VoIP는 동일한 인터넷 인프라를 사용하며 TCP, UDP 및 기타 일반 프로토콜도 사용합니다.DDOS 및 암호 해독과 같은 일반적인 유형의 공격에 대해 VoIP를 취약하게 만듭니다. 공격자는 발자국을 수행하여 VoIP 네트워크의 정보를 수집하고 정보가 수집되면 공격합니다. VoIP 환경의 침수 또는 서비스 거부 공격은 위험한 공격 중 하나이며,이 공격의 목적은 합법적 인 사용자가 리소스를 사용할 수 없게 만드는 것입니다.

범람 공격의 목적은 다양 할 수 있습니다. 때로는 공격자가 시스템을 손상 시키거나 때때로 지터, 지연 및 기타 품질 문제를 품질에 도입하는 경우가 있습니다. 두 경우 모두 VoIP 환경이 손상되어 보안 부족을 나타냅니다. 범람 공격의 목적은 다음과 같습니다.

  • 네트워크 리소스 손상 (네트워크 가용성)
  • 대기 시간 및 지터 도입 (서비스 품질 저하)

서비스 품질 (QoS)은 항상 우선 순위가 높으며, VoIP는 품질이 유명합니다. 사용자가 품질을 얻지 못하면 VoIP 네트워크를 사용할 이유가 없습니다. 환경을 공격하기 전에 품질 요소를 논의 해 봅시다.

숨어 있음

대기 시간이 지연됩니다. 음성이 스피커폰에서 나오고 청취자의 귀에 도달하는 데 걸리는 시간.대기 시간은 보낸 사람에서받는 사람에게 네트워크 리소스를 통과하는 패킷의 시간 지연을 측정합니다. VoIP 네트워크가 허용 할 수있는 최대 지연 시간은 150ms입니다. 부적절한 네트워크 구성, 중간 장치 수 및 물리적 거리와 같은 지연에 대한 몇 가지 이유가있을 수 있습니다.

지터

지터는 패킷 전달 또는 지연된 대화의 변형입니다. 지터는 송신기가 패킷을 끊임없이 보내는 동안 수신자가 패킷을 다양한 속도로 수신하는 경우입니다. 이 지연은 라우트 변경, 큐잉, 시간 지연 및 직렬화에 의해 발생할 수 있습니다. 일반적인 이유는 대역폭 관리가 없다는 것입니다. 지터 허용 시간은 40ms입니다. VoIP 애플리케이션은 지터 버퍼 기술을 사용하여 수신 된 정상 패킷보다 먼저 일부 패킷을 저장합니다.

패킷 손실

네트워크 및 네트워크를 통해 이동하는 다수의 패킷은 트래픽을 처리 할 수 ​​없습니다. 일부 패킷이 손실 될 수 있습니다. VoIP 환경에서, 손실 된 패킷을 재전송하는 것은 실시간 통신으로 인해 실현 가능하지 않다. 기본 G.729 코덱은 가청 오류를 피하기 위해 패킷 손실이 1 % 미만이어야합니다. 이상적으로 VoIP에는 패킷 손실이 없어야합니다.

침수 공격

침수 공격은 도스 공격의 일부이며, 목적은 합법적 인 사용자가 자신에게 제공된 서비스를 연결하고 활용할 수 없도록 네트워크 자원을 분주하게 만드는 것입니다. 공격자가 모든 리소스 (대역폭, TCP / IP 연결 등)를 소비 할 때 발생합니다. 이러한 공격을 시작하는 도구가 인터넷의 모든 곳에서 사용할 수 있기 때문에 플러딩은 가장 일반적인 DOS 공격입니다. 범람은 다음과 같은 유형으로 나뉩니다.

  • SYN 홍수 공격
  • UDP 홍수 공격
  • ICMP 스머프 홍수 공격

SYN 또는 TCP SYN 플러딩 공격은 3 방향 핸드 쉐이킹 프로세스를 이용합니다. TCP는 연결 지향 프로토콜입니다. 연결 지향 프로토콜에서 두 호스트는 데이터를 전송하기 전에 연결을 설정해야합니다. 호스트 간의 연결은 3 방향 핸드 쉐이킹 프로세스를 사용하여 설정합니다.

011916_2247_CheatingVoI1.jpg

이미지 소스 

개시 자 (클라이언트)는 SYN 패킷을 보내서 연결을 설정하려고한다는 것을 서버 (수신기)에 알려줍니다. SYN + ACK 패킷은 SYN 패킷에 대한 응답으로 서버에서 전송하고, 녹색 신호를 받으면 클라이언트는 최종 ACK 패킷을 보내고 연결이 설정됩니다. 이것은 TCP 환경과의 연결을 설정하는 일반적인 프로세스입니다. 그러나 공격자는 프로세스를 완료하지 않아 프로세스를 악용합니다.

011916_2247_CheatingVoI2.gif

이미지 소스 

TCP SYN 플러드 공격에서 공격자는 스푸핑 된 IP (원본 IP)를 사용하여 SYN 패킷을 보냅니다.공격자는 자신의 시스템 IP 또는 실제 시스템의 IP 주소를 사용하지 않습니다. 원본 IP가 들어오는 SYN + ACK 시스템에 응답하지 않아야합니다. 원본 IP가 다시 응답하면 플러딩 대신 연결이 설정됩니다. 수신자 (서버)는 SYN 메시지를 가져 와서 원래의 소스가 없으므로 존재하지 않는 소스에 응답합니다. 이 경우, 최종 ACK 메시지는 희생자에게 결코 전송되지 않으며, 대상은 보낸 사람으로부터 ACK 패킷을 수신하는 기간 동안 대기합니다. 피해자 연결 테이블이 가득 차고 모든 리소스가 불법적 인 요청에 의해 소비됩니다. 이 경우 시스템, 라우터 및 기타 장치는 SYN 메시지와 SYN 메시지를 구별 할 수 없습니다.

SYN 플러드 공격을 시작하는 데 도움이되는 공통 도구를 사용해 보겠습니다.

hping3 -i u1 -S - 홍수 -V target_IP

여기서 target_IP는 클라이언트의 IP 또는 VoIP 서버 IP 일 수 있습니다. 그것은 당신의 목표에 달려 있습니다. 위의 명령은 매우 기본적인 홍수 공격을 시작하고 공격자 IP를 사용합니다. 그러므로, 이것이 올바른 방법이 아닙니다.

011916_2247_CheatingVoI3.png

Wireshark를 사용하여 패킷을 탐지하여 공격을 분석합니다. Wireshark → 캡처 → 인터페이스 (유선의 경우 eth0, Wi-Fi의 경우 wlan0 인터페이스 선택) → 시작

011916_2247_CheatingVoI4.png

들어오고 나가는 패킷을 볼 수 있습니다. TCP는 두 대의 컴퓨터 사이를 오가는 수많은 프로토콜과 프로토콜입니다. 몇 초 만에 수 천 개의 패킷이 이동하여 궁극적으로 시스템이 손상됩니다.그러나 위 시나리오에서 공격자 시스템도 영향을받습니다. 소스 IP를 스푸핑하자.

hping3 -p80-S -a Spoofed_IPtarget_IP -flood

여기서 스푸핑 된 IP는 임의의 오프라인 시스템이어야하며 -S는 SYN 패킷을 의미합니다.

011916_2247_CheatingVoI5.png

소스 IP가 현재 라이브 상태가 아닙니다.

011916_2247_CheatingVoI6.png

그것은 VoIP 서버를 바쁘게 만들어서 네트워크를 방해하고 대역폭을 소모합니다.

hping -c 20000 -d 100 -S -w 64 -p 21 -frand -rand-source target

-rand-source는 소스를 임의로 선택하는 것을 의미합니다. -p 21이 포트 번호를 공격합니다.

011916_2247_CheatingVoI7.png

011916_2247_CheatingVoI8.png

SIP 서비스를 방해하려면 21 대신 SIP 포트 (5060, 5061)를 지정하십시오.

윤리적 해킹 교육 - 리소스 (INFOSEC)

UDP 홍수 공격

UDP 홍수 공격은 대부분의 SIP 장치가 사용자 데이터 그램 프로토콜을 사용하기 때문에 VoIP 네트워크가 직면하는 가장 일반적인 공격입니다. 공격자가 UDP 플러드 공격을 사용하는 이유입니다.

패킷 폭풍우 에서 UDP flooder를 다운로드하십시오. Perl로 작성되었습니다.

011916_2247_CheatingVoI9.png

작은 패킷이 SIP (VoIP 서비스) 인 UDP 포트 5060으로 전송되었으므로이 목적은 합법적 인 사용자가 전화를 걸 수 없도록하는 것입니다.

011916_2247_CheatingVoI10.png

원본 IP가 SIP 서비스의 서버 IP로 패킷을 계속 보내고 있음을 분명히 알 수 있습니다.

스머프 홍수 공격

Smurf flood 공격은 많은 수의 패킷이 여러 소스에서 대상 컴퓨터로 전송되는 DDOS 개념을 사용합니다. smurf 홍수 공격에서 ICMP (인터넷 제어 메시지 프로토콜) 패킷은 스푸핑 된 소스에서 대상 컴퓨터로 전송되고,이 플러드 공격은 방송에서 작동하며, 스푸핑 된 소스는 패킷을 전송할뿐만 아니라 브로드 캐스트합니다. 보낸 사람이 대량으로 발생하기 때문에 대상 컴퓨터는받은 ICMP 패킷에 응답합니다. 대상은 너무 오래 요청을 처리 할 수 ​​없으므로 궁극적으로 충돌이 발생합니다.

Kali Linux에 미리 설치된 Smurf6이 작업을 수행 할 수 있습니다.

smurf6 인터페이스 target_ip

011916_2247_CheatingVoI11.png

네트워크 인터페이스 (WiFi의 경우 wlan0, 유선의 경우 eth0)를 사용해야합니다. Wireshark는 많은 수의 패킷이 브로드 캐스트 패킷으로 네트워크에서 이동하는 것을 보여줍니다.

011916_2247_CheatingVoI12.png

대책

네트워크 관리자는 VoIP QoS (서비스 품질)를 측정하기 위해 지속적으로 네트워크 트래픽을 모니터링하는 전략을 고안해야합니다. 많은 공급 업체가 성능을 주시하고 보고서를 기반으로 작동하도록 모니터링 솔루션을 제공합니다. 네트워크를 생성 / 관리하는 동안 DiffServ와 같은 표준 모델을 따르십시오. 자원 (대역폭, 우선 순위) 할당을 관리하는 서비스 품질 프로토콜입니다. 예를 들어 네트워크에서 RTP 스트림은 P2P 또는 전자 메일 대신 우선 순위를 갖습니다.