DDoS (Distributed Denial-of-Service): đây là kiểu tấn công DoS ở quy mô lớn kẻ tấn công sẽ điều khiển các host gần nó nhất cùng thực hiện một trong các kiểu tấn công DoS ở trên (tấn công Ping of Death, SYN flood, Smurf) cùng tấn công đến một host cố định làm tràn ngập và tê liệt mạng đích từ nhiều nguồn khác nhau bên ngoài.
Victim Client/ Attacker Handler s Agents/ Zombies Hình 3.5: Tấn công DDoS
Đối với VoIP tấn công DoS có thể làm cho các dịch vụ VoIP mất đi một phần hoặc toàn bộ giá trị thông qua việc ngăn chặn thành công các cuộc gọi, ngắt các cuộc gọi hoặc ngăn chặn các dịch vụ tương tự như là voice mail. Dưới đây là một vài ví dụ tấn công DoS đối với dịch vụ VoIP.
Tấn công chuyển tiếp các gói VoIP (VoIP packet relay Attack): bắt và gửi lại các gói VoIP đến điểm cuối, cộng thêm việc trì hoãn tiến trình cuộc gọi sẽ làm giảm chất lượng cuộc gọi.
Tấn công thay đổi chất lượng dịch vụ (QoS Modification Attack): thay đổi các trường thông tin điều khiển các giao thức VoIP riêng biệt trong gói dữ liệu VoIP và từ điểm cuối làm giảm hoặc từ chối dịch vụ thoại. Ví dụ, nếu một người tấn công đổi thẻ 802.1Q VLAN hoặc bit To Strong trong gói IP, cũng giống như là người đứng giữa (man-in-the-middle) hay sự thỏa hiệp trong cấu hình thiết bị đầu cuối, người tấn công có thể sẽ phá vỡ chất lượng dịch vụ của mạng VoIP. Do lưu lượng thoại phụ thuộc vào lưu lượng dữ liệu nên về căn bản, kẻ tấn công có thể trì hoãn việc phân phát các gói thoại.
Tấn công bằng các gói VoIP giả mạo (VoIP packet Injection): tức là gửi các gói VoIP giả mạo đến điểm cuối, thêm vào đoạn thoại hay nhiễu hay khoảng lặng vào hoạt động thoại. Ví dụ khi RTP được dùng mà không có sự xác thực của gói RTCP (và cả không có sự lấy mẫu của SSRC), kẻ tấn công có thể tiêm thêm các gói RTCP vào nhóm multicast với SSCR khác, mà điều này có thể làm tăng số lượng nhóm theo hàm mũ. Tấn công DoS vào các dịch vụ bổ xung (DoS against supplementary services): khởi
đầu tấn công DoS là chống lại các dịch vụ mạng khác mà dịch vụ VoIP có mối liên hệ (ví dụ: DHCP, DNS, BOOTP). Ví dụ trong mạng mà đầu cuối VoIP dựa vào địa chỉ
đăng ký DHCP, làm mất khả năng của DHCP server ngăn chặn điểm cuối lấy được địa chỉ và các thông tin định tuyến cần thiết dùng cho dịch vụ VoIP.
Thông điệp giả (Bogus Message DoS): Kẻ giả mạo gửi đến VoIP server và các điểm cuối các giao thức VoIP giả mạo nhằm hủy kết nối hoặc tình trạng bận ở đầu cuối. Kiểu tấn công này làm cho các phone phải xử lý các message giả và các đầu cuối phải thiết lập những kết nối ảo hoặc làm cho người tham gia cuộc gọi lầm rằng đường dây đang bận.
Tràn ngập các gói điều khiển: (Control Packet Flood): Kẻ tấn công làm tràn ngập VoIP server hoặc đầu cuối với những gói điều khiển cuộc gọi không rõ nguồn gốc (ví dụ trong H.323, các gói GRQ, RRQ, URQ sẽ được gửi đến UDP/1719). Mục đích của kẻ tấn công là làm suy yếu thiết bị hệ thống hoặc tài nguyên mạng. Do đó không thể dung các dịch vụ VoIP. Bất kể các port mở trong tiến trình cuộc gọi và VoIP server liên quan có thể trở thành mục tiêu của kiểu tấn công DoS này.
Sự thực thi giao thức VoIP (VoIP Protocol Implementation): Kẻ tấn công gửi đến server VoIP hoặc đầu cuối những gói tin không hợp lệ để có thể khai thác những điểm yếu trong sự thực thi giao thức VoIP và tạo nên tấn công DoS. Ví dụ, CVE-2001- 00546 đề cập đến việc sử dụng các gói H.323 “xấu” để khai thác lỗ hỏng bộ nhớ ISA của Window. CAN-2004-0056 sử dụng các gói H.323 như trên để khai thác điểm yếu của Nortel BCM. Nếu như không thường xuyên cập nhập phần mềm một cách hợp lý thì sẽ tăng rủi ro cho hệ thống
Gói tin không hợp lệ (Invalid Packet DoS): Kẻ tấn công gửi đến VoIP server và đầu cuối những gói không hợp lệ để khai thác hệ điều hành thiết bị và TCP/IP để thực hiện từ chối dịch vụ CVEs. Theo sự mô tả của CAN-2002-0880, dùng jolt có thể bẻ gãy Cisco IP phone và sự phân đoạn thong thường dựa trên các phương thức DoS khác.
3.2.2. Một số cách tấn công chặn và cướp cuộc gọi
3.2.2.1. Tấn công replay
Tấn công replay là tấn công chủ động hướng về nghi thức. Đặc trưng của cách tấn công này là giành được gói dữ liệu gửi hoặc nhận đến host. Kẻ tấn công sửa đổi chúng và sử dụng lại để truy cập vào một số dịch vụ nào đó. Một ví dụ tương ứng với loại thoại IP là kẻ tấn công đạt được trong tay các gói dữ liệu gửi từ một user có quyền để thiết lập cuộc gọi và gửi lại chúng sau khi đã sửa đổi địa chỉ nguồn và IP. Nó có thể bị ngăn chặn bằng cách thực thi hai dịch vụ bảo mật nhận thực thực thể ngang hàng (peer entity authencation) và tính toàn vẹn dữ liệu.
3.2.2.2. Tấn công tràn bộ đệm
Đây là phương thức tấn công phổ biến. Đây là kết quả chính của việc phát triển phần mềm không đúng lúc. Kỹ thuật này lợi dụng trên thực tế là có một vài lệnh không kiểm tra đầu vào dữ liệu. Chúng được ứng dụng đặc biệt để xâu chuỗi xử lý các lệnh. Quá trình
gia nhập với nhiều đầu vào, các lệnh hay là các chương trình có khả năng làm cho bộ nhớ hệ thống bị viết đè lên. Nội dung của bộ nhớ này có thể bắt đầu hoặc quay trở lại địa chỉ của các chương trình subroutine. Trường hợp xấu nhất người tấn công có thể thêm vào đoạn code hiểm để cung cấp cho anh ta các quyền quản lí của hệ thống. Biện pháp đối phó là huỷ tất cả các code “yếu”, chính các lỗ hỗng nhận thức được chứa trong các hệ thống hoạt động và các chương trình ngôn ngữ.
3.2.2.3. Tấn công man in the middle
Trong tấn công man in the middle người tấn công quản lý để cắt đứt kết nối giữa hai bên gọi. Cả hai bên tham gia kết nối này đều nghĩ rằng chúng truyền thông với nhau. Thực tế, tất cả các dữ liệu được định tuyến qua người tấn công. Hacker đã hoàn thành việc truy cập để thay thế các dữ liệu bên trong. Hacker có thể đọc chúng, thay đổi chúng hoặc và gửi chúng như là dữ liệu của anh ta. Thực tế hacker được xác định ở vị trí ở giữa của hai bên truyền thông mang lại cho người tấn công tên của hai bên truyền thông. Một ví dụ cho tấn công này là thiết lập của việc bảo đảm kết nối được sử dụng bởi bảo mật lớp dữ liệu. Điểm yếu của TLS là nguyên nhân của việc thiết lập phiên này. Ở đây hai bên truyền thông có thể trao đổi hai khóa. Khóa này được đổi có khả năng làm cho người tấn công có thể ở giữa hai bên truyền thông.
Hình 3.6: Tấn Công man in the middl
3.2.2.4. Chặn và đánh cắp cuộc gọi
Nghe trộm và đánh chặn cuộc gọi là vấn đề liên quan đến mạng VoIP, định nghĩa nghe lén có nghĩa là một người tấn công có thể giám sát toàn bộ báo hiệu hoặc dòng dữ liệu giữa hai hoặc nhiều đầu cuối VoIP, nhưng không thể biến đổi dữ liệu. Đánh cắp cuộc gọi thành công tương tự như việc nghe trộm trên dây nối, cuộc gọi của hai bên có thể bị đánh cắp, ghi lại, và nghe lại mà hai bên không hề biết. Rõ ràng người tấn công mà có thể đánh chặn và chứa dữ liệu này có thể sử dụng dữ liệu này cho mục đích khác phục vụ cho mục đích của anh ta.
3.2.2.5. Đánh lừa ARP (ARP Spoofing)
Thao tác vào các gói ARP là kỹ thuật tấn công thường thấy trong mạng VoIP. Một vài kỹ thuật hay công cụ hiện tại cho phép bất kỳ user nào có thể tìm ra lưu lượng mạng trên mạng bởi vì ARP không có điều khoản cho câu hỏi nhận thực và câu hỏi trả lời. Thêm vào đó, bởi vì ARP là một giao thức stateless, hầu hết các hệ thống hoạt động cập nhật cache của nó khi mà nhận một lời đáp ARP, bất chấp nó được gởi đi từ một yêu cầu thực tế hay không. Trong số những tấn công này, chuyển hướng ARP, đánh lừa ARP, đánh cắp ARP và đầu độc cache ARP là các phương pháp để phá hoại quá trình ARP bình thường. Trong các mạng VoIP đánh lừa ARP là cơ sở để kẻ tấn công có thể thực hiện các cách tấn công khác nhau nhằm mụch đích quấy dối người sử dụng hoặc gây thiệt hai cho các nhà cung cấp dịch vụ:
Tấn công đánh lừa đầu cuối VoIP (Rogue VoIP Endpoint Attack): giả mạo đầu cuối EP giao tiếp với các dịch vụ VoIP bằng cách dựa trên các đánh cắp hay ước đoán các nhận dạng, các uỷ nhiệm hoặc các truy cập mạng. Ví dụ, một đánh lừa đầu cuối EP có thể sử dụng các jack không được bảo vệ hay tự động đăng ký thoại VoIP để có thể vào mạng. Ước chừng mật mã có thể được sử dụng để giả dạng như là một đầu cuối hợp pháp. Việc quản lí các tài khoản không chặt chẽ có thể gia tăng nguy cơ của việc lợi dụng này.
Cướp đăng ký (Registration Hijacking): Cướp đăng ký xảy ra khi một người tấn công mạo nhận là một UA có giá trị để giữ và thay thế đăng ký với địa chỉ của mình. Các tấn công này là nguyên nhân của việc tất cả các cuộc gọi đến được gởi đến người tấn công.
Giả mạo uỷ nhiệm: Giả mạo uỷ nhiệm xảy ra khi một người tấn công đánh lừa một uỷ nhiệm (proxy) trong việc truyền thông với một proxy giả.. Nếu một người tấn công thành công trong việc giả mạo uỷ nhiệm, anh ta có thể truy cập vào tất cả các thông điệp SIP.
Lừa tính phí: Giả mạo đầu cuối VoIP sử dụng server VoIP để đặt việc tính phí bất hợp pháp của cuộc gọi qua PSTN. Ví dụ, các điều khiển truy cập không đầy đủ có thể cho phép các thiết bị giả đặt phí của các cuộc gọi bằng cách gởi yêu cầu VoIP đến các ứng dụng tiến hành cuộc gọi. Các server VoIP có thể bị hack trong các thủ tục để tiến hành cuộc gọi miễn phí đến đích bên ngoài.
Xáo trộn thông điệp: Bắt giữ, sửa đổi, và sắp đặt để không xác thực các gói VoIP đến đầu cuối. Các tấn công này có thể xảy ra qua việc đánh cắp đăng nhập, giả mạo uỷ nhiệm, hay tấn công trên bất kỳ một thành phần VoIP thực nào mà tiến hành các thông điệp SIP hay H.323, như là server proxy, registration, media gateway, hay các bức tường lửa.
3.2.3. Các tấn công liên quan đến dịch vụ điện thoại
Để đảm bảo thông suốt trong hệ thống VoIP thì các hệ thống điện thoại kết nối vào phải hoạt động một cách thông suốt. Đây cũng có thể là mục tiêu của attacker. Các dịch vụ liên quan đến dịch vụ này gồm có:
Voicemail. Caller ID International calling Telephone number Call waiting Call transfer Location
Confidentiality of signaling hoặc media streams Lawful intercept
Emergency services
Ví dụ với :
Voicemail: Tấn công một cách đơn giản có thể là đoán mật khẩu hay brutefore nếu mật khẩu không đủ mạnh. Một số hành động của attacker là xóa tin nhắn, thay đổi thông tin cá nhân, chuyển cuộc gọi đến một số khác,…
Caller ID : Các tấn công phổ biến là dùng spoofing ID nhằm lấy các thông tin cá nhân.
Follow-me service : kẻ tấn công sử dụng phương pháp hijack để chen ngang vào cuộc gọi.
3.2.3.1. Lỗ hổng với IP phone và Soft phone
Tấn công Ip phone/softphone xảy ra rất thường xuyên do giá cả rẻ và dễ dàng mua một IP phone và thiết lập nhiều kiểu tấn công. Những lỗ hổng chính:
DoS: nhiều IP phone của Cisco bị khởi động lại do bị DoS. Các HTTP request cũng có thể kết thúc một cuộc gọi.
Truy nhập bất hợp pháp: có thể cấu hình phone như là man-in-the-middle-attack proxy để lấy quyền truy nhập tới tất cả luồng báo hiệu và luồng dữ liệu.
Tấn công vào giao thức IP phone cài đặt: Khi sử dụng SIP cho IP phone, có thể gửi yêu cầu CANCEL hay BYE để DoS một trong hai IP phone.
Worm, virus, và các đoạn mã độc: các softphone thường bị virus từ môi trường IP. Có thể khắc phục bằng cách tách mạng thoại và mạng dữ liệu một cách luận lý ra riêng. Nhưng dùng hệ thống soft phone không phù hợp với mục đích chia tách này. Nâng cấp: Do IP phone có thể cài đặt được thông qua TFTP không bảo mật có thể
3.2.3.2. Spam trong VoIP
SPIT là hiện tượng có nhiều cuộc gọi không mong muốn. Nguyên nhân của hiện tượng này giống các như e-mail spam, hầu hết đều với mục đích bán sản phẩm, quảng cáo,…Phương pháp Spam là dùng các đoạn script tự động để thực hiện các cuộc gọi tới nhiều người. Nó cũng có thể thực hiện với mục đích giả dạng các cơ quan tài chính hay thương mại điện tử để lấy thông tin cá nhân.
Khác với email-spam, các cuộc gọi SPIT sẽ được nhận hoặc chuyển sang hộp thư thoại. Nhận SPIT tốn thời gian và có thể gây nghẽn. Cũng như email-spam, ta cần chặn voice spam. Tuy nhiên, chặn SPIT khó khăn hơn rất nhiều vì rất khó phân biệt được cuộc gọi bình thường và cuộc gọi SPIT vì thông tin về người gọi chỉ được tiết lộ một khi cuộc gọi đã được thiết lập và bắt đầu gửi thư thoại.
3.2.4. Nguy cơ đối với SIP
SIP là một giao thức mới lại không có tích hợp công cụ bảo mật nào trong nó nên nó có một số vấn đề về bảo mật. Tuy nhiên, theo khuyến nghị khuyên nên dùng các lớp dưới để bổ sung tính bảo mật cho SIP. Mặt khác là giao thức text-based nên cần dùng TLS để mã hóa.
3.2.4.1. Chiếm quyền đăng kí (Registration Hijacking)
Bản tin đăng ký thường được vận chuyển bằng giao thức UDP (không được tin cậy), hơn nữa các yêu cầu đăng ký không cần phải được chứng thực bởi SIP registrars, hoặc nếu có chứng thực thì cũng chỉ bằng MD5 để mã hóa user name và password (MD5 là một thuật toán mã hóa yếu).
Cách tấn công:
Tìm một địa chỉ IP đã được đăng kí. (Đối với các user trong mạng dễ dàng biết được cấu trúc địa chỉ trong mạng, còn với những user ngoài mạng thì dùng kĩ thuật social engineering hay tool để quét ra địa chỉ của toàn mạng). Nếu có yêu cầu chứng thực thì có thể đoán password hoặc dùng kiểu từ điển. Đối với tấn công kiểu từ điển thì mất thời gian do phải thử nhiều lần.
Gửi một yêu cầu đăng kí đặc biệt có kí tự “*” để xóa hết ràng buộc cho các địa chỉ SIP bị gọi.
Đăng ký thông tin : *
Yêu cầu thông tin nhận thực Đáp ứng thông tin nhận thực
Kẻ Tấn Công Server Đăng ký
Xóa hết các liên kết đã đăng kí địa chỉ với
server đăng ký
Kẻ tấn công thực hiện đăng ký địa
chỉ của mình
Đăng ký thông tin
Yêu cầu thông tin nhận thực Đáp ứng thông tin nhận thực
Hình 3.7: Tấn công bằng bản tin đăng ký
Một kiểu cướp quyền đăng kí khác là dùng tool chặn và thêm vào yêu cầu đăng kí khi nó được gửi từ một UA và server đăng ký. Kiểu tấn công này ít phổ biến hơn.
3.2.4.2. Giả dạng proxy.
Kẻ tấn công dùng một proxy để chặn cuộc gọi từ UA đến proxy bên phía bị gọi. Cách tấn công này có thể lấy được tất cả bản tin SIP và do vậy có toàn quyền điều khiển cuộc gọi.
Cách tấn công: Chèn proxy giả vào bằng DNS spoofing, ARP cache spoofing hay đơn giản chỉ là thay đổi địa chỉ proxy cho SIP phone.
Regue Proxxy 2 (Attacker) Regue Proxxy 1 (Attacker) Proxy A User A User B Proxy B Hình 3.8: Giả dạng Proxy