由于IP網(wǎng)絡的靈活性、開放性，VoIP所帶來的巨大利潤空間以及國家監(jiān)管力度的問題，某些不法人員正開展地下IP電話，俗稱“信息走私”。他們利用電信運營商的基礎網(wǎng)絡經(jīng)營IP電話業(yè)務，構(gòu)成不正當競爭；分流了電信運營商長途電話的業(yè)務收入，擾亂了市場秩序。對于用戶來說，已經(jīng)由“想省錢，用IP”發(fā)展成“想更省錢，就用地下IP”，雖然其有可能并不具備良好的服務質(zhì)量。
　　那么是否有辦法來發(fā)現(xiàn)并制止這些非法VoIP運營現(xiàn)象的存在呢？
二、非法VoIP檢測的實現(xiàn)
　　1.檢測及分析
　　我們主要采集H.323、MGCP、SIP三類協(xié)議的VoIP，分別在主叫、被叫兩個方向進行，同一時間段內(nèi)將會有多條采集記錄。圖1是多個VoIP連接的簡略圖，忽略了IP電話網(wǎng)關和傳統(tǒng)程控交換網(wǎng)之間的連接。
　　Gateway1、Gateway2代表IP電話網(wǎng)關，它們位于不同的地點，一般是不同的城市甚至國家。我們假設Gateway1代表本地的媒體網(wǎng)關，也是我們需要采集數(shù)據(jù)的關注點，是需要檢測的網(wǎng)關。
　　假設user1用戶撥打VoIP進行呼叫userA，Gateway1會向Gateway2發(fā)起VoIP連接請求，我們會記錄下這條數(shù)據(jù)，這就是主叫方向的記錄。源IP就是Gateway1的IP，目的IP就是Gateway2的IP。而同一時間內(nèi)可能user2也在呼叫userB，user3也在呼叫userC，因此會有多條采集記錄，雖然他們的源IP和目的IP都相同。
　　假設userA從外地撥打VoIP呼叫user1，從Gateway2過來的連接請求，Gateway1需要應答，我們會記錄下這條應答，這就是被叫方向的記錄。源IP還是gateway1的IP，目的IP還是gateway2的IP。而同一時間內(nèi)可能userB也在呼叫user2，userC也在呼叫user3，因此會有多條采集記錄，雖然他們的源IP和目的IP都相同。
　　檢測是否有用戶在使用基于H.233、SIP、MGCP的VoIP或者提供基于H.323、MGCP、SIP的VoIP服務的檢測步驟如下：
　　(1)數(shù)據(jù)采集，通過某種方式將流經(jīng)電信寬帶網(wǎng)上的源端口號和目的端口號分別為1718、1719、1720、5060、2427、2727的數(shù)據(jù)包采集下來, 即包括主叫、被叫兩個方向的記錄。采集的主要內(nèi)容有源IP、目的IP、源端口、目的端口、用戶注冊名稱、會話標志、會話發(fā)生時間；
　　(2)數(shù)據(jù)上傳，將數(shù)據(jù)上傳到后臺分析系統(tǒng)；
　　(3)數(shù)據(jù)入庫，將數(shù)據(jù)文件存入到數(shù)據(jù)庫中；
　　(4)數(shù)據(jù)分析，對數(shù)據(jù)庫中的數(shù)據(jù)進行統(tǒng)計分析，結(jié)合事先設計好的一些設定，得到非法VoIP的可疑名單；
　　(5)統(tǒng)計分析，根據(jù)分析出的可疑名單，給出IP電話呼叫詳單以及其他相關的統(tǒng)計分析報表。
　　詳細的分析舉例如下：
　　(1)統(tǒng)計某一個源IP在某一時間段內(nèi)作為被叫方的會話次數(shù)，假設值為A；
　　(2)統(tǒng)計某一個源IP在某一時間段內(nèi)作為主叫方的會話次數(shù)，假設值為B；
　　(3)統(tǒng)計某一個目的IP在某一時間段內(nèi)作為被叫方的會話次數(shù)，假設值為C；
　　(4)統(tǒng)計某一個目的IP在某一時間段內(nèi)作為主叫方的會話次數(shù)，假設值為D；
　　(5)假設有三個預設的判斷閥值，分別為被叫次數(shù)閥值H1、主叫次數(shù)閥值H2、主被叫閥值H3。
　　則根據(jù)如上統(tǒng)計值，非法VoIP的可疑名單為：

主叫、被叫話務量最大的用戶；

　　檢測并分析到非法的VoIP電話網(wǎng)關后，對于本網(wǎng)用戶所架設的IP電話網(wǎng)關，我們可以與公安部門取得聯(lián)系，進行上門查封。但由于人力、物力有限，是否可采用其他方式呢？如直接對其進行網(wǎng)絡層次上的封堵，然后再執(zhí)行相關行政手段呢？另外檢測到的大部分IP電話網(wǎng)關不屬于本網(wǎng)用戶，如其他運營商、其他國家，是否可以對其進行控制以及如何控制呢？
　　在這里，我們提出了多層次封堵的思路。
　　(1)對于網(wǎng)內(nèi)的IP電話網(wǎng)關來說，我們定位到該用戶，可對其實施警告，采用向其推送HTML警告頁面或在其進行一個VoIP呼叫過程中，將一段已經(jīng)錄制好的示警語音信息播放給用戶。
　　(2)警告后，如果在下一個時間周期內(nèi)，用戶仍繼續(xù)其非法行為，則降低對其的服務質(zhì)量，實施干擾，即用戶的請求將被按比例丟棄，其VoIP的IP連接將得不到保障。
　　(3)干擾后，對頑固用戶最終實施封堵，其所有網(wǎng)絡請求都將被丟棄，無法成功連接。
　　(4)對位于其他運營商、其他城市、其他國家的IP電話網(wǎng)關，我們無法直接對其進行控制，但可考慮限制網(wǎng)內(nèi)用戶對其發(fā)起的連接請求，間接的阻止其正常服務的提供。
　　3.非法VoIP檢測的意義所在
　　VoIP作為中國電信運營商未來的一項重要的基礎通信業(yè)務，其收入占電信運營商總體收入的重要性正在逐步提高。而非法VoIP的存在，給電信運營商造成了巨大的經(jīng)濟損失。
　　根據(jù)某運營商的某個地市分公司在最近的一次檢測行動中得到的數(shù)據(jù)，在持續(xù)4天的檢測時間內(nèi)，僅在該市的某網(wǎng)絡節(jié)點上所采集到的非法VoIP呼叫次數(shù)即接近30000個，話務量達到150000m。按此推測，該分公司全市一年所損失的VoIP收入可達2億人民幣。
　　從上面可看出，由非法VoIP給電信運營商所造成的損失是很大的。而且不僅僅是經(jīng)濟方面，給社會也帶來了一定程度的安全危害，如境外反動組織通過VoIP方式撥打用戶電話，向用戶宣揚其反動宣言，造成了不好的影響。
　　三、需關注的其他問題
　　我們知道，目前存在的非法VoIP運營者可能會修改其正常的協(xié)議工作端口，如H.323原本應工作在1718、1719、1720端口，修改后可能變?yōu)?718、2719、2720，這樣我們就無法采集到這部分數(shù)據(jù)。這也就給我們提出了這樣一個問題：對于采用非標準端口進行VoIP業(yè)務的檢測如何實現(xiàn)？
　　我們認為，對于采用了非標準端口的VoIP系統(tǒng)，可以把其所有端口的數(shù)據(jù)都采集下來，然后再同已知的VoIP進行數(shù)據(jù)包比對，最后定然可分析出用戶的VoIP通話清單。但所有數(shù)據(jù)包的完全比對，是不現(xiàn)實的，最好建立1套智能協(xié)議分析系統(tǒng)，即分析比對需要具備一定的策略，以降低系統(tǒng)整體投入。
　　采用非標準端口的VoIP系統(tǒng)無非是加大了數(shù)據(jù)采集、分析的工作量以及額外的系統(tǒng)開發(fā)。而所有非法VoIP系統(tǒng)采用的基礎通信協(xié)議是不變的，正所謂“萬變不離其宗”！

香港商報