警惕！VoIP DDoS攻擊呈上升趨勢，Cloudflare保護您的網(wǎng)絡安全！

在過去的一個月里，多個互聯(lián)網(wǎng)協(xié)議語音 (VoIP) 提供商成為了聲稱是 REvil 實體的分布式拒絕服務 (DDoS) 攻擊的目標。多向量攻擊主要結(jié)合了針對關(guān)鍵的 HTTP 網(wǎng)站和 API 端點的 L7 攻擊，以及針對 VoIP 服務器基礎設施的 L3/4 攻擊。在某些情況下，這些攻擊會對目標的 VoIP 服務和網(wǎng)站/ API 可用性造成重大影響。

然而幸運的是 Cloudflare 的網(wǎng)絡卻能夠有效地保護和加速語音和視頻基礎設施，這主要得益于我們的全球覆蓋范圍、先進的流量過濾套件以及對攻擊模式和威脅情報的獨特視角。

如果您或您的組織已成為 DDoS 攻擊、勒索攻擊或勒索企圖的目標，請立即尋求幫助以保護您的互聯(lián)網(wǎng)財產(chǎn)。我們建議您不要支付贖金，并在第一時間向當?shù)貓?zhí)法機構(gòu)報告。

IP 語音（和視頻、表情符號、會議、貓咪表情包和遠程教室）

IP 語音（VoIP）是一個術(shù)語，用于描述允許通過 Internet 進行多媒體通信的一組技術(shù)。這項技術(shù)可以讓您與朋友進行 FaceTime 通話，通過 Zoom 進行虛擬課堂課程，甚至可以通過手機撥打一些“正?！彪娫?。

VoIP 背后的原理類似于通過電路交換網(wǎng)絡進行的傳統(tǒng)數(shù)字呼叫。這其中主要的區(qū)別在于，編碼媒體（例如語音或視頻）被劃分為小的比特單元，這些比特單元根據(jù)專門定義的媒體協(xié)議作為 IP 數(shù)據(jù)包的有效載荷在互聯(lián)網(wǎng)上傳輸。

與傳統(tǒng)的“電路交換”相比，這種語音數(shù)據(jù)的“分組交換”可以更有效地利用網(wǎng)絡資源。因此，通過 VoIP 進行呼叫比通過 POTS（“普通電話服務”）進行呼叫更具成本效益。改用 VoIP 可以將企業(yè)的電信成本降低 50% 以上，因此，每三家企業(yè)中就有一家已經(jīng)采用了 VoIP 技術(shù)也就不足為奇了。VoIP 具有靈活性、可擴展性，在新冠病毒大流行期間將人們遠程聚集在一起特別有用。

大多數(shù) VoIP 呼叫背后的一個關(guān)鍵協(xié)議是廣泛采用的會話發(fā)起協(xié)議（SIP）。SIP 最初是在RFC-2543（1999）中定義的，旨在作為一種靈活的模塊化協(xié)議，用于發(fā)起呼叫（“會話”），無論是語音或視頻，還是雙方或多方。

速度是 VoIP 的關(guān)鍵

我們都知道，人與人之間的實時通信需要感覺自然、即時和反應迅速。因此，一個好的 VoIP 服務最重要的特征之一就是速度。用戶可以將其體驗為聲音自然的音頻和高清視頻，沒有延遲或卡頓。用戶對通話質(zhì)量的感知通常通過使用諸如語音質(zhì)量的感知評估和平均意見得分等指標來進行密切的測量和跟蹤。雖然 SIP 和其他 VoIP 協(xié)議可以通過使用 TCP 或 UDP 作為底層協(xié)議來實現(xiàn)，但通常選擇 UDP 的原因是因為路由器和服務器處理它們的速度更快。

UDP 是一種不可靠、無狀態(tài)且沒有服務質(zhì)量（QoS）保證的協(xié)議。這意味著路由器和服務器通常使用較少的內(nèi)存和計算能力來處理 UDP 數(shù)據(jù)包，因此每秒可以處理更多數(shù)據(jù)包。通過更快地處理數(shù)據(jù)包可以更快地組裝數(shù)據(jù)包的有效負載（編碼媒體），從而提高通話質(zhì)量。

在“越快越好”的指導方針下，VoIP 服務器將嘗試以先到先得的方式盡可能快地處理數(shù)據(jù)包。因為 UDP 是無狀態(tài)的，所以它不知道哪些數(shù)據(jù)包屬于現(xiàn)有調(diào)用，哪些可以嘗試發(fā)起新調(diào)用。這些詳細信息以請求和響應的形式存在于 SIP 標頭中，直到網(wǎng)絡堆棧的更上層才對其進行處理。

當每秒數(shù)據(jù)包的速率增加超過路由器或服務器的容量時，越快越好實際上變成了一個缺點。雖然傳統(tǒng)的電路交換系統(tǒng)在達到容量時會拒絕新的連接，并試圖在不造成損害的情況下保持現(xiàn)有連接，但 VoIP 服務器在競爭處理盡可能多的數(shù)據(jù)包時，將無法在超過容量時處理所有數(shù)據(jù)包或所有調(diào)用。這會導致正在進行的呼叫延遲和中斷，以及嘗試撥打或接聽新呼叫失敗。

如果沒有適當?shù)谋Ｗo措施，為獲得卓越的通話體驗而進行的競爭將會付出安全的代價，而恰巧攻擊者則學會利用這些代價。

使用 DDoSing VoIP 服務器

攻擊者可以利用 UDP 和 SIP 協(xié)議，通過大量精心編制的 UDP 數(shù)據(jù)包來壓倒未受保護的 VoIP服務器。攻擊者壓倒 VoIP 服務器的一種方法是假裝發(fā)起呼叫。每次向受害者發(fā)送惡意呼叫啟動請求時，他們的服務器都會使用計算能力和內(nèi)存對請求進行身份驗證。如果攻擊者能夠生成足夠多的呼叫啟動，他們就可以壓倒受害者的服務器并阻止其處理合法呼叫。這是一種應用于SIP 的經(jīng)典 DDoS 技術(shù)。

這種技術(shù)的一種變體是 SIP 反射攻擊。與前一種技術(shù)一樣，會使用惡意調(diào)用啟動請求。但是，在此變體中，攻擊者不會直接將惡意流量發(fā)送給受害者。取而代之的是，攻擊者將它們發(fā)送到互聯(lián)網(wǎng)上成千上萬個隨機的、不知情的 SIP 服務器，然后他們將惡意流量的來源偽裝成目標受害者的來源。這導致數(shù)千個 SIP 服務器開始向受害者發(fā)送未經(jīng)請求的回復，隨后受害者必須使用計算資源來辨別它們是否合法。這也會使受害者服務器無法獲得處理合法呼叫所需的資源，從而導致用戶發(fā)生普遍的拒絕服務事件。如果沒有適當?shù)谋Ｗo，VoIP 服務極易受到 DDoS 攻擊。

下圖顯示了最近的一次多向量 UDP DDoS 攻擊，該攻擊的目標是受 Cloudflare Magic Transit 服務保護的 VoIP 基礎設施。攻擊峰值略高于 70 Gbps 和每秒 1600 萬個數(shù)據(jù)包。雖然這不是我們見過的最大的攻擊，但這種規(guī)模的攻擊可能會對未受保護的基礎設施造成很大影響。這種特定攻擊持續(xù)了 10 多個小時，并被自動檢測到并緩解了。

下面是上周針對 SIP 基礎設施的兩個類似攻擊的附加圖表。在第一張圖表中，我們看到有多個協(xié)議被用于發(fā)起攻擊，其中大部分流量來自（欺騙性）DNS反射和其他常見的放大和反射向量。這些攻擊的峰值超過 130 Gbps 和 1740 萬 pps。

 不以犧牲性能為代價保護 VoIP 服務

提供高質(zhì)量 VoIP 服務的最重要因素之一是速度。延遲越低越好。Cloudflare 的 Magic Transit 服務可以幫助保護關(guān)鍵的 VoIP 基礎設施，而不會影響延遲和通話質(zhì)量。

通過 Cloudflare 的選播架構(gòu)與我們網(wǎng)絡的規(guī)模相結(jié)合，可以最大限度地減少延遲，甚至可以改善通過 Cloudflare 與公共互聯(lián)網(wǎng)路由的流量的延遲。查看我們最近在 Cloudflare 的“速度周”上發(fā)布的文章，了解更多有關(guān)這一工作原理的詳細信息，測試結(jié)果表明，使用 Magic Transit 的真實客戶網(wǎng)絡在全球平均性能提高了 36%。 

此外，Cloudflare 數(shù)據(jù)中心中接收的每個數(shù)據(jù)包都會使用多層路徑外檢測來分析 DDoS 攻擊，以避免延遲。一旦檢測到攻擊，邊緣將生成與攻擊數(shù)據(jù)包特征相匹配的實時指紋。然后在Linux 內(nèi)核 eXpress 數(shù)據(jù)路徑（XDP）中匹配指紋，以線速快速丟棄攻擊數(shù)據(jù)包，而不會對合法數(shù)據(jù)包造成附帶損害。最近我們還部署了額外的特定緩解規(guī)則來檢查 UDP 流量，以確定它是否是有效的 SIP 流量。

檢測和緩解是在每個 Cloudflare 邊緣服務器中自主完成的-在等式中沒有容量有限、部署范圍有限的“清理中心”。此外，威脅情報會在我們的網(wǎng)絡中實時自動共享，以“告知”其他邊緣服務器有關(guān)攻擊的信息。

邊緣檢測也是完全可配置的。Cloudflare Magic Transit 客戶可以使用 L3/4 DDoS 托管規(guī)則集來調(diào)整和優(yōu)化其 DDoS 保護設置，還可以使用 Cloudflare Magic 防火墻制定自定義數(shù)據(jù)包級別（包括深度數(shù)據(jù)包檢查）防火墻規(guī)則，來強制實施積極的安全模型。

 通過遠程把人們聚集在一起

Cloudflare 的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng)。這項使命的很大一部分是確保世界各地的人們能夠不間斷地與朋友、家人和同事交流——特別是在新冠疫情期間。無論是通過幫助開發(fā)者建立實時通信系統(tǒng)，還是通過讓 VoIP 提供商保持在線，我們的網(wǎng)絡都具有獨特的優(yōu)勢，可以幫助人們保持與世界的連接。

我們的網(wǎng)絡速度和我們始終在線的自主 DDoS 保護技術(shù)可以幫助 VoIP 提供商繼續(xù)為其客戶提供服務，而不會犧牲性能或不得不向勒索 DDoS 勒索者屈服。

您可以通過與 Cloudflare 專家交流了解更多信息。若您正在遭遇攻擊？請不要猶豫，立即撥打我們的攻擊防護熱線獲得幫助。