Ataki DDoS i VoIP, czyli koniec gadania przez Internet

bezpieczeństwo
cyberataki
DDoS
Krzysztof Surgut
30.09.2015 Krzysztof Surgut

Usługa rozmów telefonicznych z wykorzystaniem Internetu stała się praktycznie standardem. Przyczynił się do tego zarówno SKYPE, jak również olbrzymie obniżki kosztów realizacji połączeń telefonicznych z wykorzystaniem tego medium.

Już mało kto się zachwyca technologią Voice over IP, ponieważ traktowana jest jak coś normalnego i ogólnodostępnego. Jednak ta „zwykłość” i pospolitość sprawiła, że wiele osób zapomina o niebezpieczeństwach i problemach realizacji usługi telefonicznej poprzez Internet.


Ataki DDoS i VoIP


Usługa rozmów telefoniczny poprzez Internet ma dość spore wymagania co do czasu podróży pakietów przez sieć Internet. Generalnie pakiety zawierające dane związane z rozmową telefoniczną powinny mieć najwyższy priorytet obsługi, a tym samym trafiać do celu najkrótszą trasą, w możliwie najkrótszym czasie. Ten wymóg związany jest z fizyką samego głosu oraz właściwościami naszego słuchu.

Do realizacji VoIP wykorzystuje się parę protokołów:

  • DNS
  • DHCP
  • RTP (Real Time Protocol)
  • SIP (Session Initiation Protocol), czasami jeszcze H.323 protocol
  • RTCP (Real Time Control Protocol)
  • RSVP (Resource Reservation Protocol)
  • RTSP (Real Time Streaming Protocol)
  • SDP (Session Description Protocol)

Tym samym każdy atak hakerski, który zakłóca transport pakietów VoIP przez Internet – w szczególności ataki DDoS –  powoduje co najmniej spadek jakości rozmowy, a najczęściej zrywa połączenie. W sieci można znaleźć wiele opisów ataków hakerskich, którzy wykorzystali ataki DDoS do degradacji usługi VoIP.

Ataki DDoS skierowane były na usługi VoIP różnych instytucji, szpitali, czy firm.


Gdzie można zakłócić rozmowy telefoniczne VoIP? Jak realizowane są ataki DDoS na systemy VoIP?


Warstwa Sieci

Pakiety VoIP wrażliwe są między innymi na: opóźnienie, jitter, utratę pakietów w strumieniu, a nawet zaburzenie kolejności przybywania pakietów do miejsca docelowego – to wszystko może zdegradować jakość połączenia głosowego przez Internet.

Tym samym dowolny atak DoS czy ataki DDoS są w stanie utworzyć natłok na łączu internetowym i sprawić, że pakiety VoIP przestaną gładko i równo docierać do celu. W efekcie tego rozmowa telefoniczna zostanie zerwana (lub będzie trwała cisza).

Warstwa Transportu

Protokół SIP – najbardziej popularny w VoIP – bazuje na protokole TCP. A to oznacza, że dowolne wolumetryczne ataki DDoS (np. TCP Syn) „rozsypują” kolejność docierania pakietów. Tym samy zrywa połączenie głosowe.

Ponadto z uwagi na łączenie się serwerów SIP z wykorzystaniem DNS (SIP URI), także atak na ten element sieci sprawia, że połączenia VoIP przestają działać prawidłowo.


Warstwa Aplikacji


Także w warstwie aplikacji jest wiele sposobów na atakowanie usługi VoIP. Począwszy od przepełnienia bufora (Buffer overflow), poprzez próby włamania na konto VoIP (SIP SQL injection, Non-ASCII), a także destabilizację działania programu VoIP (Format string vulnerabilities), po fałszywe pakiety SIP (Malformed SIP packets) mogące wytworzyć dodatkowo autodestrukcyjny atak DoS.

Do tego dochodzą znane „dziury” i backdoor’y w systemach Asterisk, które pozwalają na przejmowanie kontroli nad cyfrowymi centralkami internetowymi (IPABX). Skończywszy na atakach typu SIP Server Flooding, które polegają wysyłaniu długich serii fałszywych połączeń SIP, z błędnymi numerami, czy niezgodnymi z protokołem SIP wiadomości. W efekcie tego IPABX może się zawiesić, zrestartować lub zaalokować wszystkie dostępne zasoby procesora lub pamięci.

Ponadto mamy jeszcze SIP Client Call Flooding, czyli atak DoS na aplikacje VoIP na komputerach użytkowników, gdzie wysyłane są błędne lub fałszywe dane – w efekcie tego aplikacja zawiesza się, restartuje lub blokuje zasoby komputera.

A do kompletu mamy jeszcze SIP Brute-force and Scanning Attacks, czyli wysyłanie dużej ilości komunikatów w krótkim okresie czasu, dzięki czemu w wielu wypadkach możliwym staje się zdobycie danych użytkowników czy danych potrzebnych do zalogowania się na konto SIP w serwerze.


Kto powinien się martwić?


Każda firma, urząd czy instytucja, która wdrożyła rozwiązanie VoIP powinna mocno zainteresować się ochroną tej formy komunikacji. Ataki DDoS na systemy VoIP są w stanie bardzo prosto i skutecznie zdezorganizować połączenia telefoniczne – zarówno te przychodzące jak i wychodzące.

Włamanie się do centralek IPABX skutkuje najczęściej wielotysięcznym rachunkiem za połączenia z egzotycznymi numerami telefonicznymi. Podobnie jest z włamaniami do aplikacji VoIP, które są zainstalowane na telefonach czy komputerach. Przejęcie kontroli nad taką aplikacją sprawi, że wydzwonione zostaną wszystkie środki jakie znajdują się na skojarzonym koncie SIP.


Co można z tym zrobić?


Należy objąć ochroną te łącza, po których realizowana jest usługa VoIP. Nasza firma DataSpace świadczy takie usługi, wykorzystując renomowany system ochrony i sprawia, że ataki DDoS nie są w stanie zaburzyć działania rozmów telefonicznych przez Internet. Chronimy także przed atakami aplikacyjnymi, z wykorzystaniem zaawansowanego systemu analizy behawioralnej. Dzięki takiej ochronie usługa VoIP będzie działać bez zakłóceń, a firmowe pieniądze nie pójdą na opłaty za połączenia telefoniczne z numerami telefonicznymi w egzotycznych krajach.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Bezpieczeństwo IT
DDoS: Jak bardzo można wzmocnić taki atak?
Bezpieczeństwo IT
Atak DDoS a odpowiedzialność rodzicielska