 从此 S I P消息 中提取 出源 R T P地址和源 R T P端 口, 保存到新
洪泛攻击作为测试用例来测试深度包检测 S I P防火墙 的 S I P 防护功能 。其中畸形 S P 消息 由 S I I P p产生 , R E G I S T E R洪泛
攻击消息和 I NV I T E洪泛攻击 消息 由攻击设备T h r e a t E x 产生 。
测试结果如表 1 所 示: 表 1攻击测试结果
s R T P P o n ( 源R T P 端 口) 、 d R T P P o  ̄ ( 目的R T P端 口) 和S e s s i o n — S t a t e ( 会话状态) 字段 。会话状态包括: 尝试建立会话 ( I n v i t e — T r y i n g ) 、 被 叫方接受会话请求 ( I n v i t e _ OK) 、 主叫方确认会话 已建立( I n v i t e _ AC K) 、 会话 已结束 ( B y e ) 等。
标识 ) 、 s R T P A d d r ( 源R T P地 址 ) 、 d R T P A d d r ( 目的R T P地 址 ) 、
它可真实地模拟数 千种攻击及变种 , 包括: D Do s 、 病毒、 Vo l P 攻击、 无线攻击 、 协 议模糊攻击和应用渗透等 。
( 3 ) 深度包检测 S I P防火墙: I n t e l Co r e — i 5 处理器 , 2 G内 存 。运行 L i n u x操作系统 ,版本为 Ub u n t u l O . 1 0 ,选用 L i n .
上述实验表 明, 深度包检测 S P 防火墙能够有 效地检测 出 I 畸形 S I P消息攻击 以及 D o S攻击, 具备 良好的 S I P防护能力。 2 . 2 . 2 动 态打开, 关闭媒体流通道的能力测试 在正常的 S I P 会话过程 中( 无攻击流量) , 只需验证在深度 包检测 S I P防火墙开启的情况下 , 会话 的持续时间与未 开启 防 火墙时的会话持续时 间相差不大 , 以及具有很小 的丢包率 , 即
U X . 2 . 6 . 3 5内核, 安装 自主开发的深度包 检测 S I P防火墙。 ( 4 ) S I P服务器 : I n t e l Co r e — i 5处理器 , 2 G内存 。 运行 L i n u x
操作系统 , 版本 为 Ub u n t u 1 0 . 1 0 , 选用 L i n u x 一 2 . 6 . 3 5内核 。 运行
信息通信
张春晓等 : 基于 Ne t f i l t e r 的深度包检测 S I P防火墙的设计 是由S p i r e n t 公司推 出的一种 可重现最极端攻击 的高级工具 ,
1 . 2 s I P T P会 话状 态表 设计
S I P / R T P 会话状态表包含五个字段 , 分别是 : C a l l — I D( 呼叫
我 们选 取 畸 形 S I P消 息 、 R E G I S T E R 洪 泛攻 击 和 I NV I T E
( 2 ) 若是 I N VI T E请求消息 的 2 0 0 O K 响应消息 , 则根据 其C a l l — I D查找出其会话状态表项 , 把原会 话表 项中的会话状 态由I n v i t e T r y i n g改为 I n v i t e _ O K, 并且从此 2 0 0 OK消息中