警惕！VoIP DDoS攻擊呈上升趨勢，Cloudflare保護(hù)您的網(wǎng)絡(luò)安全！

在過去的一個(gè)月里，多個(gè)互聯(lián)網(wǎng)協(xié)議語音 (VoIP) 提供商成為了聲稱是 REvil 實(shí)體的分布式拒絕服務(wù) (DDoS) 攻擊的目標(biāo)。多向量攻擊主要結(jié)合了針對關(guān)鍵的 HTTP 網(wǎng)站和 API 端點(diǎn)的 L7 攻擊，以及針對 VoIP 服務(wù)器基礎(chǔ)設(shè)施的 L3/4 攻擊。在某些情況下，這些攻擊會(huì)對目標(biāo)的 VoIP 服務(wù)和網(wǎng)站/ API 可用性造成重大影響。

然而幸運(yùn)的是 Cloudflare 的網(wǎng)絡(luò)卻能夠有效地保護(hù)和加速語音和視頻基礎(chǔ)設(shè)施，這主要得益于我們的全球覆蓋范圍、先進(jìn)的流量過濾套件以及對攻擊模式和威脅情報(bào)的獨(dú)特視角。

如果您或您的組織已成為 DDoS 攻擊、勒索攻擊或勒索企圖的目標(biāo)，請立即尋求幫助以保護(hù)您的互聯(lián)網(wǎng)財(cái)產(chǎn)。我們建議您不要支付贖金，并在第一時(shí)間向當(dāng)?shù)貓?zhí)法機(jī)構(gòu)報(bào)告。

IP 語音（和視頻、表情符號、會(huì)議、貓咪表情包和遠(yuǎn)程教室）

IP 語音（VoIP）是一個(gè)術(shù)語，用于描述允許通過 Internet 進(jìn)行多媒體通信的一組技術(shù)。這項(xiàng)技術(shù)可以讓您與朋友進(jìn)行 FaceTime 通話，通過 Zoom 進(jìn)行虛擬課堂課程，甚至可以通過手機(jī)撥打一些“正?！彪娫?。

VoIP 背后的原理類似于通過電路交換網(wǎng)絡(luò)進(jìn)行的傳統(tǒng)數(shù)字呼叫。這其中主要的區(qū)別在于，編碼媒體（例如語音或視頻）被劃分為小的比特單元，這些比特單元根據(jù)專門定義的媒體協(xié)議作為 IP 數(shù)據(jù)包的有效載荷在互聯(lián)網(wǎng)上傳輸。

與傳統(tǒng)的“電路交換”相比，這種語音數(shù)據(jù)的“分組交換”可以更有效地利用網(wǎng)絡(luò)資源。因此，通過 VoIP 進(jìn)行呼叫比通過 POTS（“普通電話服務(wù)”）進(jìn)行呼叫更具成本效益。改用 VoIP 可以將企業(yè)的電信成本降低 50% 以上，因此，每三家企業(yè)中就有一家已經(jīng)采用了 VoIP 技術(shù)也就不足為奇了。VoIP 具有靈活性、可擴(kuò)展性，在新冠病毒大流行期間將人們遠(yuǎn)程聚集在一起特別有用。

大多數(shù) VoIP 呼叫背后的一個(gè)關(guān)鍵協(xié)議是廣泛采用的會(huì)話發(fā)起協(xié)議（SIP）。SIP 最初是在RFC-2543（1999）中定義的，旨在作為一種靈活的模塊化協(xié)議，用于發(fā)起呼叫（“會(huì)話”），無論是語音或視頻，還是雙方或多方。

速度是 VoIP 的關(guān)鍵

我們都知道，人與人之間的實(shí)時(shí)通信需要感覺自然、即時(shí)和反應(yīng)迅速。因此，一個(gè)好的 VoIP 服務(wù)最重要的特征之一就是速度。用戶可以將其體驗(yàn)為聲音自然的音頻和高清視頻，沒有延遲或卡頓。用戶對通話質(zhì)量的感知通常通過使用諸如語音質(zhì)量的感知評估和平均意見得分等指標(biāo)來進(jìn)行密切的測量和跟蹤。雖然 SIP 和其他 VoIP 協(xié)議可以通過使用 TCP 或 UDP 作為底層協(xié)議來實(shí)現(xiàn)，但通常選擇 UDP 的原因是因?yàn)槁酚善骱头?wù)器處理它們的速度更快。

UDP 是一種不可靠、無狀態(tài)且沒有服務(wù)質(zhì)量（QoS）保證的協(xié)議。這意味著路由器和服務(wù)器通常使用較少的內(nèi)存和計(jì)算能力來處理 UDP 數(shù)據(jù)包，因此每秒可以處理更多數(shù)據(jù)包。通過更快地處理數(shù)據(jù)包可以更快地組裝數(shù)據(jù)包的有效負(fù)載（編碼媒體），從而提高通話質(zhì)量。

在“越快越好”的指導(dǎo)方針下，VoIP 服務(wù)器將嘗試以先到先得的方式盡可能快地處理數(shù)據(jù)包。因?yàn)?UDP 是無狀態(tài)的，所以它不知道哪些數(shù)據(jù)包屬于現(xiàn)有調(diào)用，哪些可以嘗試發(fā)起新調(diào)用。這些詳細(xì)信息以請求和響應(yīng)的形式存在于 SIP 標(biāo)頭中，直到網(wǎng)絡(luò)堆棧的更上層才對其進(jìn)行處理。

當(dāng)每秒數(shù)據(jù)包的速率增加超過路由器或服務(wù)器的容量時(shí)，越快越好實(shí)際上變成了一個(gè)缺點(diǎn)。雖然傳統(tǒng)的電路交換系統(tǒng)在達(dá)到容量時(shí)會(huì)拒絕新的連接，并試圖在不造成損害的情況下保持現(xiàn)有連接，但 VoIP 服務(wù)器在競爭處理盡可能多的數(shù)據(jù)包時(shí)，將無法在超過容量時(shí)處理所有數(shù)據(jù)包或所有調(diào)用。這會(huì)導(dǎo)致正在進(jìn)行的呼叫延遲和中斷，以及嘗試撥打或接聽新呼叫失敗。

如果沒有適當(dāng)?shù)谋Ｗo(hù)措施，為獲得卓越的通話體驗(yàn)而進(jìn)行的競爭將會(huì)付出安全的代價(jià)，而恰巧攻擊者則學(xué)會(huì)利用這些代價(jià)。

使用 DDoSing VoIP 服務(wù)器

攻擊者可以利用 UDP 和 SIP 協(xié)議，通過大量精心編制的 UDP 數(shù)據(jù)包來壓倒未受保護(hù)的 VoIP服務(wù)器。攻擊者壓倒 VoIP 服務(wù)器的一種方法是假裝發(fā)起呼叫。每次向受害者發(fā)送惡意呼叫啟動(dòng)請求時(shí)，他們的服務(wù)器都會(huì)使用計(jì)算能力和內(nèi)存對請求進(jìn)行身份驗(yàn)證。如果攻擊者能夠生成足夠多的呼叫啟動(dòng)，他們就可以壓倒受害者的服務(wù)器并阻止其處理合法呼叫。這是一種應(yīng)用于SIP 的經(jīng)典 DDoS 技術(shù)。

這種技術(shù)的一種變體是 SIP 反射攻擊。與前一種技術(shù)一樣，會(huì)使用惡意調(diào)用啟動(dòng)請求。但是，在此變體中，攻擊者不會(huì)直接將惡意流量發(fā)送給受害者。取而代之的是，攻擊者將它們發(fā)送到互聯(lián)網(wǎng)上成千上萬個(gè)隨機(jī)的、不知情的 SIP 服務(wù)器，然后他們將惡意流量的來源偽裝成目標(biāo)受害者的來源。這導(dǎo)致數(shù)千個(gè) SIP 服務(wù)器開始向受害者發(fā)送未經(jīng)請求的回復(fù)，隨后受害者必須使用計(jì)算資源來辨別它們是否合法。這也會(huì)使受害者服務(wù)器無法獲得處理合法呼叫所需的資源，從而導(dǎo)致用戶發(fā)生普遍的拒絕服務(wù)事件。如果沒有適當(dāng)?shù)谋Ｗo(hù)，VoIP 服務(wù)極易受到 DDoS 攻擊。

下圖顯示了最近的一次多向量 UDP DDoS 攻擊，該攻擊的目標(biāo)是受 Cloudflare Magic Transit 服務(wù)保護(hù)的 VoIP 基礎(chǔ)設(shè)施。攻擊峰值略高于 70 Gbps 和每秒 1600 萬個(gè)數(shù)據(jù)包。雖然這不是我們見過的最大的攻擊，但這種規(guī)模的攻擊可能會(huì)對未受保護(hù)的基礎(chǔ)設(shè)施造成很大影響。這種特定攻擊持續(xù)了 10 多個(gè)小時(shí)，并被自動(dòng)檢測到并緩解了。

下面是上周針對 SIP 基礎(chǔ)設(shè)施的兩個(gè)類似攻擊的附加圖表。在第一張圖表中，我們看到有多個(gè)協(xié)議被用于發(fā)起攻擊，其中大部分流量來自（欺騙性）DNS反射和其他常見的放大和反射向量。這些攻擊的峰值超過 130 Gbps 和 1740 萬 pps。

 不以犧牲性能為代價(jià)保護(hù) VoIP 服務(wù)

提供高質(zhì)量 VoIP 服務(wù)的最重要因素之一是速度。延遲越低越好。Cloudflare 的 Magic Transit 服務(wù)可以幫助保護(hù)關(guān)鍵的 VoIP 基礎(chǔ)設(shè)施，而不會(huì)影響延遲和通話質(zhì)量。

通過 Cloudflare 的選播架構(gòu)與我們網(wǎng)絡(luò)的規(guī)模相結(jié)合，可以最大限度地減少延遲，甚至可以改善通過 Cloudflare 與公共互聯(lián)網(wǎng)路由的流量的延遲。查看我們最近在 Cloudflare 的“速度周”上發(fā)布的文章，了解更多有關(guān)這一工作原理的詳細(xì)信息，測試結(jié)果表明，使用 Magic Transit 的真實(shí)客戶網(wǎng)絡(luò)在全球平均性能提高了 36%。 

此外，Cloudflare 數(shù)據(jù)中心中接收的每個(gè)數(shù)據(jù)包都會(huì)使用多層路徑外檢測來分析 DDoS 攻擊，以避免延遲。一旦檢測到攻擊，邊緣將生成與攻擊數(shù)據(jù)包特征相匹配的實(shí)時(shí)指紋。然后在Linux 內(nèi)核 eXpress 數(shù)據(jù)路徑（XDP）中匹配指紋，以線速快速丟棄攻擊數(shù)據(jù)包，而不會(huì)對合法數(shù)據(jù)包造成附帶損害。最近我們還部署了額外的特定緩解規(guī)則來檢查 UDP 流量，以確定它是否是有效的 SIP 流量。

檢測和緩解是在每個(gè) Cloudflare 邊緣服務(wù)器中自主完成的-在等式中沒有容量有限、部署范圍有限的“清理中心”。此外，威脅情報(bào)會(huì)在我們的網(wǎng)絡(luò)中實(shí)時(shí)自動(dòng)共享，以“告知”其他邊緣服務(wù)器有關(guān)攻擊的信息。

邊緣檢測也是完全可配置的。Cloudflare Magic Transit 客戶可以使用 L3/4 DDoS 托管規(guī)則集來調(diào)整和優(yōu)化其 DDoS 保護(hù)設(shè)置，還可以使用 Cloudflare Magic 防火墻制定自定義數(shù)據(jù)包級別（包括深度數(shù)據(jù)包檢查）防火墻規(guī)則，來強(qiáng)制實(shí)施積極的安全模型。

 通過遠(yuǎn)程把人們聚集在一起

Cloudflare 的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng)。這項(xiàng)使命的很大一部分是確保世界各地的人們能夠不間斷地與朋友、家人和同事交流——特別是在新冠疫情期間。無論是通過幫助開發(fā)者建立實(shí)時(shí)通信系統(tǒng)，還是通過讓 VoIP 提供商保持在線，我們的網(wǎng)絡(luò)都具有獨(dú)特的優(yōu)勢，可以幫助人們保持與世界的連接。

我們的網(wǎng)絡(luò)速度和我們始終在線的自主 DDoS 保護(hù)技術(shù)可以幫助 VoIP 提供商繼續(xù)為其客戶提供服務(wù)，而不會(huì)犧牲性能或不得不向勒索 DDoS 勒索者屈服。

您可以通過與 Cloudflare 專家交流了解更多信息。若您正在遭遇攻擊？請不要猶豫，立即撥打我們的攻擊防護(hù)熱線獲得幫助。