CN101364906A - 阻止计费攻击的方法和系统 - Google Patents
阻止计费攻击的方法和系统 Download PDFInfo
- Publication number
- CN101364906A CN101364906A CNA2008102156911A CN200810215691A CN101364906A CN 101364906 A CN101364906 A CN 101364906A CN A2008102156911 A CNA2008102156911 A CN A2008102156911A CN 200810215691 A CN200810215691 A CN 200810215691A CN 101364906 A CN101364906 A CN 101364906A
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- portable terminal
- deexcitation
- attack
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种阻止计费溢出攻击的方法,包括:获取移动终端标识信息;向所述攻击防范实体发送移动终端标识信息;监测到所述移动终端的去激活动作后,向攻击防范实体发送去激活动作通知,所述去激活动作通知用于通知所述攻击防范实体将移动终端标识信息对应的会话表置为无效。还公开了阻止计费溢出的系统,利用本发明实施例,能够在系统改动比较少的情况下,实现计费溢出攻击防范。
Description
技术领域
本发明涉及通信技术领域,特别是涉及阻止计费攻击的方法和系统。
背景技术
GPRS(General Packet Radio Service,通用无线分组业务)被用来在传统的移动网络GSM(Global System for Mobile communication,全球移动通信系统)中传输分组数据,为此在原GSM网络基础上增加了一系列功能实体,主要包括PCU(Packet Control Unit,分组控制单元)、GSN(GPRS Supporting Node,GPRS支持节点)、CG(Charging Gateway,计费网关)等网元,并对GSM网络的网络实体进行升级以支持分组业务。GSN包括SGSN(Service GPRSSupport Node,服务GPRS支持节点)和GGSN(Gateway GPRS Support Node,关口GPRS支持节点)。3G标准中的GPRS网络的PCU集成在接入网侧。
MS(Mobile Station,移动终端)是分组业务的使用者,使用GPRS网络提供的服务访问PDN(Public Data Network,共用数据网)主机,PDN主机提供各种分组数据服务。在MS和PDN主机之间,GPRS核心网使用GTP(General Packet Radio Service Tunnelling Protocol,通用无线分组服务隧道协议)协议传输数据,GGSN通过Gi接口实现GPRS网和PDN的互联,具体地Gi接口位于GGSN与PDN之间。
在上述过程中,从PDN主机角度的来看,MS作为IP网络的成员,必须有一个IP地址,PDN主机才可以给MS发送数据。MS的IP的分配可以有两种方式:静态分配和动态分配。静态分配是指运营商为每个GPRS签约MS都预分配一个IP地址,由于签约MS的数量可能巨大,实际运营中可行性较小。因此,运营商通常都使用动态分配的方式。动态分配是指在GTP隧道建立过程中,由GGSN侧负责分配IP地址。当GGSN收到SGSN为MS发送的“创建PDP上下文请求”GTP消息时,自身或使用或其他服务器等方式分配一个IP地址,在“创建PDP上下文响应”GTP消息中发送给SGSN和MS。
虽然动态分配IP带来为运营商带来方便,然而动态分配IP也意味着,同一个IP地址可能被先后多个MS使用,当一个MS访问大量PDN网络资源后立刻退出,此IP立刻又被分配给另外一个MS时,前一个MS访问的分组数据在GGSN处就会按照IP地址,将需要返回前一个MS的分组数据转发给后一个MS。但是GPRS网络却不知道第一个MS已经下线,所以GPRS网络此时仍然为前一个MS计费。这样,MS就会被为并未请求的数据付费。攻击者可利用此协议机制漏洞进行攻击,即计费溢出攻击。
一种攻击方式是,攻击者可能伪装成正常的MS用户使用GPRS服务,访问PDN上的一台服务器,并从服务器获得攻击者MS的动态IP地址。然后攻击者MS去激活,但服务器获得IP地址的方式不中断。当此IP被新MS用户获得后,攻击者立刻探知后就发送数据给新MS用户,新数据在GGSN处被转发给新MS用户并计费,这样新MS用户就会为并未请求的数据付费,即发生计费溢出攻击。
除了上述从PDN侧主动发起的攻击外,攻击者还可以从MS侧发起攻击。当一个攻击MS访问大量数据后立刻去激活,则他使用的IP立刻又被分配给另外一个MS时,攻击MS访问的分组数据在GGSN处就会被转发给后一个MS,GPRS网络为后一个MS计费。这样,后一个MS就会为并未请求的数据付费。
现有技术的一种解决方式是:为了阻止攻击流量到达GGSN,在Gi接口放置防火墙,使用包过滤技术阻止攻击者从PDN网络访问MS。由于防火墙是基于会话转发数据,除非MS首先发起对PDN主机的会话,在防火墙上才会记录MS的会话请求信息,否则PDN主机发送给MS的数据流会在防火墙处因查不到MS的会话记录而被阻止,从而阻止了计费溢出。
发明人在实现本发明的过程中,发现现有技术中至少存在如下问题:攻击者可使用一个正常的MS设备,经过精心设计后,在防火墙上先建立会话并去激活,并不断从PDN主机发送流量到防火墙使得防火墙的MS会话记录一直保持激活状态,一旦攻击者MS使用的IP被新用户使用,则防火墙基于此会话而转发数据到新用户,新用户就将为转发的数据计费,攻击即可得逞。类似的,从MS侧发起的计费溢出攻击也可以采用上述方式进行,防火墙也无法阻止,因此现有技术不能解决计费溢出攻击问题。
发明内容
有鉴于此,本发明一个或多个实施例的目的在于提供一种阻止计费攻击的方法和系统,以实现GTP计费溢出攻击防范。
为解决上述问题,本发明实施例提供了一种阻止计费溢出攻击的方法,包括:
获取移动终端标识信息;
向攻击防范实体发送移动终端标识信息;
监测到所述移动终端的去激活动作后,向攻击防范实体发送去激活动作通知,所述去激活动作通知用于通知所述攻击防范实体将移动终端标识信息对应的会话表置为无效。还提供了一种阻止计费溢出攻击的方法,包括:
接收去激活动作通知和移动终端标识信息,所述去激活动作通知用于指示移动终端监测实体监测到所述移动终端的去激活动作;
将移动终端标识信息对应的会话表置为无效。
本发明实施例还提供了一种移动终端监测装置,包括:
第一监测单元,用于对移动终端进行状态监测,获取移动终端标识信息;
第一发送单元,用于向攻击防范实体发送所述移动终端标识信息;
第二发送单元,用于当所述第一监测单元监测到所述移动终端的去激活动作后,向攻击防范实体发送去激活动作通知;所述去激活动作通知用于通知攻击防范实体将移动终端标识信息对应的会话表置为无效。
本发明实施例还提供了一种攻击防范装置,其特征在于,包括:
第一接收单元,用于接收移动终端的去激活动作通知和移动终端标识信息,所述去激活动作通知用于指示所述移动终端监测实体监测到所述移动终端的去激活动作;
第一处理单元,用于获取与移动终端标识信息对应的会话表;
第二处理单元用于根据所述去激活动作,将所述会话表置为无效。
本发明实施例还提供了一种阻止计费溢出攻击的系统,包括:
移动终端监测装置和攻击防范装置,其中,移动终端监测装置包括:
第一监测单元,用于对移动终端进行状态监测,获取移动终端会话信息;
第一发送单元,用于向攻击防范实体发送所述移动终端会话信息;
第二发送单元,用于当所述第一监测单元监测到所述移动终端的去激活动作后,向攻击防范实体发送去激活动作通知;所述去激活动作通知用于通知攻击防范实体将移动终端标识信息对应的会话表置为无效;
所述攻击防范装置包括:
第一接收单元,用于接收移动终端的去激活动作通知和移动终端标识信息,所述去激活动作通知用于指示所述移动终端监测实体监测到所述移动终端的去激活动作;
第一处理单元,用于获取与移动终端标识信息对应的会话表;
第二处理单元用于根据所述去激活动作,将所述会话表置为无效。
与现有技术相比,本发明实施例具有以下优点:
本发明的实施例通过对移动终端进行状态监测,在监测到移动终端去激活动作后,通知攻击防范实体,以指示所述攻击防范实体将所述移动终端标识信息对应的会话表置为无效,将未命中会话表的报文抛弃。本发明实施例不需要对修改GPRS网络和PS域网络实体的功能,而且充分利用了现有技术成熟的会话表技术,只需要较小的成本就能够实现计费溢出攻击,操作起来简单可行。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1所示,是本发明的方法的实施例一的流程图;
图2所示,是本发明的方法的实施例二的结构示意图;
图3所示,是本发明的方法的实施例三的结构示意图;
图4所示,是本发明实施例移动终端监测装置的结构框图;
图5所示,是本发明实施例攻击防范装置的结构框图;
图6所示,是本发明的阻止计费溢出攻击的系统的实施例一的结构框图;
图7所示,是本发明实施例阻止计费溢出攻击的系统的应用一结构图;
图8所示,是本发明实施例阻止计费溢出攻击的系统的应用二结构图;
图9所示,是本发明实施例阻止计费溢出攻击的系统的应用三结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的各个实施例可以适用于GPRS(通用无线分组业务)、WCDMA(Wideband Code Division Multiple Access,宽带码分多址)和TD-SCDMA(Time Division-Synchronous Code Division Multiple Access,时分同步码分多址)技术中。
下面以GPRS为例,对本发明实施例进行详细描述:
GTP协议是应用在GPRS网络或PS域网络的隧道通信协议,包括GTP’协议,它被定义在Gn、Gp、Ga接口及3G网络的Iu-PS接口执行,这几个接口可以合并称为GTP协议域。GTP协议在GPRS网络中提供一个封装的GTP隧道以传输数据。在下文的表述中,若无特别说明,GTP协议即包含GTP’协议。
GTP隧道是位于SGSN和GGSN之间的数据通道,在MS发起分组业务请求时,GPRS网络的SGSN和GGSN之间通过一系列GTP消息的交互建立起GTP隧道,MS则使用此隧道访问PDN网络资源。用户发给PDN网络的数据在SGSN处被封装成GTP包,经过GTP隧道传输给GGSN,GGSN解封装此GTP包,然后传送给PDN网络。PDN网络主机发送给MS的IP分组数据,在GGSN处根据此包的目的IP查询MS的GTP隧道,然后把此IP包封装成GTP包,经由所查询到的GTP隧道传输给SGSN,SGSN解封装此GTP包,然后发送给MS。在此过程中,SGSN和GGSN使用一系列GTP消息进行隧道维护,保障通信按需完成。同时,SGSN和GGSN分别产生即时话费单并使用GTP’协议传送给CG计费。对于GGSN传来的话费单,CG进行话单合并,产生最终的话单并送给计费中心处理。因此,GTP协议提供了MS访问PDN分组数据的解决方案。
本发明实施例提供了一种通用的、有效的、不需更改GSN(GPRSSupporting Node,GPRS支撑点)功能的、阻止GTP计费溢出攻击的方案,针对GGSN和GTP协议的技术缺陷,本发明所提供的计费溢出攻击防范方案可以包括一个移动终端监测实体和一个Gi域的攻击防范实体,其中移动终端监测实体负责监测MS的会话状态,并负责把MS的会话的状态通知位于Gi域的攻击防范实体,Gi域的攻击防范实体负责根据移动终端监测实体发送的通知消息阻止攻击流量,从而在Gi域阻止攻击流量到达GGSN而被GGSN计费,从而解决GPRS网络或PS域网络无法有效解决计费溢出攻击的技术难题。
为了使Gi域的攻击防范实体可以阻止攻击流量,其关键是监测MS的会话过程,包括其去激活时机。由于MS的会话表现为GTP消息,可通过使用监测技术监测GTP会话相关的数据包实现。在不更改GSN功能的情况下,可利用一个移动终端监测实体获得MS的会话信息和去激活时机,然后通知位于Gi域的攻击防范实体进行攻击流量阻止,Gi安全防范实体清空此MS相关的所有会话表项来阻止攻击流量。
在GPRS网络结构中,GTP-C(GTP控制面协议)位于Gp和Gn接口,用于创建、修改和删除隧道。GTP-U(GTP用户面协议)还位于UTRAN(通用地面无线接入网路)和SGSN之间的Iu-PS接口,用于承载用户数据,其中来自PDN的用户数据在GGSN处被封装,然后在GGSN和SGSN处产生话费单。GTP’位于Ga接口,用于在GGSN/SGSN和CG之间进行话费单传送及相关信息交换操作。
因此,GTP协议被定义在Gn、Gp和Ga接口,需要在这些接口进行MS会话监测和去激活识别,然后通知Gi域的攻击防范实体进行阻止。这可以在Gn、Gp和Ga接口实现。
下面,分别以不同的实施例来说明本发明的技术方案。
如图1所示,是本发明阻止计费溢出攻击方法的实施例一,包括:
101、对移动终端进行状态监测,获取移动终端标识信息;
对移动终端进行状态监测具体是指对过往的GTP报文,对其解包并做相关检查;对于通过安全检查的报文,根据GTP协议规定的状态机制,建立移动终端状态监测机制。为了对移动终端的状态进行监测;移动终端的会话信息通常表现为GTP报文,因此获取移动终端会话信息可以通过直接截取GTP报文或截取GSN发送的GTP报文来获得。
其中,所述对移动终端进行状态监测在GTP协议域进行,即可以在Gn接口域,可以在Gp接口域,也可以在Ga接口域进行。
其中,状态监测的技术,具体可以采用应用层状态包过滤技术或代理型技术进行。
102、向所述攻击防范实体发送移动终端标识信息;
移动终端标识信息可以是移动终端的IP地址,也可以是移动终端的IMSI(International Mobile Subscriber Identity,国际移动用户识别码);
103、监测到所述移动终端的去激活动作后,向攻击防范实体发送去激活动作通知;
其中,去激活动作通知和移动终端的标识信息的发送方式可以有多种,如:
即可以同时发送去激活动作通知和移动终端的标识信息,也可以先后发送,根据发送方式的不同,攻击防范实体的处理方式也会相应有所变化。具体如下:
如果两者是同时发送的,则移动终端的标识消息可以是IP地址,由于攻击防范实体可以根据去激活动作通知,能直接识别移动终端IP地址后,获取与其同时发送的作为移动终端标识信息的移动终端IP地址;
如果两者不是同时发送的,当移动终端的标识消息是IMSI时,由于攻击防范实体本身可以能直接识别IMSI,需要在攻击防范实体侧建立IMSI与IP地址的关联:移动终端在访问网页时,将GTP会话信息发送给攻击防范实体,所述GTP会话信息包括有关移动终端的IMSI、访问目的IP地址和源IP地址,攻击防范实体根据所述移动终端IMSI与移动终端IP地址的对应关系,建立移动终端IMSI与IP地址的对应关系;当监测到移动终端的去激活动作后,将去激活动作通知发送到攻击防范实体。
104、攻击防范实体接收激活动作通知后,将所述移动终端标识信息对应的会话表置为无效。
针对不同的移动终端标识信息,Gi域的攻击防范实体的处理方式有下列差异:
当移动终端标识信息是IP地址时,所述去激活动作通知和所述移动终端会话信息是同时发送的,所述Gi域的攻击防范实体根据所述去激活动作,将所述移动终端会话信息中包含的移动终端IP地址对应的会话表转发功能置为无效;
当移动终端标识信息是IMSI时,所述去激活动作通知和所述移动终端会话信息是不是同时发送的,存在先后顺序,所述Gi域的攻击防范实体根据所述去激活动作通知,获取所述移动终端IMSI;所述Gi域的攻击防范实体根据所述移动终端IMSI与IP地址对应关系,获取所述移动终端IP地址,将移动终端IP地址对应的会话表转发功能置为无效。
攻击防范实体通常为基于包过滤的功能实体,可以表现为防火墙,防火墙作为一种安全设备,通常用作网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口,因此防火墙可以保护内部网络的安全。防火墙中的包过滤技术根据终端的会话表转发用户数据,会话表中在其中相当于路由表的功能。
移动终端每次被动态分配IP地址时,都会在防火墙产生一个会话表,会话表中包含有会话信息,其中,所述会话信息包括有移动终端当前分配的IP地址,还包括:所述移动终端会话的所有端口;或所有PDN主机的IP地址;或所有PDN主机的服务端口。所述会话信息还包括:目的IP地址;或源端口号;或目的端口号;或所述移动终端会话所使用的协议号。包过滤技术是防火墙中的一种转发与过滤技术,包过滤防技术基于会话表转发数据。用户按照IP数据包的特点,结合自身IP应用情况定义数据包过滤规则,包过滤防火墙利用这些定义的规则过滤数据包。
攻击防范实体中保存有多个移动终端的会话表,当接收到所述移动终端的去激活动作通知后,查找到所述移动终端IP地址对应的会话表,将此会话表置为无效;其中置为无效具体为:删除所述移动终端IP地址所在的所述会话表;或将所述会话表表项标记为不可用;
将会话表置为无效后,将未命中会话表的报文抛弃,即发送给原移动终端IP地址的报文由于找不到相应的路由,将会被自动抛弃,该报文不会产生计费。
本发明的实施例通过对移动终端进行状态监测,在监测到移动终端去激活动作后,通知攻击防范实体,以指示所述攻击防范实体将所述移动终端IP地址对应的会话表置为无效,将未命中会话表的报文抛弃。本发明实施例不需要对修改GPRS网络和PS域网络实体的功能,而且充分利用了成熟防火墙的技术,只需要较小的成本就能够实现计费溢出攻击,操作起来简单可行。
图2所示,是本发明实施例二的结构示意图,实施例二的物理结构表现为系统100,系统100在现有GPRS网络的基础上,还包括一个移动终端监测实体20,和一个攻击防范实体10。这两个设备位于一个能够正常通信、符合GTP协议的GPRS网络通信系统(包括3G网络PS域系统,或者其他任何具有类似机制的系统),这里称其为GTP协议通信系统,在图2中,为了描述方便,图中只给出了SGSN设备201、GGSN设备202和计费CG设备203。设备301表示PDN提供服务的主机。以图2所示的结构为例,下面详细说明阻止计费溢出攻击方法实施例的具体过程:
在系统100中,移动终端监测实体位于使用GTP协议的域(如Gn/Gp/Ga接口域),检查GTP报文,并根据GTP报文监控MS的状态,并能够和Gi域的攻击防范实体协同工作。
在系统100中,移动终端监测实体20处于GTP协议的接口域,攻击防范实体10位于Gi接口域。需要指出的是,这里的移动终端监测实体20和攻击防范实体10只是一个功能实体,可在硬件设备、辅助设备或软件模块中实现。
在系统100中,移动终端监测实体20和攻击防范实体10可以协同工作,二者的协同工作符合GTP通信系统环境对安全性和可靠性等方面的要求。在完成上述功能的同时,移动终端监测实体20和攻击防范实体10不会对GTP通信系统的工作产生不可接受的影响。
在系统100中,假定移动终端标识信息是IMSI,攻击防范实体需要根据会话信息建立移动终端IP地址与IMSI的对应关系,具体处理步骤包括:
10:移动终端监测实体20位于GTP协议域,通过对GTP协议报文(包括GTP’协议报文)的监测,如对其解包并做必要的检查,实现对MS的会话状态进行监控,获得移动终端会话所产生的会话信息(如移动终端的IP地址、移动终端会话的所有端口、所有PDN主机IP、所有PDN主机服务端口等)至少需要获得移动终端的IP地址并监控移动终端的隧道状态。这个功能可使用防火墙的应用层状态过滤等技术实现;
11、移动终端监测实体20将监测到的移动终端会话信息发送给攻击防范实体10;
12:攻击防范实体10位于Gi接口域,在MS访问PDN业务时,产生MS会话表。会话表是防火墙转发数据的依据,包括源IP、目的IP、源端口、目的端口及协议号,通常防火墙只对首包进行安全过滤,对合法的流创建会话表,后续报文直接查会话表转发。PDN服务主机301返回给MS的数据因命中这些会话表而被转发;
13、攻击防范实体10根据接收到的移动终端会话信息,获取移动终端的IP地址,为移动终端建立IP地址与移动终端IMSI的对应关系;
14:移动终端监测实体20监测到移动终端去激活动作后,通知攻击防范实体10;
15:攻击防范实体10收到移动终端的去激活动作通知后,获取所述去激活动作通知所对应的移动终端IMSI,根据IMSI与IP地址的对应关系,获取所述移动终端IP地址;
16:攻击防范实体10置所述IP地址对应的相关会话表为无效,例如,可删除这些会话表表项,或者标记为不可用等;
17:攻击防范实体10收到计费溢出流量时,查找与所述流量对应的会话表,由于步骤16中已经将相关会话表设置为无效,所以,无法命中有效的会话表,从而会丢弃所述流量,由此就实现了计费溢出攻击防范。
MS监测实体可使用多种成熟的安全技术实现,如应用层状态包过滤技术或代理型技术等。在组网上,移动终端监测实体可以位于Gn和/或Gp和/或Ga接口域,对GTP协议(包括GTP’)报文进行监控。由于MS监测实体位于Gn或/和Gp或/和Ga接口域,可对过往的GTP报文进行协议检查和状态检查,因此有利于对系统的保护,整体来讲具有更高的安全性。
本发明的实施例通过对移动终端进行状态监测,在监测到移动终端去激活动作后,通知攻击防范实体,以指示所述攻击防范实体将所述移动终端IP地址对应的会话表置为无效,将未命中会话表的报文抛弃。本发明实施例不需要对修改GPRS网络和PS域网络实体的功能,而且充分利用了成熟防火墙的技术,只需要较小的成本就能够实现计费溢出攻击,操作起来简单可行。
如图3所示,是本发明的实施例三的结构示意图,实施例三中,移动终端监测实体不直接位于上述接口域中,而是在接口域之外作为一个网络必选组件外监测设备(如入侵监测设备)而存在。下面以图3结构为例,详细说明本发明阻止计费溢出攻击方法实施例:
图3所示的系统200说明了MS监测实体作为一个入侵监测设备的实施方式。与系统100相比,除了实体401之外,其他的实体都相同。
在系统200中,移动终端监测实体401监测GTP协议报文,但是与系统100的移动终端监测实体20直接截取报文不同,移动终端监测实体401依赖GSN负责把相关的GTP报文发送给自己,移动终端监测实体401进行分析并监控移动终端的会话。与前述的实施二中移动终端标识信息不同,本实施例中移动终端标识信息为IMSI。除了实体401工作方式与系统100的实体20不同之外,其他的方面系统200与系统100完全一样,不再赘述。其工作步骤包括:
20:移动终端监测实体401位于GTP协议域,通过对GSN202转发过来的GTP协议报文(包括GTP’协议报文)的监测,实现对移动终端的会话状态进行监控,获取移动终端会话信息,所述会话信息至少包括移动终端的IP地址并监控移动终端的隧道状态。这个功能可使用防火墙的应用层状态过滤等技术实现;
21:攻击防范实体10位于Gi接口域,在移动终端访问PDN业务时,产生移动终端会话表。会话表是防火墙转发数据的依据,包括源IP、目的IP、源端口、目的端口及协议号,通常防火墙只对首包进行安全过滤,对合法的流创建会话表,后续报文直接查会话表转发。PDN服务主机301返回给移动终端的数据因命中这些会话表而被转发;
22:监测GTP协议报文的移动终端监测实体401监测到移动终端去激活消息后,将所述移动终端的会话信息和去激活动作一起发送给攻击防范实体10;
23:攻击防范实体10获取所述去激活动作对应的移动终端的会话信息所包含的IP地址;
24:攻击防范实体10置所述IP地址对应的相关会话表为无效,例如,可删除这些会话表表项,或者标记为不可用等;
25:攻击防范实体10收到计费溢出流量时,查找与所述流量对应的会话表,由于步骤23中已经将相关会话表设置为无效,所以,无法命中有效的会话表,从而会丢弃所述流量,由此就实现了计费溢出攻击防范。
在实施例一的优点的基础之上,实施例三还有以下优点:
首先,实体401位于GTP通信系统正常通信必选组件之外,所以组网方便,而且没有性能压力。
其次,很多交换机都支持流量镜像功能,实施例三的方案实施起来比较方便。
再次,同时发送移动终端会话信息和去激活动作,攻击防范实体可以直接查找到去激活动作对应的IP地址后,置所述IP地址相关的会话表无效,实现方式简便。
最后,很多防火墙产品和入侵检测设备产品之间的联动有成熟的接口,便于本发明的技术方案能够以低成本开展。
如图4所示,是本发明实施例中移动终端监测装置的结构框图,包括:
第一监测单元401,用于对移动终端进行监测,获取移动终端会话信息,会话信息中包括移动终端标识信息;状态监测的具体实现是监测GTP报文并获取移动终端标识信息,所述标识信息包括所述移动终端IP地址和IMSI;第一监测单元401还可以通过监测移动终端的GTP报文获取移动终端会话信息;
第一监测单元401可以位于Gn口,也可以位于Gp口或Ga口;
第一发送单元402,用于向攻击防范实体发送所述移动终端标识信息;
第二发送单元403,用于当所述第一监测单元401监测到所述移动终端的去激活动作后,向Gi域的攻击防范实体发送去激活动作通知,以指示所述Gi域的攻击防范实体根据所述去激活动作,将所述移动终端标识信息对应的会话表中所述IP地址的转发功能置为无效。
本发明的实施例通过对移动终端进行状态监测,在监测到移动终端去激活动作后,通知Gi域的攻击防范实体,以指示所述攻击防范实体将所述移动终端IP地址对应的会话表置为无效,将未命中会话表的报文抛弃。本发明实施例不需要对修改GPRS网络和PS域网络实体的功能,而且充分利用了成熟防火墙的技术,只需要较小的成本就能够实现计费溢出攻击,操作起来简单可行。
如图5所示,是本发明实施例中的攻击防范装置的结构框图,包括:
第一接收单元501,用于接收移动终端去激活动作通知和移动终端标识信息,所述去激活动作通知用于指示所述移动终端监测实体监测到所述移动终端的去激活动作,所述会话信息包括所述移动终端IP地址;
移动终端会话信息可以表现为GTP协议会话信息,所述会话信息包括所述移动终端IP地址;
第一处理单元502,用于获取与移动终端标识信息对应的会话表;
第二处理单元503,用于根据所述去激活动作,将所述会话表置为无效。
本发明的实施例通过对移动终端进行状态监测,在监测到移动终端去激活动作后,通知Gi域的攻击防范实体,以指示所述攻击防范实体将所述移动终端IP地址对应的会话表置为无效,将未命中会话表的报文抛弃。本发明实施例不需要对修改GPRS网络和PS域网络实体的功能,而且充分利用了成熟防火墙的技术,只需要较小的成本就能够实现计费溢出攻击,操作起来简单可行。
其中,所述第二处理单元具体为:
删除模块,用于删除所述会话表;或
标记模块,用于将所述会话表项标记为不可用。
其中,所述第一接收单元还包括:
第一接收模块,用于接收移动终端GTP协议会话信息,所述会话信息包括所述移动终端IP地址。
其中,所述第一接收单元还可以包括:
建立模块,用于根据所述移动终端会话信息,建立所述移动终端IP地址与移动终端IMSI的对应关系;
则所述第一处理单元具体包括:
第一获取模块,用于根据所述去激活动作,获取所述移动终端IMSI;
第二获取模块,用于根据所述IMSI,从所述建立模块获取所述移动终端IP地址。
如图6所示,是本发明的阻止计费溢出攻击的系统的实施例一的框图,包括:
移动终端监测装置601和攻击防范装置602,其中,所述移动终端监测装置包括:
第一监测单元401,用于对移动终端进行状态监测,获取移动终端标识信息,第一监测单元位于Gn口、Gp口或Ga口;
第一发送单元402,用于向攻击防范装置发送所述移动终端标识信息;
第二发送单元403,用于当所述第一监测单元监测到所述移动终端的去激活动作后,向攻击防范装置发送去激活动作通知;所述去激活动作通知用于通知攻击防范装置将移动终端标识信息对应的会话表置为无效。
所述攻击防范装置包括:第一接收单元501,用于接收移动终端的去激活动作通知和移动终端标识信息,所述去激活动作通知用于指示所述移动终端监测装置监测到所述移动终端的去激活动作;
第一处理单元502,用于获取与移动终端标识信息对应的会话表;
第二处理单元503,用于根据所述去激活动作,将所述会话表置为无效。
其中,在实际运用中,所述移动终端监测装置601具体为:
防火墙、安全网关、入侵监控设备、GGSN或SGSN。
其中,在实际运用中,所述攻击防范装置位于Gi域,具体为:
防火墙、安全网关、或GGSN。
本发明的实施例通过对移动终端进行状态监测,在监测到移动终端去激活动作后,通知Gi域的攻击防范装置,以指示所述攻击防范装置将所述移动终端IP地址对应的会话表置为无效,将未命中会话表的报文抛弃。本发明实施例不需要对修改GPRS网络和PS域网络实体的功能,而且充分利用了成熟防火墙的技术,只需要较小的成本就能够实现计费溢出攻击,操作起来简单可行。
本发明的方法和装置及系统实施例还可以根据实际情况,采用如图7、8和图9所示的结构,同样可以解决本发明所提出的技术问题。其具体的实现流程与前述实施例基本相当,不再重复。
在图7所示的系统300中,GSN或CG负责把相关的计费报文发送给组件501,组件501进行分析并监控MS的会话。在其他方面,系统300与系统100一样。
在图8所示的系统400中,移动终端监测装置20位于Ga域。MS监测实体通过对过往的计费信令过程进行监测,从而获得达到监测MS的会话的目的。在其他方面,系统400与系统100一样。
在图9所示的系统500中,GGSN自身集成了MS监测实体和攻击防范实体功能。在其他方面,系统500与系统100一样。
综上,在本发明的各个实施例中,通过充分利用成熟防火墙技术,设计了MS监测实体和攻击防范实体两个功能实体及二者协同工作的机制,在现有及未来的GPRS网络和PS域网络及任何具有类似机制的通信系统中实现了一种阻止GTP计费溢出攻击的方法,这种方法具有高可行性,而且,本方法不需要修改GPRS网络和PS域网络的任何实体的功能,具有良好的通用性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (23)
1、一种阻止计费溢出攻击的方法,其特征在于,包括:
获取移动终端标识信息;
向攻击防范实体发送移动终端标识信息;
监测到所述移动终端的去激活动作后,向攻击防范实体发送去激活动作通知,所述去激活动作通知用于通知所述攻击防范实体将移动终端标识信息对应的会话表置为无效。
2、如权利要求1所述的方法,其特征在于,所述对移动终端进行状态监测包括:
直接截取移动终端会话通用无线分组服务隧道协议GTP报文后,监测所述GTP报文;或,
接收GSN发送的移动终端会话GTP报文,监测所述GTP报文。
3、如权利要求1所述的方法,其特征在于,所述移动终端标识信息具体为:
移动终端IP地址或移动终端国际移动用户识别码。
4、如权利要求3所述的方法,其特征在于,当移动终端标识信息为移动终端国际移动用户识别码时,所述移动终端会话信息在所述去激活动作通知之前发送,所述移动终端会话信息包含移动终端IP地址和国际移动用户识别码,所述移动终端会话信息用于提供给所述攻击防范实体建立移动终端IP地址和国际移动用户识别码之间的对应关系。
5、如权利要求3所述的方法,其特征在于,当移动终端标识信息为移动终端IP地址时,所述移动终端会话信息与所述去激活动作通知同时发送,所述移动终端会话信息包含移动终端IP地址。
6、如权利要求1所述的方法,其特征在于,所述监测GTP报文在Gn接口域、在Gp接口域或在Ga接口域进行。
7、一种阻止计费溢出攻击的方法,其特征在于,包括:
接收去激活动作通知和移动终端标识信息,所述去激活动作通知用于指示移动终端监测实体监测到所述移动终端的去激活动作;
将所述移动终端标识信息对应的会话表置为无效。
8、如权利要求7所述的方法,其特征在于,所述移动终端标识信息具体为移动终端IP地址,所述将移动终端标识信息对应的会话表置为无效为:
所述将移动终端IP地址对应的会话表置为无效。
9、如权利要求7所述的方法,其特征在于,
所述移动终端标识信息为移动终端国际移动用户识别码,在接收去激活动作通知之前,还包括:
接收移动终端监测实体发送的移动终端会话信息,所述移动终端会话信息包括移动终端IP地址和国际移动用户识别码;
建立移动终端IP地址和国际移动用户识别码之间的对应关系。
10、如权利要求9所述的方法,其特征在于,所述将移动终端标识信息对应的会话表置为无效包括:
根据接收到的移动终端国际移动用户识别码找到对应的移动终端IP地址,将IP地址对应的会话表置为无效。
11、如权利要求7所述的方法,其特征在于,当移动终端标识信息为移动终端IP地址时,所述移动终端会话信息与所述去激活动作通知是同时接收的,所述移动终端会话信息包含移动终端IP地址。
12、如权利要求7-11任一项所述的方法,其特征在于,所述将移动终端标识信息对应的会话表置为无效包括:
删除所述会话表;或
将所述会话表表项标记为不可用。
13、一种移动终端监测装置,其特征在于,包括:
第一监测单元,用于对移动终端进行状态监测,获取移动终端标识信息;
第一发送单元,用于向攻击防范实体发送所述移动终端标识信息;
第二发送单元,用于当所述第一监测单元监测到所述移动终端的去激活动作后,向攻击防范实体发送去激活动作通知;所述去激活动作通知用于通知攻击防范实体将移动终端标识信息对应的会话表置为无效。
14、如权利要求13所述的装置,其特征在于,所述第一监测单元位于Gn口、Gp口或Ga口。
15、如权利要求13所述的装置,其特征在于,所述第一监测单元具体用于通过监测移动终端会话通用无线分组服务隧道协议GTP报文来进行状态监测,获得移动终端会话信息后,所述移动终端会话信息包括移动终端标识信息,通过所述第一发送单元发送给攻击防范实体。
16、一种攻击防范装置,其特征在于,包括:
第一接收单元,用于接收移动终端去激活动作通知和移动终端标识信息,所述去激活动作通知用于指示移动终端监测实体监测到所述移动终端的去激活动作;
第一处理单元,用于获取与移动终端标识信息对应的会话表;
第二处理单元,用于根据所述去激活动作通知,将所述会话表置为无效。
17、如权利要求16所述的装置,其特征在于,所述第二处理单元具体为:
删除模块,用于删除所述会话表;或
标记模块,用于将所述会话表项标记为不可用。
18、如权利要求16所述的装置,其特征在于,所述第一接收单元还包括:
第一接收模块,用于接收移动终端GTP协议会话信息,所述会话信息包括所述移动终端IP地址。
19、如权利要求18所述的装置,其特征在于,所述第一接收单元还包括:
建立模块,用于根据所述会话信息,建立所述移动终端IP地址与移动终端IMSI的对应关系;
则所述第一处理单元包括:
第一获取模块,用于根据所述去激活动作,获取所述移动终端IMSI;
第二获取模块,用于根据所述IMSI,从所述建立模块获取所述移动终端IP地址。
20、一种阻止计费溢出攻击的系统,其特征在于,包括:
移动终端监测装置和攻击防范装置,其中,移动终端监测装置包括:
第一监测单元,用于对移动终端进行状态监测,获取移动终端标识信息;
第一发送单元,用于向攻击防范实体发送所述移动终端标识信息;
第二发送单元,用于当所述第一监测单元监测到所述移动终端的去激活动作后,向攻击防范装置发送去激活动作通知;所述去激活动作通知用于通知攻击防范实体将移动终端标识信息对应的会话表置为无效;
所述攻击防范装置包括:
第一接收单元,用于接收移动终端的去激活动作通知和移动终端标识信息,所述去激活动作通知用于指示所述移动终端监测装置监测到所述移动终端的去激活动作;
第一处理单元,用于获取与移动终端标识信息对应的会话表;
第二处理单元用于根据所述去激活动作,将所述会话表置为无效。
21、如权利要求20所述的系统,其特征在于,所述移动终端监测装置具体为:
防火墙、安全网关、入侵监控设备、GGSN或SGSN。
22、如权利要求20所述的系统,其特征在于,所述攻击防范装置具体为:
防火墙、安全网关、或GGSN。
23、如权利要求20所述的系统,其特征在于,所述第一监测单元位于Gn口、Gp口或Ga口,所述攻击防范装置位于Gi域。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008102156911A CN101364906A (zh) | 2008-09-12 | 2008-09-12 | 阻止计费攻击的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008102156911A CN101364906A (zh) | 2008-09-12 | 2008-09-12 | 阻止计费攻击的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101364906A true CN101364906A (zh) | 2009-02-11 |
Family
ID=40391079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008102156911A Pending CN101364906A (zh) | 2008-09-12 | 2008-09-12 | 阻止计费攻击的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101364906A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102196440A (zh) * | 2010-03-01 | 2011-09-21 | 李青山 | 网络审计和入侵检测方法及系统 |
| CN102970670A (zh) * | 2012-12-06 | 2013-03-13 | 华为技术有限公司 | 一种防范计费溢出的方法、装置及系统 |
| CN103222226A (zh) * | 2011-11-04 | 2013-07-24 | 华为技术有限公司 | 用户设备下线的处理方法、装置和网络系统 |
| CN103780586A (zh) * | 2012-10-22 | 2014-05-07 | 中国移动通信集团广东有限公司 | 防止数据流量误计费的方法、装置及系统 |
| CN104618519A (zh) * | 2013-11-04 | 2015-05-13 | 华为终端有限公司 | Pdp/pdn地址释放通知方法、装置及服务器 |
| CN104683319A (zh) * | 2013-12-03 | 2015-06-03 | 中国移动通信集团广东有限公司 | 一种清除防火墙会话的方法、装置及网络设备 |
-
2008
- 2008-09-12 CN CNA2008102156911A patent/CN101364906A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102196440A (zh) * | 2010-03-01 | 2011-09-21 | 李青山 | 网络审计和入侵检测方法及系统 |
| CN103222226A (zh) * | 2011-11-04 | 2013-07-24 | 华为技术有限公司 | 用户设备下线的处理方法、装置和网络系统 |
| CN103780586A (zh) * | 2012-10-22 | 2014-05-07 | 中国移动通信集团广东有限公司 | 防止数据流量误计费的方法、装置及系统 |
| CN102970670A (zh) * | 2012-12-06 | 2013-03-13 | 华为技术有限公司 | 一种防范计费溢出的方法、装置及系统 |
| CN102970670B (zh) * | 2012-12-06 | 2015-09-30 | 华为技术有限公司 | 一种防范计费溢出的方法、装置及系统 |
| CN104618519A (zh) * | 2013-11-04 | 2015-05-13 | 华为终端有限公司 | Pdp/pdn地址释放通知方法、装置及服务器 |
| CN104618519B (zh) * | 2013-11-04 | 2018-11-16 | 华为终端有限公司 | Pdp/pdn地址释放通知方法、装置及服务器 |
| CN104683319A (zh) * | 2013-12-03 | 2015-06-03 | 中国移动通信集团广东有限公司 | 一种清除防火墙会话的方法、装置及网络设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2314128B1 (en) | Method and system for bypassing 3gpp packet switched core network when accessing internet from 3gpp ues using 3gpp radio access network | |
| EP1240744B1 (en) | Prevention of spoofing in telecommunications systems | |
| US7606152B2 (en) | Setting a communication channel | |
| CN101364906A (zh) | 阻止计费攻击的方法和系统 | |
| CN104301321B (zh) | 一种实现分布式网络安全防护的方法及系统 | |
| US11356416B2 (en) | Service flow control method and apparatus | |
| US8270942B2 (en) | Method for the interception of GTP-C messages | |
| CN105491617A (zh) | 一种支持业务本地分流的方法及基站子系统 | |
| CN109981373B (zh) | 一种通信流量计费方法和系统 | |
| CN104584679A (zh) | 应用服务平台与接入节点和本地网关的共位 | |
| WO2011063239A1 (en) | Method and system for selectively bypassing packet core network within a session based on traffic type | |
| WO2009053918A2 (en) | Method and system for on demand provisioning in a mobile communication network | |
| KR20070104633A (ko) | 코어 네트워크를 보호하는 방법 및 장치 | |
| CN114697945A (zh) | 发现响应消息的生成方法及装置、发现消息的处理方法 | |
| CN105939267A (zh) | 带外管理方法及装置 | |
| CN109246762A (zh) | 一种本地业务分流方法及装置 | |
| KR101039092B1 (ko) | IPv6 네트워크 내 호스트 보호 및 격리방법 | |
| CN101925038B (zh) | 数据传输方法、通信装置及网络系统 | |
| CN101505478B (zh) | 一种过滤报文的方法、装置和系统 | |
| CN105681352B (zh) | 一种无线网络访问安全管控方法和系统 | |
| CN107911813B (zh) | 透明模式的移动用户身份管理方法及系统 | |
| KR101703491B1 (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
| CN102083173B (zh) | 一种网络接入控制方法、设备及网关gprs支持节点 | |
| CN112752300B (zh) | 本地分流的实现方法及装置 | |
| CN101547185B (zh) | 一种移动网中防止移动终端间互相攻击的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20090211 |