VoIP를 통한 서비스 거부 공격
(SIP method를 이용한 DoS Attack)
redjyjy@a3security.com
(A.K.A r3dy)
※ 본 연구 문서는 VoIP의 취약점 중 DoS Attack에 대하여 연구한 문서입니다. 민감하거나 악용될 우려가 있는 기술 방법 및 내용은 제한합니다.
I. VoIP를 통한 서비스 거부 공격
1. 개 요
DoS는 서비스 거부 공격으로 웹 서버를 연속적으로 호출함으로써 서버를 불능상태에 빠뜨리는 공격입니다. 방법은 간단하나, 파괴력은 막강하여 최근 이슈가 되고있는 공격 입니다. VoIP 기술은 인터넷 프로토콜을 이용하므로 인터넷 프로토콜의 취약점이 그대로 존재합니다. VoIP를 통한 서비스 거부 공격은 VoIP시스템 또는 단말에 서버를 연속적으로 호출하여 정상적인 서비스를 방해하는 공격 입니다.
2. 공격유형: 서비스 거부 공격
3. 공격영향도: 보통
4. 시스템 환경: VoIP 인프라
II. 위험 분석
1. 위험 분석
VoIP는 인터넷 프로토콜의 취약점인 서비스 거부 공격 취약점이 그대로 존재하게 됩니다. 이는 사용자간의 통신 패킷의 손실이 발생하거나, 계속적인 요청을 하는 등의 정상적인 서비스를 방해하게 되므로 VoIP의 궁극적인 목적인 사용자간의 원활한 통신을 하는것이 어려워지게 됩니다.
III. 대응 방안
1. SIP flooding detection module
해당 SIP패킷이 속한 세션에서 과도한 SIP메시지 송수신이 있는지를 State transition model과 상한 기준선(Threshold)을 사용하여 판단합니다.
2. VoIP인증, 도청에 대한 대응방안으로 SIPS(SIP over TLS)와 SRTP(Secure RTP)를 권고합니다.
IV. 세부내역
1. INVITE 서비스 거부 공격 (1)
다음은 대기중인 상대방(3078)의 사용자에게 INVITE method 패킷을 전송하는 화면입니다.
[그림 1] 대기중인 사용자에게 INVITE method패킷 전송
다음은 정상적인 사용자가 아닌 다른 ID로 패킷을 보내어, 연결박스가 실행된 화면입니다.
[그림 2] 연결박스 실행
2. INVITE 서비스 거부 공격 (2)
다음은 대량의 INVITE패킷을 전송하여 목표 target에게 많은 양의 연결 요청을 시도하는 화면입니다.
[그림 3] 대량의 INVITE패킷 전송
3. BYE method 서비스 거부 공격
다음은 통화를 하고 있는 상대방 중 3076번의 사용자에게 BYE method패킷을 전송하여 통화 방해를 시도하는 화면입니다.
테스트 결과 실제 전화가 끊어지지는 않고, 통화 내용이 끊겨서 전달되어 통화 음질이 불량하였습니다.
[그림 4] BYE method패킷 전송하여 통화 방해 시도
※ 현재 ㈜에이쓰리시큐리티에서 테스트 및 분석 중에 있으며, 이 문서는 계속 업데이트될 것입니다. 본 문서는 보안취약점으로 인한 피해를 최소화하는 데 도움이 되고자 작성되었으나, 본 문서에 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대하여서는 ㈜에이쓰리시큐리티에서는 일체의 책임을 지지 아니합니다.
