如果你的公司正在使用或者在考虑使用VoIP,您也许应该了解一些VoIP可能对系统造成的危害。笔者将为您介绍可能损害IP电话服务的新老威胁。

语音IP徘徊在通讯技术边缘多年以后，终于在最近几年开始上位。

中小型企业对此有迫切的需求。根据市场调研机构AMI公司的数据，世界范围内的中小型企业在VoIP解决方案方面的投入在2006年为30亿美元，与2005年相比提高了26%。AMI估计大部分中小型企业会在未来五年内选用VoIP技术。

尽管如此，有些企业没有考虑这项技术带来的安全隐患就冒然上马。目前的语音IP电话还不够安全，使业务可能遭受入侵。

随着越来越多的用户接受VoIP,也有更多的黑客和罪犯瞄准了这项技术的缺陷。本文主要介绍一些采用了VoIP技术的任何规模的企业都可能面临的对业务威胁。

通过“常规”数据袭击进行的破坏

集成网络的美好之处就在于语音IP不过是数据网络上运行的一个应用。很不幸从安全角度来看，这就意味着它也会遭到任何针对数据网络的袭击，而这些袭击的目标可能并不是语音IP。

对VoIP最显著的威胁就是拒绝服务(DoS)袭击，因为这能导致数据网络瘫痪并关闭在其上运行的全部应用，当然包括VoIP在内。您的员工在网络恢复之前都无法使用电话。

能够破坏数据应用的安全bug也能够影响VoIP用户。例如，安全企业Core Security技术公司在流行的VoIP应用Asterisk PBX中发现了一个缺陷，它允许黑客造成缓冲溢出，以完成拒绝服务袭击。任何您所使用的小应用中的Bug都能使您的网络成为恶意用户的温床。

SIP电话缺陷

VoIP会话发起协议（session initiation protocol，SIP）将会掀起一场新的安全大战。SIP是一个相对较新的协议，自身的安全性比较薄弱。有些特性使其容易遭到黑客的利用，例如使用文本编码以及SIP扩展名都可能成为安全漏洞。

利用SIP进行的袭击包括注册劫持，黑客能够截获呼入的电话呼叫并重新引导；消息修改，允许黑客修改SIP地址之间交换的数据包; 对话终止，允许黑客中断呼叫或者使用关闭要淹没系统进行以VoIP为目标的拒绝服务袭击。

Spit

这个迷人的词相当于电子邮件中的垃圾邮件，意思是通过网络电话传播的垃圾邮件。发送者已经将目标对准了全部即时消息系统用户，他们发送的是spim(spam over instant
messaging，通过即时消息传送的spam)，帐户信息中的一些内容，如用户位置或者年龄都能帮助他们选择用户。

到现在为止，还没有很多关于VoIP垃圾的证据，但是它极有可能成为主要的问题。Spit的出现与电子邮件中的垃圾邮件类似，通过僵尸网络向数以百万的VoIP的用户发送。

语音呼叫的实时性使得对付spit与对付电子邮件的spam相比更具挑战性。服务器上的电子邮件在通过spam过滤器之前会在服务器上停留一个小时，而语音呼叫必须马上转给接受者。

NEC公司最近研究出一种被称为VoIP Seal的创新性的解决方案。这项技术据称能够通过识别通讯样本正确的识别99%的spit，在它连接用户之前就将其断掉。

Vishing

Vishing（电话钓鱼）使用电话从用户那里直接骗取帐户信息。

据报道，钓鱼罪犯最喜欢的目标是PayPal，所进行的是多渠道的骗局。受害者首先会收一封伪装成来自PayPal的电子邮件，要求他们通过电话确认信用卡信息。按照要求打进电话的人被要求通过电话输入信用卡号。一旦信用卡号被输入，骗子们就可以任意挥霍受害者帐户中的钱。

类似的骗局不仅仅对语音IP用户造成威胁，相对廉价的VoIP电话费使其在标准电话系统中更为流行。由于与网络相比，用户依然更信任电话，罪犯们才得以通过仿冒的电话号码使自己更为可信。而且这项技术使他们只需付出很少的费用就能给很多人打电话。

VoIP袭击

与任何IP系统一样，VoIP网络也存在高度被袭的风险。这会影响任何VoIP用户，从家庭用户到企业级服务供应商都存在这种风险。2006年发生在美国的一起诈骗案中，罪犯就是利用常见的“brute force”袭击发现网络漏洞并闯入VoIP服务供应商的系统。

VoIP服务为IP信息包增加前缀以识别自己的呼叫，因此黑客会发出数百万的假冒信息试探网络的前缀。一旦他们确定了前缀，他们就能够通过服务供应商的网络发送呼叫。

窃听

黑客能够窃听媒体流，进行截获VoIP数据包并将其转换为语音以获取敏感信息。

黑客的方法之一是中间人袭击，使用第三方地址冒充对话双方，迫使IP信息包流入黑客的系统。

尽管电话被窃听现在只是VoIP电话存在的风险，IP网络电话本身使得对电话交谈的访问非常容易。窃听将不再需要在电话线上做手脚，他们只需使用安装适当工具与互联网相连的笔记本电脑就能进行。使用VoIP还可能存在其他防线，例如截获打给银行的电话，并将其转移到假冒的银行话务员。

尽管存在的威胁很多，但是这些威胁能够通过适当的安全措施和技术进行防御。