針對SIP的拒絕服務攻擊與防御研究.pdf

1、拒絕服務攻擊(DOS)是近年來很流行的一種網(wǎng)絡(luò)攻擊方式，在拒絕服務攻擊基礎(chǔ)上還發(fā)展起來了分布式拒絕服務攻擊（DDOS)，其破壞力更為巨大。由于DOS/DDOS攻擊實施相對簡單，隱蔽性較高，目前拒絕服務攻擊已成為互聯(lián)網(wǎng)上最大威脅。 隨著互聯(lián)網(wǎng)的迅猛發(fā)展和廣泛應用，統(tǒng)一的、基于IP的核心網(wǎng)絡(luò)將會是網(wǎng)絡(luò)融合和下一代網(wǎng)絡(luò)（NGN）的必然選擇。作為NGN核心的會話初始協(xié)議（SIP）在網(wǎng)絡(luò)中的運用越來越廣泛，其安全問題也越來越受到關(guān)注。作為

2、當前網(wǎng)絡(luò)中威脅最大的拒絕服務攻擊，將是SIP安全問題研究中的一個重點和熱點。同時，由于DOS和DDOS基本原理的類似性，針對SIP的拒絕服務攻擊與防御研究同樣也可擴展到DDOS領(lǐng)域。 本文首先對SIP的基本知識進行簡要介紹，作為文章研究的基本理論基礎(chǔ)。然后描述傳統(tǒng)拒絕服務攻擊與防御的基本技術(shù)，根據(jù)拒絕服務攻擊的基本思路和原理，結(jié)合SIP的特點，提出了從應用層發(fā)起的、針對SIP的拒絕服務攻擊這一概念。參考如SYN Flood和反射

3、攻擊等典型拒絕服務攻擊技術(shù)，設(shè)計了四種典型的針對SIP的拒絕服務攻擊方式:INVITE請求消息洪泛，DNS查詢請求洪泛，注冊消息洪泛以及反射攻擊，并結(jié)合模擬攻擊實驗，對SIP在面對拒絕服務攻擊時的脆弱性進行了研究和分析。 隨后本文對針對SIP的拒絕服務防御機制進行研究。傳統(tǒng)的拒絕服務防御機制可以從攻擊源端，中間網(wǎng)絡(luò)，受攻擊端三個方面進行防御，但由于SIP是應用層協(xié)議，難于在SIP網(wǎng)絡(luò)中回溯追蹤拒絕服務攻擊的源頭，因此只能從SIP

4、的消息傳輸機制和服務器消息處理機制兩個角度進行防御。通過加密和身份認證技術(shù)，可以提高SIP協(xié)議的安全性，從消息傳輸機制的角度對SIP INVITE請求消息洪泛、注冊消息洪泛等攻擊進行防御。另一方面，作為被攻擊端的服務器，研究對消息處理機制的三種不同改進方案：增加并行消息處理隊列數(shù)目，采用非阻塞處理模式以及采用消息選擇處理機制，并比較和分析三種方案下服務器對拒絕服務攻擊的防御能力。 最后，本文對針對SIP的拒絕服務攻擊與防御的發(fā)展