黑客大曝光：VoIP安全機密與解決方案

冒用他人的電話號碼打電話、竊聽他人的通話內容、在他人通話時加入一些背景噪聲、在他人通話時惡意強行掛斷……所有這些都是很多“黑客”的夢想，然而，在以前的通信網路中，基於一些技術原因，這些都難以實現。隨著VoIP技術的套用和普及，黑客們終於等到了機會，在VoIP時代，特別是端到端的VoIP套用時代，在一些安全防護不嚴的網路中，黑客們的這些夢想就可以成真了。

針對企業VoIP網路安全攻擊與防護，本書絕對是一本安全管理員、安全研究人員等必讀的實戰型的教材。同時，本書也是了解運營商通信網路（如IMS網路）及安全問題的不可多得的入門級教材。

出於工作的需要，我經常需要和國內外的各安全廠商進行技術交流，在此過程中我發現，很多安全廠商在IT系統安全、IP網路系統安全，包括作業系統安全、資料庫安全、網路設備安全等方面都有著深厚的技術積累，然而在通信網路安全方面，往往了解得較少。許多安全廠家在進行通信網路或者通信業務系統的安全評估、安全加固等工作時，通常不會涉及到通信業務中的安全需求。隨著國內安全廠商的不斷發展、國內安全從業人員的不斷努力，在IT及IP網路系統安全方面，國內外的差距越來越小，然而在通信網路安全方面，國內外的差距還是很明顯。許多文獻都提到，最早的黑客並不是在計算機領域產生的，如70年代美國的電話飛客（Phreaker），就通常被認為是黑客最早的雛形。通過Blue Box向全世界打電話，是那個時代黑客最酷的行為。直到今天，美國一直都有許多熱衷於通信網路安全的研究人員，而在國內，卻鮮有精於通信網路安全的專業人員。

VoIP技術已經廣泛套用到當前的各種通信網路之中，VoIP技術的套用使得通信網路更加開放，但也同時面臨著更大的風險，因此，通信網路安全解決方案將面臨更大的挑戰。隨著VoIP技術套用的進一步普及，很多研究機構都預測VoIP將會成為黑客的下一個樂園。實際上，前幾年，美國就曾經發生過利用VoIP網路漏洞竊取價值超過100萬美元通話時長的案件，並且美國的幾大著名運營商也都曾曝出存在VoIP計費方面的嚴重安全漏洞。

我曾經閱讀過國內外的許多關於VoIP安全的文章和書籍，發現國內的相關文獻更多是關注於理論層面，很少有真正討論安全實戰的文獻，相比較而言，國外關於VoIP安全實戰的書籍更多一些。在安全領域，與那些隨手可得的關於IT及IP網路系統安全的書籍和文獻相比較，關於通信網路安全或者是說與VoIP安全相關的書籍實在是少得多。本書的原版書在2007年剛出版後不久，我就有幸拜讀，獲益匪淺。當時，我就認為本書的原版書是市面上介紹VoIP安全最好的書籍之一。時至今日，雖然市面上又出現了大量關於VoIP安全的書籍，但我仍然認為本書是最好的VoIP安全書籍之一。這幾年中，我曾經向很多安全界的朋友、很多安全廠商推薦過這本書，為了讓國內安全行業的從業人員能夠更好地了解VoIP安全，我們特意翻譯了此書，並將之獻給安全界的朋友。

本書是一本絕佳的關於VoIP安全的入門級書籍，作者利用豐富的實例深入淺出地介紹了VoIP安全方面涵蓋的關鍵內容。僅從安全的角度來看，VoIP技術是一把雙刃劍，套用得當，可以帶來很多安全優勢，套用不得當，就有可能帶來安全災難。本書介紹的內容以及攻擊場景都基於企業VoIP網路套用，而VoIP技術在運營商的通信網路套用中的安全性與可靠性方面，與企業套用相比，有著明顯的區別：通信網路中的VoIP安全水平比企業網路VoIP套用的安全水平高出很多。即便如此，本書也是一本上好的了解運營商通信網路安全的入門級書籍。本書在介紹VoIP安全時，部分重點內容描述了SIP協定的主要安全問題，SIP協定是現在很多通信網路系統（如IMS、固網軟交換等）或者即時通信系統（如MSN、飛信等）的基礎協定，同時，SIP協定將越來越多地套用到更多系統之中。因此，本書也有助於讀者更好了解SIP協定安全以及許多相關係統的安全。

本書的作者是國際上公認的安全專家，是VoIP安全方面的權威人物，他們在業界內發起並成立了著名的VoIP安全聯盟。本書作者不僅僅深入分析了VoIP安全問題，還親自開發了許多安全攻擊工具，以便讓讀者可以更好地理解這些問題。能夠分析問題、發現問題並能動手開發工具來驗證這些問題，作者的這種務實的精神實在是值得我們學習。

我曾經安裝並套用過本書中提到的各種開源的VoIP系統，也曾經分析套用過書中的很多安全工具。本書提到的幾個開源的VoIP系統是國際上很多鐘情於VoIP安全研究的安全從業人員必備的系統，這些系統可以提供很多擴展，基於此，研究人員能開發出很多套用，同時，還有許多公司專門為這些系統開發與PSTN兼容的電路板。這樣一來，這些開源的VoIP系統在當前就可以套用於家庭及小型企業辦公中，是非常好的學習VoIP、SIP及通信網路，並進行通信系統DIY的參考資料。本書由三位具備多年通信網路安全從業經驗的中國移動安全專家李祥軍、周智、魏冰翻譯，限於水平，譯文中的錯誤和疏漏在所難免，敬請廣大讀者朋友批評指正。

最後，感謝電子工業出版社博文視點資訊有限公司為本書的出版付出的努力，尤其要感謝畢寧、劉皎以及本書的責任編輯賈莉，感謝他們對通信網路安全及VoIP安全領域的關注，他們辛勤細緻的工作使本書增色不少。

李祥軍

2010年2月

秘密都被泄露出去了！本書描述的就是安全的禪宗，同樣也是攻擊VoIP系統以及確保其安全的藝術。David和Mark在著書的過程中一直懷著極大的熱情，深入分析了如何保障網際網路電話的安全。書中描述了大量具體的實例，套用了很多開源工具，其中有許多開源工具是由本書作者開發的。本書是當代通信工程與管理從業人員的必讀之書。對於任何好學之人，本書都稱得上是一本絕妙的好書，同時，本書也是我近幾年推薦的書籍的首選。

——Jonathan Zar

Pingalo常務理事，VoIP安全聯盟秘書、Outreach組主席

本書帶你進入一段如何發起VoIP安全攻擊的旅程，從制定計畫到發起攻擊，所有這一切都是從一個黑客的視角出發。本書洞悉VoIP安全問題，讓讀者可以從黑客的思維角度來測試其網路的安全性。在進行VoIP網路體系結構設計及部署之前，這絕對是一本必讀之書。

——Brian Tolly

思博倫通信全球服務部客戶服務經理

本書作者在解釋企業套用VoIP系統時可能面臨的安全風險方面，做出了極為卓越的工作。同樣重要的是，書中還針對這些安全風險提出了可以實施的對策，使得企業將來可以安全地部署和實施VoIP系統。

——Gustavo de los Reyes

AT&T 技術顧問

當前，你所套用的VoIP系統的語音通信和電話會議並不像你認為的那樣安全。本書展開介紹了遠程惡意人員如何探測、監聽並篡改那些提供VoIP服務的電話、語音交換機及網路設備。更重要的是，本書提供了降低或者消除部署VoIP系統面臨的安全風險的解決方案。

——Ron Gula

Tenable網路技術總監，Nessus漏洞掃描器創始人

這確實是一本很危險的書！David和Mark不僅完完全全地描述了那些眾所周知的以及那些很難但非常致命的VoIP安全攻擊，還進一步為讀者提供了一些易用的工具，以便讀者可以實驗這些攻擊。如果你是一名安全專業人士，負責保護包括VoIP系統在內的基礎網路，那么你就一定要閱讀本書，否則，你的VoIP系統及其他網路系統就將處於危險的境地！

——Dan York

Blue Box：VoIP安全播客的創始人和主辦人

致 謝

首先，要感謝我們的家人，感謝他們在我們寫作和研究過程中始終如一的無私支持。其次，要特別向TippingPoint和SecureLogix公司中我們各自的同事致謝，感謝他們在整個寫作過程中提供的素材、建議以及指導。還要特別感謝SecureLogix公司的Mark O’Brien的研究工作以及在攻擊工具開發方面給予的幫助。同樣，也要感謝不斷壯大的VoIP安全業界進行的那些極為精彩的討論，這些討論出現在VoIP安全聯盟的VoIPSEC郵件列表以及Dan York和Jonathan Zar的Blue Box播客系統之中。

同樣要感謝的還有Skype、Avaya、Cisco以及Asterisk的安全與VoIP小組，感謝他們在本書關於具體廠家產品安全相關章節中的工作和支持。

最後，我們要真誠地感謝McGraw-Hill出版社的Jane Brownlow、Jenni Housh、LeeAnn Pickrell、Peter Hancik以及Lyssa Wald，正是由於他們的工作才使本書得以出版。

David Endler

David Endler是3Com（3Com在2010年已經被HP公司收購）旗下子公司TippingPoint安全研究部門的主管，他負責產品安全測試、VoIP安全研究中心及漏洞研究小組。在TippingPoint工作期間，David Endler於2005年成立了一個業界內的VoIP安全組織——VoIP安全聯盟（Voice over IP Security Alliance，VoIPSA）。VoIP安全聯盟的宗旨在於通過提高VoIP安全研究、測試方式、最佳實踐和相關工具等的現狀，來促進VoIP技術的套用。目前，David是VoIP安全聯盟的主席，該組織有來自VoIP設備商、運營商和安全行業的超過100個成員，詳細情況請訪問。

在加入TippingPoint之前，David是新興的安全服務公司iDefense的技術主管，iDefense後來被VeriSign公司收購。除了最新漏洞、蠕蟲、病毒的研究之外，iDefense公司還專業於計算機安全情報分析、計算機犯罪和黑客活動追蹤。在iDefense公司任職之前，David作為最前沿的安全研究人員，分別在Xerox公司、美國國家安全局、麻省理工學院工作多年。

作為一名國際公認的安全專家，David經常作為演講嘉賓出席各主要的業界會議，在許多頂級出版物及媒體上，David的觀點也常被引用或者專門報導，如華爾街日報、今日美國、商業周刊、連線雜誌、華盛頓郵報、CNET、歐美科技台、CNN等。David發表了大量關於計算機安全的文章和論文，並被《IP電話雜誌》評為IP通信領域最具權威的100人之一。

David以最優等的成績畢業於杜蘭大學（Tulane University），並獲得了計算機科學學士和碩士學位。

Mark Collier

Mark Collier是SecureLogix公司的技術總監，負責公司VoIP安全研究和開發工作。Mark同時也負責SecureLogix公司企業客戶VoIP安全評估的規劃和實施工作。Mark積極參與美國國防部的研究工作，主要關注SIP漏洞評估工具的開發。

在加入SecureLogix公司之前，Mark就職於美國西南研究院（Southwest Research Institute, SwRI），領導一個研究小組進行計算機安全和信息戰爭方面的研究和開發。

Mark常常作為演講嘉賓參加各主要VoIP和安全的會議。他發表了大量關於VoIP安全方面的文章和論文，同時，他也是VoIP安全聯盟的創始人之一。

Mark以最優等的成績畢業於聖瑪麗大學（St. Mary’s University），並獲得了計算機科學學士學位。

VoIP（Voice over IP）技術已經成熟，並且在大多數市場上正在替代傳統的公用交換電話網路（Public-Switched Telephone Network，PSTN）而得以廣泛部署。VoIP含義廣泛，它可以指安裝在各種平台（如Linux、Windows、VxWorks、移動設備、PC等）之上的各種套用（如硬終端、軟終端、代理伺服器、IM終端、P2P終端等）。這些平台與套用所採用的各種開放的或者私有的協定（如SIP、RTP、H.323、MGCP、SCCP、Unistim、SRTP、ZRTP等）在很大程度上取決於已經存在的數據網路的體系結構和服務（如路由器、交換機、DNS、TFTP、DHCP、VPN、VLAN等）。相應地，由於VoIP在用戶、企業、電信運營商、中小企業等不同運行環境中的多樣性特徵，VoIP安全也成為一個內容廣泛的問題。

本書將VoIP安全主題做了收斂，我們認定面向的讀者主要包括企業網路IT從業人員及一些上述列舉的常見的部署場景中相關的人員（由於本書的內容大部分是VoIP相關技術及基本協定的安全問題，所以同樣適用於電信運營商網路及其相關人員——譯者注）。因為VoIP技術把語音通過分組後承載並傳輸於傳統企業數據網路的路由器之上，相應地，威脅並困擾這些網路的計算機安全問題也將同樣適用於VoIP。這包括拒絕服務攻擊（Denial of Service，DoS）攻擊、蠕蟲、病毒及通用的黑客攻擊。打個比方，如果一個企業正在遭受分散式拒絕服務攻擊（Distributed Denial of Service，DDoS），那么內部員工進行網頁瀏覽的速度就會比正常時慢，與之類似，一個VoIP網路在遭受DDoS攻擊時，相關的VoIP套用就可能會中斷，至少那些智慧型化程度不高的VoIP套用會中斷。

除了傳統的網路安全和可用性等問題之外，對許多新的VoIP協定的實現機制進行詳細的安全分析以及研究，就會發現VoIP還會帶來一些其他的安全問題。大多數主流的VoIP設備提供商都在其產品中套用了日益重要的會話初始協定（Session Initiation Protocol，SIP）。這樣一來，針對SIP協定的攻擊就開始不斷出現，如註冊劫持（registration hijacking）、BYE會話拆除、INVITE泛洪攻擊等，更有甚者，受利益驅動而出現的一些安全問題，如垃圾網路電話（Spam over Internet Telephony，SPIT）、語音釣魚攻擊等，也開始進入到VoIP領域。

對於當前和即將出現的VoIP安全問題，並沒有一個特別有效的方法。相反地，在當前的安全策略中包含規劃良好的、深度防禦的安全防護體系是減少當前和即將出現的VoIP威脅的最好方法。

黑客大曝光系列

本書遵循了黑客大曝光系列圖書一貫保持的良好模式。對VoIP相關的黑客攻擊，目前研究得還不是非常深入和廣泛。本書中描述的許多潛在的安全威脅、攻擊方法在當前是少為人知的或者是全新的，部分安全問題是在本書寫作的過程中才得以發現的。為了驗證本書中的安全威脅以及攻擊方法，我們搭建了一個小型的測試和研究專用的VoIP網路，包括兩台Linux伺服器，其上分別運行著基於SIP協定的軟體PBX，其中一台運行Asterisk系統，另一台運行SIP Express Router系統。我們在這兩台PBX上儘可能多地連線了我們能夠找到的不同SIP硬終端，包括Cisco、Sipura、D-link、Avaya、Polycom等品牌終端。本書第2章詳細描述了套用的SIP測試網路的拓撲結構。在第7～10章中我們還詳細描述了針對具體設備商產品的安全問題並搭建了Cisco、Avaya的測試網路。

在這些測試網路中，我們用盡各種方法來測試書中描述的攻擊方法與技術。另外，本書中公布的一些數據是基於我們作為滲透測試人員、網路安全管理員、VoIP架構師而獲得的第一手資料。

本書對應的網站

我們為本書建設了一個獨立的本書專有線上資源的網站。該網站收集了書中提到的工具以及資料，需要說明的是這些資源是本書獨有的。本書中涉及的其他工具，每一個都提供了所在網站的相應URL連線。如果書中涉及的工具，其原作者已經不再提供支持，我們在中都提供了最新的版本，以避免讀者找不到相應的工具。我們計畫在本書的網站及相應部落格中繼續提供相關的研究和發現成果。

本書導讀

與黑客大曝光叢書一致，本書內容的基本結構是各章所討論的攻擊手段和相應的對策。

——這個圖示代表著一種攻擊手段

這個圖示表明滲透測試技術和工具，在這個圖示後面是攻擊方式的名稱以及傳統的風險評級表，這與黑客大曝光叢書完全一樣。

流行度——表示在實際中，利用這種手段進行攻擊的頻率，這與簡單度是密切相關的，“1”表示最少見，“10”表示最常見。

簡單度——表示使用這種攻擊手段所需要的技能，“10”表示運用廣泛流傳的工具就可實施，“1”表示需要編寫特定的攻擊工具，“5”左右的值表示可以獲得相應的命令行工具，但是該工具難於套用，並且需要對目標網路及協定有詳細的了解。

影響力——表示攻擊成功後可能造成的損失的大小。取值在1～10之間， “1”表示僅能獲取網路或設備的一些無關的信息，“10”表示能夠獲取目標的完全許可權或者能夠重定向、監聽、篡改網路流量。

風險率——取值為前三個數值的平均值。

在書中的每一對策後面，我們會根據需要採用“注意”、“提示”和“警告”來強調具體細節以及相應的建議。

——這個圖示代表著一種對策

書中在合適的地方，我們會根據不同VoIP平台提供不同類型的攻擊防護對策。這些對策能夠完全解決安全問題（如升級存在漏洞的軟體或者採用更加安全的網路協定），或者暫時解決安全問題（如對設備進行再配置來關閉存在漏洞的服務、選項或者協定）。我們一直都推薦採用能夠完全解決問題的方法，然而，我們確實發現，由於各種限制，這種方式不是每次都適用。在這種情形下，暫時的或者不完全的對策也強於不採取任何對策。一個不完全的對策僅僅能夠起到減緩攻擊者步伐的防護作用，並且這些不完全的對策可能被繞過。例如，一個標準的接入控制列表機制可能通過IP欺騙、中間人攻擊或者會話劫持等方式繞過。

TinyURL

讀者可能會注意到，本書中大多數地址比較長的參考網站的URL都套用了兩種書寫方式。一種是完全的URL地址，另一種是TinyURL的連結。TinyURL提供一種服務，將原本很長的URL地址轉換為一種更短的、容易書寫提交之後，返回如下：

這樣一來，我們可以通過輸入來代替原來煩瑣的URL連結，但卻仍能夠登錄到原來的網站。

本書的組織

本書分為5個完全不同的部分。任一部分與其他4個部分關聯不大，從而都可以獨立進行閱讀。如果讀者只對其中某個部分感興趣，則可以直接進行選擇性的閱讀。

第1部分 收集情報

第1部分是基礎介紹，主要描述攻擊者如何掃描整個網路並選取特定的目標，以便更準確地進行踩點。在這之後，攻擊者可以通過被攻陷的VoIP設備進行進一步的更高級的攻擊。

第1章 VoIP網路踩點

本書開始部分描述了攻擊者如何首先獲取一個目標企業的概況信息，這可以通過採用一些工具進行被動偵察的方式來獲得，如套用Google、DNS和WHOIS記錄，以及目標企業的入口網站等。

第2章 VoIP網路掃描

本章作為第1章的延續，概述了套用不同的遠程掃描技術來獲取網路中潛在存活的VoIP設備的方法。其中，在對VoIP設備的掃描中包括了傳統的UDP、TCP、SNMP和ICMP等掃描技術。

第3章 VoIP網路枚舉

本章我們展現了主動發現各種獨立運行的VoIP設備的方法，包括軟終端、硬終端、代理伺服器，以及其他支持SIP的設備。本章提供了大量的例子，其中包括了套用我們開發的SIP掃描工具進行的SIPScan的演示。

第2部分 VoIP網路攻擊

本書中的這一部分主要關注如何攻擊VoIP套用所依賴的網路設施。我們首先描述了典型的網路拒絕服務攻擊，並由此最終引導到VoIP會話的監聽。由於書中所描述的很多技術都來源於傳統的數據網路安全，我們將這些技巧套用到了VoIP設備及承載的網路服務。

第4章 VoIP網路設施的DoS攻擊

本章介紹了服務質量及如何利用各種免費的或者商業工具來客觀地測量網路中VoIP通話的質量。隨後，我們討論VoIP設備及其依賴的各種服務（如DNS、DHCP服務等）的泛洪攻擊或者拒絕服務攻擊。

第5章 VoIP網路偵聽

本章重點關注攻擊者在有適當的網路接入並能夠偵聽的前提下，能夠進行的各種針對VoIP通話隱私的攻擊。本章還展示了一些具體的攻擊技術，包括號碼採集、呼叫模式跟蹤、TFTP檔案監聽、真實通話監聽等。

第6章 VoIP干擾及篡改

本章具體描述了如何實施中間人攻擊（MITM），以便對一個活躍的VoIP會話及其通話內容進行干擾和篡改。我們展示了套用ARP毒化進行中間人攻擊的一些方法，並且還演示了sip_rogue這個新工具如何在通話的雙方之間監視通話、篡改會話或者通話內容。

第3部分 針對VoIP特定平台的攻擊

本書的這一部分，我們把注意力轉向攻擊一些特定的VoIP平台，這些平台一般都有特有的安全弱點和解決對策。我們演示了在本書最後幾章中提到的一些攻擊方法，並針對這些攻擊方法闡述了特定廠商的減少攻擊的最佳實踐。

第7章 Cisco Unified CallManager

我們在全部由Cisco的交換機組成的網路環境中安裝了CallManager 4.x、硬終端等設備，進行前面章節描述過的各種攻擊。

我們同樣也描述了在Cisco交換網路中減少第二部分提到的各種安全攻擊的最佳實踐。

第8章 Avaya Communication Manager

類似地，我們搭建了一個包括Avaya Communication Manager、Avaya硬終端的環境，在此環境下進行第一部分、第二部分中描述的各種特定的攻擊。

第9章 Asterisk

在本書的測試網路中我們運行的是Asterisk，本章中我們進行了第一部分、第二部分描述的各種安全攻擊。在我們的測試網路中，我們也通過這些SIP終端針對終端平台進行了一些基本的測試。

第10章 新興的軟終端技術

在本章中，我們討論了這些年興起的一些軟終端服務（如Skype、Gizmo等）的安全問題。目前而言，這些軟終端在企業市場還沒有占據主導地位，但是它們在一些合作夥伴的幫助下隨時準備著占據企業市場。

第4部分 VoIP會話和套用攻擊

本書的這一部分，我們把注意力從網路及設備的攻擊轉向針對協定的攻擊。好的協定攻擊就像是一種藝術，它可以在對主機和終端（話機）沒有直接接入、無需重新配置的情況下，讓入侵者完全控制VoIP套用的流量。

第11章 VoIP Fuzzing攻擊

Fuzzing攻擊或者稱為健壯性測試、協定功能性測試，在安全領域已經套用了很長時間。在實踐中已經證明，這種方法在對套用或者設備中的某一協定的自動漏洞發掘過程中是非常有效的。在本章中，我們演示了進行VoIP套用Fuzzing攻擊的一些工具和方法。

第12章 基於泛洪攻擊的服務中斷

本章中，我們描述了通過發起海量的不同類型的VoIP協定和會話相關的訊息來中斷SIP代理伺服器與SIP終端電話的攻擊方式。這種攻擊在實施時，能夠部分或者完全中斷SIP代理伺服器或者SIP終端電話，部分攻擊能夠導致目標退出服務或者重新啟動。

第13章 信令與媒體信息操縱

本章中我們講述攻擊者通過操縱SIP信令或者RTP媒體來劫持、結束，以及操縱整個通話的攻擊方法。我們通過介紹十多種工具來演示這些攻擊方法，與其他介紹的攻擊方法相比，這些攻擊方法易於實施並且後果嚴重。

第5部分 社交攻擊

與傳統郵件系統被淹沒在垃圾郵件及釣魚郵件中一樣，我們也將在VoIP領域中開始看到這一社交騷擾攻擊方式的橫行。本章講述了廣告人員及詐欺高手如何把VoIP用戶作為他們的騷擾目標，並提出了如何對付這些騷擾方式的對策。

第14章 SPIT（SPAM over Internet Telephony，垃圾網路電話）

語音垃圾信息或者說垃圾網路電話將是一個影響VoIP的類似問題。本書中描述的SPIT是指大量的、自動進行的、非邀而至的呼叫。SPIT就像是電話推銷界的興奮劑，屢禁不止。我們大致可以想像SPIT會像垃圾郵件那樣頻繁發生。本章描述了如何利用Asterisk IP PBX和一個名叫spitter的新工具來產生自己的SPIT。如何檢測和避免SPIT在本章中亦有描述。

第15章 語音釣魚

語音釣魚更容易盛行是因為受害者會比一個在郵件中的網頁連結更輕易地相信一個電話號碼。另外，不用依靠大量投資，一個攻擊者可以通過VoIP提供商搭建一個語音互動系統（IVR），而這種系統比起被攻陷的Web伺服器，將更加難以追溯。VoIP自身的特點也使得這種類型的攻擊更容易實施，因為VoIP提供商的服務通常允許客戶通過包月話費的形式進行無限制的呼叫。本章詳細描述了這些攻擊是如何進行的，以及如何在各個階段檢測這些攻擊。

致讀者

VoIP的安全問題帶來的挑戰並不是一個新的話題。歷史已經多次證明在IP通信領域的許多技術進步及新套用（如TCP/IP、無線標準802.11、Web服務等）在出現之初都曾忽略過真實的安全需求，這些安全需求也是在這些新技術大規模部署之後才得以解決。在安全領域這樣的故事演繹了一遍又一遍，希望本書能夠讓讀者立於VoIP安全的潮頭，幫助讀者很好地規劃、預算投資、設計、部署相應的保護措施。

第1部分 收集情報

第1章 VoIP網路踩點 6

1.1 為什麼要先踩點 6

1.2 VoIP踩點方法 8

1.2.1 確立攻擊範圍 9

1.3 小結 23

1.4 參考文獻 23

第2章 VoIP網路掃描 24

2.1 SIP測試網路 25

2.2 主機/設備發現 25

2.3 連線埠掃描和服務發現 36

2.4 主機/設備識別 40

2.5 小結 45

2.6 參考文獻 45

第3章 VoIP網路枚舉 46

3.1 SIP 101 46

3.1.1 SIP URIs 47

3.1.2 SIP體系中的元素 47

3.1.3 SIP請求 48

3.1.4 SIP回響 48

3.1.5 典型的呼叫流程 50

3.1.6 進一步閱讀 53

3.2 RTP 101 53

3.3 套用NetCat獲取旗標 55

3.4 SIP用戶/分機枚舉 61

3.5 其他VoIP支撐服務的枚舉 81

3.6 小結 99

3.7 參考文獻 100

第2部分 VoIP網路攻擊

第4章 VoIP網路設施的DoS攻擊 104

4.1 VoIP呼叫質量測量 105

4.1.1 網路延遲 105

4.1.2 抖動 106

4.1.3 丟包 106

4.1.4 VoIP呼叫質量工具 106

4.2 什麼是DoS和DDoS攻擊 111

4.3 泛洪攻擊 112

4.3.1 泛洪攻擊對策 116

4.4 網路可用性攻擊 118

4.4.1 網路可用性攻擊對策 120

4.5 針對流行PBX和電話的DoS和可用性測試 121

4.6 針對支撐設施的攻擊 122

4.6.1 底層OS或固件漏洞 127

4.7 小結 128

4.8 參考文獻 128

第5章 VoIP網路偵聽 129

5.1 VoIP隱私性：風險在哪 129

5.1.1 TFTP配置檔案嗅探 130

5.1.2 號碼採集 130

5.1.3 呼叫模式跟蹤 130

5.1.4 通話監聽和分析 130

5.2 首先，接入到網路中 130

5.2.1 簡單的有線HUB和Wi-Fi嗅探 131

5.2.2 攻陷網路節點 132

5.2.3 利用MAC地址泛洪攻擊使交換機失效開放 134

5.2.4 ARP投毒（中間人攻擊） 137

5.3 獲得網路，開始嗅探 137

5.4 小結 144

5.5 參考文獻 145

第6章 VoIP干擾及篡改 146

6.1 通過VoIP信令操縱進行監聽 147

6.2 傳統網路劫持（中間人攻擊） 147

6.3 ARP投毒 148

6.3.1 ARP投毒對策 159

6.4 套用層偵聽技術 162

6.4.1 如何插入假冒應用程式 162

6.4.2 SIP假冒應用程式 163

6.4.3 攻擊發生的影響和機率 174

6.5 小結 174

6.6 參考文獻 175

第3部分 針對VoIP特定平台的攻擊

第7章 Cisco Unified CallManager 180

7.1 Cisco VoIP（AVVID）組件簡介 181

7.1.1 IP PBX和代理伺服器 181

7.1.2 硬終端 182

7.1.3 軟終端 184

7.1.4 Cisco電話及CallManager之間基於SCCP的通信（Skinny） 184

7.1.5 語音郵件 191

7.1.6 交換機和路由器 191

7.2 Cisco語音安全網路解決方案參考 191

7.3 簡單的部署場景 192

7.4 簡單網路踩點 193

7.4.1 嗅探 194

7.4.2 掃描和枚舉 198

7.5 攻擊網路 208

7.6 小結 220

7.7 參考文獻 220

第8章 Avaya Communication Manager 221

8.1 基本Communication Manager組件簡介 222

8.1.1 IP PBX/媒體伺服器 223

8.1.2 媒體網關 224

8.1.3 硬終端/Avaya通信設備 225

8.1.4 Avaya電話和Communication Manager之間的通信 226

8.1.5 管理系統 226

8.1.6 交換和路由 228

8.2 簡單的部署場景 229

8.3 簡單網路踩點 231

8.3.1 掃描和枚舉 232

8.4 入侵網路 255

8.5 IP PBX遠程接入 269

8.6 默認系統密碼 270

8.7 其他IP電話攻擊 276

8.8 小結 278

8.9 參考文獻 278

第9章 Asterisk 281

9.1 基本Asterisk組成簡介 281

9.1.1 IP PBX硬體 282

9.1.2 媒體網關 282

9.1.3 硬終端/通信設備 283

9.1.4 IP電話和Asterisk之間的通信 283

9.1.5 管理系統 283

9.1.6 交換和路由 283

9.2 簡單的部署場景 283

9.3 簡單網路踩點 284

9.3.1 掃描和枚舉 285

9.4 入侵網路 295

9.5 默認系統密碼 299

9.6 其他IP電話攻擊 302

9.7 各種潛在的安全脆弱性 302

9.8 小結 306

9.9 參考文獻 306

第10章 新興的軟終端技術 307

10.1 軟終端安全 308

10.2 Skype 309

10.2.1 體系結構 310

10.2.2 網路和頻寬需求 310

10.3 安全問題 311

10.3.1 在企業中阻塞和進行Skype限速 311

10.4 Gizmo Project 312

10.4.1 體系結構 312

10.4.2 網路和頻寬需求 313

10.4.3 安全問題 314

10.5 IM客戶端+VoIP=許多軟終端 314

10.6 小結 317

10.7 參考文獻 317

第4部分 VoIP會話和套用攻擊

第11章 VoIP Fuzzing攻擊 322

11.1 什麼是Fuzzing 323

11.2 為什麼用Fuzzing 323

11.2.1 VoIP廠商：開發人員與內部QA 324

11.2.2 企業內部安全小組 324

11.2.3 安全研究人員 324

11.3 漏洞101 325

11.3.1 緩衝區溢出問題 325

11.3.2 格式化字元串漏洞 326

11.3.3 整數溢出 327

11.3.4 死循環和邏輯錯誤 327

11.3.5 其他漏洞 327

11.4 商業VoIP Fuzzing工具 335

11.5 Fuzzing結果怎么處理 336

11.5.1 廠商或開發人員 336

11.5.2 企業內部安全測試人員 337

11.5.3 安全研究人員或愛好者 337

11.6 小結 337

11.7 參考文獻 338

第12章 基於泛洪攻擊的服務中斷 340

12.1 攻擊SIP代理伺服器 343

12.1.1 影響和發生的機率 358

12.1.2 對策 358

12.2 攻擊SIP電話 361

12.2.1 影響和發生的機率 370

12.2.2 對策 371

12.3 其他的泛洪攻擊工具 374

12.4 小結 374

12.5 參考文獻 374

第13章 信令和媒體信息操縱 375

13.1 註冊移除 375

13.1.1 套用erase_registrations工具進行註冊移除 376

13.1.2 影響及發生的機率 377

13.1.3 對策 378

13.2 註冊添加 380

13.2.1 套用工具add_registration進行註冊添加 381

13.2.2 影響及發生的機率 382

13.3 註冊劫持 383

13.3.1 影響和發生的機率 398

13.4 重定向攻擊 398

13.4.1 影響和發生的機率 401

13.5 套用teardown工具傳送Bye請求來拆除會話 402

13.5.1 影響和發生的機率 406

13.5.2 應對措施 406

13.6 SIP電話重啟攻擊 408

13.6.1 影響及發生的機率 409

13.7 假冒主叫身份 410

13.7.1 應對措施 411

13.8 RTP插入/混淆 412

13.8.1 影響和發生的機率 419

13.8.2 對策 419

13.9 其他信令和媒體操控工具 420

13.10 小結 421

13.11 參考文獻 421

第5部分 社交攻擊

第14章 SPIT（SPAM over Internet Telephony，垃圾網路電話） 426

14.1 SPIT會比垃圾郵件更糟糕嗎 428

14.2 SPIT何時會成為焦點問題 430

14.3 影響和發生的機率 438

14.4 對策 438

14.5 小結 440

14.6 參考文獻 441

第15章 語音釣魚 442

15.1 傳統的基於郵件的釣魚攻擊剖析 443

15.1.1 釣魚攻擊者 443

15.1.2 陷阱 444

15.2 語音釣魚來了 444

15.3 語音釣魚對策 449

15.4 小結 450

15.5 參考文獻 451