Можно ли за-DoS-ить абонента по SIP или WebRTC, если у него лимитный трафик?
Допустим, абонент звонит нам через SIP или WebRTC с мобильного телефона (или мы звоним ему сами). Сервер не передаёт RTP media через себя, а сообщает нам адрес и порт для приёма потока. Мы совершаем вызов, потом вызов завершается, а на NAT соответствующий порт какое-то время остаётся открытым. Мы можем зафлудить этот порт ненужным трафиком, и если у абонента лимитный интернет, то ему придётся за этот трафик платить, и он никак не сможет остановить его, он может только отключиться от сети. Получится DoS-атака: отключившись от сети, он не сможет принимать звонки от других людей.
Или не придётся, когда его клиент закроет порт, он отправит Port unreachable, и NAT оператора по этому ICMP закроет порт, и следующие пакеты уже до него не дойдут?
А что, если используется IPv6? там NAT нет, и вообще никак нельзя защититься от такой уязвимости, узнав адрес клиента любым образом, хоть через SIP, хоть при обращении к какому-либо другому сервису, можно его зафлудить всегда. Файрвол на стороне клиента не спасёт - раз трафик до него дошёл, он посчитается, даже если файрвол на клиенте его откинет.
Мы можем зафлудить этот порт ненужным трафиком, и если у абонента лимитный интернет, то ему придётся за этот трафик платить, и он никак не сможет остановить его, он может только отключиться от сети.
Ну а зачем такие сложности? Просто посылайте непрерывно трафик на IP клиента И тот же результат.
Валентин
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
Во-первых, это зависит от того, какой у абонента нат (full-cone, port restricted, address restricted) и какие стоят у оператора тайм-ауты на сессии.
Во-вторых, вы описали обычный ddos на канал. Вы можете взять любой статический адрес из сети оператора, выдаваемый юрлицам и начать флудить на него, как правило, для ЮЛ услуги связи дорогие, каналы они берут ограниченной емкости. А дальше посмотрите, что будет: клиент напишет своему оператору, что невозможно пользоваться услугой, его оператор напишет вашему абузу на ddos, ваш оператор напишет вам проверить, если продолжите то поедите, то оператор отключит вам интернеты, а дальше поедете по 273 УК РФ. Если это будет госструктура, то по 274.
Допустим, мне известно, что у какого-то нехорошего человека IP-телефония на мобильном, чтобы насолить не кому попало, а именно ему. Он физлицо, и оператор из-за него чесаться не будет (оператору наоборот это выгодно, больше потребление трафика, больше можно содрать денег).
И флудить можно не со своего адреса, а с какого-нибудь абузоустойчивого иностранного.
Вопрос в том, как защититься от этого с минимальными затратами, и велик ли риск от такой уязвимости.
Хотя на большинстве мобильных тарифов просто отключается интернет после окончания пакета, поэтому ущерб от атаки на обычного абонента будет не очень большой, порядка нескольких сотен рублей.
Скорее всего, если есть такая проблема, то решается она так же, как и с другими типами DoS атак: подключение идёт через промежуточный узел с широким каналом и фильтрацией, где трафик фаерволится. Если это мобильный VoIP, то можно использовать VPN. Если это какой-то нехороший человек, он и так будет использовать VPN, чтобы спрятаться.
Написано
Валентин
@vvpoloskin Куратор тега Компьютерные сети
Николай, вы не защититесь никак, только отключением терминала. Защищают на стороне оператора:
1) Сокращают время действия NAT-трансляции.
2) Для NAT включают Address restricted NAT (или Address-dependent filtering в новых терминах), что избавляет от возможности слать данные в открытый порт с левых IP-адресов.
