什麼是基於 IP 的語音傳輸 (VoIP)？

什麼是基於 IP 的語音傳輸 (VoIP)？

VoIP 是一種透過網際網路撥打電話的方法。與傳統的固定電話系統不同，網際網路並非設計用於在連線的人之間即時傳輸音訊信號。必須構建專門的技術和通訊協定才能使之成為可能，這些技術和通訊協定構成了 VoIP。如今，VoIP 已成為一種高效的音訊和視訊即時*通訊方法。

VoIP 已被廣泛採用。在許多產業中，它是電話系統的主要形式，取代了固定電話（其技術名稱是「公用交換電話網路」）。

相比固定電話，VoIP 有幾個優勢。它更靈活、更容易增加線路、通常比傳統電話服務更便宜、支援視訊以及音訊，而且可以從任何位置使用。

然而，VoIP 很容易受到服務中斷和網路攻擊的影響，而固定電話大多不受其影響（ 如 DDoS 攻擊）。VoIP 還依賴於穩定的網際網路連線和電源。

*即時是指來自所有連接使用者的資訊在建立後立即傳遞，而不是儲存起來之後再傳輸。

音訊如何透過 VoIP 傳播？

假設 Alice 使用 VoIP 電話線路呼叫 Bob。Alice 拿起一個支援 VoIP 的聽筒，撥通了Bob的號碼，然後說：「你好，Bob。」要想讓 Alice 的話到達 Bob 那裡，必須發生什麼？

1. 建立連線：VoIP 服務在 Alice 和 Bob 的聽筒之間建立一個數位連線。由專門的網路通訊協定來處理過程的這一部分。
2. 類比到數位：Alice 的聽筒將她的聲音轉換為數位資訊。
3. 編碼：該數位資訊被編碼和壓縮，以便其可以在網際網路上傳播。
4. 資料封包：Alice 語音的編碼數位版本被分成較小的塊，稱為封包，每個封包都包含幾個由各種網路通訊協定附加的標頭。
5. 封包在網際網路上傳播：封包先由 Alice 的區域網路 (LAN) 路由器轉寄，然後由其他各種路由器轉寄到 VoIP 服務提供者的專用交換機 (PBX) 內的 VoIP 伺服器。該伺服器將封包路由到 Bob 的電話。封包從一個網路轉寄到另一個網路，直到到達 Bob 的 LAN 路由器，該路由器最後將封包轉寄到 Bob 的聽筒。
6. Bob 聽到 Alice 的聲音：反向執行第 2 步到第 4 步：封包被重新組合成壓縮後的 Alice 的數位語音，然後解壓縮，最後由 Bob 聽筒的揚聲器作為聲音播放。

儘管涉及的步驟很多，但整個過程應該是在幾毫秒內完成。理想情況下，應當不存在人類可察覺的延遲，Bob 幾乎在 Alice 說出這句話的同時就聽到了她說的「你好，Bob」。延遲的時長取決於他們本地網路的效率和頻寬，以及 Alice 和 Bob 之間的距離（由距離造成的延時被稱為延遲）。

建立連線後，剩下的過程可以在兩端同時發生。一個支援 VoIP 的電話可以同時傳送和接收音訊資料，因此，如果 Alice 和 Bob 不小心在同一時間問對方「你好嗎？」，他們會在說話時聽到對方的聲音。

VoIP 的「網際網路通訊協定」部分是什麼意思？

在網際網路上傳輸的資料，無論是文字和代碼（如本網頁中的內容）、影像還是音訊內容（如 VoIP 中的聲音），都被分成稱為「封包」的小部分。這些封包在構成網際網路的電線和設備上傳輸，然後由接收它們的設備解譯為可用的內容。

網際網路協定 (IP) 是將封包格式化的標準化方法，使聯網成為可能。IP 描述了如何處理這些封包、如何提供有關其內容的資訊，以及其他要求。任何具有網際網路功能的裝置都可以自動建立和解譯 IP 封包。基本上所有網際網路服務都建立在 IP 上，包括 VoIP，這也是其名為「IP 語音」的原因。

VoIP 在 IP 的基礎上使用什麼通訊協定？

一些通訊協定在 IP 之上執行，使不同類型的網際網路服務成為可能。首先是傳輸通訊協定，它們有助於確保封包到達正確的地方並被正確接收。IP 可以與傳輸控制通訊協定 (TCP) 或 User Datagram Protocol (UDP) 搭配使用。

大多數 VoIP 服務使用 UDP（而非 TCP）作為其傳輸通訊協定，因為 UDP 速度更快——這與一對多的串流服務形成鮮明對比，後者使用更可靠的 TCP 來確保每一秒的音訊和視訊都得到傳遞。

應用程式層通訊協定是在傳輸通訊協定之上使用的。這些通訊協定將資料轉換成面向使用者的應用程式可以解譯的形式。大部分網際網路使用超文字傳輸通訊協定 (HTTP) 作為應用程式層通訊協定。然而，VoIP 使用比 HTTP 更適合即時傳輸音訊和視訊資料的其他通訊協定。

VoIP 應用程式層通訊協定因 VoIP 服務而異。一些提供者使用開放通訊協定，如以下通訊協定：

• 工作階段初始通訊協定 (SIP) 建立和結束通話。在上面的範例中，Alice 的 VoIP 服務可能使用 SIP 來建立她的電話與 Bob 的電話之間的連線。
• 即時傳輸通訊協定 (RTP) 承載通話的實際音訊和視訊內容。
• 安全即時傳輸通訊協定 (SRTP) 是 RTP 的加密版本。
• 媒體閘道控制通訊協定 (MGCP) 控制 VoIP 和公用交換電話網路之間的連線。
• H.323 執行與 SIP 相同的功能，但它是基於二進位而不是基於文字。如今，H.323 已使用不多。

這些通訊協定是公開記錄的，任何人都可以使用它們。不過，有一些 VoIP 提供者使用專有通訊協定。與使網際網路成為可能並承載大部分網際網路流量的開放通訊協定不同，這些專有通訊協定是封閉的，提供者的服務條款可能禁止對其進行反向工程。它們仍然在 TCP、UDP 和 IP 等開放通訊協定的基礎上運作。

VoIP 專有通訊協定的範例包括：

• Skype 通訊協定：該通訊協定由 Skype 開發，僅用於 Skype 應用程式。Microsoft 在收購 Skype 後於 2014 年廢止了該通訊協定，並將其替換為：
• Microsoft 通知通訊協定 24 (MNP24)：Skype 自 2014 年以來一直使用該通訊協定。
• 精簡型用戶端控制通訊協定 (SCCP)：該專有通訊協定屬於 Cisco。
• Inter-Asterisk eXchange (IAX)：用於使用特定類型的開放原始碼 PBX 軟體（稱為 Asterisk）的 VoIP 服務。

VoIP 服務中斷的原因有哪些？

網際網路連線接不良：低頻寬的網際網路連線使封包難以通過，從而會影響音訊品質。沒有網際網路連線意味著 VoIP 根本無法工作。

網路擁塞：如果一次在網路上交換了太多的資料，VoIP 電話可能無法有效地傳輸封包——就像高速公路上車輛過多會減慢行駛速度一樣。

UDP 逾時：如上所述，VoIP 通常在 UDP 傳輸通訊協定上執行。防火牆可能會出於安全考慮而終止超過一定時間的 UDP 連線。

網路攻擊：與任何基於網際網路的服務一樣，VoIP 也容易受到攻擊。特別是，VoIP 服務經常成為分散式阻斷服務 (DDoS) 攻擊的目標。這些攻擊可能使 VoIP 服務一次離線幾分鐘、幾小時或幾天。

為什麼 VoIP 容易遭受分散式阻斷服務 (DDoS) 攻擊？

幾乎任何網路通訊協定都可以用於發起 DDoS 攻擊。攻擊者通常會把目標鎖定在 VoIP 上，因為這類攻擊會直接影響企業效率——當企業無法打電話，就無法完成很多工作。

廣義上說，VoIP DDoS 攻擊分為兩種不同的類別：

1. 針對 VoIP 服務提供者的攻擊。這種 DDoS 攻擊有可能使 VoIP 提供者的所有客戶的服務中斷。它們可能採取多種形式，包括：

• 以提供者的 Web 應用程式為目標，阻止使用者登入
• 以提供者的伺服器為目標，使其 PBX 服務崩潰
• 關閉 DNS 解析，讓使用者無法導覽到提供者的網站

一些針對 VoIP 提供者的攻擊利用了 VoIP 的運作方式——例如，透過 SIP 洪水攻擊來淹沒支援 SIP 的伺服器。其他人可能使用更通用的 DDoS 攻擊方法，這些方法對大多數未受保護的網站和伺服器有效，如 HTTP 洪水攻擊和 SYN 洪水攻擊。

此外，曾發生過對 VoIP 提供者進行 DDoS 勒索攻擊。在 DDoS 勒索攻擊中，在受害者向攻擊者支付贖金之前，攻擊會一直持續。

2. 針對使用 VoIP 的組織的攻擊。這些攻擊一次只針對一個組織，而不是中斷多個 VoIP 提供者客戶的服務。託管自己的 VoIP 網路和伺服器的組織可能特別容易受到攻擊。與大型 VoIP 提供者不同，當他們的主要 VoIP 伺服器成為 SIP 洪水攻擊或其他攻擊的目標時，他們可能沒有大量的備份伺服器來切換。

VoIP 中的 SIP 洪水攻擊

VoIP 中最容易遭受 DDoS 攻擊的一個方面是 SIP。基於 SIP 的 DDoS 攻擊很難阻止，因為和 HTTP 一樣，SIP 是一個基於文字的通訊協定，很難區分非法 SIP 請求和合法 SIP 請求。

SIP INVITE 洪水攻擊使用虛假的「INVITE」請求來發起呼叫，從而淹沒 SIP 伺服器。伺服器必須處理每一個此類請求，導致減緩或拒絕為合法呼叫提供服務。SIP REGISTER 洪水攻擊與此類似，只是使用「REGISTER」消息而不是「INVITE」。

攻擊者還可以傳送特別構建的 SIP 訊息，透過導致伺服器重啟或部分故障來中斷伺服器。一次又一次地傳送此類資訊可能導致在很長一段時間內拒絕為合法使用者提供服務。

Cloudflare DDoS 緩解措施有助於防止 VoIP DDoS 攻擊。Cloudflare 的網路容量比有記錄以來最大的 DDoS 攻擊大了許多倍。深入瞭解用於 Web 應用程式的 Cloudflare DDoS 防護，或用於保護內部網路的 Magic Transit。