“非法”Voip運(yùn)營(yíng)的檢測(cè)與制止
2006/08/11
一、非法VoIP運(yùn)營(yíng)
VoIP業(yè)務(wù)原本就是國(guó)際電信運(yùn)營(yíng)商的兩難選擇����,對(duì)于中國(guó)電信運(yùn)營(yíng)商來(lái)說(shuō)就更加如此����。
VoIP業(yè)務(wù)的開(kāi)展造成已有的長(zhǎng)途電話業(yè)務(wù)增長(zhǎng)緩慢�����,甚至個(gè)別地區(qū)收入降低���,對(duì)國(guó)際長(zhǎng)途業(yè)務(wù)的沖擊尤甚����。
由于IP網(wǎng)絡(luò)的靈活性�����、開(kāi)放性���,VoIP所帶來(lái)的巨大利潤(rùn)空間以及國(guó)家監(jiān)管力度的問(wèn)題�,某些不法人員正開(kāi)展地下IP電話���,俗稱“信息走私”����。他們利用電信運(yùn)營(yíng)商的基礎(chǔ)網(wǎng)絡(luò)經(jīng)營(yíng)IP電話業(yè)務(wù),構(gòu)成不正當(dāng)競(jìng)爭(zhēng)����;分流了電信運(yùn)營(yíng)商長(zhǎng)途電話的業(yè)務(wù)收入,擾亂了市場(chǎng)秩序�����。對(duì)于用戶來(lái)說(shuō)�����,已經(jīng)由“想省錢(qián)�,用IP”發(fā)展成“想更省錢(qián)��,就用地下IP”�����,雖然其有可能并不具備良好的服務(wù)質(zhì)量���。
那么是否有辦法來(lái)發(fā)現(xiàn)并制止這些非法VoIP運(yùn)營(yíng)現(xiàn)象的存在呢���?
二�����、非法VoIP檢測(cè)的實(shí)現(xiàn)
1.檢測(cè)及分析
我們主要采集H.323����、MGCP��、SIP三類協(xié)議的VoIP�,分別在主叫、被叫兩個(gè)方向進(jìn)行���,同一時(shí)間段內(nèi)將會(huì)有多條采集記錄���。圖1是多個(gè)VoIP連接的簡(jiǎn)略圖,忽略了IP電話網(wǎng)關(guān)和傳統(tǒng)程控交換網(wǎng)之間的連接�����。
Gateway1�、Gateway2代表IP電話網(wǎng)關(guān),它們位于不同的地點(diǎn)����,一般是不同的城市甚至國(guó)家�����。我們假設(shè)Gateway1代表本地的媒體網(wǎng)關(guān)���,也是我們需要采集數(shù)據(jù)的關(guān)注點(diǎn),是需要檢測(cè)的網(wǎng)關(guān)���。
假設(shè)user1用戶撥打VoIP進(jìn)行呼叫usreA����,Gateway1會(huì)向Gateway2發(fā)起VoIP連接請(qǐng)求����,我們會(huì)記錄下這條數(shù)據(jù),這就是主叫方向的記錄����。源IP就是Gateway1的IP��,目的IP就是Gateway2的IP��。而同一時(shí)間內(nèi)可能user2也在呼叫userB��,user3也在呼叫userC,因此會(huì)有多條采集記錄�,雖然他們的源IP和目的IP都相同。
假設(shè)userA從外地?fù)艽騐oIP呼叫user1�,從Gateway2過(guò)來(lái)的連接請(qǐng)求,Gateway1需要應(yīng)答�,我們會(huì)記錄下這條應(yīng)答,這就是被叫方向的記錄�����。源IP還是gateway1的IP��,目的IP還是gateway2的IP�����。而同一時(shí)間內(nèi)可能userB也在呼叫user2���,userC也在呼叫user3���,因此會(huì)有多條采集記錄,雖然他們的源IP和目的IP都相同�。
檢測(cè)是否有用戶在使用基于H.233、SIP、MGCP的VoIP或者提供基于H.323����、MGCP、SIP的VoIP服務(wù)的檢測(cè)步驟如下:
- 數(shù)據(jù)采集:通過(guò)某種方式將流經(jīng)電信寬帶網(wǎng)上的源端口號(hào)和目的端口號(hào)分別為1718����、1719、1720����、5060、2427����、2727的數(shù)據(jù)包采集下來(lái),即包括主叫、被叫兩個(gè)方向的記錄���。采集的主要內(nèi)容有��,源IP�、目的IP����、源端口��、目的端號(hào)、用戶注冊(cè)名稱����、會(huì)話標(biāo)志、會(huì)話發(fā)生時(shí)間�����;
- 數(shù)據(jù)上傳:將數(shù)據(jù)上傳到后臺(tái)分析系統(tǒng)���;
- 數(shù)據(jù)入庫(kù):將數(shù)據(jù)文件存入到數(shù)據(jù)庫(kù)中�����;
- 數(shù)據(jù)分析:對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析���,結(jié)合事先設(shè)計(jì)好的一些設(shè)定,得到非法VoIP的可疑名單����;
- 統(tǒng)計(jì)分析:根據(jù)分析出的可疑名單,給出IP電話呼叫詳單以及其他相關(guān)的統(tǒng)計(jì)分析報(bào)表�。
詳細(xì)的分析舉例如下:
- (1)統(tǒng)計(jì)某一個(gè)源IP在某一時(shí)間段內(nèi)作為被叫方的會(huì)話次數(shù),假設(shè)值為A;
- (2)統(tǒng)計(jì)某一個(gè)源IP在某一時(shí)間段內(nèi)作為主叫方的會(huì)話次數(shù)��,假設(shè)值為B����;
- (3)統(tǒng)計(jì)某一個(gè)目的IP在某一時(shí)間段內(nèi)作為被叫方的會(huì)話次數(shù),假設(shè)值為C����;
- (4)統(tǒng)計(jì)某一個(gè)目的IP在某一時(shí)間段內(nèi)作為主叫方的會(huì)話次數(shù),假設(shè)值為D�����;
- (5)假設(shè)有三個(gè)預(yù)設(shè)的判斷閥值����,分別為被叫次數(shù)閥值H1、主叫次數(shù)閥值H2�、主被叫閥值H3。
則根據(jù)如上統(tǒng)計(jì)值�,非法VoIP的可疑名單為:
A或C值大于等于H1的所有用戶;
B或D值大于等于H2的所有用戶��;
A+B或C+D值大于等于H3的所有用戶��。
根據(jù)檢測(cè)結(jié)果,給出如下報(bào)表:
呼叫詳單��,包括賬號(hào)�����、IP地址��、通話時(shí)長(zhǎng)��;
主叫����、被叫話務(wù)量最大的用戶���;
呼入��、呼出話務(wù)量最大的IP電話網(wǎng)關(guān)��;
IP電話網(wǎng)關(guān)所處位置(國(guó)內(nèi)����、香港還是加拿大等)���。
2.非法VoIP封堵
檢測(cè)并分析到非法的VoIP電話網(wǎng)關(guān)后��,對(duì)于本網(wǎng)用戶所架設(shè)的IP電話網(wǎng)關(guān)��,我們可以與公安部門(mén)取得聯(lián)系�,進(jìn)行上門(mén)查封。但由于人力����、物力有限,是否可采用其他方式呢��?如直接對(duì)其進(jìn)行網(wǎng)絡(luò)層次上的封堵���,然后再執(zhí)行相關(guān)行政手段呢���?另外檢測(cè)到的大部分IP電話網(wǎng)關(guān)不屬于本網(wǎng)用戶,如其他運(yùn)營(yíng)商����、其他國(guó)家,是否可以對(duì)其進(jìn)行控制以及如何控制呢�?
在這里,我們提出了多層次封堵的思路:
- 對(duì)于網(wǎng)內(nèi)的IP電話網(wǎng)關(guān)來(lái)說(shuō)�,我們定位到該用戶���,可對(duì)其實(shí)施警告,采用向其推送HTML警告頁(yè)面或在其進(jìn)行一個(gè)VoIP呼叫過(guò)程中����,將一段已經(jīng)錄制好的示警語(yǔ)音信息播放給用戶�;
- 警告后,如果在下一個(gè)時(shí)間周期內(nèi)����,用戶仍繼續(xù)其非法行為,則降低對(duì)其的服務(wù)質(zhì)量�,實(shí)施干擾,即用戶的請(qǐng)求將被按比例丟棄����,其VoIP的IP連接將得不到保障;
- 干擾后���,對(duì)頑固用戶最終實(shí)施封堵�����,其所有網(wǎng)絡(luò)請(qǐng)求都將被丟棄�����,無(wú)法成功連接�;
- 對(duì)于位于其他運(yùn)營(yíng)商、其他城市���、其他國(guó)家的IP電話網(wǎng)關(guān)���,我們無(wú)法直接對(duì)其進(jìn)行控制,但可考慮限制網(wǎng)內(nèi)用戶對(duì)其發(fā)起的連接請(qǐng)求�����,間接的阻止其正常服務(wù)的提供���。
3.非法VoIP檢測(cè)的意義所在
VoIP作為中國(guó)電信運(yùn)營(yíng)商未來(lái)的一項(xiàng)重要的基礎(chǔ)通信業(yè)務(wù)����,其收入占電信運(yùn)營(yíng)商總體收入的重要性正在逐步提高��。而非法VoIP的存在����,給電信運(yùn)營(yíng)商造成了巨大的盟鶚А?br>
根據(jù)某運(yùn)營(yíng)商的某個(gè)地市分公司在最近的一次檢測(cè)行動(dòng)中得到的數(shù)據(jù)��,在持續(xù)4天的檢測(cè)時(shí)間內(nèi)��,僅在該市的某網(wǎng)絡(luò)節(jié)點(diǎn)上所采集到的非法VoIP呼叫次數(shù)即接近30000個(gè)�����,話務(wù)量達(dá)到150000m����。按此推測(cè)�,該分公司全市一年所損失的VoIP收入可達(dá)2億人民幣��。
從上面可看出���,由非法VoIP給電信運(yùn)營(yíng)商所造成損失是很大的�����。而且不僅僅是經(jīng)濟(jì)方面���,給社會(huì)也帶來(lái)了一定程度的安全危害,如境外反動(dòng)組織通過(guò)VoIP方式撥打用戶電話�,向用戶宣揚(yáng)其反動(dòng)宣言�,造成了不好的影響�。
三、其他需關(guān)注問(wèn)題
我們知道����,目前存在的非法VoIP運(yùn)營(yíng)者可能會(huì)修改其正常的協(xié)議工作端口,例如H.323原本應(yīng)工作在1718�、1719、1720端口�����,修改后可能變?yōu)?718���、2719�����、2720�,這樣我們就無(wú)法采集到這部分?jǐn)?shù)據(jù)�����。這也就給我們提出了這樣一個(gè)問(wèn)題:對(duì)于采用非標(biāo)準(zhǔn)端口進(jìn)行VoIP業(yè)務(wù)的檢測(cè)如何實(shí)現(xiàn)?
我們認(rèn)為�����,對(duì)于采用了非標(biāo)準(zhǔn)端口的VoIP系統(tǒng)�����,可以把其所有端口的數(shù)據(jù)都采集下來(lái)����,然后再同已知的VoIP進(jìn)行數(shù)據(jù)包比對(duì),最后定然可分析出用戶的VoIP通話清單���。但所有數(shù)據(jù)包的完全比對(duì),是不現(xiàn)實(shí)的�����,最好建立1套智能協(xié)議分析系統(tǒng)���,即分析比對(duì)需要具備一定的策略�,以降低系統(tǒng)整體投入���。
采用非標(biāo)準(zhǔn)端口的VoIP系統(tǒng)無(wú)非是加大了數(shù)據(jù)采集���、分析的工作量以及額外的系統(tǒng)開(kāi)發(fā)���。而所有非法VoIP系統(tǒng)采用的基礎(chǔ)通信協(xié)議是不變的,正所謂“萬(wàn)變不離其宗”�!
慧聰網(wǎng)通信行業(yè)頻道
相關(guān)鏈接: