IMS中RTP脆弱性利用方法的研究及實現(xiàn)_

1、LOGOIMS中RTP脆弱性利用方法的研究與實現(xiàn)北京郵電大學北京郵電大學 網(wǎng)絡與交換國家重點實驗室網(wǎng)絡與交換國家重點實驗室導師： 蘇森 教授答辯人：蔣帥2010年3月BUPT1/27LOGOBUPTBUPTContents研究背景研究背景1RTP存在的脆弱性存在的脆弱性2IMS竊聽系統(tǒng)的設計實現(xiàn)竊聽系統(tǒng)的設計實現(xiàn)3下一步工作下一步工作42/27LOGOBUPTBUPT研究背景(1/3)：IMS基于IP的多媒體業(yè)務與會話控制核心網(wǎng)絡。同時支持固定和移動的多種接入方式，實現(xiàn)固定網(wǎng)與移動網(wǎng)的融合IMS3/27LOGOBUPTBUPT研究背景(2/3)：IMS安全信令和會話控制信令和會話控制認證安全認

2、證安全媒體會話媒體會話其他其他4/27LOGOBUPTBUPT研究背景(3/3)：RTPvReal-time Transport Protocol (RTP)v主要特征 實時傳輸語音、圖像、傳真等多媒體數(shù)據(jù) 一般建立在UDP上 RTCP：完成流量控制、QoS反饋等功能 RSVP：預留部分網(wǎng)絡資源實時傳輸協(xié)議（RTP）是一個Internet協(xié)議標準，它描述了程序管理多媒體數(shù)據(jù)實時傳輸?shù)姆绞健?RFC 1889/35505/27LOGOBUPTBUPTContents研究背景研究背景1RTP脆弱性研究脆弱性研究2IMS竊聽系統(tǒng)的設計實現(xiàn)竊聽系統(tǒng)的設計實現(xiàn)3下一步工作下一步工作46/27LOGOBU

3、PTBUPTRTP脆弱性研究(1/7)：概述1消息認證2消息保密3安全架構(gòu)7/27LOGOBUPTBUPTRTP脆弱性研究(2/7)：消息認證v消息認證目的端D源端S中間節(jié)點M偽裝源端S真實信息真實信息1. 非真實信息2 2. . 篡改信息篡改信息 驗證所收消息確實是來自真正的發(fā)送方 驗證消息未被修改RFC3550 第第9.2節(jié)：節(jié)： 真實性和信息完整性沒有在RTP層定義，因為這些服務離不開密鑰管理體系?？梢云谕鎸嵭院托畔⑼暾詫⒂傻讓訁f(xié)議完成。8/27LOGOBUPTBUPTRTP脆弱性研究(3/7)：消息保密加密隨機數(shù)IMS的特點加密算法時間敏感性不加密9/27弱的初始化向量默認:DES

4、-CBC算法LOGOBUPTBUPTRTP脆弱性研究(4/7)：安全架構(gòu)vRTP沒有定義一個完整的安全架構(gòu)：RFC3550 第第9.2節(jié)：節(jié)： 真實性和信息完整性沒有在RTP層定義，因為這些服務離不開密鑰管理體系。可以期望真實性和信息完整性將由底層協(xié)議完成。與IPSec配合，實現(xiàn)加密和完整性保護RTP作為一個獨立的技術(shù)存在，底層協(xié)議安全技術(shù)的配合并不能解決所有的安全問題。X IPSec不支持多播10/27LOGOBUPTBUPTRTP脆弱性研究(5/7)：脆弱性利用總結(jié)竊聽IMS的特點SSRC沖突干擾會話SIP影響媒體流其他會話中斷剔除用戶替音播放DoS威脅Bye/Cancel語音釣魚重放威脅

5、軟件漏洞11/27LOGOBUPTBUPTRTP脆弱性研究(6/7)：具體脆弱性利用vSSRC沖突：源端發(fā)現(xiàn)沖突 若一個源發(fā)現(xiàn)另外一個源使用與它相同的SSRC，就必須發(fā)送RTCP BYE包，再隨機選擇一個新的SSRC值 目的端目的端DRTP源端源端S2源端源端S1RTP發(fā)現(xiàn)發(fā)現(xiàn)SSRC沖突沖突RTCP BYENew RTP新新SSRC值值RTP舊舊SSRC值值會話中斷12/27LOGOBUPTBUPTRTP脆弱性研究(7/7)：具體脆弱性利用vSSRC沖突：接收端發(fā)現(xiàn)沖突 如果接收者發(fā)現(xiàn)有兩個源的SSRC頭域發(fā)生碰撞，則它會保持其中一個的包而丟棄來自于另一個的包 目的端目的端DRTP源端源端S

6、2源端源端S1RTP發(fā)現(xiàn)發(fā)現(xiàn)SSRC沖突沖突RTPRTP剔除用戶13/27LOGOBUPTBUPTContents研究背景研究背景1RTP存在的脆弱性存在的脆弱性2IMS竊聽系統(tǒng)的設計實現(xiàn)竊聽系統(tǒng)的設計實現(xiàn)3下一步工作下一步工作414/27LOGOBUPTBUPT竊聽系統(tǒng)的設計與實現(xiàn)（1/11）：概述v竊聽竊聽是指通過截獲他人網(wǎng)絡上通信的數(shù)據(jù)流，并非法從中提取重要信息的一種方法。本文特指截獲RTP數(shù)據(jù)流，從中還原出音頻文件，非法獲取對方通信的語音信息嗅探過濾語音還原間接性隱蔽性15/27LOGOBUPTBUPT竊聽系統(tǒng)的設計與實現(xiàn)(2/11)：架構(gòu)16/27LOGOBUPTBUPT竊聽系統(tǒng)的設

7、計與實現(xiàn)(3/11) ：嗅探v嗅探嗅探是指捕獲網(wǎng)絡中傳輸?shù)牟粚儆诒緳C的數(shù)據(jù)包，以達到信息監(jiān)管、數(shù)據(jù)竊取的目的。廣域網(wǎng)嗅探嗅探者與被嗅探者不處于同一局域網(wǎng)中局域網(wǎng)嗅探嗅探者與被嗅探者處于同一局域網(wǎng)中數(shù)據(jù)路由路徑與嗅探者無關(guān) u 廣播式局域網(wǎng)u 交換式局域網(wǎng)17/27LOGOBUPTBUPT竊聽系統(tǒng)的設計與實現(xiàn)(4/11) ：嗅探v廣播式局域網(wǎng)：Hub、WLAN嗅探方法：網(wǎng)卡設置混雜模式：基本不影響其他網(wǎng)元和網(wǎng)絡流量，因此具有極強的隱蔽性。18/27LOGOBUPTBUPT竊聽系統(tǒng)的設計與實現(xiàn)(5/11) ：嗅探v交換式局域網(wǎng): 交換機，路由器嗅探方法：u身份偽裝：“中間人”u端口鏡像功能19/2

8、7LOGOBUPTBUPT竊聽系統(tǒng)的設計與實現(xiàn)(6/11) ：嗅探v廣播式局域網(wǎng)簡單過濾規(guī)則網(wǎng)卡設備保存堆文件分分組組數(shù)數(shù)據(jù)據(jù)流流Winpcap：為上層應用程序提供訪問網(wǎng)絡底層的編程接口pcap_lookupdev()pcap_lookupnet()pcap_open_live()PacketSetHwFilterpcap_complile()pcap_setfilter()pcap_loop()pcap_close()20/27LOGOBUPTBUPT竊聽系統(tǒng)的設計與實現(xiàn)(7/11)：過濾v過濾選擇保存竊聽者認為有效的RTP數(shù)據(jù)包，丟棄其他數(shù)據(jù)包，供語音還原模塊生成語音21/27LOGOBU

9、PTBUPT竊聽系統(tǒng)的設計與實現(xiàn)(8/11)：過濾vRTP流識別：對于一個UDP的數(shù)據(jù)包來說，沒有一個特殊標志位能夠指示該UDP消息的載荷是RTP消息RTP流特征22/27LOGOBUPTBUPT竊聽系統(tǒng)的設計與實現(xiàn)(9/11)：過濾23/27LOGOBUPTBUPT竊聽系統(tǒng)的設計與實現(xiàn)(10/11)：語音還原語音還原語音還原模塊處理過濾得到的媒體數(shù)據(jù)，通過此模塊還原為語音文件解密重排序編碼轉(zhuǎn)換保存u本文不涉及u序列號（SN）：以1遞增u時間戳（TS）：抽樣時間遞增u利用RTP開發(fā)庫文件提供的API直接進行編碼轉(zhuǎn)換u采用winmm.dll動態(tài)鏈接庫提供的接口，保存為WAV文件24/27LOGOBUPTBUPT竊聽系統(tǒng)的設計與實現(xiàn)(11/11)：系統(tǒng)測試25/27LOGOBUPTBUPTContents研究背景研究背景1RTP脆弱性研究脆弱性研究2IMS竊聽系統(tǒng)的設計實現(xiàn)竊聽系統(tǒng)的設計實現(xiàn)3下一步工作下一步工作426/27LOGOBUPTBUPT下一步工作(1/1)結(jié)合IMS中的竊聽系統(tǒng)的分析研究、設計與實現(xiàn)，考慮在各種接入網(wǎng)絡環(huán)境的IMS中如何能及時探測到竊聽的存在，并如何防御非法竊聽。如何防御非法