IMS中RTP脆弱性利用方法的研究与实现-

IMS中RTP脆弱性利用方法的研究与实现北京邮电大学网络与交换国家重点实验室导师：苏森教授答辩人：蒋帅2010年3月BUPT1/27Contents研究背景1RTP存在的脆弱性2IMS窃听系统的设计实现3下一步工作42/27研究背景(1/3)：IMS基于IP的多媒体业务与会话控制核心网络。同时支持固定和移动的多种接入方式，实现固定网与移动网的融合IMS3/27研究背景(2/3)：IMS安全IMS安全SIPDiameterRTP信令和会话控制认证安全媒体会话Mecago...其他4/27研究背景(3/3)：RTPReal-timeTransportProtocol

(RTP)主要特征实时传输语音、图像、传真等多媒体数据一般建立在UDP上RTCP：完成流量控制、QoS反馈等功能RSVP：预留部分网络资源实时传输协议（RTP）是一个Internet协议标准，它描述了程序管理多媒体数据实时传输的方式。RFC1889/35505/27Contents研究背景1RTP脆弱性研究2IMS窃听系统的设计实现3下一步工作46/27RTP脆弱性研究(1/7)：概述1消息认证2消息保密3安全架构7/27RTP脆弱性研究(2/7)：消息认证消息认证

验证所收消息确实是来自真正的发送方

验证消息未被修改RFC3550第9.2节：

真实性和信息完整性没有在RTP层定义，因为这些服务离不开密钥管理体系。可以期望真实性和信息完整性将由底层协议完成。8/27RTP脆弱性研究(3/7)：消息保密加密随机数IMS的特点弱保密性加密算法时间敏感性不加密9/27弱的初始化向量默认:DES-CBC算法RTP脆弱性研究(4/7)：安全架构RTP没有定义一个完整的安全架构：RFC3550第9.2节：

真实性和信息完整性没有在RTP层定义，因为这些服务离不开密钥管理体系。可以期望真实性和信息完整性将由底层协议完成。与IPSec配合，实现加密和完整性保护RTP作为一个独立的技术存在，底层协议安全技术的配合并不能解决所有的安全问题。X

IPSec不支持多播10/27RTP脆弱性研究(5/7)：脆弱性利用总结窃听IMS的特点脆弱性利用SSRC冲突干扰会话SIP影响媒体流其他会话中断剔除用户替音播放DoS威胁Bye/Cancel语音钓鱼重放威胁软件漏洞11/27RTP脆弱性研究(6/7)：具体脆弱性利用SSRC冲突：源端发现冲突若一个源发现另外一个源使用与它相同的SSRC，就必须发送RTCPBYE包，再随机选择一个新的SSRC值会话中断12/27RTP脆弱性研究(7/7)：具体脆弱性利用SSRC冲突：接收端发现冲突如果接收者发现有两个源的SSRC头域发生碰撞，则它会保持其中一个的包而丢弃来自于另一个的包剔除用户13/27Contents研究背景1RTP存在的脆弱性2IMS窃听系统的设计实现3下一步工作414/27窃听系统的设计与实现（1/11）：概述窃听窃听是指通过截获他人网络上通信的数据流，并非法从中提取重要信息的一种方法。本文特指截获RTP数据流，从中还原出音频文件，非法获取对方通信的语音信息嗅探过滤语音还原间接性隐蔽性15/27窃听系统的设计与实现(2/11)：架构16/27窃听系统的设计与实现(3/11)：嗅探嗅探嗅探是指捕获网络中传输的不属于本机的数据包，以达到信息监管、数据窃取的目的。广域网嗅探嗅探者与被嗅探者不处于同一局域网中局域网嗅探嗅探者与被嗅探者处于同一局域网中数据路由路径与嗅探者无关

广播式局域网

交换式局域网17/27窃听系统的设计与实现(4/11)：嗅探广播式局域网：Hub、WLAN嗅探方法：网卡设置混杂模式：基本不影响其他网元和网络流量，因此具有极强的隐蔽性。18/27窃听系统的设计与实现(5/11)：嗅探交换式局域网:交换机，路由器嗅探方法：身份伪装：“中间人”端口镜像功能19/27窃听系统的设计与实现(6/11)：嗅探广播式局域网<label>Winpcap：为上层应用程序提供访问网络底层的编程接口pcap_lookupdev()pcap_lookupnet()pcap_open_live()PacketSetHwFilterpcap_complile()pcap_setfilter()pcap_loop()pcap_close()20/27窃听系统的设计与实现(7/11)：过滤过滤选择保存窃听者认为有效的RTP数据包，丢弃其他数据包，供语音还原模块生成语音21/27窃听系统的设计与实现(8/11)：过滤RTP流识别：对于一个UDP的数据包来说，没有一个特殊标志位能够指示该UDP消息的载荷是RTP消息RTP流特征22/27窃听系统的设计与实现(9/11)：过滤23/27窃听系统的设计与实现(10/11)：语音还原语音还原语音还原模块处理过滤得到的媒体数据，通过此模块还原为语音文件解密重排序编码转换保存本文不涉及序列号（SN）：以1递增时间戳（TS）：抽样时间递增利用RTP开发库文件提供的API直接进行编码转换采用winmm.dll动态链接库提供的接口，保存为WAV文件24/27窃听系统的设计与实现(11/11)：系统测试25/27Contents研究背景1RTP脆弱性研究2IMS窃听系统的设计实现3下一步工作426/27下一步工作(1/1)结合IMS中的窃听系统的分析研究、设计与实现，考虑在各种接入网络环境的IMS中如何能及时探测到窃听的存在，并如何防御非法窃听。如何防御非法窃听进一步深化研究各个RTP脆弱性利用方法，并对有条件的利用方法进行设