本發明涉及一種防御外網攻擊的SIP注冊方法，包括靜態防御規則和動態防御規則，靜態防御規則通過限制允許注冊的IP地址；動態防御規則為：判斷SIP注冊請求時的密碼校驗是否成功，當不成功，則增加IP地址下的分機號碼對應的錯誤次數，當錯誤次數大于錯誤次數閾值時，限制IP地址用于分機號碼的注冊；當IP地址下限制注冊的分機號碼數目大于不允許注冊分機數目閾值時，限制IP地址用于任何分機號碼的注冊。本發明提供一種簡單有效的防御方法，簡單配置即可實現安全防御，幫助企業客戶在實現異地辦公需要暴露公網情況下，安全注冊內網的VoIP賬號并且撥打電話，減少復雜的安全配置，實現了理想的效果。

技術領域

本發明涉及通信技術領域，尤其涉及一種防御外網攻擊的SIP注冊方法。

背景技術

IP-PBX作為替代傳統PBX的新時代產品，廣泛部署于企業局域網。一般來說，如果企業的辦公地點不都在同一個辦公大樓，或者有部分工作人員經常外出，需要使用公司內部的IP-PBX，則必須要通過公網訪問，必須在企業的防火墻或路由器上配置IP-PBX的SIP(Session?Initiation?Protocol，會話初始協議)端口映射，否則外網的軟電話或者IP話機無法注冊到IP-PBX并且發起呼叫。

通過端口映射實現VoIP通信網絡穿透，使得用戶的內部設備就直接暴露在公網環境下，會存在被黑客探測并且使用暴力注冊的方式來連接用戶的IP-PBX，通過發起大量呼叫或者撥打指定號碼來實現獲利，給企業造成巨額的通話費用損失。假如通過配置防火墻來限制外網的訪問，由于外出人員使用的公網地址是變化的，也會極大影響到外出人員的正常使用。

發明內容

為了解決上述問題，本發明提出了一種防御外網攻擊的SIP注冊方法。

具體方案如下：

一種防御外網攻擊的SIP注冊方法，包括靜態防御規則和動態防御規則，其中：

靜態防御規則包括：將允許用戶注冊的IP地址配置于數據庫內，當接收到SIP注冊請求時，判斷SIP注冊請求對應的IP地址與允許用戶注冊的IP地址是否相同，如果相同，則進行SIP注冊的正常校驗流程；否則，舍棄該請求；

動態防御規則包括以下步驟：

S1：當接收到SIP注冊請求時，提取SIP注冊請求對應的IP地址和分機號碼，判斷該IP地址是否被限制注冊，如果是，舍棄該SIP注冊請求，結束；否則，進行密碼校驗，進入S2；

S2：判斷SIP注冊密碼是否正確，如果是，則設定注冊成功，令該IP地址下的該分機號碼對應的錯誤次數清零，結束；否則，令該IP地址下的該分機號碼對應的錯誤次數加1，進入S3；

S3：判斷該IP地址下的該分機號碼對應的錯誤次數是否大于錯誤次數閾值，如果是，限制該IP地址用于該分機號碼的注冊，令該IP地址對應的不允許注冊的分機數目加1，進入S4；否則，結束；

S4：判斷該IP地址對應的不允許注冊的分機數目是否大于不允許注冊分機數目閾值，如果是，限制該IP地址用于任何分機號碼的注冊，結束；否則，結束。

進一步的，限制該IP地址用于任何分機號碼的注冊的方法為：將該IP地址添加至黑名單內，接收到SIP注冊請求時，判斷SIP注冊請求對應的IP地址是否存在黑名單內，如果存在，則判定為IP地址被限制注冊。

進一步的，通過IP-PBX軟件的配置界面將允許用戶注冊的IP地址配置到數據庫內，在IP-PBX軟件使用過程中自動將數據庫內的允許用戶注冊的IP地址讀取至內存中。

進一步的，靜態防御規則中，在將允許用戶注冊的IP地址配置于數據庫內后，還包括：將SIP端口通過路由器進行映射，以使外部可以訪問SIP服務。

進一步的，錯誤次數閾值為5，不允許注冊分機數目閾值為3。