非法VoIP检测的技术实现及分析

中国电信集团公司 池静平

    一、非法voip运营

    VoIP业务原本就是国际电信运营商的两难选择,对于中国电信运营商来说就更加如此。voip业务的开展造成已有的长途电话业务增长缓慢,甚至个别地区收入降低,对国际长途业务的冲击尤甚。

    由于IP网络的灵活性、开放性,voip所带来的巨大利润空间以及国家监管力度的问题,某些不法人员正开展地下IP电话,俗称“信息走私”。他们利用电信运营商的基础网络经营IP电话业务,构成不正当竞争;分流了电信运营商长途电话的业务收入,扰乱了市场秩序。对于用户来说,已经由“想省钱,用IP”发展成“想更省钱,就用地下IP”,虽然其有可能并不具备良好的服务质量。

    那么是否有办法来发现并制止这些非法voip运营现象的存在呢?

    二、非法voip检测的实现

    1.检测及分析

    我们主要采集H.323、MGCP、SIP三类协议的VoIP,分别在主叫、被叫两个方向进行,同一时间段内将会有多条采集记录。图1是多个voip连接的简略图,忽略了IP电话网关和传统程控交换网之间的连接。


图1多个voip连接的简略图

    Gateway1、Gateway2代表IP电话网关,它们位于不同的地点,一般是不同的城市甚至国家。我们假设Gateway1代表本地的媒体网关,也是我们需要采集数据的关注点,是需要检测的网关。

    假设user1用户拨打VoIP进行呼叫usreA,Gateway1会向Gateway2发起voip连接请求,我们会记录下这条数据,这就是主叫方向的记录。源IP就是Gateway1的IP,目的IP就是Gateway2的IP。而同一时间内可能user2也在呼叫userB,user3也在呼叫userC,因此会有多条采集记录,虽然他们的源IP和目的IP都相同。

    假设userA从外地拨打voip呼叫user1,从Gateway2过来的连接请求,Gateway1需要应答,我们会记录下这条应答,这就是被叫方向的记录。源IP还是gateway1的IP,目的IP还是gateway2的IP。而同一时间内可能userB也在呼叫user2,userC也在呼叫user3,因此会有多条采集记录,虽然他们的源IP和目的IP都相同。

    检测是否有用户在使用基于H.233、SIP、MGCP的VoIP或者提供基于H.323、MGCP、SIP的voip服务的检测步骤如下:

    (1)数据采集:通过某种方式将流经电信宽带网上的源端口号和目的端口号分别为1718、1719、1720、5060、2427、2727的数据包采集下来,即包括主叫、被叫两个方向的记录。采集的主要内容有,源IP、目的IP、源端口、目的端号、用户注册名称、会话标志、会话发生时间;

    (2)数据上传:将数据上传到后台分析系统;

    (3)数据入库:将数据文件存入到数据库中;

    (4)数据分析:对数据库中的数据进行统计分析,结合事先设计好的一些设定,得到非法voip的可疑名单;

    (5)统计分析:根据分析出的可疑名单,给出IP电话呼叫详单以及其他相关的统计分析报表。

    详细的分析举例如下:

    (1)统计某一个源IP在某一时间段内作为被叫方的会话次数,假设值为A;

    (2)统计某一个源IP在某一时间段内作为主叫方的会话次数,假设值为B;

    (3)统计某一个目的IP在某一时间段内作为被叫方的会话次数,假设值为C;

    (4)统计某一个目的IP在某一时间段内作为主叫方的会话次数,假设值为D;

    (5)假设有三个预设的判断阀值,分别为被叫次数阀值H1、主叫次数阀值H2、主被叫阀值H3。

    则根据如上统计值,非法voip的可疑名单为:

    A或C值大于等于H1的所有用户;

    B或D值大于等于H2的所有用户;

    A+B或C+D值大于等于H3的所有用户。

    根据检测结果,给出如下报表:

    呼叫详单,包括账号、IP地址、通话时长;

    主叫、被叫话务量最大的用户;

    呼入、呼出话务量最大的IP电话网关;

    IP电话网关所处位置(国内、香港还是加拿大等)。

    2.非法voip封堵

    检测并分析到非法的voip电话网关后,对于本网用户所架设的IP电话网关,我们可以与公安部门取得联系,进行上门查封。但由于人力、物力有限,是否可采用其他方式呢?如直接对其进行网络层次上的封堵,然后再执行相关行政手段呢?另外检测到的大部分IP电话网关不属于本网用户,如其他运营商、其他国家,是否可以对其进行控制以及如何控制呢?

    在这里,我们提出了多层次封堵的思路:

    (1)对于网内的IP电话网关来说,我们定位到该用户,可对其实施警告,采用向其推送HTML警告页面或在其进行一个voip呼叫过程中,将一段已经录制好的示警语音信息播放给用户;

    (2)警告后,如果在下一个时间周期内,用户仍继续其非法行为,则降低对其的服务质量,实施干扰,即用户的请求将被按比例丢弃,其voip的IP连接将得不到保障;

    (3)干扰后,对顽固用户最终实施封堵,其所有网络请求都将被丢弃,无法成功连接;

    (4)对于位于其他运营商、其他城市、其他国家的IP电话网关,我们无法直接对其进行控制,但可考虑限制网内用户对其发起的连接请求,间接的阻止其正常服务的提供。

    3.非法voip检测的意义所在

    VoIP作为中国电信运营商未来的一项重要的基础通信业务,其收入占电信运营商总体收入的重要性正在逐步提高。而非法voip的存在,给电信运营商造成了巨大的经济损失。

    根据某运营商的某个地市分公司在最近的一次检测行动中得到的数据,在持续4天的检测时间内,仅在该市的某网络节点上所采集到的非法VoIP呼叫次数即接近30000个,话务量达到150000m。按此推测,该分公司全市一年所损失的voip收入可达2亿人民币。

    从上面可看出,由非法VoIP给电信运营商所造成损失是很大的。而且不仅仅是经济方面,给社会也带来了一定程度的安全危害,如境外反动组织通过voip方式拨打用户电话,向用户宣扬其反动宣言,造成了不好的影响。

    三、其他需关注问题

    我们知道,目前存在的非法VoIP运营者可能会修改其正常的协议工作端口,例如H.323原本应工作在1718、1719、1720端口,修改后可能变为2718、2719、2720,这样我们就无法采集到这部分数据。这也就给我们提出了这样一个问题:对于采用非标准端口进行voip业务的检测如何实现?

    我们认为,对于采用了非标准端口的VoIP系统,可以把其所有端口的数据都采集下来,然后再同已知的VoIP进行数据包比对,最后定然可分析出用户的voip通话清单。但所有数据包的完全比对,是不现实的,最好建立1套智能协议分析系统,即分析比对需要具备一定的策略,以降低系统整体投入。

    采用非标准端口的VoIP系统无非是加大了数据采集、分析的工作量以及额外的系统开发。而所有非法voip系统采用的基础通信协议是不变的,正所谓“万变不离其宗”!

  • 上一条信息: 
  • 下一条信息: 
  • 分享到: