主流視頻通信軟件旁路干擾算法的設(shè)計與實現(xiàn)

曹旭東，李微微

(中國石油大學(xué) 信息工程學(xué)院，北京102249)

三大運(yùn)營商正式獲取4G牌照，助力我國進(jìn)入高清視頻通信新時代，給網(wǎng)絡(luò)視頻電話帶來了蓬勃的生命力。隨著WiFi的大規(guī)模覆蓋，3G到4G網(wǎng)絡(luò)的快速發(fā)展，將給具有較低資費(fèi)標(biāo)準(zhǔn)的VoIP視頻通信軟件創(chuàng)造更有競爭力的發(fā)展空間，國內(nèi)主流的VoIP軟件QQ，國際上的Yahoo Messenger，MSN，ICQ等都在視頻通話軟件市場上占據(jù)了較大的份額，現(xiàn)階段更有許多非法組織大肆利用網(wǎng)絡(luò)資源，開展不正當(dāng)?shù)木W(wǎng)絡(luò)視頻業(yè)務(wù)，給網(wǎng)絡(luò)安全造成了重大隱患，嚴(yán)重干擾了電信市場的運(yùn)營秩序，違反了國家對VoIP業(yè)務(wù)的監(jiān)管政策。在給客戶帶來滿意的網(wǎng)絡(luò)體驗的同時，如何給VoIP業(yè)務(wù)提供可靠的安全保障、準(zhǔn)確的流量分析、有效的管理和控制，都演變成了互聯(lián)網(wǎng)行業(yè)、電信行業(yè)在創(chuàng)造產(chǎn)值、保護(hù)產(chǎn)值上技術(shù)發(fā)展的關(guān)鍵，本文針對這些問題設(shè)計了一種適合主流VoIP即時視頻通話軟件的旁路干擾算法，并對干擾結(jié)果進(jìn)行了有效的驗證。

1 技術(shù)發(fā)展背景

現(xiàn)階段網(wǎng)絡(luò)上的實際應(yīng)用控制系統(tǒng)，主要有直路控制系統(tǒng)和旁路干擾系統(tǒng)［1］。

直路控制系統(tǒng)直接接入應(yīng)用網(wǎng)絡(luò)，當(dāng)所分析信息流的數(shù)據(jù)包被流控設(shè)備探測到后，后面數(shù)據(jù)包信息將全部被丟棄，這條信息流因不能與服務(wù)器有效地交互信息導(dǎo)致中斷，這種控制效果直接、明顯，而且投入小，被廣泛應(yīng)用。但它也存在不可忽視的弊端，如果流控設(shè)備出現(xiàn)問題，它所應(yīng)用的網(wǎng)絡(luò)就會直接癱瘓。

旁路干擾系統(tǒng)如圖1所示，通過鏡像設(shè)備將網(wǎng)絡(luò)中的數(shù)據(jù)流量復(fù)制傳遞給監(jiān)控設(shè)備進(jìn)行分析控制，不與網(wǎng)絡(luò)發(fā)生直接聯(lián)系，克服了直路控制系統(tǒng)直接作用于網(wǎng)絡(luò)、改變網(wǎng)絡(luò)結(jié)構(gòu)、易引發(fā)由監(jiān)控設(shè)備失效而產(chǎn)生不可估量損失的缺點。雖然其構(gòu)造復(fù)雜，經(jīng)濟(jì)成本也有所提升，但是在核心網(wǎng)絡(luò)部分，卻逐漸代替直路控制系統(tǒng)，隨著技術(shù)和網(wǎng)絡(luò)QoS要求提升，在網(wǎng)絡(luò)系統(tǒng)中逐漸占據(jù)重要地位。

目前VoIP的流量控制多采用直路控制系統(tǒng)［2］，以實現(xiàn)較為明顯的阻斷效果，而本文針對VoIP軟件中具有明顯的信令流和數(shù)據(jù)流的映射關(guān)系，通過對信令流的準(zhǔn)確識別和干擾，實現(xiàn)了旁路控制系統(tǒng)對數(shù)據(jù)流的有效阻斷，更為簡單和高效。

圖1 VoIP旁路干擾系統(tǒng)

2 信令流和數(shù)據(jù)流協(xié)議原理分析

2.1 信令流SIP的傳輸分析

SIP［3］(Session Initiation Protocol，會話初始協(xié)議)是由IETF(Internet工程任務(wù)組)提出的IP電話信令協(xié)議，可以很好地承載語音和視頻等多媒體業(yè)務(wù)，在通信和網(wǎng)絡(luò)研究領(lǐng)域中受到了極大關(guān)注，是主流VoIP視頻通信軟件中最常用的控制協(xié)議，對其數(shù)據(jù)流格式、字段含義的準(zhǔn)確判斷都是算法分析的基礎(chǔ)。

SIP協(xié)議是一個應(yīng)用層的信令控制協(xié)議，用于創(chuàng)建、修改和釋放一個或多個參與者的會話，SIP協(xié)議不可以單獨(dú)完成多媒體呼叫，必須要與其他協(xié)議一起才能組建完整的多媒體通信系統(tǒng)，與 RTP，RTCP，SDP，MGCP，DNS 等協(xié)議配合完成多媒體會話過程，所以進(jìn)行算法分析時，SIP與RTP等協(xié)議的交互細(xì)節(jié)的設(shè)計是算法分析的難點。

信令流在傳輸層應(yīng)識別為TCP協(xié)議，因為TCP有一系列機(jī)制來保證信令數(shù)據(jù)可靠、安全、高效率地到達(dá)，不丟包、不失序，所以在構(gòu)造SIP控制流的時候，也要注意保障TCP協(xié)議的格式和數(shù)據(jù)的正確，使構(gòu)造的控制流在每一層都可以滿足流判定。

在應(yīng)用層識別為SIP協(xié)議，SIP是一個基于文本的應(yīng)用層協(xié)議，使用443端口號SSL信息。由于SIP協(xié)議本身無法允許SIP消息安全地穿過NAT和防火墻。所以，VoIP通信從SIP消息的特點出發(fā)，提出一種無需擴(kuò)展SIP協(xié)議的應(yīng)用層解決方案:引入STUN協(xié)議，取得IP地址和端口的映射關(guān)系，修改SIP和SDP消息的內(nèi)容來保證通信連接，從而實現(xiàn)對NAT的穿越，所以在構(gòu)造控制流的時候注意滿足SIP外層封裝，STUN交互，IP地址和端口設(shè)定等要求。

2.2 數(shù)據(jù)流RTP的傳輸分析

數(shù)據(jù)流在傳輸層識別為UDP協(xié)議，UDP為一種不可靠的網(wǎng)絡(luò)協(xié)議，它沒有TCP協(xié)議中植入的各種安全保障功能，也就降低了在實際執(zhí)行過程中的大量系統(tǒng)開銷，將安全和排序等功能移交給上層應(yīng)用層來完成，極大降低了執(zhí)行時間，使速度得到了保證，所以數(shù)據(jù)流的構(gòu)造要注意UDP的協(xié)議和數(shù)據(jù)要求等。

在應(yīng)用層識別為RTP協(xié)議進(jìn)行數(shù)據(jù)傳輸。RTP提供具有實時特征的、端到端的數(shù)據(jù)傳輸業(yè)務(wù)，在RTP包頭中包含裝載數(shù)據(jù)的標(biāo)示符、序列號、時間戳以及傳送監(jiān)視等，VoIP語音分組開銷很大，采用RTP協(xié)議的VoIP格式，在這種方式中將多路語音插入語音數(shù)據(jù)段中，這樣提高了傳輸效率。

RTP細(xì)分為RTP和RTCP協(xié)議，與下面的傳輸層、網(wǎng)絡(luò)層無關(guān)，這兩個協(xié)議配合使用，能以有效的反饋和最小的開銷使傳輸速率最佳化，故特別適合傳送網(wǎng)上的實時數(shù)據(jù)。

RTP和RTCP經(jīng)常用于UDP之上，使用不同的端口。必須為RTP指定一個偶數(shù)UDP端口號，而為相應(yīng)的RTCP指定與之相鄰但比它大的基數(shù)UDP端口。工作時，RTP協(xié)議從上層接收媒體信息碼流，裝配成RTP數(shù)據(jù)包發(fā)送給下層，下層協(xié)議提供RTP和RTCP的分流。這些都是算法分析時的技術(shù)點，以及驗證控制效果時判斷構(gòu)造的數(shù)據(jù)流是否達(dá)到預(yù)期目標(biāo)的標(biāo)準(zhǔn)。

3 干擾算法的研究和設(shè)計過程

3.1 設(shè)計流程圖

旁路干擾算法的設(shè)計流程如圖2所示。

3.2 具體設(shè)計過程

1)干擾包的構(gòu)造需要先捕獲數(shù)據(jù)包，利用Winpcap軟件系統(tǒng)，把參數(shù)設(shè)置為混雜模式，用以“嗅探”到流經(jīng)所需網(wǎng)卡上所有的完整的數(shù)據(jù)包。

2)啟動監(jiān)聽到數(shù)據(jù)包的線程InPacketData。

3)啟動一個分析數(shù)據(jù)包的線程，判斷捕獲到數(shù)據(jù)包的長度，PacketLength=Header－＞Len，如果這個包的長度為0，或是捕獲到的數(shù)據(jù)包為UDP包，即InPacketData+23=0x11，則丟棄這個數(shù)據(jù)包，繼續(xù)抓包。

4)為了提高代碼執(zhí)行效率，截獲數(shù)據(jù)包時只對正常數(shù)據(jù)進(jìn)行分析處理，不對自己發(fā)送的偽造包進(jìn)行分析處理，所以把自己構(gòu)造的數(shù)據(jù)包Identification設(shè)置為1111。

InPktIpHeader－ ＞ Identification=0x1111，當(dāng)掃描到標(biāo)識為1111的數(shù)據(jù)包時，不會繼續(xù)掃描數(shù)據(jù)包的內(nèi)部特征，直接放棄這個數(shù)據(jù)包，繼續(xù)嗅探。

5)如果截獲的數(shù)據(jù)包滿足基礎(chǔ)條件，InPacketData+23=0x06，并且這個數(shù)據(jù)包有負(fù)載數(shù)據(jù)，則根據(jù)數(shù)據(jù)包

圖2 VoIP旁路干擾算法的流程圖

的封裝格式和封裝順序，對數(shù)據(jù)包各層頭部指針逐層定位，以便精確分析數(shù)據(jù)包的構(gòu)造特征，也為后面構(gòu)造符合協(xié)議特征的數(shù)據(jù)包做準(zhǔn)備［4］。

6)對抓取的數(shù)據(jù)包進(jìn)行第二層信息過濾，篩選符合自己條件的信令流的數(shù)據(jù)包，設(shè)置處理的起始條件。

7)構(gòu)造有效的停止信令標(biāo)識去篡改信令流的數(shù)據(jù)包信息［5］。

8)組合并計算干擾報文長度。

9)干擾報文指針重新定位。

10)IP校驗。

11)TCP 校驗［6］。

12)重置發(fā)送和接收地址。

//式中:SourceAdd、DestAdd分別為構(gòu)造的干擾包的源地址和目的地址。

13)校驗完成后，把構(gòu)造的干擾包發(fā)送出去。

4 干擾算法的實現(xiàn)結(jié)果及其分析

本算法開發(fā)環(huán)境為VC6．0，操作系統(tǒng)為WIN7，測試軟件為Yahoo Messenger(雅虎通)，圖3所示為實驗測試環(huán)境。

圖3 本次實驗的網(wǎng)絡(luò)拓?fù)鋱D

驗證結(jié)果:實際VoIP視頻通話數(shù)據(jù)流被明顯切斷，物理通話結(jié)束。

圖4為YahooMessenger視頻通話被干擾后視頻被切斷的畫面，視頻媒體信息的建立及存在為3 min 3 s，然后視頻畫面出現(xiàn)明顯的馬賽克現(xiàn)象，對方的視頻信息消失，同時提示警告:接收不到voice signal信號。

圖4 Yahoo Messenger視頻通話被干擾后視頻被切斷(截圖)

數(shù)據(jù)分析:使用Wireshark網(wǎng)絡(luò)封包分析軟件記錄本次試驗樣本的實際識別情況如表1所示。

表1 語音流的識別情況

數(shù)據(jù)表明這次視頻通話信令流YahooMsg_Signal和數(shù)據(jù)流YahooMsg_Video被高效識別出來。

實驗過程中捕獲到了數(shù)據(jù)流開始到建立的過程，如圖5所示，剛開始的CLASSIC－STUN是局域網(wǎng)穿越流量。按照五元組信息來判斷，ip．a(chǎn)ddr==58．60．106．237 ＆＆udp．port==27800 ＆＆ ip．a(chǎn)ddr==10．2．0．246 ＆＆ udp．port==8120為數(shù)據(jù)流，其負(fù)載逐漸穩(wěn)定增大。

圖5 Wireshark實時獲取的數(shù)據(jù)流開始時流量(截圖)

數(shù)據(jù)流被干擾后的結(jié)果，如圖6所示，其中可以看出數(shù)據(jù)流的負(fù)載已逐漸降低，而VoIP視頻流的實時傳輸需要較大的負(fù)載，已經(jīng)不再支持視頻傳輸，此時物理通話已經(jīng)結(jié)束。

圖6 Wireshark實時獲取的被干擾后的數(shù)據(jù)流流量(截圖)

圖7為干擾驗證過程中wireshark捕獲的ip．a(chǎn)ddr==58．60．106．237 ＆＆ udp．port==27800 ＆＆ ip．a(chǎn)ddr==10．2．0．246 ＆＆ udp．port==8120 數(shù)據(jù)流的流量圖，分析此圖可知，0～25 s左右時是SIP信令的建立過程，數(shù)據(jù)流尚未建立;25～65 s當(dāng)SIP協(xié)議建立之后，隨著STUN局域網(wǎng)穿越，RTP數(shù)據(jù)流開始建立而且負(fù)載不斷增加;195 s左右時，發(fā)送干擾包，從流量圖中可以看到，數(shù)據(jù)流被嚴(yán)重影響，數(shù)據(jù)包的負(fù)載明顯降低，但是仍有少量的交互包，此時已經(jīng)不可以視頻通話。最后這條數(shù)據(jù)流結(jié)束，物理顯示VoIP通話結(jié)束。

圖7 約220 s數(shù)據(jù)流的流量圖

5 結(jié)束語

本文設(shè)計了一種可以在主流VoIP視頻通信軟件上使用的旁路干擾算法，以國際通用的Yahoo!Messenger(v11．5．0．228－us)作為此次驗證的正例樣本。文中給出了比較詳細(xì)的算法設(shè)計，直觀地展示了被干擾后的視頻通話狀態(tài)，也提供了Wireshark捕獲的數(shù)據(jù)流的情況和此數(shù)據(jù)流的流量圖，佐證了本算法可以應(yīng)用于主流的VoIP視頻通信軟件，具有可擴(kuò)展性和應(yīng)用性，具備良好的發(fā)展前景和商業(yè)價值。

:

［1］米淑云．IP網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)［D］．北京:北京郵電大學(xué)，2009．

［2］韓耀明．基于DPI技術(shù)的VoIP流量檢測系統(tǒng)的設(shè)計與實現(xiàn)［D］．北京:北京郵電大學(xué)，2010．

［3］張功國，陳瑩星．實時視頻中SIP與 RTSP的應(yīng)用［J］．電視技術(shù)，2013，37(9):3－9．

［4］ CHEN Hongwei，YOU Fangping，ZHOU Xin，et al．The study of DPI identification technology based on sampling［J］．Information Engineering and Computer Science，2009，33(4):375－380．

［5］ 陳明．網(wǎng)絡(luò)協(xié)議教程［M］．北京:清華大學(xué)出版社，2004．

［6］趙川，伍瑞卿，樊豐．一種精簡TCP/IP協(xié)議棧的設(shè)計與實現(xiàn)［J］．電視技術(shù)，2010，34(S1):2－8．