关于VoIP封杀原理

目前南电信、北网通进行封杀的工具重要由华为、复兴和尚阳(Verso供给skype的封杀),装备叫“协定分析器”。基础工作原理是将协议分析器置于互联网骨干节点上进行数据包过滤,就像在一个水渠的横截面上加了一个过滤网。当这个过滤网过滤到VoIP的数据包(SIP、H.323、MGCP的数据包)落后行解码,得到软交流或者GK的公网IP地址。马上把这个IP地址传送到骨干路由器上的黑名单中进行地址过滤,凡是发向这个公网IP 地址的包都将找不到这个IP,从而到达封杀VoIP通话的目标。
    反封杀是做不到的!魔高一尺,道高一丈;道高一尺,魔高一丈!猫捉老鼠一样。防封杀是可以的。实在道理很简略:我们原来是大鱼,现在把自己变成小鱼,或者假装成水,要是运营商要抓我们,他就得投资多点本钱买线织更细密的网才干抓到我们。
    成本是要害,中间的进程要能把持成本。VPN无疑是最好的解决计划。但是对于目前市场上的实际情形,却是不能实现的。VPN的方法对于硬件终端来说成本太高――软件要本钱,VPN系统也占用太多系统资源,要增强CPU和加大Flash,硬件本钱就上往了。改整体硬件终端装备的计划――动的处所就大了。我们的整体设计思路就是基于简略切实可行这个基础思想的。进行加密封装的方法,不会占用硬件体系太多资源,兼容各类装备,开发便利、简单、快速。当然最主要的是针对目前的封杀能有效的防止。保证客户的投资不挥霍。能正常使用自己的VoIP体系为其客户提供有保障的通讯。
防封杀机制
端口封杀――机动的信令端口配置
信令封杀――基于随秘密钥的信令加密
IP地址封杀――动态代理服务器
RTP封杀――“黑匣子”RTP包的假装
电信是怎样封杀VOIP的呢?电信封杀的第一步是先把VOIP找出来,找的方式是首先把所有的网络数据包截获下来,第二步是把截获的所有数据包交给分析服务器。“协议分析服务器”通过对所有网络数据包进行协定剖析。假如分析出有voip数据包,就给出对应数据包的IP地址,电信就有理由猜忌这个IP正在做VOIP应用,分析出来VOIP数据包后,电信就会采用必定的封杀办法,目前电信采取的封杀办法大约有以下四种:
    第一种封IP,剖析出VOIP包的目的IP,目的IP就是我们的VOIP服务器的IP地址,源IP一般是ADSL的动态IP,一般没什么用,电信就对这个目的服务器IP进行封杀,所有到这个IP的数据包,不管是VOIP数据包,还是非VOIP数据包,均被电信路由器丢掉,就是我们俗称的封IP。也就是通过这个路由器是不可能拜访到那个服务器的。对付这种封杀只能换服务器IP。
    第二种封端口,第一种计划的毛病就是把封VOIP数据包也封了,例如http、smtp、telnet等等运用都封了,轻易引起投诉,根据TCP/IP运用的特色,每个利用只占用一个特定的端口,所以分析软件首先分析出VOIP利用使用的端口,然后,对丢弃所有这个端口的数据,到达封杀VOIP的目的,这种封杀对正在这个服务器上运行的其他服务不受影响。
    第三种封协议,对于第一种和第二种封杀封杀办法。一般从voip查出来到采用封杀措施都要滞后几天时光,而且中间须要一个手工干涉的进程,一旦虚拟运营商被封之后,虚拟运营商会采取马上换IP或者是端口的方法来对付封杀。所以电信采取了更实时的封杀办法,一旦分析出是VOIP数据包,马上就丢弃该数据包。这样VOIP通信就无法树立,全部进程全体主动完成,不须要人工干涉,而且采用换IP或者端口都不能对付这种封杀行动。
    第四种干扰声音,这种方式是,电信查出VOIP数据之后,并不丢弃VOIP数据,而是在VOIP的数据包中插进一些非法干扰数据,这样数据包达到目标地之后还原出来的声音就有干扰的噪音。电信通过这种方法到达封杀voip的目标。
        特殊提示
    不知道你注意到没有,电信的所有封杀都是以剖析解包软件为条件的,而我们的反封杀都是以加密网络数据为条件的。这样就能很好地对付电信封杀,但是依据我们的实践经验,我们有的客户在应用反封杀产品的时候,有时会呈现问题,经过我们分析,发现是以下原因造成的,用户的一个VOIP服务器挂了很多VOIP网关和电话机,其中可能某些网关被封了,这是用户仅仅对这几个网关进行了反封杀处置,其他网关并没有这么做,成果几天之后,所有网关都被封了,原因就是由于一些没有网关没有采用反封杀办法,电信很用轻易发明VOIP服务器的IP地址,服务器IP被封以后,所有网关现在都不能用了,这是一种情形,另一种情形就是用户确切依据我们的建议,把所有客户网关都进行了反封杀处置,但是最后发明仍然找到电信封杀,依据我们最后调查发现,造成这个的原因的不加密的网关仍然能在服务器上正常工作,所以有的终端客户不警惕挂了几个不加密的网关在服务器上,虚拟运营商也没有即使发现,成果裸露了服务器的IP,就象伏击战一样,95%的士兵都隐藏好了,就那么3-4个士兵大摇大摆的站在那里,你说敌人能不发明吗?解决的措施就是通过技巧手腕彻底封逝世不加密的网关,不加密的网关基本挂不到服务器上来,这样就能保证反封杀的后果了。
    其他反封杀技术
    除了以上反封杀技巧外,还有一些简略的反封杀技巧,例如支撑域名、支撑端口修正等,支撑域名是为了尽快修正服务器的IP地址的,这样虚拟运营商可以快速调换服务器IP地址,以对付封IP的封杀.
加密VoIP服务器?
VoIP的通话是被分解成数据包进行传输,和其它通过IP网络发送的数据一样。这意味着黑客们可以象截取其它数据一样截取VoIP的电话――比如,通过使用“嗅探器”(网络监控/协议分析工具)来捕捉数据包。数据截取可能产生在本地局域网中,也可能产生在Internet上数据传输所经过的任意处所的ISP上。某人知道了你的IP电话的IP地址,他们就可能接听你的电话。
保证企业中VoIP服务器的物理安全性,可以维护用户免受窃听和呼叫转移的要挟。你应该象器重企业中其它的主要服务器一样留心这些服务器,掩护它们避免遭遇来自内部或外部的攻击。
当然,你也该应用防火墙来维护这些服务器。懂得如何配置防火墙以进行VoIP通信和与之相干的安全问题。现在也有了专门设计用于VoIP体系的防火墙;他们可以在呼叫进行时动态的打开和封闭相应的网络端口。
加密VoIP通讯
第二道防线,即使VoIP的数据包被中途拦阻了,这样也可以保证黑客们在捕捉数据后无法使用它――这意味着一种强盛的加密方式。很多VoIP供给商都供给内置的加密。另外,也有单独的加密产品可供选购。
PGP(Pretty Good Privacy的简写,一种加密产品)的开发者Phil Zimmerman最近宣布了一个叫做Zfone的Beta版产品,这是一种安全,加密,开源的VoIP软件。不幸的是,固然它可以和所有尺度SIP电话协同工作,它只能对双方均应用ZRTP协定的用户之间通信进行加密。ZRTP的一个长处是密钥的协商和治理采取点对点的操作,所以你无需使用公钥机制(PKI,Public Key Infrastructure的简写)。
加密还有另外一个长处:一些ISP制止了SIP协议。往年夏天,Solegy放出了一个VoIP加密办法,容许VoIP用户树立SIP会话而疏忽相干的制止机制。

www.sunth.tk

www.crmim.com

posted @ 2011-05-17 09:40  孙同海  阅读(1336)  评论(2编辑  收藏  举报