IMS中RTP脆弱性利用方法的研究與實(shí)現(xiàn)-

IMS中RTP脆弱性利用方法的研究與實(shí)現(xiàn)北京郵電大學(xué)網(wǎng)絡(luò)與交換國家重點(diǎn)實(shí)驗(yàn)室導(dǎo)師：蘇森教授答辯人：蔣帥2010年3月BUPT1/27Contents研究背景1RTP存在的脆弱性2IMS竊聽系統(tǒng)的設(shè)計實(shí)現(xiàn)3下一步工作42/27研究背景(1/3)：IMS基于IP的多媒體業(yè)務(wù)與會話控制核心網(wǎng)絡(luò)。同時支持固定和移動的多種接入方式，實(shí)現(xiàn)固定網(wǎng)與移動網(wǎng)的融合IMS3/27研究背景(2/3)：IMS安全I(xiàn)MS安全SIPDiameterRTP信令和會話控制認(rèn)證安全媒體會話Mecago...其他4/27研究背景(3/3)：RTPReal-timeTransportProtocol

(RTP)主要特征實(shí)時傳輸語音、圖像、傳真等多媒體數(shù)據(jù)一般建立在UDP上RTCP：完成流量控制、QoS反饋等功能RSVP：預(yù)留部分網(wǎng)絡(luò)資源實(shí)時傳輸協(xié)議（RTP）是一個Internet協(xié)議標(biāo)準(zhǔn)，它描述了程序管理多媒體數(shù)據(jù)實(shí)時傳輸?shù)姆绞?。RFC1889/35505/27Contents研究背景1RTP脆弱性研究2IMS竊聽系統(tǒng)的設(shè)計實(shí)現(xiàn)3下一步工作46/27RTP脆弱性研究(1/7)：概述1消息認(rèn)證2消息保密3安全架構(gòu)7/27RTP脆弱性研究(2/7)：消息認(rèn)證消息認(rèn)證

驗(yàn)證所收消息確實(shí)是來自真正的發(fā)送方

驗(yàn)證消息未被修改RFC3550第9.2節(jié)：

真實(shí)性和信息完整性沒有在RTP層定義，因?yàn)檫@些服務(wù)離不開密鑰管理體系?？梢云谕鎸?shí)性和信息完整性將由底層協(xié)議完成。8/27RTP脆弱性研究(3/7)：消息保密加密隨機(jī)數(shù)IMS的特點(diǎn)弱保密性加密算法時間敏感性不加密9/27弱的初始化向量默認(rèn):DES-CBC算法RTP脆弱性研究(4/7)：安全架構(gòu)RTP沒有定義一個完整的安全架構(gòu)：RFC3550第9.2節(jié)：

真實(shí)性和信息完整性沒有在RTP層定義，因?yàn)檫@些服務(wù)離不開密鑰管理體系?？梢云谕鎸?shí)性和信息完整性將由底層協(xié)議完成。與IPSec配合，實(shí)現(xiàn)加密和完整性保護(hù)RTP作為一個獨(dú)立的技術(shù)存在，底層協(xié)議安全技術(shù)的配合并不能解決所有的安全問題。X

IPSec不支持多播10/27RTP脆弱性研究(5/7)：脆弱性利用總結(jié)竊聽IMS的特點(diǎn)脆弱性利用SSRC沖突干擾會話SIP影響媒體流其他會話中斷剔除用戶替音播放DoS威脅Bye/Cancel語音釣魚重放威脅軟件漏洞11/27RTP脆弱性研究(6/7)：具體脆弱性利用SSRC沖突：源端發(fā)現(xiàn)沖突若一個源發(fā)現(xiàn)另外一個源使用與它相同的SSRC，就必須發(fā)送RTCPBYE包，再隨機(jī)選擇一個新的SSRC值會話中斷12/27RTP脆弱性研究(7/7)：具體脆弱性利用SSRC沖突：接收端發(fā)現(xiàn)沖突如果接收者發(fā)現(xiàn)有兩個源的SSRC頭域發(fā)生碰撞，則它會保持其中一個的包而丟棄來自于另一個的包剔除用戶13/27Contents研究背景1RTP存在的脆弱性2IMS竊聽系統(tǒng)的設(shè)計實(shí)現(xiàn)3下一步工作414/27竊聽系統(tǒng)的設(shè)計與實(shí)現(xiàn)（1/11）：概述竊聽竊聽是指通過截獲他人網(wǎng)絡(luò)上通信的數(shù)據(jù)流，并非法從中提取重要信息的一種方法。本文特指截獲RTP數(shù)據(jù)流，從中還原出音頻文件，非法獲取對方通信的語音信息嗅探過濾語音還原間接性隱蔽性15/27竊聽系統(tǒng)的設(shè)計與實(shí)現(xiàn)(2/11)：架構(gòu)16/27竊聽系統(tǒng)的設(shè)計與實(shí)現(xiàn)(3/11)：嗅探嗅探嗅探是指捕獲網(wǎng)絡(luò)中傳輸?shù)牟粚儆诒緳C(jī)的數(shù)據(jù)包，以達(dá)到信息監(jiān)管、數(shù)據(jù)竊取的目的。廣域網(wǎng)嗅探嗅探者與被嗅探者不處于同一局域網(wǎng)中局域網(wǎng)嗅探嗅探者與被嗅探者處于同一局域網(wǎng)中數(shù)據(jù)路由路徑與嗅探者無關(guān)

廣播式局域網(wǎng)

交換式局域網(wǎng)17/27竊聽系統(tǒng)的設(shè)計與實(shí)現(xiàn)(4/11)：嗅探廣播式局域網(wǎng)：Hub、WLAN嗅探方法：網(wǎng)卡設(shè)置混雜模式：基本不影響其他網(wǎng)元和網(wǎng)絡(luò)流量，因此具有極強(qiáng)的隱蔽性。18/27竊聽系統(tǒng)的設(shè)計與實(shí)現(xiàn)(5/11)：嗅探交換式局域網(wǎng):交換機(jī)，路由器嗅探方法：身份偽裝：“中間人”端口鏡像功能19/27竊聽系統(tǒng)的設(shè)計與實(shí)現(xiàn)(6/11)：嗅探廣播式局域網(wǎng)<label>Winpcap：為上層應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的編程接口pcap_lookupdev()pcap_lookupnet()pcap_open_live()PacketSetHwFilterpcap_complile()pcap_setfilter()pcap_loop()pcap_close()20/27竊聽系統(tǒng)的設(shè)計與實(shí)現(xiàn)(7/11)：過濾過濾選擇保存竊聽者認(rèn)為有效的RTP數(shù)據(jù)包，丟棄其他數(shù)據(jù)包，供語音還原模塊生成語音21/27竊聽系統(tǒng)的設(shè)計與實(shí)現(xiàn)(8/11)：過濾RTP流識別：對于一個UDP的數(shù)據(jù)包來說，沒有一個特殊標(biāo)志位能夠指示該UDP消息的載荷是RTP消息RTP流特征22/27竊聽系統(tǒng)的設(shè)計與實(shí)現(xiàn)(9/11)：過濾23/27竊聽系統(tǒng)的設(shè)計與實(shí)現(xiàn)(10/11)：語音還原語音還原語音還原模塊處理過濾得到的媒體數(shù)據(jù)，通過此模塊還原為語音文件解密重排序編碼轉(zhuǎn)換保存本文不涉及序列號（SN）：以1遞增時間戳（TS）：抽樣時間遞增利用RTP開發(fā)庫文件提供的API直接進(jìn)行編碼轉(zhuǎn)換采用winmm.dll動態(tài)鏈接庫提供的接口，保存為WAV文件24/27竊聽系統(tǒng)的設(shè)計與實(shí)現(xiàn)(11/11)：系統(tǒng)測試25/27Contents研究背景1RTP脆弱性研究2IMS竊聽系統(tǒng)的設(shè)計實(shí)現(xiàn)3下一步工作426/27下一步工作(1/1)結(jié)合IMS中的竊聽系統(tǒng)的分析研究、設(shè)計與實(shí)現(xiàn)，考慮在各種接入網(wǎng)絡(luò)環(huán)境的IMS中如何能及時探測到竊聽的存在，并如何防御非法竊聽。如何防御非法竊聽進(jìn)一步深化研究各個RTP脆弱性利用方法，并對有條件的利用方法進(jìn)行設(shè)