IMS中RTP脆弱性利用方法的研究及实现_

1、LOGOIMS中RTP脆弱性利用方法的研究与实现北京邮电大学北京邮电大学 网络与交换国家重点实验室网络与交换国家重点实验室导师： 苏森 教授答辩人：蒋帅2010年3月BUPT1/27LOGOBUPTBUPTContents研究背景研究背景1RTP存在的脆弱性存在的脆弱性2IMS窃听系统的设计实现窃听系统的设计实现3下一步工作下一步工作42/27LOGOBUPTBUPT研究背景(1/3)：IMS基于IP的多媒体业务与会话控制核心网络。同时支持固定和移动的多种接入方式，实现固定网与移动网的融合IMS3/27LOGOBUPTBUPT研究背景(2/3)：IMS安全信令和会话控制信令和会话控制认证安全认

2、证安全媒体会话媒体会话其他其他4/27LOGOBUPTBUPT研究背景(3/3)：RTPvReal-time Transport Protocol (RTP)v主要特征 实时传输语音、图像、传真等多媒体数据 一般建立在UDP上 RTCP：完成流量控制、QoS反馈等功能 RSVP：预留部分网络资源实时传输协议（RTP）是一个Internet协议标准，它描述了程序管理多媒体数据实时传输的方式。 RFC 1889/35505/27LOGOBUPTBUPTContents研究背景研究背景1RTP脆弱性研究脆弱性研究2IMS窃听系统的设计实现窃听系统的设计实现3下一步工作下一步工作46/27LOGOBU

3、PTBUPTRTP脆弱性研究(1/7)：概述1消息认证2消息保密3安全架构7/27LOGOBUPTBUPTRTP脆弱性研究(2/7)：消息认证v消息认证目的端D源端S中间节点M伪装源端S真实信息真实信息1. 非真实信息2 2. . 篡改信息篡改信息 验证所收消息确实是来自真正的发送方 验证消息未被修改RFC3550 第第9.2节：节： 真实性和信息完整性没有在RTP层定义，因为这些服务离不开密钥管理体系。可以期望真实性和信息完整性将由底层协议完成。8/27LOGOBUPTBUPTRTP脆弱性研究(3/7)：消息保密加密随机数IMS的特点加密算法时间敏感性不加密9/27弱的初始化向量默认:DES

4、-CBC算法LOGOBUPTBUPTRTP脆弱性研究(4/7)：安全架构vRTP没有定义一个完整的安全架构：RFC3550 第第9.2节：节： 真实性和信息完整性没有在RTP层定义，因为这些服务离不开密钥管理体系。可以期望真实性和信息完整性将由底层协议完成。与IPSec配合，实现加密和完整性保护RTP作为一个独立的技术存在，底层协议安全技术的配合并不能解决所有的安全问题。X IPSec不支持多播10/27LOGOBUPTBUPTRTP脆弱性研究(5/7)：脆弱性利用总结窃听IMS的特点SSRC冲突干扰会话SIP影响媒体流其他会话中断剔除用户替音播放DoS威胁Bye/Cancel语音钓鱼重放威胁

5、软件漏洞11/27LOGOBUPTBUPTRTP脆弱性研究(6/7)：具体脆弱性利用vSSRC冲突：源端发现冲突 若一个源发现另外一个源使用与它相同的SSRC，就必须发送RTCP BYE包，再随机选择一个新的SSRC值 目的端目的端DRTP源端源端S2源端源端S1RTP发现发现SSRC冲突冲突RTCP BYENew RTP新新SSRC值值RTP旧旧SSRC值值会话中断12/27LOGOBUPTBUPTRTP脆弱性研究(7/7)：具体脆弱性利用vSSRC冲突：接收端发现冲突 如果接收者发现有两个源的SSRC头域发生碰撞，则它会保持其中一个的包而丢弃来自于另一个的包 目的端目的端DRTP源端源端S

6、2源端源端S1RTP发现发现SSRC冲突冲突RTPRTP剔除用户13/27LOGOBUPTBUPTContents研究背景研究背景1RTP存在的脆弱性存在的脆弱性2IMS窃听系统的设计实现窃听系统的设计实现3下一步工作下一步工作414/27LOGOBUPTBUPT窃听系统的设计与实现（1/11）：概述v窃听窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法。本文特指截获RTP数据流，从中还原出音频文件，非法获取对方通信的语音信息嗅探过滤语音还原间接性隐蔽性15/27LOGOBUPTBUPT窃听系统的设计与实现(2/11)：架构16/27LOGOBUPTBUPT窃听系统的设

7、计与实现(3/11) ：嗅探v嗅探嗅探是指捕获网络中传输的不属于本机的数据包，以达到信息监管、数据窃取的目的。广域网嗅探嗅探者与被嗅探者不处于同一局域网中局域网嗅探嗅探者与被嗅探者处于同一局域网中数据路由路径与嗅探者无关 u 广播式局域网u 交换式局域网17/27LOGOBUPTBUPT窃听系统的设计与实现(4/11) ：嗅探v广播式局域网：Hub、WLAN嗅探方法：网卡设置混杂模式：基本不影响其他网元和网络流量，因此具有极强的隐蔽性。18/27LOGOBUPTBUPT窃听系统的设计与实现(5/11) ：嗅探v交换式局域网: 交换机，路由器嗅探方法：u身份伪装：“中间人”u端口镜像功能19/2

8、7LOGOBUPTBUPT窃听系统的设计与实现(6/11) ：嗅探v广播式局域网简单过滤规则网卡设备保存堆文件分分组组数数据据流流Winpcap：为上层应用程序提供访问网络底层的编程接口pcap_lookupdev()pcap_lookupnet()pcap_open_live()PacketSetHwFilterpcap_complile()pcap_setfilter()pcap_loop()pcap_close()20/27LOGOBUPTBUPT窃听系统的设计与实现(7/11)：过滤v过滤选择保存窃听者认为有效的RTP数据包，丢弃其他数据包，供语音还原模块生成语音21/27LOGOBU

9、PTBUPT窃听系统的设计与实现(8/11)：过滤vRTP流识别：对于一个UDP的数据包来说，没有一个特殊标志位能够指示该UDP消息的载荷是RTP消息RTP流特征22/27LOGOBUPTBUPT窃听系统的设计与实现(9/11)：过滤23/27LOGOBUPTBUPT窃听系统的设计与实现(10/11)：语音还原语音还原语音还原模块处理过滤得到的媒体数据，通过此模块还原为语音文件解密重排序编码转换保存u本文不涉及u序列号（SN）：以1递增u时间戳（TS）：抽样时间递增u利用RTP开发库文件提供的API直接进行编码转换u采用winmm.dll动态链接库提供的接口，保存为WAV文件24/27LOGOBUPTBUPT窃听系统的设计与实现(11/11)：系统测试25/27LOGOBUPTBUPTContents研究背景研究背景1RTP脆弱性研究脆弱性研究2IMS窃听系统的设计实现窃听系统的设计实现3下一步工作下一步工作426/27LOGOBUPTBUPT下一步工作(1/1)结合IMS中的窃听系统的分析研究、设计与实现，考虑在各种接入网络环境的IMS中如何能及时探测到窃听的存在，并如何防御非法窃听。如何防御非法