搜狐首页-新闻-体育-娱乐-财经-IT-汽车-房产-家居-女人-TV-ChinaRen-邮件-博客-BBS-搜狗 

IT频道 > 通信 > 国内电信
下一代网络易患什么“病”
时间:2006年05月17日14:56 我来说两句(0)  

 
雍忠玮:看看移动员工的工资条 杜碧玉:日本电信运营商太嚣张 更多精彩博客推荐

关注最火辣的网络话题    
来源:中国计算机报

  下一代网络的安全研究是一项综合而长期的任务。

  目前下一代网络的安全需要重点在以下几方面努力:用户和设备的接入认证、

  用户标识、NAT/FW的穿越以及安全流传输的密钥协商、SPIT的检测与阻止、IMS的安全等。

  下一代网络(NGN,Next Generation Network)是一种融合网络,正在向以软交换和IP技术为基础的全IP网络演进。由于IP网络的先天脆弱性,在继承了IP网络脆弱性的同时,下一代网络在网络架构、协议实现以及管理等方面都存在潜在的安全问题。因此在下一代网络快速发展的同时,网络安全已经成为业界研究的重点。目前国际上研究下一代网络的4大标准化组织ITU、ETSI TISPAN、3GPP和IETF都已经投入了大量的力量研究下一代网络的安全问题,相应的安全标准还在研究之中。

  “体检”结果

  病因一:CSCF实体抵抗弱

  目前ITU-T已经将3GPP提出的IMS(IP Multimedia Subsystem,IP多媒体子系统)作为下一代网络核心网基于SIP会话的子系统的基本架构。在IMS体系中,CSCF(Call Session Control Functions,呼叫会话控制功能)功能体系集中完成管理和呼叫控制,因此CSCF实体必须直接面对各种不同的用户,这在一定程度上是下一代网络的一个安全隐患,也是黑客攻击下一代网路的一个主要目标。如果CSCF实体的安全保护措施不到位,则CSCF实体可能会成为下一代网络安全的瓶颈,恶意攻击者可能通过对CSCF实体的攻击达到全网致瘫的目的。

  同时下一代网络支持多种接入,包括GSM, GPRS, 3G, POTS, WLAN, Wire-line broadband and internet等,因此可信的内部网和不可信的外部网络之间通过各种网关连接起来。这种融合在核心网络和接入网络间增加了更多接口,每个接口都是一个潜在的攻击点。例如连接核心网和传统PSTN网络的信令网关就很容易遭到拒绝服务攻击和数据篡改即产生恶意的ISUP/Q.931消息。实际上所有的加密数据在经过网关时需要解密处理然后再加密传送,这便给有经验的攻击者有机会修改信令数据或语音数据。

  病因二:网元自身不健壮

  网元潜在的安全威胁主要来自于设备自身,如操作系统没有及时打补丁、使用弱口令、开放没有使用的端口、防火墙配置不当等,几乎百分之八十的安全事故是由于网元自身不健壮而存在的安全漏洞所引起的。

  目前网元中包括一些网管设备、计费系统以及终端等多数使用WINDOWS操作系统,但也有一部分网元使用Unix系统(包括Solaris和AIX),这些操作系统本身有一定的漏洞,往往会成为黑客攻击的目标。随着黑客的技术手段日益高超,新的攻击手段也不断出现。有的是协议自身的问题,有的是系统自身设计不完善造成的,系统发布的时间越长,系统的漏洞也越来越多,也越来越为更多的人了解。

  病因三:协议实现较脆弱

  协议实现脆弱性指网络中互相通信的协议本身存在的安全方面的不健全和协议实现中存在的漏洞问题。比较典型的协议漏洞为TCP/IP中的存在可能被SYNflood攻击的漏洞。在下一代网络中,包含多种多样的协议,主要的协议包括H.248、SIP、MGCP、H.323、BICC、SIGtran等。每种协议都存在大量服务请求拒绝服务攻击。其中SIP、MGCP、H.248和RAS尤其重要,因为它们支持UDP承载,数据包不需要建立连接,所以发起UDPflood攻击非常容易。尤其是SIP协议还不是很完善,采用明文传输,通信内容很容易被窃听或篡改。虽然采用了基于HTTP DIGEST的认证方式,但是这种认证方式是单向认证,很容易冒充服务器进行各种欺骗等。另外在下一代网络中协议解码漏洞将是比较普遍的一个安全脆弱性,对于采用ASN.1语言描述的协议,由于描述的复杂性,很容易造成协议实现的漏洞。这在H.248和H.323更为明显,其他的协议也存在类似这方面的问题。

  “病兆”预测

  症候一:信令流攻击

  下一代网络中的流量可以分为信令流和媒体流两部分,信令流经过多级集中的代理服务器或软交换进行转发来完成端到端呼叫的建立。目前使用的信令协议在安全性方面还不是很完善,攻击者很容易利用信令流的来对服务器发起各种攻击,典型的有以下几种方式。

  畸形信令报文攻击。攻击者向代理服务器或注册服务器发送大量的畸形信令报文,目的是造成服务器解析错误或缓冲区溢出,使得正在工作的服务器突然死机或重新启动,严重时可以使整个网络瘫痪。

  注册劫持攻击。注册劫持攻击属于用户注册过程中的一种重放攻击。其原理是攻击者获得合法用户的注册消息,在该消息最初设置的周期内修改该消息后重新发给注册服务器,从而欺骗注册服务器完成一定的攻击目的。例如通过修改Expires字段来注销一个合法用户,在这种情况下,原有的合法用户就不能发送或接受任何呼叫。

  会话攻击。这种攻击是通过发送伪造的BYE消息来拆断合法用户间的正常通话。为了成功实现这种攻击,攻击者必须知道此次会话的关键信息如From, To, Call-ID, Cseq等,然后利用这些信息伪造一个BYE消息发送。

  症候二:媒体流攻击

  和信令流攻击一样,媒体流攻击源于下一代网络中的媒体流传输协议RTP/RTCP(实时流传送协议)本身的开放性。RTP/RTCP协议一般很少采用任何安全措施,虽然SRTP(Secure RTP)协议已经出现有一段时间,但是在应用中还存在密钥协商等一些问题需要解决,现在广泛应用的仍是RTP协议,因此一小段流媒体很容易被重放出来而不需要前后信息的关联。如果在媒体通道中通过Sniffer等方式记录所有信息并通过软件加以重放,会引起对话音通信的信任危机。典型的媒体流攻击有以下几种方式。

  插(替)音攻击。攻击者构造和真实的RTP流具有相同特征的数据包,然后插入到(或代替)正在传送的媒体流中,这些伪造的RTP包会在真实的数据流到来前被播放,而真实的语音流则被忽略。这就意味着攻击者可以播放任何所希望的语音,而到来的真正的语音数据却被看成是旧的数据包被丢弃。

  会话窃听。攻击者在网络上捕获RTP流,并识别出RTP流的编码方式,就很容易重建实时语音流,从而窃听通话。甚至还可以获得通话双方的关键信息如会话ID、FROM Tag值和TO Tag值等,这样攻击者除了窃听外,还可以实施CANCLE或BYE会话中断攻击。

  症候三:拒绝服务攻击

  拒绝服务攻击是任何基于IP的网络都无法避开的。拒绝服务攻击有多种形式,总的来说攻击者通过发送大量的具有杀伤力的数据报文造成目标网络拥塞,不能提供正常的服务,或者造成相应的服务器瘫痪。下一代网络中的拒绝服务攻击即包括传统的拒绝服务攻击,也包括下一代网络协议漏洞带来的基于信令流量和媒体流量的拒绝服务攻击。这类攻击一般利用是协议实现上的漏洞或是网络管理上的缺陷,一般很难阻止。同时拒绝服务攻击还通常与其它攻击方式一起使用,特别是修改/伪造数据包,给受害者造成更大的损失。

  症候四:服务窃取

  这类攻击是黑客利用各种手段获取合法用户的帐号信息或进入系统服务器内部删除修改计费记录,或是在通话的过程中迂回合法的计费系统等,通常会给个人或企业带来巨大的损失且很难追查。

  虽然下一代网络的接入需要严格的身份认证,但是仍避免不了非法接入的攻击,这种攻击一般需要内部人员的支持,或者是利用协议上的漏洞,截取合法用户信息,典型的如SIP注册劫持攻击等;同样下一代网络也离不开病毒/木马的攻击,攻击者会向下一代网络中散步病毒或在服务器内植入木马程序来执行恶意操作,破坏用户数据或干扰正常的业务等。(作者:辛阳 钮心忻 赵凯)

(责任编辑:岳黎霞)



共找到 个相关新闻.

我来说两句 全部跟贴(0条) 精华区(0条) 辩论区(0条)

用户:  匿名发表:  隐藏地址:


设为辩论话题      


精彩图片新闻

惊心动魄鳄鱼花豹争食

惊心动魄的鳄豹争食
二战令人喷饭的老照片

二战令人喷饭的照片

热门科技新闻推荐

相关链接





搜狐短信 小灵通 性感丽人 言语传情
三星图铃专区
[周杰伦] 千里之外
[誓 言] 求佛
[王力宏] 大城小爱
[王心凌] 花的嫁纱
精品专题推荐
短信企业通秀百变功能
浪漫情怀一起漫步音乐
同城约会今夜告别寂寞
敢来挑战你的球技吗?
 精彩生活 

星座运势 每日财运
花边新闻 魔鬼辞典
情感测试 生活笑话


今日运程如何?财运、事业运、桃花运,给你详细道来!!!


死了都要爱
上海滩
寂寞沙洲冷
隐形的翅膀
不怕不怕
约定
谁动了我的琴弦

科学图吧

游走在地球上的动物

·[图]不得不看的另类酷鱼
·我在地铁用蓝牙泡了个妞
·[图]十大动物杀手排名


频道精彩推荐

·安南访问中国等亚洲五国
·强台风珍珠登陆沿海地区
·社会主义荣辱观
·2006世界杯 姚明 王治郅
·2008奥运会 NBA 科比 F1
·凯美瑞 思域CIVIC
·大众速腾 华晨骏捷
·我的女孩 王子变青蛙
·清华紫光 瑞星 S.H.E
·新农村建设 加息 油价






菊花台
一万个理由
隐形的翅膀
倩女幽魂
飞的更高
无尽的爱
迷糊娃娃可爱粉红卡通
四季美眉给你最想要的

搜狐分类 ·搜狐招商

劲爆论坛

·母女同孕 走进非洲部落
·半截女孩街头艰难生活
·亚运也如此搞笑
·变态的实验室动物
·2006娱乐圈"性风作浪"榜
·苏联红军曾强奸德国妇女
·网络游戏走光美女大全
·10种小玩意改变全世界
·令人啼笑皆非的假冒产品
·毛泽东的10大外国"粉丝"

·将来的衣食住行是啥样
·死于贫困的美国总统们
·纯真部落裸体姑娘不害羞
·击破明星专家护肤谎言
·世界各地神秘的纹身者
·处决驰名国际的女间谍

推荐企业
中国移动 诺基亚 瑞星 联想 摩托罗拉 三星 清华紫光 金山 索尼爱立信 索尼
给编辑写信



设置首页 - 搜狗输入法 - 支付中心 - 搜狐招聘 - 广告服务 - 客服中心 - 联系方式 - 保护隐私权 - About SOHU - 公司介绍 - 全部新闻 - 全部博文
Copyright © 2018 Sohu.com Inc. All Rights Reserved. 搜狐公司 版权所有
搜狐不良信息举报邮箱:jubao@contact.sohu.com