基于并聯(lián)監(jiān)控的VoIP業(yè)務阻斷策略研究

張大雷 廖曉緯

摘 要： VoIP技術的不斷發(fā)展給傳統(tǒng)電話業(yè)務帶來了巨大沖擊，電信運營商希望準確了解網(wǎng)絡中存在哪些VoIP業(yè)務。針對VoIP業(yè)務的多協(xié)議以及串聯(lián)控制模式的不足，研究了VoIP業(yè)務的并聯(lián)控制技術，詳細描述了并聯(lián)控制原理及其業(yè)務阻斷策略，實現(xiàn)了在不干擾網(wǎng)絡服務質量的前提下對VoIP業(yè)務的控制。

關鍵詞： 并聯(lián)監(jiān)控； VoIP； 業(yè)務阻斷； 策略

中圖分類號：TN915 文獻標志碼：A 文章編號：1006-8228（2013）05-19-02

Research on blocking policy of VoIP service based on parallel control technology

Zhang Dalei， Liao Xiaowei

（Huainan Normal University， Huainan， Anhui 232001， China）

Abstract： The development of VoIP technology has resulted in gigantic impact and challenges to voice services of traditional telecommunication. Telecom operators hope to know clearly about what VoIP services run on their network. Aiming at the deficiency of multi-protocol of VoIP services and the tandem control technology， parallel control technology is studied. The essence of parallel control and strategy of service blocking are discussed in detail， by which the control of VoIP is realized without distracting network service quality.

Key words： parallel control； VoIP； service blocking； policy

0 引言

VoIP（IP電話）是一種以語音業(yè)務為主，同時推出相應的增值業(yè)務的技術[1]。它可以在IP網(wǎng)絡上方便、快捷地傳送語音、傳真、視頻和數(shù)據(jù)等業(yè)務。我國自1999年開始部署VoIP商業(yè)服務以來，VoIP的使用迅速普及。在巨額利益的吸引下，大量新興VoIP運營商涌入正規(guī)的電信市場。一些非法的運營商，甚至直接利用非法話吧等方式搶奪利潤豐厚的長話市場。這不僅導致傳統(tǒng)運營商話務量流失，更打破了原有電信市場的競爭格局，給傳統(tǒng)的話音業(yè)務帶來了巨大的沖擊。如何對VoIP進行有效監(jiān)管，如何對網(wǎng)上VoIP業(yè)務流向進行深度分析，從而為運營商的業(yè)務發(fā)展策略提供依據(jù)成為一個新難題。

1 串聯(lián)流量控制技術

串聯(lián)流量控制方式是目前VoIP流量控制的常用技術[2，3]。串聯(lián)控制技術通過在所關注的鏈路上串接相關的流量控制設備，根據(jù)不同的流量整形算法，緩存或者丟棄特定的數(shù)據(jù)包，對輸入的流量進行處理，使輸出流對不同類型協(xié)議的VoIP業(yè)務提供不同的服務，限制特定業(yè)務的帶寬等功能。直流串聯(lián)流量控制設備通常以透明模式串聯(lián)到網(wǎng)絡中使用，通過對網(wǎng)絡上的各種應用流量進行分類，并根據(jù)控制策略將需要控制的VoIP業(yè)務數(shù)據(jù)包進行丟棄、整形等處理，從而實現(xiàn)對VoIP流量進行控制的目的。

⑴ 基于IP（互聯(lián)網(wǎng)協(xié)議）的串聯(lián)控制

IP協(xié)議中由IP頭部的TOS（服務類型）字段來表示報文的優(yōu)先級。但是在現(xiàn)有的互聯(lián)網(wǎng)設備中，只有少數(shù)設備支持TOS字段，絕大多數(shù)設備干脆忽略了該字段。因此，要利用IP TOS實現(xiàn)服務質量，需要在通信鏈路的兩端均串聯(lián)一臺設備，用于打標簽和根據(jù)標簽來控制報文轉發(fā)。

⑵ 基于TCP（傳輸控制協(xié)議）的串聯(lián)控制

TCP協(xié)議采用滑動窗口技術來實現(xiàn)端到端的流量控制，因此可以利用TCP的窗口通告信息，對連接的兩端進行流量控制。在需要抑制業(yè)務帶寬的時候，根據(jù)當前網(wǎng)絡帶寬負載情況，適當?shù)卣{整報文的窗口值。減小窗口值將會導致對端減緩報文的發(fā)送，從源上抑制了流入網(wǎng)絡的數(shù)據(jù)，是一種較為有效的提高網(wǎng)絡帶寬利用率的技術。

⑶ 基于隊列調度算法的串聯(lián)控制

隊列調度算法是通過將進入端口數(shù)據(jù)進行排隊，賦予每一個隊列一定的調度優(yōu)先級，高優(yōu)先級的隊列較容易獲得隊列調度，低優(yōu)先級的隊列將延長其緩沖在隊列的時間，甚至被強制丟棄。

但是串聯(lián)控制技術存在以下缺點[4，5]。

⑴ 所有網(wǎng)絡流量都要經過控制設備處理后再轉發(fā)，增加了網(wǎng)絡延時，影響網(wǎng)絡的服務質量。由于控制設備串聯(lián)在實際鏈路中，有可能形成處理瓶頸和單點故障，對網(wǎng)絡的安全性、可靠性都存在影響，如果串聯(lián)的設備出現(xiàn)故障，網(wǎng)絡將完全斷開。

⑵ 流量控制策略的配置不夠靈活，支持的策略指標不夠全面。大部分流量控制系統(tǒng)僅僅支持對總流量（甚至不能夠區(qū)分出入境方向）的上限進行控制，而并未區(qū)分不同用戶級別，沒有黑白名單，不能區(qū)分不同層次上的協(xié)議，如根據(jù)不同的VoIP協(xié)議進行有針對性的流量控制。

2 并聯(lián)流量控制技術

2.1 并聯(lián)流量控制原理

并聯(lián)流量控制方法是將網(wǎng)絡管理設備并聯(lián)在網(wǎng)絡中，網(wǎng)絡實際流量并不流經該設備，僅僅是通過分光或端口映射等方式采集網(wǎng)絡數(shù)據(jù)。通過對數(shù)據(jù)進行分析后，向網(wǎng)絡發(fā)送控制數(shù)據(jù)包，達到控制目的。因此它不會對網(wǎng)絡業(yè)務造成不利影響。

VoIP業(yè)務的通話流程包括信令流和媒體流。其中信令流中承載了很多通話過程內必須的參數(shù)，而媒體流則承載了實際的話音數(shù)據(jù)。為了對VoIP流量進行全面控制，必須同時進行信令流量控制和媒體流量控制。

對采用公開協(xié)議的VoIP業(yè)務，通過偽造拆線信令進行阻斷控制。例如對基于SIP（會話初始協(xié)議）的VoIP業(yè)務，通過向源端或目的端發(fā)送拆線信令來終止對應的VoIP業(yè)務；對基于私有協(xié)議的VoIP業(yè)務，可采用拒絕服務攻擊、黑白名單等控制方式進行阻斷或干擾；而對基于UDP（用戶數(shù)據(jù)報協(xié)議）的VoIP媒體流流量，可以向語音或視頻數(shù)據(jù)中的目的端發(fā)送偽數(shù)據(jù)或干擾數(shù)據(jù)包達到干擾或阻斷流量的目的。

⑴ 信令流控制

對于使用TCP協(xié)議的傳輸信令的VoIP業(yè)務，使用基于傳輸層強制拆線技術的TCP信令過濾機制，通過偽造并發(fā)送RST（復位）字段來截斷TCP連接，通過偽造并發(fā)送特殊報文來減少TCP的滑動窗口值來限流。對于使用UDP協(xié)議進行信令傳輸?shù)臉I(yè)務使用基于“第三方信令攻擊技術”下的UDP信令過濾機制，通過偽造并發(fā)送VoIP應用層特殊控制命令方式來截斷UDP連接或降低UDP連接的傳輸速率。

⑵ 媒體流控制

VoIP業(yè)務中的網(wǎng)絡語音包的傳輸是通過RTP/RTCP（實時傳輸協(xié)議/實時傳輸控制協(xié)議）來進行的，通常封裝成RTP包形式的語音信息運行在UDP協(xié)議之上。因此對VoIP媒體流的干擾是構造一系列不同強度的噪聲干擾數(shù)據(jù)包，利用基于RTP/RTCP的數(shù)據(jù)包偽造技術，實現(xiàn)每隔一定的時間往當前語音連接中插入干擾包，來擾亂雙方的通信，其中干擾數(shù)據(jù)包的發(fā)送強度以及頻度等可以根據(jù)實際情況進行調節(jié)。也可以直接采用拒絕服務手段，針對特定的通話鏈路發(fā)送大量的垃圾數(shù)據(jù)包，以此消耗大量的通信和計算資源，導致通話鏈路數(shù)據(jù)包傳輸延遲，達到對存在的特定會話鏈路干擾的目的。

2.2 并聯(lián)控制策略

⑴ 基于SIP協(xié)議的阻斷策略

在SIP協(xié)議規(guī)定的信令中，與SIP呼叫阻斷有關的信令主要是BYE、CANCEL和REGISTER。BYE信令是在通話中止時，終止對話的一方首先掛斷電話發(fā)送給對方的，對方接受并回復200 OK，此時通話中止。CANCEL是用來中止之前對某一客戶端的呼叫請求，它要求客戶端停止當前的請求并對該請求產生一個錯誤信息。當收到一個INVITE，且沒有收到應答的情況下，客戶端收到CANCEL會停止呼叫，然后對INVITE回復錯誤消息。REGISTER信令用來向注冊服務器注冊用戶當前所處的位置，以備其他用戶想與它建立呼叫連接時，能從服務器中查詢到當前在線的真實地址。

通過截獲通信雙方所發(fā)送的報文，從中提取信息，利用這些信息偽造并發(fā)送SIP協(xié)議所規(guī)定格式的BYE和CANCEL報文，從而達到使服務器錯誤地響應BYE和CANCEL信令并中止服務的目的。阻斷原理如圖1所示。

圖1 基于SIP協(xié)議的阻斷結構圖

SIP阻斷原理雖然簡單，但確是一種很實用的阻斷策略。根據(jù)通話是否已經建立，區(qū)分為BYE阻斷和CANCEL阻斷兩種。BYE阻斷通常使用在通話過程當中，可以將兩者的對話中斷；CANCEL阻斷通常使用在連接建立階段，可以讓接收方無法振鈴或者振鈴一次就停止。

⑵ 基于RTP協(xié)議的干擾策略

在以上所采取的基于SIP協(xié)議的阻斷策略中，為了達到阻斷VoIP呼叫的目的，都需要對傳輸層或應用層協(xié)議進行分析。對于采用私有協(xié)議的VoIP業(yè)務，無法通過分析協(xié)議得到應用層的阻斷信令格式。因而，信令阻斷策略對采用私有協(xié)議的VoIP業(yè)務無效。

在無法阻斷VoIP呼叫連接的情況下，提出了基于RTP協(xié)議的干擾策略。該策略和VoIP協(xié)議無關。在VoIP呼叫連接完成后，就進入語音通信階段。通過檢測雙方的語音數(shù)據(jù)，獲取相關參數(shù)后向通話雙方發(fā)送語音干擾數(shù)據(jù)包，劣化語音通信質量，讓通話者主動放棄通話，從而達到阻斷雙方通信的目的。

VoIP語音包的傳輸是通過RTP/RTCP來進行的，它通常被封裝成RTP包的形式運行在UDP協(xié)議之上。因此，VoIP語音通信的干擾，實際上是在檢測到RTP流后向通信方發(fā)送干擾RTP包的過程。RTP一般運行在UDP之上，目的是為了使用UDP的端口號和校驗和。其上層為應用層，主要有音頻、視頻和數(shù)據(jù)等。RTP從應用層接收多媒體信息流，組裝成RTP數(shù)據(jù)包，然后發(fā)送給下層的UDP。阻斷原理如圖2所示。

這樣的VoIP語音干擾方式除了實施簡單外，還具有單向干擾的特點?？刂贫酥灰蛑付ǖ牡刂钒l(fā)送干擾報文，只有接收端才會聽到干擾，而發(fā)送端是聽不到干擾的。這時作為VoIP的用戶將不會認為是VoIP網(wǎng)關的問題，而認為是基于Internet的語音通信音質不能保證，而最終放棄對VoIP的使用。

圖2 基于RTP協(xié)議的阻斷結構圖

3 結束語

由于傳統(tǒng)VoIP串聯(lián)流量控制方法增加了網(wǎng)絡延時，降低了網(wǎng)絡的服務質量，容易形成單點故障。因此，它無法滿足電信骨干網(wǎng)對VoIP流量控制的需求。因此，要想對電信骨干網(wǎng)上的VoIP流量進行有效、全面的控制，必須采用新的流量控制技術，它必須保證在不影響被監(jiān)控網(wǎng)絡性能的前提下能對網(wǎng)絡中的各種VoIP流量進行有效控制。本文針對控制模式的缺點，研究了新型并聯(lián)控制方式及其并聯(lián)控制策略：基于SIP協(xié)議的阻斷策略和基于RTP協(xié)議的干擾策略，具有簡單、實用的特點。

在非標準協(xié)議VoIP業(yè)務識別與控制方面，如何準確識別私有協(xié)議及呼叫信令，并根據(jù)呼叫信令實現(xiàn)準確的呼叫控制還有待進一步研究。另外，針對VoIP呼叫的語音干擾技術也有待進一步研究，目前尚未做到多種業(yè)務的精確管理與控制。

參考文獻：

[1] Douglas E Comer， David L Stevens. Internetworking With TCP/IP

Vol II：Design， Implementation， and Internals[M].Publishing House of Electronics Industry，2001.

[2] 王振華，王攀，張順頤.基于綜合統(tǒng)計特征的Skype流量分析與識別[J].

南京郵電大學學報，2006.26（1）：1-7

[3] 繆正潔.基于第三方攻擊的VoIP并聯(lián)控制技術[J].電信快報，

2007.11：20-22

[4] 張大雷.基于并聯(lián)監(jiān)控的VoIP識別控制系統(tǒng)的設計與實現(xiàn)[J].電信

快報，2011.3：15-18

[5] 李景濤，姜永玲.P2P流量識別與管理技術[J].電信科學，2005.3：

57-60