周潔

（中國移動通信集團(tuán)天津有限公司，天津 300021）

隨著網(wǎng)絡(luò)革命時代的來臨，網(wǎng)絡(luò)安全已經(jīng)成為國家最關(guān)注的問題之一。工信部于2009年底和2010年初，分別印發(fā)了《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法(試行)》[1]和《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》[2]。后者明確提出：“通信網(wǎng)絡(luò)運(yùn)行單位應(yīng)當(dāng)建設(shè)和運(yùn)行通信網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，對本單位通信網(wǎng)絡(luò)的安全狀況進(jìn)行監(jiān)測”。而目前國內(nèi)外主流的安全監(jiān)測系統(tǒng)，例如IDS系統(tǒng)，并不是專門針對通信網(wǎng)而設(shè)計的。大部分安全產(chǎn)品廠商的安全監(jiān)測產(chǎn)品都屬于企業(yè)級產(chǎn)品，因?yàn)椴蛔R別GTP[3]協(xié)議和性能不足等原因，很難應(yīng)用在中國移動的GPRS[4]核心網(wǎng)之中。

1 GPRS業(yè)務(wù)安全現(xiàn)狀

GTP協(xié)議在GPRS階段被引入移動核心網(wǎng)絡(luò)，3G網(wǎng)絡(luò)中仍然使用。中國移動GPRS/TD-PS網(wǎng)絡(luò)的SGSN(Serving GPRS Support Node)、GGSN (Gateway GPRS Service Node)設(shè)備之間運(yùn)行GTP協(xié)議。

1.1 GTP原理簡介

具有IP地址的MN(Mobile Node)發(fā)出IP數(shù)據(jù)經(jīng)由BSS(Base Station Subsystem)傳輸?shù)絊GSN，SGSN利用GTP協(xié)議對該IP數(shù)據(jù)分組封裝，傳輸?shù)紾GSN后由GGSN解開GTP封裝，將原始IP數(shù)據(jù)分組發(fā)往外部網(wǎng)絡(luò)：收到外部網(wǎng)絡(luò)發(fā)來的數(shù)據(jù)分組后按與此相反的順序進(jìn)行操作，最終將數(shù)據(jù)傳輸?shù)組N。

GTP數(shù)據(jù)分組由GTP頭、擴(kuò)展頭和數(shù)據(jù)組成。GTP頭長度可變，最小8byte，分組頭中PN指明是否帶有N-PDU字段，S指明是否帶有序列號字段，E指明是否帶有擴(kuò)展字段，消息類型號指明GTP消息的類型，還有長度字段、擴(kuò)展頭字段、隧道端點(diǎn)標(biāo)識(TEID)。GTP頭中擴(kuò)展頭字段為1時，后面跟擴(kuò)展頭。否則根據(jù)消息類型字段的指示，開始消息字段。GTP消息分為控制面消息(GTP-C)和用戶面消息(GTP-U)。GTP消息類型號為0～255，分為路徑管理消息(類型號1～7)、隧道管理消息(類型號16～21、26～30)、位置管理消息(類型號32～37)、移動性管理消息(類型號48～60)等。消息類型號為255則表明是T-PDU，為用戶數(shù)據(jù)。GTP信息單元采用TLV(Type、Length、Value)或 TV(Type、Value)編碼格式。TLV格式類型字段最高有效位為1，TV格式最高有效位為0。在這255個類型中，也有保留未使用的信息單元類型。

圖1 GPRS協(xié)議棧示意

1.2 GPRS業(yè)務(wù)安全威脅

GTP協(xié)議是由UDP承載的，UDP比TCP少了3次握手的驗(yàn)證過程，由于GTP協(xié)議本身并不具備任何內(nèi)在的安全機(jī)制，不能保證它所承載數(shù)據(jù)的機(jī)密性、完整性等安全性質(zhì)。因此，GPRS網(wǎng)絡(luò)存在嚴(yán)重的安全威脅，尤其是PS核心網(wǎng)的內(nèi)外部威脅[5]、GTP協(xié)議的脆弱性、以及相關(guān)系統(tǒng)的安全威脅都嚴(yán)重影響GPRS核心網(wǎng)的安全。

現(xiàn)實(shí)世界GPRS遭受攻擊也從未停止。

德國E-Plus的GPRS網(wǎng)絡(luò)存在過計費(fèi)漏洞；SGSN信息泄漏的脆弱性被黑客利用；某設(shè)備提供商GGSN存在內(nèi)核錯誤，一個數(shù)據(jù)分組就使GPRS網(wǎng)絡(luò)癱瘓[6]和沃達(dá)豐GPRS-MMS服務(wù)存在計費(fèi)漏洞，用戶可免交上網(wǎng)費(fèi)。

在2009年和2010年舉行的全國性“通信網(wǎng)絡(luò)安全檢查”中，工信部通信保障局運(yùn)用工具測試和滲透性測試等技術(shù)手段發(fā)現(xiàn)中國移動多省GPRS核心網(wǎng)均存在可能導(dǎo)致“通信網(wǎng)絡(luò)阻塞、中斷、癱瘓”的安全隱患。在工信部通信保障局對該隱患進(jìn)行無害性攻擊嘗試時，沒有任何一個省公司及時發(fā)現(xiàn)并告警。中國移動通信集團(tuán)公司對網(wǎng)絡(luò)安全十分重視，制定了一系列安全技術(shù)規(guī)范，并對各省進(jìn)行安全飛行檢查。針對GPRS網(wǎng)絡(luò)，集團(tuán)公司也不斷的開展包括GPRS PDP惡意Create抵抗力測試等在內(nèi)的通信業(yè)務(wù)層面的安全檢查項(xiàng)目。

2 GPRS業(yè)務(wù)安全監(jiān)測的實(shí)現(xiàn)

基于目前GPRS業(yè)務(wù)安全隱患，中國移動通信集團(tuán)天津有限公司(簡稱天津移動)創(chuàng)新地提出并搭建了集群式的GPRS核心網(wǎng)業(yè)務(wù)安全監(jiān)測系統(tǒng)。首次實(shí)現(xiàn)了對GTP協(xié)議層的安全監(jiān)測，同時也對與GPRS核心網(wǎng)緊密相連的WAP WG跳轉(zhuǎn)攻擊等常見問題實(shí)現(xiàn)了監(jiān)控。GPRS核心網(wǎng)業(yè)務(wù)安全監(jiān)測系統(tǒng)具有以下創(chuàng)新性。

（1）能夠識別并監(jiān)測來自于Gp/Gi的GTP直接安全攻擊，如惡意PDP創(chuàng)建篡改和刪除攻擊；

（2） 能夠識別并監(jiān)測來自于Gn內(nèi)的GTP異常情況，如GTP in GTP攻擊；

（3）能夠識別并監(jiān)測WAP Connect/PUSH 等異常攻擊，如WAP網(wǎng)關(guān)跳轉(zhuǎn)攻擊。

2.1 直接攻擊——PDP惡意攻擊的監(jiān)測

GPRS業(yè)務(wù)安全受到的直接威脅來自于PDP激活與去激活過程，因此，GPRS業(yè)務(wù)安全監(jiān)測系統(tǒng)主要圍繞PDP惡意攻擊行為進(jìn)行監(jiān)測。

2.1.1 PDP惡意攻擊原理

現(xiàn)網(wǎng)Gn接口設(shè)置有防火墻，但是攻擊者仍然可以輕松通過。只要通過raw socket（XP SP2后微軟關(guān)閉了該接口）或者調(diào)用類似Winpcap的pcap_sendpacket接口就可以構(gòu)造一個偽造了源IP的“create pdp context”請求分組，假如該偽造源IP在Gn接口防火墻的訪問控制列表內(nèi)是被允許的，則攻擊報文將穿透防火墻抵達(dá)GGSN。攻擊者從Internet上可以使用偽造源地址對GGSN發(fā)送大量的創(chuàng)建GPRS連接請求，GGSN響應(yīng)這些請求后，會對每一個請求分配IP地址，攻擊者可以通過占用IP使GGSN無法正常工作。這種攻擊可能會迅速消耗GGSN地址資源或長時間占用GGSN資源，導(dǎo)致GGSN無法響應(yīng)正常用戶的連接請求。

除了可能引發(fā)GGSN設(shè)備癱瘓外，攻擊者還可以直接影響用戶的業(yè)務(wù)使用。在Internet上通過使用偽造源地址，根據(jù)上網(wǎng)用戶的唯一標(biāo)識TEID對GGSN發(fā)送刪除PDP上下文請求，GGSN響應(yīng)這些請求后，會將TEID相對應(yīng)的PDP上下文刪除，從而導(dǎo)致正在上網(wǎng)的用戶下線。如果采用批量的刪除，則會導(dǎo)致大批用戶同時下線，可能引發(fā)造成大量用戶投訴。

2.1.2 PDP惡意攻擊監(jiān)測標(biāo)準(zhǔn)

針對此類惡意創(chuàng)建用戶連接攻擊和步進(jìn)式踢用戶下線攻擊類行為，可以根據(jù)報文特征和行為統(tǒng)計特征來進(jìn)行監(jiān)測。

對于創(chuàng)建類請求，根據(jù)Gn接口捕獲到的數(shù)據(jù)分組，開辟一個緩存，創(chuàng)建一個Hash 1節(jié)點(diǎn)，存下請求數(shù)據(jù)分組中MSISDN、IMSI、APN和SGSN控制面TEID等信息，并把SGSN控制面TEID作為這個節(jié)點(diǎn)的KEY。再根據(jù)TEID散列查找到Hash 1節(jié)點(diǎn)，把響應(yīng)數(shù)據(jù)分組中的用戶私網(wǎng)IP作為該節(jié)點(diǎn)的另外一個KEY。對于刪除類請求，根據(jù)TEID散列查找到Hash 1節(jié)點(diǎn)并刪除，釋放對應(yīng)緩存。

圖2 PDP消息解析

GPRS業(yè)務(wù)安全監(jiān)測系統(tǒng)對惡意PDP攻擊的監(jiān)控，就是基于這種報文特征和行為統(tǒng)計特征，通過設(shè)置如下判斷標(biāo)準(zhǔn)來實(shí)現(xiàn)的。

針對單個GTP-C協(xié)議報文中APN，IMSI，MSISDN，協(xié)商GSN IP等多個字段采用基于信令語義的監(jiān)測，當(dāng)捕獲的報文中出現(xiàn)如下情況時，判定為惡意攻擊。

(1）MSISDN以+86開頭，后面的數(shù)值小于13000000000，或大于19000000000，或在16000000000至16999999999之間；及其它特殊手機(jī)號，例如+8613800138000等；

(2）IMSI以460開頭，后面數(shù)值不在000000000000到080000000000范圍；

(3）手機(jī)號是“+86”開頭，IMSI不是“460”開頭。IMSI是“460”開頭，手機(jī)號不是“+86”開頭；

(4）SGSN IP不是天津移動SGSN內(nèi)部網(wǎng)段，而APN為CMWAP或CMNET。

針對多個GTP-C協(xié)議，對相關(guān)IMSI/MSISDN/TEID/sequence number字段的變化閾值和創(chuàng)建狀態(tài)閾值進(jìn)行監(jiān)測。

（1）MSISDN、IMSI或者TEID在短時間內(nèi)出現(xiàn)等量遞增的變化情況；

（2）Sequence number無變化或等量遞增；

（3）非天津移動SGSN IP段返回大量192等狀態(tài)報文；

（4）超出特定單一SGSN（友商）的PDP Create設(shè)立的閾值。在SGSN上設(shè)立PDP Create、Delete和Update基線閾值。當(dāng)SGSN在短時間內(nèi)收到來自某一個IP的GTP報文分組數(shù)超過設(shè)定的閾值后，開始關(guān)注該IP。

監(jiān)測PDP Create上下文的后續(xù)操作，如無任何后續(xù)創(chuàng)建或更新報文，也可能是惡意攻擊。

2.1.3 PDP惡意攻擊監(jiān)測實(shí)例

對于單一的GTP報文，本平臺能夠查詢出相關(guān)的終端和業(yè)務(wù)請求信息，檢測信息將顯示有問題的手機(jī)號，出現(xiàn)問題的時間以及手機(jī)卡IMSI號，APN，事件類型，攻擊原因等。

對于大量GTP報文，能夠查詢出請求次數(shù)超過閾值的SGSN地址源。2011年5月25日，在SGSN創(chuàng)建閾值為100的條件下，系統(tǒng)及時發(fā)現(xiàn)惡意創(chuàng)建GPRS連接告警。

通過不同的搜索條件，可以對歷史攻擊行為進(jìn)行回顧查詢。通過閾值管理功能，可以設(shè)置每個SGSN的惡意創(chuàng)建、惡意更新和惡意刪除的閾值。另外，該平臺還可以從第三方角度來審核PDP激活情況，并且了解激活失敗的原因。

2.2 間接攻擊——嵌套攻擊和跳轉(zhuǎn)攻擊的監(jiān)測

業(yè)務(wù)流中的一些異常數(shù)據(jù)分組也可能對GPRS網(wǎng)絡(luò)造成間接攻擊。目前中國移動GPRS核心網(wǎng)的組網(wǎng)模式中最常見的GTP間接攻擊就是GTP IN GTP和WAP跳轉(zhuǎn)異常數(shù)據(jù)報文攻擊。

2.2.1 GTP嵌套攻擊監(jiān)測

GTP嵌套（GTP in GTP）是指GTP報文的多重封裝，這樣的畸形報文也可能導(dǎo)致GPRS核心網(wǎng)異常，如引發(fā)資源占用率過高。

GPRS業(yè)務(wù)安全監(jiān)測系統(tǒng)對于GTP in GTP畸形報文的監(jiān)測方法，是通過模式匹配的方式記錄下所有類似的報文。如果報文的目的端口為2123或2152，GTP協(xié)議的Message Type為0xff，并且內(nèi)層嵌套GTP的其中一個端口為2123或2152，就認(rèn)為是惡意攻擊。下面為天津移動實(shí)際監(jiān)測結(jié)果，系統(tǒng)默認(rèn)顯示一天內(nèi)的GTP IN GTP攻擊記錄，并顯示攻擊個數(shù)。

圖3 單分組攻擊監(jiān)測

圖4 批量創(chuàng)建攻擊監(jiān)測

圖5 GTP IN GTP 攻擊記錄

2.2.2 WAP網(wǎng)關(guān)跳轉(zhuǎn)攻擊

目前中國移動的GPRS和WAP網(wǎng)關(guān)緊密連接，WAP網(wǎng)關(guān)對所代理的協(xié)議管理普遍較寬松。攻擊者可能通過空口進(jìn)入GPRS網(wǎng)絡(luò)，借助WAP網(wǎng)關(guān)中轉(zhuǎn)，向短信中心發(fā)送SMPP指令。這種漏洞可能允許用戶任意偽造發(fā)送者號碼濫發(fā)惡意短信。

針對這種攻擊，可以通過監(jiān)測所有connect行為，發(fā)現(xiàn)不合理的IP和端口來解決。如果GTP內(nèi)封的應(yīng)用層協(xié)議是http，并且http協(xié)議中Connect一個10.X.X.X網(wǎng)段的IP（10.0.0.172除外），就判斷為可能是惡意攻擊。下面天津移動實(shí)際監(jiān)測效果。系統(tǒng)檢測出5月24日晚忙時WAP網(wǎng)關(guān)跳轉(zhuǎn)攻擊的具體信息。

圖6 WISG跳轉(zhuǎn)攻擊示意

3 功能引申——用戶溯源

GPRS業(yè)務(wù)安全監(jiān)測系統(tǒng)在實(shí)現(xiàn)GTP層業(yè)務(wù)安全監(jiān)控的同時，還實(shí)現(xiàn)了用戶行為溯源功能。天津移動的組網(wǎng)相對簡單，缺少有力的維護(hù)手段。目前只能通過WAP網(wǎng)關(guān)記錄查詢CMWAP用戶的上網(wǎng)行為，但沒有技術(shù)手段記錄CMNET用戶的具體行為，話單中僅有上下線時間和流量總數(shù)等粗略的信息。

GPRS業(yè)務(wù)安全監(jiān)測系統(tǒng)通過協(xié)議解析，真實(shí)地還原和記錄以下（但不限于）內(nèi)容：上線時間、下線時間、APN、MSISDN、IMSI、TEID、 源 IP、 目 的 IP、URL和其它互聯(lián)網(wǎng)訪問內(nèi)容摘要等。當(dāng)發(fā)現(xiàn)發(fā)布非法信息IP地址時，可通過IP地址溯源，找到發(fā)布該非法信息的用戶。根據(jù)用戶私網(wǎng)IP散列查找到Hash 1節(jié)點(diǎn)，記錄用戶MSISDN、IMSI、APN、訪問摘要、訪問時間等信息。

GPRS業(yè)務(wù)安全監(jiān)測系統(tǒng)可以通過4種方式來進(jìn)行用戶溯源。即追溯用戶MSISDN、追溯被訪問的公網(wǎng)IP和端口、追溯網(wǎng)站URL，還有追溯公網(wǎng)IP和網(wǎng)站URL組合精確溯源。圖8為查詢最近3min記錄的實(shí)際應(yīng)用效果圖。

4 結(jié)束語

圖7 WAP網(wǎng)關(guān)跳轉(zhuǎn)攻擊監(jiān)測

GPRS業(yè)務(wù)安全監(jiān)測系統(tǒng)針對性的解決了GPRS業(yè)務(wù)層的安全隱患，增加安全維護(hù)和管理能力，有效提高維護(hù)人員工作效率，直接準(zhǔn)確的得到網(wǎng)絡(luò)安全薄弱信息，有助于開展行之有效的措施來針對性解決，避免以往頻繁測試和海量信息的收集分析工作。滿足了目前GPRS網(wǎng)絡(luò)防PDP攻擊的需求，減低安全事件發(fā)生率，避免和降低由于安全事件造成的經(jīng)濟(jì)損失，保障GPRS系統(tǒng)正常運(yùn)營。同時也實(shí)現(xiàn)了用戶行為溯源功能，有助于支撐客服系統(tǒng)和網(wǎng)管中心對安全類投訴和故障的處理。另外，GPRS業(yè)務(wù)安全監(jiān)測系統(tǒng)在手機(jī)病毒監(jiān)測，地下運(yùn)營商監(jiān)測等方面也有所研究，現(xiàn)階段還處于試驗(yàn)階段，但是經(jīng)過現(xiàn)網(wǎng)試用，已經(jīng)可以實(shí)現(xiàn)監(jiān)測的效果，相信會在不久的將來，可以對更多的安全問題起到有效監(jiān)測的作用。

圖8 用戶溯源顯示

[1] 基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法(試行)[EB/OL]. http://www.gov.cn/gzdt/2009-12/20/content_1492265.htm.

[2] 通信網(wǎng)絡(luò)安全防護(hù)管理辦法[EB/OL]. http://www.gov.cn/flfg/2010-02/03/content_1527077.htm.

[3] 3GPP TS 29.060, General Packet Radio Service (GPRS); GPRS Tunnelling Protocol (GTP) Across the Gn and Gp Interface[S].

[4] 3GPP TS 23.060, General Packet Radio Service (GPRS) Service Description Stage 2[S].

[5] 3GPP TS 29.061, General Packet Radio Service (GPRS); Interworking between the Public Land Mobile Network (PLMN) Supporting GPRS and Packet Data Networks (PDN)[S].

[6] Nokia. GSN內(nèi)核崩潰拒絕服務(wù)攻擊[EB/OL]. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0368.