IMS中RTP脆弱性利用方法的研究與實(shí)現(xiàn)-

IMS中RTP脆弱性利用方法的研究與實(shí)現(xiàn)北京郵電大學(xué)網(wǎng)絡(luò)與交換國(guó)家重點(diǎn)實(shí)驗(yàn)室導(dǎo)師：蘇森教授答辯人：蔣帥2010年3月BUPT1/27Contents研究背景1RTP存在的脆弱性2IMS竊聽(tīng)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)3下一步工作42/27研究背景(1/3)：IMS基于IP的多媒體業(yè)務(wù)與會(huì)話控制核心網(wǎng)絡(luò)。同時(shí)支持固定和移動(dòng)的多種接入方式，實(shí)現(xiàn)固定網(wǎng)與移動(dòng)網(wǎng)的融合IMS3/27研究背景(2/3)：IMS安全I(xiàn)MS安全SIPDiameterRTP信令和會(huì)話控制認(rèn)證安全媒體會(huì)話Mecago...其他4/27研究背景(3/3)：RTPReal-timeTransportProtocol

(RTP)主要特征實(shí)時(shí)傳輸語(yǔ)音、圖像、傳真等多媒體數(shù)據(jù)一般建立在UDP上RTCP：完成流量控制、QoS反饋等功能RSVP：預(yù)留部分網(wǎng)絡(luò)資源實(shí)時(shí)傳輸協(xié)議（RTP）是一個(gè)Internet協(xié)議標(biāo)準(zhǔn)，它描述了程序管理多媒體數(shù)據(jù)實(shí)時(shí)傳輸?shù)姆绞?。RFC1889/35505/27Contents研究背景1RTP脆弱性研究2IMS竊聽(tīng)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)3下一步工作46/27RTP脆弱性研究(1/7)：概述1消息認(rèn)證2消息保密3安全架構(gòu)7/27RTP脆弱性研究(2/7)：消息認(rèn)證消息認(rèn)證

驗(yàn)證所收消息確實(shí)是來(lái)自真正的發(fā)送方

驗(yàn)證消息未被修改RFC3550第9.2節(jié)：

真實(shí)性和信息完整性沒(méi)有在RTP層定義，因?yàn)檫@些服務(wù)離不開(kāi)密鑰管理體系?？梢云谕鎸?shí)性和信息完整性將由底層協(xié)議完成。8/27RTP脆弱性研究(3/7)：消息保密加密隨機(jī)數(shù)IMS的特點(diǎn)弱保密性加密算法時(shí)間敏感性不加密9/27弱的初始化向量默認(rèn):DES-CBC算法RTP脆弱性研究(4/7)：安全架構(gòu)RTP沒(méi)有定義一個(gè)完整的安全架構(gòu)：RFC3550第9.2節(jié)：

真實(shí)性和信息完整性沒(méi)有在RTP層定義，因?yàn)檫@些服務(wù)離不開(kāi)密鑰管理體系?？梢云谕鎸?shí)性和信息完整性將由底層協(xié)議完成。與IPSec配合，實(shí)現(xiàn)加密和完整性保護(hù)RTP作為一個(gè)獨(dú)立的技術(shù)存在，底層協(xié)議安全技術(shù)的配合并不能解決所有的安全問(wèn)題。X

IPSec不支持多播10/27RTP脆弱性研究(5/7)：脆弱性利用總結(jié)竊聽(tīng)I(yíng)MS的特點(diǎn)脆弱性利用SSRC沖突干擾會(huì)話SIP影響媒體流其他會(huì)話中斷剔除用戶替音播放DoS威脅Bye/Cancel語(yǔ)音釣魚(yú)重放威脅軟件漏洞11/27RTP脆弱性研究(6/7)：具體脆弱性利用SSRC沖突：源端發(fā)現(xiàn)沖突若一個(gè)源發(fā)現(xiàn)另外一個(gè)源使用與它相同的SSRC，就必須發(fā)送RTCPBYE包，再隨機(jī)選擇一個(gè)新的SSRC值會(huì)話中斷12/27RTP脆弱性研究(7/7)：具體脆弱性利用SSRC沖突：接收端發(fā)現(xiàn)沖突如果接收者發(fā)現(xiàn)有兩個(gè)源的SSRC頭域發(fā)生碰撞，則它會(huì)保持其中一個(gè)的包而丟棄來(lái)自于另一個(gè)的包剔除用戶13/27Contents研究背景1RTP存在的脆弱性2IMS竊聽(tīng)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)3下一步工作414/27竊聽(tīng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)（1/11）：概述竊聽(tīng)竊聽(tīng)是指通過(guò)截獲他人網(wǎng)絡(luò)上通信的數(shù)據(jù)流，并非法從中提取重要信息的一種方法。本文特指截獲RTP數(shù)據(jù)流，從中還原出音頻文件，非法獲取對(duì)方通信的語(yǔ)音信息嗅探過(guò)濾語(yǔ)音還原間接性隱蔽性15/27竊聽(tīng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)(2/11)：架構(gòu)16/27竊聽(tīng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)(3/11)：嗅探嗅探嗅探是指捕獲網(wǎng)絡(luò)中傳輸?shù)牟粚儆诒緳C(jī)的數(shù)據(jù)包，以達(dá)到信息監(jiān)管、數(shù)據(jù)竊取的目的。廣域網(wǎng)嗅探嗅探者與被嗅探者不處于同一局域網(wǎng)中局域網(wǎng)嗅探嗅探者與被嗅探者處于同一局域網(wǎng)中數(shù)據(jù)路由路徑與嗅探者無(wú)關(guān)

廣播式局域網(wǎng)

交換式局域網(wǎng)17/27竊聽(tīng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)(4/11)：嗅探廣播式局域網(wǎng)：Hub、WLAN嗅探方法：網(wǎng)卡設(shè)置混雜模式：基本不影響其他網(wǎng)元和網(wǎng)絡(luò)流量，因此具有極強(qiáng)的隱蔽性。18/27竊聽(tīng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)(5/11)：嗅探交換式局域網(wǎng):交換機(jī)，路由器嗅探方法：身份偽裝：“中間人”端口鏡像功能19/27竊聽(tīng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)(6/11)：嗅探廣播式局域網(wǎng)<label>Winpcap：為上層應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的編程接口pcap_lookupdev()pcap_lookupnet()pcap_open_live()PacketSetHwFilterpcap_complile()pcap_setfilter()pcap_loop()pcap_close()20/27竊聽(tīng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)(7/11)：過(guò)濾過(guò)濾選擇保存竊聽(tīng)者認(rèn)為有效的RTP數(shù)據(jù)包，丟棄其他數(shù)據(jù)包，供語(yǔ)音還原模塊生成語(yǔ)音21/27竊聽(tīng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)(8/11)：過(guò)濾RTP流識(shí)別：對(duì)于一個(gè)UDP的數(shù)據(jù)包來(lái)說(shuō)，沒(méi)有一個(gè)特殊標(biāo)志位能夠指示該UDP消息的載荷是RTP消息RTP流特征22/27竊聽(tīng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)(9/11)：過(guò)濾23/27竊聽(tīng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)(10/11)：語(yǔ)音還原語(yǔ)音還原語(yǔ)音還原模塊處理過(guò)濾得到的媒體數(shù)據(jù)，通過(guò)此模塊還原為語(yǔ)音文件解密重排序編碼轉(zhuǎn)換保存本文不涉及序列號(hào)（SN）：以1遞增時(shí)間戳（TS）：抽樣時(shí)間遞增利用RTP開(kāi)發(fā)庫(kù)文件提供的API直接進(jìn)行編碼轉(zhuǎn)換采用winmm.dll動(dòng)態(tài)鏈接庫(kù)提供的接口，保存為WAV文件24/27竊聽(tīng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)(11/11)：系統(tǒng)測(cè)試25/27Contents研究背景1RTP脆弱性研究2IMS竊聽(tīng)系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)3下一步工作426/27下一步工作(1/1)結(jié)合IMS中的竊聽(tīng)系統(tǒng)的分析研究、設(shè)計(jì)與實(shí)現(xiàn)，考慮在各種接入網(wǎng)絡(luò)環(huán)境的IMS中如何能及時(shí)探測(cè)到竊聽(tīng)的存在，并如何防御非法竊聽(tīng)。如何防御非法竊聽(tīng)進(jìn)一步深化研究各個(gè)RTP脆弱性利用方法，并對(duì)有條件的利用方法進(jìn)行設(shè)