VoIP 是固定電話系統的替代方案。VoIP 利用網際網路進行通話,而不是利用公用交換電話網路。
閱讀本文後,您將能夠:
複製文章連結
VoIP 是一種透過網際網路撥打電話的方法。與傳統的固定電話系統不同,網際網路並非設計用於在連線的人之間即時傳輸音訊信號。必須構建專門的技術和通訊協定才能使之成為可能,這些技術和通訊協定構成了 VoIP。如今,VoIP 已成為一種高效的音訊和視訊即時*通訊方法。
VoIP 已被廣泛採用。在許多產業中,它是電話系統的主要形式,取代了固定電話(其技術名稱是「公用交換電話網路」)。
相比固定電話,VoIP 有幾個優勢。它更靈活、更容易增加線路、通常比傳統電話服務更便宜、支援視訊以及音訊,而且可以從任何位置使用。
然而,VoIP 很容易受到服務中斷和網路攻擊的影響,而固定電話大多不受其影響( 如 DDoS 攻擊)。VoIP 還依賴於穩定的網際網路連線和電源。
*即時是指來自所有連接使用者的資訊在建立後立即傳遞,而不是儲存起來之後再傳輸。
假設 Alice 使用 VoIP 電話線路呼叫 Bob。Alice 拿起一個支援 VoIP 的聽筒,撥通了Bob的號碼,然後說:「你好,Bob。」要想讓 Alice 的話到達 Bob 那裡,必須發生什麼?
儘管涉及的步驟很多,但整個過程應該是在幾毫秒內完成。理想情況下,應當不存在人類可察覺的延遲,Bob 幾乎在 Alice 說出這句話的同時就聽到了她說的「你好,Bob」。延遲的時長取決於他們本地網路的效率和頻寬,以及 Alice 和 Bob 之間的距離(由距離造成的延時被稱為延遲)。
建立連線後,剩下的過程可以在兩端同時發生。一個支援 VoIP 的電話可以同時傳送和接收音訊資料,因此,如果 Alice 和 Bob 不小心在同一時間問對方「你好嗎?」,他們會在說話時聽到對方的聲音。
在網際網路上傳輸的資料,無論是文字和代碼(如本網頁中的內容)、影像還是音訊內容(如 VoIP 中的聲音),都被分成稱為「封包」的小部分。這些封包在構成網際網路的電線和設備上傳輸,然後由接收它們的設備解譯為可用的內容。
網際網路協定 (IP) 是將封包格式化的標準化方法,使聯網成為可能。IP 描述了如何處理這些封包、如何提供有關其內容的資訊,以及其他要求。任何具有網際網路功能的裝置都可以自動建立和解譯 IP 封包。基本上所有網際網路服務都建立在 IP 上,包括 VoIP,這也是其名為「IP 語音」的原因。
一些通訊協定在 IP 之上執行,使不同類型的網際網路服務成為可能。首先是傳輸通訊協定,它們有助於確保封包到達正確的地方並被正確接收。IP 可以與傳輸控制通訊協定 (TCP) 或 User Datagram Protocol (UDP) 搭配使用。
大多數 VoIP 服務使用 UDP(而非 TCP)作為其傳輸通訊協定,因為 UDP 速度更快——這與一對多的串流服務形成鮮明對比,後者使用更可靠的 TCP 來確保每一秒的音訊和視訊都得到傳遞。
應用程式層通訊協定是在傳輸通訊協定之上使用的。這些通訊協定將資料轉換成面向使用者的應用程式可以解譯的形式。大部分網際網路使用超文字傳輸通訊協定 (HTTP) 作為應用程式層通訊協定。然而,VoIP 使用比 HTTP 更適合即時傳輸音訊和視訊資料的其他通訊協定。
VoIP 應用程式層通訊協定因 VoIP 服務而異。一些提供者使用開放通訊協定,如以下通訊協定:
這些通訊協定是公開記錄的,任何人都可以使用它們。不過,有一些 VoIP 提供者使用專有通訊協定。與使網際網路成為可能並承載大部分網際網路流量的開放通訊協定不同,這些專有通訊協定是封閉的,提供者的服務條款可能禁止對其進行反向工程。它們仍然在 TCP、UDP 和 IP 等開放通訊協定的基礎上運作。
VoIP 專有通訊協定的範例包括:
網際網路連線接不良:低頻寬的網際網路連線使封包難以通過,從而會影響音訊品質。沒有網際網路連線意味著 VoIP 根本無法工作。
網路擁塞:如果一次在網路上交換了太多的資料,VoIP 電話可能無法有效地傳輸封包——就像高速公路上車輛過多會減慢行駛速度一樣。
UDP 逾時:如上所述,VoIP 通常在 UDP 傳輸通訊協定上執行。防火牆可能會出於安全考慮而終止超過一定時間的 UDP 連線。
網路攻擊:與任何基於網際網路的服務一樣,VoIP 也容易受到攻擊。特別是,VoIP 服務經常成為分散式阻斷服務 (DDoS) 攻擊的目標。這些攻擊可能使 VoIP 服務一次離線幾分鐘、幾小時或幾天。
幾乎任何網路通訊協定都可以用於發起 DDoS 攻擊。攻擊者通常會把目標鎖定在 VoIP 上,因為這類攻擊會直接影響企業效率——當企業無法打電話,就無法完成很多工作。
廣義上說,VoIP DDoS 攻擊分為兩種不同的類別:
1. 針對 VoIP 服務提供者的攻擊。這種 DDoS 攻擊有可能使 VoIP 提供者的所有客戶的服務中斷。它們可能採取多種形式,包括:
一些針對 VoIP 提供者的攻擊利用了 VoIP 的運作方式——例如,透過 SIP 洪水攻擊來淹沒支援 SIP 的伺服器。其他人可能使用更通用的 DDoS 攻擊方法,這些方法對大多數未受保護的網站和伺服器有效,如 HTTP 洪水攻擊和 SYN 洪水攻擊。
此外,曾發生過對 VoIP 提供者進行 DDoS 勒索攻擊。在 DDoS 勒索攻擊中,在受害者向攻擊者支付贖金之前,攻擊會一直持續。
2. 針對使用 VoIP 的組織的攻擊。這些攻擊一次只針對一個組織,而不是中斷多個 VoIP 提供者客戶的服務。託管自己的 VoIP 網路和伺服器的組織可能特別容易受到攻擊。與大型 VoIP 提供者不同,當他們的主要 VoIP 伺服器成為 SIP 洪水攻擊或其他攻擊的目標時,他們可能沒有大量的備份伺服器來切換。
VoIP 中最容易遭受 DDoS 攻擊的一個方面是 SIP。基於 SIP 的 DDoS 攻擊很難阻止,因為和 HTTP 一樣,SIP 是一個基於文字的通訊協定,很難區分非法 SIP 請求和合法 SIP 請求。
SIP INVITE 洪水攻擊使用虛假的「INVITE」請求來發起呼叫,從而淹沒 SIP 伺服器。伺服器必須處理每一個此類請求,導致減緩或拒絕為合法呼叫提供服務。SIP REGISTER 洪水攻擊與此類似,只是使用「REGISTER」消息而不是「INVITE」。
攻擊者還可以傳送特別構建的 SIP 訊息,透過導致伺服器重啟或部分故障來中斷伺服器。一次又一次地傳送此類資訊可能導致在很長一段時間內拒絕為合法使用者提供服務。
Cloudflare DDoS 緩解措施有助於防止 VoIP DDoS 攻擊。Cloudflare 的網路容量比有記錄以來最大的 DDoS 攻擊大了許多倍。深入瞭解用於 Web 應用程式的 Cloudflare DDoS 防護,或用於保護內部網路的 Magic Transit。