警惕！VoIP DDoS攻擊呈上升趨勢(shì)，Cloudflare保護(hù)您的網(wǎng)絡(luò)安全！

在過(guò)去的一個(gè)月里，多個(gè)互聯(lián)網(wǎng)協(xié)議語(yǔ)音 (VoIP) 提供商成為了聲稱(chēng)是 REvil 實(shí)體的分布式拒絕服務(wù) (DDoS) 攻擊的目標(biāo)。多向量攻擊主要結(jié)合了針對(duì)關(guān)鍵的 HTTP 網(wǎng)站和 API 端點(diǎn)的 L7 攻擊，以及針對(duì) VoIP 服務(wù)器基礎(chǔ)設(shè)施的 L3/4 攻擊。在某些情況下，這些攻擊會(huì)對(duì)目標(biāo)的 VoIP 服務(wù)和網(wǎng)站/ API 可用性造成重大影響。

然而幸運(yùn)的是 Cloudflare 的網(wǎng)絡(luò)卻能夠有效地保護(hù)和加速語(yǔ)音和視頻基礎(chǔ)設(shè)施，這主要得益于我們的全球覆蓋范圍、先進(jìn)的流量過(guò)濾套件以及對(duì)攻擊模式和威脅情報(bào)的獨(dú)特視角。

如果您或您的組織已成為 DDoS 攻擊、勒索攻擊或勒索企圖的目標(biāo)，請(qǐng)立即尋求幫助以保護(hù)您的互聯(lián)網(wǎng)財(cái)產(chǎn)。我們建議您不要支付贖金，并在第一時(shí)間向當(dāng)?shù)貓?zhí)法機(jī)構(gòu)報(bào)告。

IP 語(yǔ)音（和視頻、表情符號(hào)、會(huì)議、貓咪表情包和遠(yuǎn)程教室）

IP 語(yǔ)音（VoIP）是一個(gè)術(shù)語(yǔ)，用于描述允許通過(guò) Internet 進(jìn)行多媒體通信的一組技術(shù)。這項(xiàng)技術(shù)可以讓您與朋友進(jìn)行 FaceTime 通話(huà)，通過(guò) Zoom 進(jìn)行虛擬課堂課程，甚至可以通過(guò)手機(jī)撥打一些“正常”電話(huà)。

VoIP 背后的原理類(lèi)似于通過(guò)電路交換網(wǎng)絡(luò)進(jìn)行的傳統(tǒng)數(shù)字呼叫。這其中主要的區(qū)別在于，編碼媒體（例如語(yǔ)音或視頻）被劃分為小的比特單元，這些比特單元根據(jù)專(zhuān)門(mén)定義的媒體協(xié)議作為 IP 數(shù)據(jù)包的有效載荷在互聯(lián)網(wǎng)上傳輸。

與傳統(tǒng)的“電路交換”相比，這種語(yǔ)音數(shù)據(jù)的“分組交換”可以更有效地利用網(wǎng)絡(luò)資源。因此，通過(guò) VoIP 進(jìn)行呼叫比通過(guò) POTS（“普通電話(huà)服務(wù)”）進(jìn)行呼叫更具成本效益。改用 VoIP 可以將企業(yè)的電信成本降低 50% 以上，因此，每三家企業(yè)中就有一家已經(jīng)采用了 VoIP 技術(shù)也就不足為奇了。VoIP 具有靈活性、可擴(kuò)展性，在新冠病毒大流行期間將人們遠(yuǎn)程聚集在一起特別有用。

大多數(shù) VoIP 呼叫背后的一個(gè)關(guān)鍵協(xié)議是廣泛采用的會(huì)話(huà)發(fā)起協(xié)議（SIP）。SIP 最初是在RFC-2543（1999）中定義的，旨在作為一種靈活的模塊化協(xié)議，用于發(fā)起呼叫（“會(huì)話(huà)”），無(wú)論是語(yǔ)音或視頻，還是雙方或多方。

速度是 VoIP 的關(guān)鍵

我們都知道，人與人之間的實(shí)時(shí)通信需要感覺(jué)自然、即時(shí)和反應(yīng)迅速。因此，一個(gè)好的 VoIP 服務(wù)最重要的特征之一就是速度。用戶(hù)可以將其體驗(yàn)為聲音自然的音頻和高清視頻，沒(méi)有延遲或卡頓。用戶(hù)對(duì)通話(huà)質(zhì)量的感知通常通過(guò)使用諸如語(yǔ)音質(zhì)量的感知評(píng)估和平均意見(jiàn)得分等指標(biāo)來(lái)進(jìn)行密切的測(cè)量和跟蹤。雖然 SIP 和其他 VoIP 協(xié)議可以通過(guò)使用 TCP 或 UDP 作為底層協(xié)議來(lái)實(shí)現(xiàn)，但通常選擇 UDP 的原因是因?yàn)槁酚善骱头?wù)器處理它們的速度更快。

UDP 是一種不可靠、無(wú)狀態(tài)且沒(méi)有服務(wù)質(zhì)量（QoS）保證的協(xié)議。這意味著路由器和服務(wù)器通常使用較少的內(nèi)存和計(jì)算能力來(lái)處理 UDP 數(shù)據(jù)包，因此每秒可以處理更多數(shù)據(jù)包。通過(guò)更快地處理數(shù)據(jù)包可以更快地組裝數(shù)據(jù)包的有效負(fù)載（編碼媒體），從而提高通話(huà)質(zhì)量。

在“越快越好”的指導(dǎo)方針下，VoIP 服務(wù)器將嘗試以先到先得的方式盡可能快地處理數(shù)據(jù)包。因?yàn)?UDP 是無(wú)狀態(tài)的，所以它不知道哪些數(shù)據(jù)包屬于現(xiàn)有調(diào)用，哪些可以嘗試發(fā)起新調(diào)用。這些詳細(xì)信息以請(qǐng)求和響應(yīng)的形式存在于 SIP 標(biāo)頭中，直到網(wǎng)絡(luò)堆棧的更上層才對(duì)其進(jìn)行處理。

當(dāng)每秒數(shù)據(jù)包的速率增加超過(guò)路由器或服務(wù)器的容量時(shí)，越快越好實(shí)際上變成了一個(gè)缺點(diǎn)。雖然傳統(tǒng)的電路交換系統(tǒng)在達(dá)到容量時(shí)會(huì)拒絕新的連接，并試圖在不造成損害的情況下保持現(xiàn)有連接，但 VoIP 服務(wù)器在競(jìng)爭(zhēng)處理盡可能多的數(shù)據(jù)包時(shí)，將無(wú)法在超過(guò)容量時(shí)處理所有數(shù)據(jù)包或所有調(diào)用。這會(huì)導(dǎo)致正在進(jìn)行的呼叫延遲和中斷，以及嘗試撥打或接聽(tīng)新呼叫失敗。

如果沒(méi)有適當(dāng)?shù)谋Ｗo(hù)措施，為獲得卓越的通話(huà)體驗(yàn)而進(jìn)行的競(jìng)爭(zhēng)將會(huì)付出安全的代價(jià)，而恰巧攻擊者則學(xué)會(huì)利用這些代價(jià)。

使用 DDoSing VoIP 服務(wù)器

攻擊者可以利用 UDP 和 SIP 協(xié)議，通過(guò)大量精心編制的 UDP 數(shù)據(jù)包來(lái)壓倒未受保護(hù)的 VoIP服務(wù)器。攻擊者壓倒 VoIP 服務(wù)器的一種方法是假裝發(fā)起呼叫。每次向受害者發(fā)送惡意呼叫啟動(dòng)請(qǐng)求時(shí)，他們的服務(wù)器都會(huì)使用計(jì)算能力和內(nèi)存對(duì)請(qǐng)求進(jìn)行身份驗(yàn)證。如果攻擊者能夠生成足夠多的呼叫啟動(dòng)，他們就可以壓倒受害者的服務(wù)器并阻止其處理合法呼叫。這是一種應(yīng)用于SIP 的經(jīng)典 DDoS 技術(shù)。

這種技術(shù)的一種變體是 SIP 反射攻擊。與前一種技術(shù)一樣，會(huì)使用惡意調(diào)用啟動(dòng)請(qǐng)求。但是，在此變體中，攻擊者不會(huì)直接將惡意流量發(fā)送給受害者。取而代之的是，攻擊者將它們發(fā)送到互聯(lián)網(wǎng)上成千上萬(wàn)個(gè)隨機(jī)的、不知情的 SIP 服務(wù)器，然后他們將惡意流量的來(lái)源偽裝成目標(biāo)受害者的來(lái)源。這導(dǎo)致數(shù)千個(gè) SIP 服務(wù)器開(kāi)始向受害者發(fā)送未經(jīng)請(qǐng)求的回復(fù)，隨后受害者必須使用計(jì)算資源來(lái)辨別它們是否合法。這也會(huì)使受害者服務(wù)器無(wú)法獲得處理合法呼叫所需的資源，從而導(dǎo)致用戶(hù)發(fā)生普遍的拒絕服務(wù)事件。如果沒(méi)有適當(dāng)?shù)谋Ｗo(hù)，VoIP 服務(wù)極易受到 DDoS 攻擊。

下圖顯示了最近的一次多向量 UDP DDoS 攻擊，該攻擊的目標(biāo)是受 Cloudflare Magic Transit 服務(wù)保護(hù)的 VoIP 基礎(chǔ)設(shè)施。攻擊峰值略高于 70 Gbps 和每秒 1600 萬(wàn)個(gè)數(shù)據(jù)包。雖然這不是我們見(jiàn)過(guò)的最大的攻擊，但這種規(guī)模的攻擊可能會(huì)對(duì)未受保護(hù)的基礎(chǔ)設(shè)施造成很大影響。這種特定攻擊持續(xù)了 10 多個(gè)小時(shí)，并被自動(dòng)檢測(cè)到并緩解了。

下面是上周針對(duì) SIP 基礎(chǔ)設(shè)施的兩個(gè)類(lèi)似攻擊的附加圖表。在第一張圖表中，我們看到有多個(gè)協(xié)議被用于發(fā)起攻擊，其中大部分流量來(lái)自（欺騙性）DNS反射和其他常見(jiàn)的放大和反射向量。這些攻擊的峰值超過(guò) 130 Gbps 和 1740 萬(wàn) pps。

 不以犧牲性能為代價(jià)保護(hù) VoIP 服務(wù)

提供高質(zhì)量 VoIP 服務(wù)的最重要因素之一是速度。延遲越低越好。Cloudflare 的 Magic Transit 服務(wù)可以幫助保護(hù)關(guān)鍵的 VoIP 基礎(chǔ)設(shè)施，而不會(huì)影響延遲和通話(huà)質(zhì)量。

通過(guò) Cloudflare 的選播架構(gòu)與我們網(wǎng)絡(luò)的規(guī)模相結(jié)合，可以最大限度地減少延遲，甚至可以改善通過(guò) Cloudflare 與公共互聯(lián)網(wǎng)路由的流量的延遲。查看我們最近在 Cloudflare 的“速度周”上發(fā)布的文章，了解更多有關(guān)這一工作原理的詳細(xì)信息，測(cè)試結(jié)果表明，使用 Magic Transit 的真實(shí)客戶(hù)網(wǎng)絡(luò)在全球平均性能提高了 36%。 

此外，Cloudflare 數(shù)據(jù)中心中接收的每個(gè)數(shù)據(jù)包都會(huì)使用多層路徑外檢測(cè)來(lái)分析 DDoS 攻擊，以避免延遲。一旦檢測(cè)到攻擊，邊緣將生成與攻擊數(shù)據(jù)包特征相匹配的實(shí)時(shí)指紋。然后在Linux 內(nèi)核 eXpress 數(shù)據(jù)路徑（XDP）中匹配指紋，以線速快速丟棄攻擊數(shù)據(jù)包，而不會(huì)對(duì)合法數(shù)據(jù)包造成附帶損害。最近我們還部署了額外的特定緩解規(guī)則來(lái)檢查 UDP 流量，以確定它是否是有效的 SIP 流量。

檢測(cè)和緩解是在每個(gè) Cloudflare 邊緣服務(wù)器中自主完成的-在等式中沒(méi)有容量有限、部署范圍有限的“清理中心”。此外，威脅情報(bào)會(huì)在我們的網(wǎng)絡(luò)中實(shí)時(shí)自動(dòng)共享，以“告知”其他邊緣服務(wù)器有關(guān)攻擊的信息。

邊緣檢測(cè)也是完全可配置的。Cloudflare Magic Transit 客戶(hù)可以使用 L3/4 DDoS 托管規(guī)則集來(lái)調(diào)整和優(yōu)化其 DDoS 保護(hù)設(shè)置，還可以使用 Cloudflare Magic 防火墻制定自定義數(shù)據(jù)包級(jí)別（包括深度數(shù)據(jù)包檢查）防火墻規(guī)則，來(lái)強(qiáng)制實(shí)施積極的安全模型。

 通過(guò)遠(yuǎn)程把人們聚集在一起

Cloudflare 的使命是幫助構(gòu)建更好的互聯(lián)網(wǎng)。這項(xiàng)使命的很大一部分是確保世界各地的人們能夠不間斷地與朋友、家人和同事交流——特別是在新冠疫情期間。無(wú)論是通過(guò)幫助開(kāi)發(fā)者建立實(shí)時(shí)通信系統(tǒng)，還是通過(guò)讓 VoIP 提供商保持在線，我們的網(wǎng)絡(luò)都具有獨(dú)特的優(yōu)勢(shì)，可以幫助人們保持與世界的連接。

我們的網(wǎng)絡(luò)速度和我們始終在線的自主 DDoS 保護(hù)技術(shù)可以幫助 VoIP 提供商繼續(xù)為其客戶(hù)提供服務(wù)，而不會(huì)犧牲性能或不得不向勒索 DDoS 勒索者屈服。

您可以通過(guò)與 Cloudflare 專(zhuān)家交流了解更多信息。若您正在遭遇攻擊？請(qǐng)不要猶豫，立即撥打我們的攻擊防護(hù)熱線獲得幫助。