DoS 攻撃に対する SIP ALG レジリエンスに関する情報
DoS 攻撃に対する SIP ALG レジリエンスの概要
DoS 攻撃に対する SIP ALG レジリエンス機能は、Session Initiation Protocol(SIP)アプリケーション レイヤ ゲートウェイ(ALG)へのサービス妨害(DoS)攻撃に対する保護を提供します。この機能は、DoS 攻撃を防ぐために、設定可能なロック制限、動的ブラックリスト、および設定可能なタイマーをサポートします。この機能はネットワーク アドレス変換(NAT)およびゾーンベース ポリシー ファイアウォールによってサポートされています。
SIP は、IP データ ネットワーク上の参加者の間でリアルタイム セッションをセットアップ、変更、および終了するための、アプリケーション レベル シグナリング プロトコルです。SIP セッションには、インターネット電話の通話、マルチメディアの配布、マルチメディア会議などがあります。SIP DoS 攻撃は、ネットワークに対する大きな脅威です。
- SIP 登録フラッディング:登録フラッドは、多数の VoIP デバイスが同時にネットワークに登録を試みると発生します。登録メッセージの量がデバイスの容量を超過すると、一部のメッセージは失われます。こうしたデバイスは再び登録を試行するため、輻輳が増加します。このようなネットワークの輻輳により、ユーザは一定の期間ネットワークにアクセスできない可能性があります。
- SIP INVITE フラッディング:INVITE フラッディングは、多数の INVITE メッセージがサーバに送信され、それらのメッセージのすべてをサーバが対応できなくなると発生します。攻撃レートが非常に高くなると、サーバのメモリが枯渇します。
- SIP 破損認証およびセッション攻撃:この攻撃は、攻撃者がダイジェスト認証を使用して有効なユーザの ID を推定するときに発生します。認証サーバが攻撃者の身元を確認しようとすると、検証は無視され、攻撃者は別のセッション ID を使用して新しい要求を開始します。これらの攻撃は、サーバのメモリを消費します。
SIP ALG 動的ブラックリスト
サービス妨害(DoS)攻撃の一般的な方法の 1 つは、ターゲット ネットワークを外部通信要求で飽和させ、ネットワークが正当なトラフィックに応答できなくすることです。この問題を解決するために、SIP ALG の DoS 攻撃レジリエンス機能は、設定可能なブロックリストを使用します。ブロックリストは、特定の権限、サービス、またはアクセスが拒否されているエンティティのリストです。動的ブラックリストはデフォルトで無効になっています。宛先アドレスに対する要求が、設定されたブロックリストの定義済みトリガーの基準を超えると、Session Initiation Protocol(SIP)アプリケーション レイヤ ゲートウェイ(ALG)は、これらのパケットをドロップします。
- 設定された期間内に、送信元が宛先に複数の要求を送信し、宛先から 2xx 以外(RFC 3261 に従って、200 から 299 までのステータス コードを持つすべての応答は「2xx 応答」です)の最終応答を受信する場合。
- 設定された期間に、送信元が宛先に複数の要求を送信し、宛先からまったく応答を受信しない場合。
SIP ALG ロック制限
ネットワーク アドレス変換(NAT)とファイアウォールは、どちらも Session Initiation Protocol(SIP)アプリケーション レイヤ ゲートウェイ(ALG)を使用して SIP メッセージを解析し、トークンからセッションを作成します。セッション状態を維持するために、SIP ALG はコール単位のデータ構造とレイヤ 7 データを使用して、セッションの開始時に割り当てられセッションの解除時に解放されるコール関連情報を保存します。SIP ALG がコールの終了を示すメッセージを受信しない場合、ネットワーク リソースはコール用に保持されます。
レイヤ 7 データはスレッド間で共有されるため、データにアクセスするためにロックが必要です。サービス妨害(DoS)攻撃や分散型 DoS 攻撃の発生時は、同じロックを取得するために多くのスレッドが待機するため、CPU 使用率が高くなり、システムが不安定になります。システムが不安定になることを防ぐために、ロックを待機できるスレッドの数を抑制するように制限が追加されています。SIP セッションは、要求/応答モードで確立されます。1 つの SIP コールに対して同時 SIP メッセージの数が多すぎる場合、ロック制限を超えたパケットはドロップされます。
SIP ALG タイマー
あるタイプの DoS 攻撃は、Session Initiation Protocol(SIP)サーバのリソースを枯渇させるために、SIP コールの終わりを示しません。こうしたタイプの DoS 攻撃を防ぐために、保護タイマーが追加されました。
- 応答される SIP コールの最大長を制御する、コール継続時間タイマー。
- 応答されない SIP コールの最大長を制御する、コール進行時間タイマー。
設定された最大時間を超えると、SIP アプリケーション レイヤ ゲートウェイ(ALG)は、このコールのリソースを解放し、このコールに関連する将来のメッセージは、SIP ALG によって適切に解析されないことがあります。