黑客大曝光:VoIP安全机密与解决方案
点击看大图基本信息
- 原书名: Hacking Exposed VoIP: Voice Over IP Security Secrets & Solutions
- 原出版社: McGraw-Hill Osborne Media
- 作者: (美)David Endler Mark Collier
- 译者: 李祥军 周智 魏冰
- 丛书名: 安全技术大系
- 出版社:电子工业出版社
- ISBN:9787121117503
- 上架时间:2010-10-15
- 出版日期:2010 年10月
- 开本:16开
- 页码:451
- 版次:1-1
- 所属分类:
计算机 > 安全 > 网络安全/防火墙/黑客
编辑推荐
经典安全图书,知名行业专家打造!
通过从恶意入侵者的角度学习如何审视自己的网络和设备,可以避免削弱VoIP网络的攻击。本书逐步向你展示了在线的攻击者如何实施网络探测、如何获取接入、如何窃取数据并入侵脆弱的系统。本书包含了不同厂家的硬件设备与网络相关的安全问题,并给出了具体的对策、透彻的案例及使用的实现技术。通过本书,读者还可以了解如何防护最新的DoS攻击、中间人攻击、呼叫泛洪攻击、窃听、VoIP Fuzzing、信令与语音操控、垃圾语音电话,以及语音钓鱼等。
内容简介回到顶部↑
冒用他人的电话号码打电话、窃听他人的通话内容、在他人通话时加入一些背景噪声、在他人通话时恶意强行挂断……所有这些都是很多“黑客”的梦想,然而,在以前的通信网络中,基于一些技术原因,这些都难以实现。随着voip技术的应用和普及,黑客们终于等到了机会,在voip时代,特别是端到端的voip应用时代,在一些安全防护不严的网络中,黑客们的这些梦想就可以成真了。
本书立足于企业voip通信网络,以大量丰富的实例和各种voip攻击工具的应用为基础,详细描述了各种针对voip应用的攻击方式及解决对策,包括号码采集、呼叫模式跟踪与语音窃听、针对服务器和电话的dos攻击、恶意语音的插入与混淆、垃圾语音电话、语音钓鱼,等等。针对企业voip网络安全攻击与防护,本书绝对是一本安全管理员、安全研究人员等必读的实战型的教材。同时,本书也是了解运营商通信网络(如ims网络)及安全问题的不可多得的入门级教材。
本书立足于企业voip通信网络,以大量丰富的实例和各种voip攻击工具的应用为基础,详细描述了各种针对voip应用的攻击方式及解决对策,包括号码采集、呼叫模式跟踪与语音窃听、针对服务器和电话的dos攻击、恶意语音的插入与混淆、垃圾语音电话、语音钓鱼,等等。针对企业voip网络安全攻击与防护,本书绝对是一本安全管理员、安全研究人员等必读的实战型的教材。同时,本书也是了解运营商通信网络(如ims网络)及安全问题的不可多得的入门级教材。
作译者回到顶部↑
目录回到顶部↑
第1部分 收集情报
第1章 voip网络踩点
1.1 为什么要先踩点
1.2 voip踩点方法
1.2.1 确立攻击范围
1.3 小结
1.4 参考文献
第2章 voip网络扫描
第3章 voip网络枚举
第2部分 voip网络攻击
第4章 voip网络设施的dos攻击
第5章 voip网络侦听
第6章 voip干扰及篡改
第3部分 针对voip特定平台的攻击
第7章 cisco unified callmanager
第8章 avaya communication manager
第9章 asterisk
第10章 新兴的软终端技术
第4部分 voip会话和应用攻击
第11章 voip fuzzing攻击
第1章 voip网络踩点
1.1 为什么要先踩点
1.2 voip踩点方法
1.2.1 确立攻击范围
1.3 小结
1.4 参考文献
第2章 voip网络扫描
第3章 voip网络枚举
第2部分 voip网络攻击
第4章 voip网络设施的dos攻击
第5章 voip网络侦听
第6章 voip干扰及篡改
第3部分 针对voip特定平台的攻击
第7章 cisco unified callmanager
第8章 avaya communication manager
第9章 asterisk
第10章 新兴的软终端技术
第4部分 voip会话和应用攻击
第11章 voip fuzzing攻击
译者序回到顶部↑
出于工作的需要,我经常需要和国内外的各安全厂商进行技术交流,在此过程中我发现,很多安全厂商在IT系统安全、IP网络系统安全,包括操作系统安全、数据库安全、网络设备安全等方面都有着深厚的技术积累,然而在通信网络安全方面,往往了解得较少。许多安全厂家在进行通信网络或者通信业务系统的安全评估、安全加固等工作时,通常不会涉及到通信业务中的安全需求。随着国内安全厂商的不断发展、国内安全从业人员的不断努力,在IT及IP网络系统安全方面,国内外的差距越来越小,然而在通信网络安全方面,国内外的差距还是很明显。许多文献都提到,最早的黑客并不是在计算机领域产生的,如70年代美国的电话飞客(Phreaker),就通常被认为是黑客最早的雏形。通过Blue Box向全世界打电话,是那个时代黑客最酷的行为。直到今天,美国一直都有许多热衷于通信网络安全的研究人员,而在国内,却鲜有精于通信网络安全的专业人员。
VoIP技术已经广泛应用到当前的各种通信网络之中,VoIP技术的应用使得通信网络更加开放,但也同时面临着更大的风险,因此,通信网络安全解决方案将面临更大的挑战。随着VoIP技术应用的进一步普及,很多研究机构都预测VoIP将会成为黑客的下一个乐园。实际上,前几年,美国就曾经发生过利用VoIP网络漏洞窃取价值超过100万美元通话时长的案件,并且美国的几大著名运营商也都曾曝出存在VoIP计费方面的严重安全漏洞。
我曾经阅读过国内外的许多关于VoIP安全的文章和书籍,发现国内的相关文献更多是关注于理论层面,很少有真正讨论安全实战的文献,相比较而言,国外关于VoIP安全实战的书籍更多一些。在安全领域,与那些随手可得的关于IT及IP网络系统安全的书籍和文献相比较,关于通信网络安全或者是说与VoIP安全相关的书籍实在是少得多。本书的原版书在2007年刚出版后不久,我就有幸拜读,获益匪浅。当时,我就认为本书的原版书是市面上介绍VoIP安全最好的书籍之一。时至今日,虽然市面上又出现了大量关于VoIP安全的书籍,但我仍然认为本书是最好的VoIP安全书籍之一。这几年中,我曾经向很多安全界的朋友、很多安全厂商推荐过这本书,为了让国内安全行业的从业人员能够更好地了解VoIP安全,我们特意翻译了此书,并将之献给安全界的朋友。
本书是一本绝佳的关于VoIP安全的入门级书籍,作者利用丰富的实例深入浅出地介绍了VoIP安全方面涵盖的关键内容。仅从安全的角度来看,VoIP技术是一把双刃剑,应用得当,可以带来很多安全优势,应用不得当,就有可能带来安全灾难。本书介绍的内容以及攻击场景都基于企业VoIP网络应用,而VoIP技术在运营商的通信网络应用中的安全性与可靠性方面,与企业应用相比,有着明显的区别:通信网络中的VoIP安全水平比企业网络VoIP应用的安全水平高出很多。即便如此,本书也是一本上好的了解运营商通信网络安全的入门级书籍。本书在介绍VoIP安全时,部分重点内容描述了SIP协议的主要安全问题,SIP协议是现在很多通信网络系统(如IMS、固网软交换等)或者即时通信系统(如MSN、飞信等)的基础协议,同时,SIP协议将越来越多地应用到更多系统之中。因此,本书也有助于读者更好了解SIP协议安全以及许多相关系统的安全。
本书的作者是国际上公认的安全专家,是VoIP安全方面的权威人物,他们在业界内发起并成立了著名的VoIP安全联盟。本书作者不仅仅深入分析了VoIP安全问题,还亲自开发了许多安全攻击工具,以便让读者可以更好地理解这些问题。能够分析问题、发现问题并能动手开发工具来验证这些问题,作者的这种务实的精神实在是值得我们学习。
我曾经安装并应用过本书中提到的各种开源的VoIP系统,也曾经分析应用过书中的很多安全工具。本书提到的几个开源的VoIP系统是国际上很多钟情于VoIP安全研究的安全从业人员必备的系统,这些系统可以提供很多扩展,基于此,研究人员能开发出很多应用,同时,还有许多公司专门为这些系统开发与PSTN兼容的电路板。这样一来,这些开源的VoIP系统在当前就可以应用于家庭及小型企业办公中,是非常好的学习VoIP、SIP及通信网络,并进行通信系统DIY的参考资料。本书由三位具备多年通信网络安全从业经验的中国移动安全专家李祥军、周智、魏冰翻译,限于水平,译文中的错误和疏漏在所难免,敬请广大读者朋友批评指正。
最后,感谢电子工业出版社博文视点资讯有限公司为本书的出版付出的努力,尤其要感谢毕宁、刘皎以及本书的责任编辑贾莉,感谢他们对通信网络安全及VoIP安全领域的关注,他们辛勤细致的工作使本书增色不少。
李祥军
2010年2月
VoIP技术已经广泛应用到当前的各种通信网络之中,VoIP技术的应用使得通信网络更加开放,但也同时面临着更大的风险,因此,通信网络安全解决方案将面临更大的挑战。随着VoIP技术应用的进一步普及,很多研究机构都预测VoIP将会成为黑客的下一个乐园。实际上,前几年,美国就曾经发生过利用VoIP网络漏洞窃取价值超过100万美元通话时长的案件,并且美国的几大著名运营商也都曾曝出存在VoIP计费方面的严重安全漏洞。
我曾经阅读过国内外的许多关于VoIP安全的文章和书籍,发现国内的相关文献更多是关注于理论层面,很少有真正讨论安全实战的文献,相比较而言,国外关于VoIP安全实战的书籍更多一些。在安全领域,与那些随手可得的关于IT及IP网络系统安全的书籍和文献相比较,关于通信网络安全或者是说与VoIP安全相关的书籍实在是少得多。本书的原版书在2007年刚出版后不久,我就有幸拜读,获益匪浅。当时,我就认为本书的原版书是市面上介绍VoIP安全最好的书籍之一。时至今日,虽然市面上又出现了大量关于VoIP安全的书籍,但我仍然认为本书是最好的VoIP安全书籍之一。这几年中,我曾经向很多安全界的朋友、很多安全厂商推荐过这本书,为了让国内安全行业的从业人员能够更好地了解VoIP安全,我们特意翻译了此书,并将之献给安全界的朋友。
本书是一本绝佳的关于VoIP安全的入门级书籍,作者利用丰富的实例深入浅出地介绍了VoIP安全方面涵盖的关键内容。仅从安全的角度来看,VoIP技术是一把双刃剑,应用得当,可以带来很多安全优势,应用不得当,就有可能带来安全灾难。本书介绍的内容以及攻击场景都基于企业VoIP网络应用,而VoIP技术在运营商的通信网络应用中的安全性与可靠性方面,与企业应用相比,有着明显的区别:通信网络中的VoIP安全水平比企业网络VoIP应用的安全水平高出很多。即便如此,本书也是一本上好的了解运营商通信网络安全的入门级书籍。本书在介绍VoIP安全时,部分重点内容描述了SIP协议的主要安全问题,SIP协议是现在很多通信网络系统(如IMS、固网软交换等)或者即时通信系统(如MSN、飞信等)的基础协议,同时,SIP协议将越来越多地应用到更多系统之中。因此,本书也有助于读者更好了解SIP协议安全以及许多相关系统的安全。
本书的作者是国际上公认的安全专家,是VoIP安全方面的权威人物,他们在业界内发起并成立了著名的VoIP安全联盟。本书作者不仅仅深入分析了VoIP安全问题,还亲自开发了许多安全攻击工具,以便让读者可以更好地理解这些问题。能够分析问题、发现问题并能动手开发工具来验证这些问题,作者的这种务实的精神实在是值得我们学习。
我曾经安装并应用过本书中提到的各种开源的VoIP系统,也曾经分析应用过书中的很多安全工具。本书提到的几个开源的VoIP系统是国际上很多钟情于VoIP安全研究的安全从业人员必备的系统,这些系统可以提供很多扩展,基于此,研究人员能开发出很多应用,同时,还有许多公司专门为这些系统开发与PSTN兼容的电路板。这样一来,这些开源的VoIP系统在当前就可以应用于家庭及小型企业办公中,是非常好的学习VoIP、SIP及通信网络,并进行通信系统DIY的参考资料。本书由三位具备多年通信网络安全从业经验的中国移动安全专家李祥军、周智、魏冰翻译,限于水平,译文中的错误和疏漏在所难免,敬请广大读者朋友批评指正。
最后,感谢电子工业出版社博文视点资讯有限公司为本书的出版付出的努力,尤其要感谢毕宁、刘皎以及本书的责任编辑贾莉,感谢他们对通信网络安全及VoIP安全领域的关注,他们辛勤细致的工作使本书增色不少。
李祥军
2010年2月
前言回到顶部↑
VoIP(Voice over IP)技术已经成熟,并且在大多数市场上正在替代传统的公用交换电话网络(Public-Switched Telephone Network,PSTN)而得以广泛部署。VoIP含义广泛,它可以指安装在各种平台(如Linux、Windows、VxWorks、移动设备、PC等)之上的各种应用(如硬终端、软终端、代理服务器、IM终端、P2P终端等)。这些平台与应用所采用的各种开放的或者私有的协议(如SIP、RTP、H.323、MGCP、SCCP、Unistim、SRTP、ZRTP等)在很大程度上取决于已经存在的数据网络的体系结构和服务(如路由器、交换机、DNS、TFTP、DHCP、VPN、VLAN等)。相应地,由于VoIP在用户、企业、电信运营商、中小企业等不同运行环境中的多样性特征,VoIP安全也成为一个内容广泛的问题。
本书将VoIP安全主题做了收敛,我们认定面向的读者主要包括企业网络IT从业人员及一些上述列举的常见的部署场景中相关的人员(由于本书的内容大部分是VoIP相关技术及基本协议的安全问题,所以同样适用于电信运营商网络及其相关人员——译者注)。因为VoIP技术把语音通过分组后承载并传输于传统企业数据网络的路由器之上,相应地,威胁并困扰这些网络的计算机安全问题也将同样适用于VoIP。这包括拒绝服务攻击(Denial of Service,DoS)攻击、蠕虫、病毒及通用的黑客攻击。打个比方,如果一个企业正在遭受分布式拒绝服务攻击(Distributed Denial of Service,DDoS),那么内部员工进行网页浏览的速度就会比正常时慢,与之类似,一个VoIP网络在遭受DDoS攻击时,相关的VoIP应用就可能会中断,至少那些智能化程度不高的VoIP应用会中断。
除了传统的网络安全和可用性等问题之外,对许多新的VoIP协议的实现机制进行详细的安全分析以及研究,就会发现VoIP还会带来一些其他的安全问题。大多数主流的VoIP设备提供商都在其产品中应用了日益重要的会话初始协议(Session Initiation Protocol,SIP)。这样一来,针对SIP协议的攻击就开始不断出现,如注册劫持(registration hijacking)、BYE会话拆除、INVITE泛洪攻击等,更有甚者,受利益驱动而出现的一些安全问题,如垃圾网络电话(Spam over Internet Telephony,SPIT)、语音钓鱼攻击等,也开始进入到VoIP领域。
对于当前和即将出现的VoIP安全问题,并没有一个特别有效的方法。相反地,在当前的安全策略中包含规划良好的、深度防御的安全防护体系是减少当前和即将出现的VoIP威胁的最好方法。
黑客大曝光系列
本书遵循了黑客大曝光系列图书一贯保持的良好模式。对VoIP相关的黑客攻击,目前研究得还不是非常深入和广泛。本书中描述的许多潜在的安全威胁、攻击方法在当前是少为人知的或者是全新的,部分安全问题是在本书写作的过程中才得以发现的。为了验证本书中的安全威胁以及攻击方法,我们搭建了一个小型的测试和研究专用的VoIP网络,包括两台Linux服务器,其上分别运行着基于SIP协议的软件PBX,其中一台运行Asterisk系统,另一台运行SIP Express Router系统。我们在这两台PBX上尽可能多地连接了我们能够找到的不同SIP硬终端,包括Cisco、Sipura、D-link、Avaya、Polycom等品牌终端。本书第2章详细描述了应用的SIP测试网络的拓扑结构。在第7~10章中我们还详细描述了针对具体设备商产品的安全问题并搭建了Cisco、Avaya的测试网络。
在这些测试网络中,我们用尽各种方法来测试书中描述的攻击方法与技术。另外,本书中公布的一些数据是基于我们作为渗透测试人员、网络安全管理员、VoIP架构师而获得的第一手资料。
本书对应的网站
我们为本书建设了一个独立的本书专有在线资源的网站:http://www.hackingvoip.com。该网站收集了书中提到的工具以及资料,需要说明的是这些资源是本书独有的。本书中涉及的其他工具,每一个都提供了所在网站的相应URL连接。如果书中涉及的工具,其原作者已经不再提供支持,我们在http://www.hackingvoip.com中都提供了最新的版本,以避免读者找不到相应的工具。我们计划在本书的网站及相应博客中继续提供相关的研究和发现成果。
本书导读
与黑客大曝光丛书一致,本书内容的基本结构是各章所讨论的攻击手段和相应的对策。
——这个图标代表着一种攻击手段
这个图标表明渗透测试技术和工具,在这个图标后面是攻击方式的名称以及传统的风险评级表,这与黑客大曝光丛书完全一样。
流行度——表示在实际中,利用这种手段进行攻击的频率,这与简单度是密切相关的,“1”表示最少见,“10”表示最常见。
简单度——表示使用这种攻击手段所需要的技能,“10”表示运用广泛流传的工具就可实施,“1”表示需要编写特定的攻击工具,“5”左右的值表示可以获得相应的命令行工具,但是该工具难于应用,并且需要对目标网络及协议有详细的了解。
影响力——表示攻击成功后可能造成的损失的大小。取值在1~10之间, “1”表示仅能获取网络或设备的一些无关的信息,“10”表示能够获取目标的完全权限或者能够重定向、监听、篡改网络流量。
风险率——取值为前三个数值的平均值。
在书中的每一对策后面,我们会根据需要采用“注意”、“提示”和“警告”来强调具体细节以及相应的建议。
——这个图标代表着一种对策
书中在合适的地方,我们会根据不同VoIP平台提供不同类型的攻击防护对策。这些对策能够完全解决安全问题(如升级存在漏洞的软件或者采用更加安全的网络协议),或者暂时解决安全问题(如对设备进行再配置来关闭存在漏洞的服务、选项或者协议)。我们一直都推荐采用能够完全解决问题的方法,然而,我们确实发现,由于各种限制,这种方式不是每次都适用。在这种情形下,暂时的或者不完全的对策也强于不采取任何对策。一个不完全的对策仅仅能够起到减缓攻击者步伐的防护作用,并且这些不完全的对策可能被绕过。例如,一个标准的接入控制列表机制可能通过IP欺骗、中间人攻击或者会话劫持等方式绕过。
本书将VoIP安全主题做了收敛,我们认定面向的读者主要包括企业网络IT从业人员及一些上述列举的常见的部署场景中相关的人员(由于本书的内容大部分是VoIP相关技术及基本协议的安全问题,所以同样适用于电信运营商网络及其相关人员——译者注)。因为VoIP技术把语音通过分组后承载并传输于传统企业数据网络的路由器之上,相应地,威胁并困扰这些网络的计算机安全问题也将同样适用于VoIP。这包括拒绝服务攻击(Denial of Service,DoS)攻击、蠕虫、病毒及通用的黑客攻击。打个比方,如果一个企业正在遭受分布式拒绝服务攻击(Distributed Denial of Service,DDoS),那么内部员工进行网页浏览的速度就会比正常时慢,与之类似,一个VoIP网络在遭受DDoS攻击时,相关的VoIP应用就可能会中断,至少那些智能化程度不高的VoIP应用会中断。
除了传统的网络安全和可用性等问题之外,对许多新的VoIP协议的实现机制进行详细的安全分析以及研究,就会发现VoIP还会带来一些其他的安全问题。大多数主流的VoIP设备提供商都在其产品中应用了日益重要的会话初始协议(Session Initiation Protocol,SIP)。这样一来,针对SIP协议的攻击就开始不断出现,如注册劫持(registration hijacking)、BYE会话拆除、INVITE泛洪攻击等,更有甚者,受利益驱动而出现的一些安全问题,如垃圾网络电话(Spam over Internet Telephony,SPIT)、语音钓鱼攻击等,也开始进入到VoIP领域。
对于当前和即将出现的VoIP安全问题,并没有一个特别有效的方法。相反地,在当前的安全策略中包含规划良好的、深度防御的安全防护体系是减少当前和即将出现的VoIP威胁的最好方法。
黑客大曝光系列
本书遵循了黑客大曝光系列图书一贯保持的良好模式。对VoIP相关的黑客攻击,目前研究得还不是非常深入和广泛。本书中描述的许多潜在的安全威胁、攻击方法在当前是少为人知的或者是全新的,部分安全问题是在本书写作的过程中才得以发现的。为了验证本书中的安全威胁以及攻击方法,我们搭建了一个小型的测试和研究专用的VoIP网络,包括两台Linux服务器,其上分别运行着基于SIP协议的软件PBX,其中一台运行Asterisk系统,另一台运行SIP Express Router系统。我们在这两台PBX上尽可能多地连接了我们能够找到的不同SIP硬终端,包括Cisco、Sipura、D-link、Avaya、Polycom等品牌终端。本书第2章详细描述了应用的SIP测试网络的拓扑结构。在第7~10章中我们还详细描述了针对具体设备商产品的安全问题并搭建了Cisco、Avaya的测试网络。
在这些测试网络中,我们用尽各种方法来测试书中描述的攻击方法与技术。另外,本书中公布的一些数据是基于我们作为渗透测试人员、网络安全管理员、VoIP架构师而获得的第一手资料。
本书对应的网站
我们为本书建设了一个独立的本书专有在线资源的网站:http://www.hackingvoip.com。该网站收集了书中提到的工具以及资料,需要说明的是这些资源是本书独有的。本书中涉及的其他工具,每一个都提供了所在网站的相应URL连接。如果书中涉及的工具,其原作者已经不再提供支持,我们在http://www.hackingvoip.com中都提供了最新的版本,以避免读者找不到相应的工具。我们计划在本书的网站及相应博客中继续提供相关的研究和发现成果。
本书导读
与黑客大曝光丛书一致,本书内容的基本结构是各章所讨论的攻击手段和相应的对策。
——这个图标代表着一种攻击手段
这个图标表明渗透测试技术和工具,在这个图标后面是攻击方式的名称以及传统的风险评级表,这与黑客大曝光丛书完全一样。
流行度——表示在实际中,利用这种手段进行攻击的频率,这与简单度是密切相关的,“1”表示最少见,“10”表示最常见。
简单度——表示使用这种攻击手段所需要的技能,“10”表示运用广泛流传的工具就可实施,“1”表示需要编写特定的攻击工具,“5”左右的值表示可以获得相应的命令行工具,但是该工具难于应用,并且需要对目标网络及协议有详细的了解。
影响力——表示攻击成功后可能造成的损失的大小。取值在1~10之间, “1”表示仅能获取网络或设备的一些无关的信息,“10”表示能够获取目标的完全权限或者能够重定向、监听、篡改网络流量。
风险率——取值为前三个数值的平均值。
在书中的每一对策后面,我们会根据需要采用“注意”、“提示”和“警告”来强调具体细节以及相应的建议。
——这个图标代表着一种对策
书中在合适的地方,我们会根据不同VoIP平台提供不同类型的攻击防护对策。这些对策能够完全解决安全问题(如升级存在漏洞的软件或者采用更加安全的网络协议),或者暂时解决安全问题(如对设备进行再配置来关闭存在漏洞的服务、选项或者协议)。我们一直都推荐采用能够完全解决问题的方法,然而,我们确实发现,由于各种限制,这种方式不是每次都适用。在这种情形下,暂时的或者不完全的对策也强于不采取任何对策。一个不完全的对策仅仅能够起到减缓攻击者步伐的防护作用,并且这些不完全的对策可能被绕过。例如,一个标准的接入控制列表机制可能通过IP欺骗、中间人攻击或者会话劫持等方式绕过。
媒体评论回到顶部↑
秘密都被泄露出去了!本书描述的就是安全的禅宗,同样也是攻击VoIP系统以及确保其安全的艺术。David和Mark在著书的过程中一直怀着极大的热情,深入分析了如何保障互联网电话的安全。书中描述了大量具体的实例,应用了很多开源工具,其中有许多开源工具是由本书作者开发的。本书是当代通信工程与管理从业人员的必读之书。对于任何好学之人,本书都称得上是一本绝妙的好书,同时,本书也是我近几年推荐的书籍的首选。
——Jonathan Zar
Pingalo常务理事,VoIP安全联盟秘书、Outreach组主席
本书带你进入一段如何发起VoIP安全攻击的旅程,从制定计划到发起攻击,所有这一切都是从一个黑客的视角出发。本书洞悉VoIP安全问题,让读者可以从黑客的思维角度来测试其网络的安全性。在进行VoIP网络体系结构设计及部署之前,这绝对是一本必读之书。
——Brian Tolly
思博伦通信全球服务部客户服务经理
本书作者在解释企业应用VoIP系统时可能面临的安全风险方面,做出了极为卓越的工作。同样重要的是,书中还针对这些安全风险提出了可以实施的对策,使得企业将来可以安全地部署和实施VoIP系统。
——Gustavo de los Reyes
AT&T 技术顾问
当前,你所应用的VoIP系统的语音通信和电话会议并不像你认为的那样安全。本书展开介绍了远程恶意人员如何探测、监听并篡改那些提供VoIP服务的电话、语音交换机及网络设备。更重要的是,本书提供了降低或者消除部署VoIP系统面临的安全风险的解决方案。
——Ron Gula
Tenable网络技术总监,Nessus漏洞扫描器创始人
这确实是一本很危险的书!David和Mark不仅完完全全地描述了那些众所周知的以及那些很难但非常致命的VoIP安全攻击,还进一步为读者提供了一些易用的工具,以便读者可以实验这些攻击。如果你是一名安全专业人士,负责保护包括VoIP系统在内的基础网络,那么你就一定要阅读本书,否则,你的VoIP系统及其他网络系统就将处于危险的境地!
——Dan York
Blue Box:VoIP安全播客的创始人和主办人
——Jonathan Zar
Pingalo常务理事,VoIP安全联盟秘书、Outreach组主席
本书带你进入一段如何发起VoIP安全攻击的旅程,从制定计划到发起攻击,所有这一切都是从一个黑客的视角出发。本书洞悉VoIP安全问题,让读者可以从黑客的思维角度来测试其网络的安全性。在进行VoIP网络体系结构设计及部署之前,这绝对是一本必读之书。
——Brian Tolly
思博伦通信全球服务部客户服务经理
本书作者在解释企业应用VoIP系统时可能面临的安全风险方面,做出了极为卓越的工作。同样重要的是,书中还针对这些安全风险提出了可以实施的对策,使得企业将来可以安全地部署和实施VoIP系统。
——Gustavo de los Reyes
AT&T 技术顾问
当前,你所应用的VoIP系统的语音通信和电话会议并不像你认为的那样安全。本书展开介绍了远程恶意人员如何探测、监听并篡改那些提供VoIP服务的电话、语音交换机及网络设备。更重要的是,本书提供了降低或者消除部署VoIP系统面临的安全风险的解决方案。
——Ron Gula
Tenable网络技术总监,Nessus漏洞扫描器创始人
这确实是一本很危险的书!David和Mark不仅完完全全地描述了那些众所周知的以及那些很难但非常致命的VoIP安全攻击,还进一步为读者提供了一些易用的工具,以便读者可以实验这些攻击。如果你是一名安全专业人士,负责保护包括VoIP系统在内的基础网络,那么你就一定要阅读本书,否则,你的VoIP系统及其他网络系统就将处于危险的境地!
——Dan York
Blue Box:VoIP安全播客的创始人和主办人
【插图】
加载中...
