警惕！VoIP DDoS 攻擊呈上升趨勢，Cloudflare 保護您的網路安全！

在過去的一個月裡，多個網際網路協議語音 (VoIP) 提供商成為了聲稱是 REvil 實體的分散式拒絕服務 (DDoS) 攻擊的目標。 多向量攻擊主要結合了針對關鍵的 HTTP 網站和 API 端點的 L7 攻擊，以及針對 VoIP 伺服器基礎設施的 L3/4 攻擊。 在某些情況下，這些攻擊會對目標的 VoIP 服務和網站/ API 可用性造成重大影響。

 

然而幸運的是 Cloudflare 的網路卻能夠有效地保護和加速語音和視訊基礎設施，這主要得益於我們的全球覆蓋範圍、先進的流量過濾套件以及對攻擊模式和威脅情報的獨特視角。

 

如果您或您的組織已成為 DDoS 攻擊、勒索攻擊或勒索企圖的目標，請立即尋求幫助以保護您的網際網路財產。我們建議您不要支付贖金，並在第一時間向當地執法機構報告。

 

1
IP 語音（和視訊、表情符號、會議、貓咪表情包和遠端教室）

 

IP 語音（VoIP）是一個術語，用於描述允許通過 Internet 進行多媒體通訊的一組技術。這項技術可以讓您與朋友進行 FaceTime 通話，通過 Zoom 進行虛擬課堂課程，甚至可以通過手機撥打一些“正常”電話。

VoIP 背後的原理類似於通過電路交換網路進行的傳統數字呼叫。這其中主要的區別在於，編碼媒體（例如語音或視訊）被劃分為小的位元單元，這些位元單元根據專門定義的媒體協議作為 IP 資料包的有效載荷在網際網路上傳輸。

 

與傳統的“電路交換”相比，這種語音資料的“分組交換”可以更有效地利用網路資源。因此，通過 VoIP 進行呼叫比通過 POTS（“普通電話服務”）進行呼叫更具成本效益。 改用 VoIP 可以將企業的電信成本降低 50% 以上，因此，每三家企業中就有一家已經採用了 VoIP 技術也就不足為奇了。VoIP 具有靈活性、可擴充套件性，在新冠病毒大流行期間將人們遠端聚集在一起特別有用。

 

大多數 VoIP 呼叫背後的一個關鍵協議是廣泛採用的會話發起協議（SIP）。SIP 最初是在RFC-2543（1999）中定義的，旨在作為一種靈活的模組化協議，用於發起呼叫（“會話”），無論是語音或視訊，還是雙方或多方。

 

2
速度是 VoIP 的關鍵

 

我們都知道，人與人之間的實時通訊需要感覺自然、即時和反應迅速。因此，一個好的 VoIP 服務最重要的特徵之一就是速度。使用者可以將其體驗為聲音自然的音訊和高清視訊，沒有延遲或卡頓。使用者對通話質量的感知通常通過使用諸如語音質量的感知評估和平均意見得分等指標來進行密切的測量和跟蹤。雖然 SIP 和其他 VoIP 協議可以通過使用 TCP 或 UDP 作為底層協議來實現，但通常選擇 UDP 的原因是因為路由器和伺服器處理它們的速度更快。

UDP 是一種不可靠、無狀態且沒有服務質量（QoS）保證的協議。這意味著路由器和伺服器通常使用較少的記憶體和計算能力來處理 UDP 資料包，因此每秒可以處理更多資料包。通過更快地處理資料包可以更快地組裝資料包的有效負載（編碼媒體），從而提高通話質量。

 

在“越快越好”的指導方針下，VoIP 伺服器將嘗試以先到先得的方式儘可能快地處理資料包。因為 UDP 是無狀態的，所以它不知道哪些資料包屬於現有呼叫，哪些可以嘗試發起新呼叫。這些詳細資訊以請求和響應的形式存在於 SIP 標頭中，直到網路堆疊的更上層才對其進行處理。

 

當每秒資料包的速率增加超過路由器或伺服器的容量時，越快越好實際上變成了一個缺點。雖然傳統的電路交換系統在達到容量時會拒絕新的連線，並試圖在不造成損害的情況下保持現有連線，但 VoIP 伺服器在競爭處理儘可能多的資料包時，將無法在超過容量時處理所有資料包或所有呼叫。這會導致正在進行的呼叫延遲和中斷，以及嘗試撥打或接聽新呼叫失敗。

 

如果沒有適當的保護措施，為獲得卓越的通話體驗而進行的競爭將會付出安全的代價，而恰巧攻擊者則學會利用這些代價。

 

3
使用 DDoSing VoIP 伺服器
  

 

攻擊者可以利用 UDP 和 SIP 協議，通過大量精心編制的 UDP 資料包來壓倒未受保護的 VoIP伺服器。攻擊者壓倒 VoIP 伺服器的一種方法是假裝發起呼叫。每次向受害者傳送惡意呼叫啟動請求時，他們的伺服器都會使用計算能力和記憶體對請求進行身份驗證。如果攻擊者能夠生成足夠多的呼叫啟動，他們就可以壓倒受害者的伺服器並阻止其處理合法呼叫。這是一種應用於SIP 的經典 DDoS 技術。

 

 

這種技術的一種變體是 SIP 反射攻擊。與前一種技術一樣，會使用惡意呼叫啟動請求。但是，在此變體中，攻擊者不會直接將惡意流量傳送給受害者。取而代之的是，攻擊者將它們傳送到網際網路上成千上萬個隨機的、不知情的 SIP 伺服器，然後他們將惡意流量的來源偽裝成目標受害者的來源。這導致數千個 SIP 伺服器開始向受害者傳送未經請求的回覆，隨後受害者必須使用計算資源來辨別它們是否合法。這也會使受害者伺服器無法獲得處理合法呼叫所需的資源，從而導致使用者發生普遍的拒絕服務事件。如果沒有適當的保護，VoIP 服務極易受到 DDoS 攻擊。

 

下圖顯示了最近的一次多向量 UDP DDoS 攻擊，該攻擊的目標是受 Cloudflare Magic Transit 服務保護的 VoIP 基礎設施。攻擊峰值略高於 70 Gbps 和每秒 1600 萬個資料包。雖然這不是我們見過的最大的攻擊，但這種規模的攻擊可能會對未受保護的基礎設施造成很大影響。這種特定攻擊持續了 10 多個小時，並被自動檢測到並緩解了。

 

 

 

下面是上週針對 SIP 基礎設施的兩個類似攻擊的附加圖表。在第一張圖表中，我們看到有多個協議被用於發起攻擊，其中大部分流量來自（欺騙性）DNS反射和其他常見的放大和反射向量。這些攻擊的峰值超過 130 Gbps 和 1740 萬 pps。

4
不以犧牲效能為代價保護 VoIP 服務
   

 

提供高質量 VoIP 服務的最重要因素之一是速度。延遲越低越好。Cloudflare 的 Magic Transit 服務可以幫助保護關鍵的 VoIP 基礎設施，而不會影響延遲和通話質量。

 

通過 Cloudflare 的選播架構與我們網路的規模相結合，可以最大限度地減少延遲，甚至可以改善通過 Cloudflare 與公共網際網路路由的流量的延遲。 檢視我們最近在 Cloudflare 的“速度周”上釋出的文章，瞭解更多有關這一工作原理的詳細資訊，測試結果表明， 使用 Magic Transit 的真實客戶網路在全球平均效能提高了 36%。

 

此外，Cloudflare 資料中心中接收的每個資料包都會使用多層路徑外檢測來分析 DDoS 攻擊，以避免延遲。一旦檢測到攻擊，邊緣將生成與攻擊資料包特徵相匹配的實時指紋。然後在Linux 核心 eXpress 資料路徑（XDP）中匹配指紋，以線速快速丟棄攻擊資料包，而不會對合法資料包造成附帶損害。最近我們還部署了額外的特定緩解規則來檢查 UDP 流量，以確定它是否是有效的 SIP 流量。

檢測和緩解是在每個 Cloudflare 邊緣伺服器中自主完成的-在等式中沒有容量有限、部署範圍有限的“清理中心”。此外，威脅情報會在我們的網路中實時自動共享，以“告知”其他邊緣伺服器有關攻擊的資訊。

 

邊緣檢測也是完全可配置的。 Cloudflare Magic Transit 客戶可以使用 L3/4 DDoS 託管規則集來調整和優化其 DDoS 保護設定，還可以使用 Cloudflare Magic 防火牆制定自定義資料包級別（包括深度資料包檢查）防火牆規則，來強制實施積極的安全模型。

 

5
通過遠端把人們聚集在一起
    

 

Cloudflare 的使命是幫助構建更好的網際網路。這項使命的很大一部分是確保世界各地的人們能夠不間斷地與朋友、家人和同事交流——特別是在新冠疫情期間。 無論是通過幫助開發者建立實時通訊系統，還是通過讓 VoIP 提供商保持線上，我們的網路都具有獨特的優勢，可以幫助人們保持與世界的連線。

 

我們的網路速度和我們始終線上的自主 DDoS 保護技術可以幫助 VoIP 提供商繼續為其客戶提供服務，而不會犧牲效能或不得不向勒索 DDoS 勒索者屈服。

 

您可以通過與 Cloudflare 專家交流 。若您正在遭遇攻擊？請不要猶豫，立即撥打我們的 獲得幫助。