非法VoIP檢測的技術實現及分析

2019-11-03 08:59:26

字體：大中小

來源：轉載

供稿：網友

中國電信集團公司池靜平

　　一、非法Voip運營

　　VoIP業務原本就是國際電信運營商的兩難選擇，對于中國電信運營商來說就更加如此。VoIP業務的開展造成已有的長途電話業務增長緩慢，甚至個別地區收入降低，對國際長途業務的沖擊尤甚。

　　由于IP網絡的靈活性、開放性，VoIP所帶來的巨大利潤空間以及國家監管力度的問題，某些不法人員正開展地下IP電話，俗稱“信息走私”。他們利用電信運營商的基礎網絡經營IP電話業務，構成不正當競爭；分流了電信運營商長途電話的業務收入，擾亂了市場秩序。對于用戶來說，已經由“想省錢，用IP”發展成“想更省錢，就用地下IP”，雖然其有可能并不具備良好的服務質量。

　　那么是否有辦法來發現并制止這些非法VoIP運營現象的存在呢？

　　二、非法VoIP檢測的實現

　　1.檢測及分析

　　我們主要采集H.323、MGCP、SIP三類協議的VoIP，分別在主叫、被叫兩個方向進行，同一時間段內將會有多條采集記錄。圖1是多個VoIP連接的簡略圖，忽略了IP電話網關和傳統程控交換網之間的連接。

　　Gateway1、Gateway2代表IP電話網關，它們位于不同的地點，一般是不同的城市甚至國家。我們假設Gateway1代表本地的媒體網關，也是我們需要采集數據的關注點，是需要檢測的網關。

　　假設user1用戶撥打VoIP進行呼叫userA，Gateway1會向Gateway2發起VoIP連接請求，我們會記錄下這條數據，這就是主叫方向的記錄。源IP就是Gateway1的IP，目的IP就是Gateway2的IP。而同一時間內可能user2也在呼叫userB，user3也在呼叫userC，因此會有多條采集記錄，雖然他們的源IP和目的IP都相同。

　　假設userA從外地撥打VoIP呼叫user1，從Gateway2過來的連接請求，Gateway1需要應答，我們會記錄下這條應答，這就是被叫方向的記錄。源IP還是gateway1的IP，目的IP還是gateway2的IP。而同一時間內可能userB也在呼叫user2，userC也在呼叫user3，因此會有多條采集記錄，雖然他們的源IP和目的IP都相同。

　　檢測是否有用戶在使用基于H.233、SIP、MGCP的VoIP或者提供基于H.323、MGCP、SIP的VoIP服務的檢測步驟如下：

　　(1)數據采集，通過某種方式將流經電信寬帶網上的源端口號和目的端口號分別為1718、1719、1720、5060、2427、2727的數據包采集下來, 即包括主叫、被叫兩個方向的記錄。采集的主要內容有源IP、目的IP、源端口、目的端口、用戶注冊名稱、會話標志、會話發生時間；

　　(2)數據上傳，將數據上傳到后臺分析系統；

　　(3)數據入庫，將數據文件存入到數據庫中；

　　(4)數據分析，對數據庫中的數據進行統計分析，結合事先設計好的一些設定，得到非法VoIP的可疑名單；

　　(5)統計分析，根據分析出的可疑名單，給出IP電話呼叫詳單以及其他相關的統計分析報表。

　　詳細的分析舉例如下：

　　(1)統計某一個源IP在某一時間段內作為被叫方的會話次數，假設值為A；

　　(2)統計某一個源IP在某一時間段內作為主叫方的會話次數，假設值為B；

　　(3)統計某一個目的IP在某一時間段內作為被叫方的會話次數，假設值為C；

　　(4)統計某一個目的IP在某一時間段內作為主叫方的會話次數，假設值為D；

　　(5)假設有三個預設的判斷閥值，分別為被叫次數閥值H1、主叫次數閥值H2、主被叫閥值H3。

　　則根據如上統計值，非法VoIP的可疑名單為：

　　● A或C值大于等于H1的所有用戶；

　　● B或D值大于等于H2的所有用戶；

　　● A＋B或C＋D值大于等于H3的所有用戶。

　　根據檢測結果，給出如下報表：

　　● 呼叫詳單，包括賬號、IP地址、通話時長；

　　● 主叫、被叫話務量最大的用戶；

　　● 呼入、呼出話務量最大的IP電話網關；

　　● IP電話網關所處位置（國內、香港還是加拿大等）。

　　2.非法VoIP封堵

　　檢測并分析到非法的VoIP電話網關后，對于本網用戶所架設的IP電話網關，我們可以與公安部門取得聯系，進行上門查封。但由于人力、物力有限，是否可采用其他方式呢？如直接對其進行網絡層次上的封堵，然后再執行相關行政手段呢？另外檢測到的大部分IP電話網關不屬于本網用戶，如其他運營商、其他國家，是否可以對其進行控制以及如何控制呢？

　　在這里，我們提出了多層次封堵的思路。

　　(1)對于網內的IP電話網關來說，我們定位到該用戶，可對其實施警告，采用向其推送HTML警告頁面或在其進行一個VoIP呼叫過程中，將一段已經錄制好的示警語音信息播放給用戶。

　　(2)警告后，如果在下一個時間周期內，用戶仍繼續其非法行為，則降低對其的服務質量，實施干擾，即用戶的請求將被按比例丟棄，其VoIP的IP連接將得不到保障。

　　(3)干擾后，對頑固用戶最終實施封堵，其所有網絡請求都將被丟棄，無法成功連接。

　　(4)對位于其他運營商、其他城市、其他國家的IP電話網關，我們無法直接對其進行控制，但可考慮限制網內用戶對其發起的連接請求，間接的阻止其正常服務的提供。

　　3.非法VoIP檢測的意義所在

　　VoIP作為中國電信運營商未來的一項重要的基礎通信業務，其收入占電信運營商總體收入的重要性正在逐步提高。而非法VoIP的存在，給電信運營商造成了巨大的經濟損失。

　　根據某運營商的某個地市分公司在最近的一次檢測行動中得到的數據，在持續4天的檢測時間內，僅在該市的某網絡節點上所采集到的非法VoIP呼叫次數即接近30000個，話務量達到150000m。按此推測，該分公司全市一年所損失的VoIP收入可達2億人民幣。

　　從上面可看出，由非法VoIP給電信運營商所造成的損失是很大的。而且不僅僅是經濟方面，給社會也帶來了一定程度的安全危害，如境外反動組織通過VoIP方式撥打用戶電話，向用戶宣揚其反動宣言，造成了不好的影響。

　　三、需關注的其他問題

　　我們知道，目前存在的非法VoIP運營者可能會修改其正常的協議工作端口，如H.323原本應工作在1718、1719、1720端口，修改后可能變為2718、2719、2720，這樣我們就無法采集到這部分數據。這也就給我們提出了這樣一個問題：對于采用非標準端口進行VoIP業務的檢測如何實現？

　　我們認為，對于采用了非標準端口的VoIP系統，可以把其所有端口的數據都采集下來，然后再同已知的VoIP進行數據包比對，最后定然可分析出用戶的VoIP通話清單。但所有數據包的完全比對，是不現實的，最好建立1套智能協議分析系統，即分析比對需要具備一定的策略，以降低系統整體投入。

　　采用非標準端口的VoIP系統無非是加大了數據采集、分析的工作量以及額外的系統開發。而所有非法VoIP系統采用的基礎通信協議是不變的，正所謂“萬變不離其宗”！

　　
----《通信世界》