CN102739458A - 一种针对ip多媒体子系统的rtp威胁的检测方法和系统 - Google Patents
一种针对ip多媒体子系统的rtp威胁的检测方法和系统 Download PDFInfo
- Publication number
- CN102739458A CN102739458A CN2011100807040A CN201110080704A CN102739458A CN 102739458 A CN102739458 A CN 102739458A CN 2011100807040 A CN2011100807040 A CN 2011100807040A CN 201110080704 A CN201110080704 A CN 201110080704A CN 102739458 A CN102739458 A CN 102739458A
- Authority
- CN
- China
- Prior art keywords
- rtp
- packet
- rtp packet
- user
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种针对IP多媒体子系统实时传输协议威胁的检测方法,包括:监听IMS中的数据流,过滤出RTP数据包,对过滤出的RTP数据包进行解析,提取所述RTP数据包的通话参数;利用通话参数,根据检测策略构造伪造RTP数据包,并发送至通话用户,实现威胁检测。本发明同时公开了一种实现上述方法的针对IP多媒体子系统实时传输协议威胁的检测系统。本发明能主动确定IMS系统中的RTP威胁,大大方便了IMS系统的安全策略的制定,从而提升IMS系统的服务质量。
Description
技术领域
本发明涉及一种实时传输协议(RTP,(Real-time Transport Protocol)威胁检测技术,尤其涉及一种针对IP多媒体子系统(IMS,IP Multimedia Subsystem)的RTP威胁的检测方法和系统。
背景技术
下一代网络(NGN,Next Generation Network)是建立在IP技术基础上的新型公共电信网络,也是国家的信息基础设施的重要组成部分和信息通信的神经枢纽,承担着大范围内的公众电信业务。
IP多媒体子系统(IMS,IP Multimedia Subsystem)是NGN控制层的核心构架,是第三代移动通信伙伴组织(3GPP,3rd Generation Partnership Project)在Release 5版本标准中提出的支持IP多媒体业务的系统。IMS的特点是使用会话初始化协议(SIP,Session Initiation Protocol)呼叫控制机制来创建、管理和终结各种类型的多媒体业务,实现了控制和承载的分离,支持开放的应用程序编程接口(API,Application Programming Interface),并基于IP分组网络,支持各类接入方式。这些特点使得IMS存在比传统电信网络更多的安全脆弱性。
鉴于IMS的重要地位,IMS的安全问题已经得到了广泛的重视。与传统电信网相比,IMS的安全问题有着其自身的特殊性:IMS融合了传统电信网和因特网,借鉴了因特网的成功经验,采用了许多因特网关键技术,如SIP等。这导致因特网中的安全问题被引入到IMS中。研究IMS的安全问题对于促进下一代网络顺利、安全地部署具有重要意义。因此,安全问题是IMS下一步研究的重点。
实时传输协议(RTP,Real-time Transport Protocol)承担了IMS中媒体流传输的主要工作。由于RTP具有不完善的加密机制,缺乏消息认证机制,真实性和信息完整性没有在RTP层定义,所以其数据易被监听和篡改。当SIP协议采用明文传输时,监听者可从SIP协议所携带的会话描述协议(SDP,SessionDescription Protocol)信息中获取RTP使用的端口号,从而从捕获的数据包中过滤出RTP媒体流并篡改其参数信息,以实现如(SSRC,Synchronization Source)冲突、流插入等威胁。同时,RTP也易受到互联网上常见的如重放等威胁。因此,研究IMS的RTP安全问题,有助于完善IMS网络的安全体系和安全措施。当前,针对IMS网络媒体流传输的安全研究尚位于起步阶段,业界缺乏一种针对IMS的RTP威胁的检测方法。
发明内容
有鉴于此,本发明的主要目的在于提供一种一种针对IP多媒体子系统的RTP威胁的检测方法和系统,能检测并构造RTP数据包,从而实现对RTP各种威胁进行检测。
为达到上述目的,本发明的技术方案是这样实现的:
一种针对IP多媒体子系统实时传输协议威胁的检测方法,包括:
监听IMS中的数据流,过滤出实时传输协议RTP数据包,对过滤出的RTP数据包进行解析,提取所述RTP数据包的通话参数;
利用通话参数,根据检测策略构造伪造RTP数据包,并发送至通话用户,实现威胁检测。
优选地,所述过滤出RTP数据包,为:
获取通话用户双方建立通话时的SIP信令;
对SIP信令进行解析,获得通话用户双方的IP地址及RTP使用的用户数据包协议UDP端口号;
通话双方建立通话后,根据IP地址及RTP使用的UDP端口号过滤出通话用户双方的RTP数据包。
优选地,所述过滤出RTP数据包,为:
检测当前所接收数据流是否与RTP数据流特征匹配,匹配时将所接收数据流作为RTP数据流;所述RTP数据流特征包括以下特征的至少一项:
UDP载荷头部的两个比特是0x10,指示其协议版本号为V=2;
RTP数据流的数据包载荷类型不变,且位于数据包的第9到15比特;
RTP数据流中相邻数据包的序列号SN随传输数据包的数量递增,增量为1,且位于第16到31比特;
RTP数据流中数据包的时间戳值随传输时间递增,且位于数据包的第32到63比特;
RTP数据流的数据包的同步源标识SSRC值不变,且位于数据包的第64到95比特。
优选地,所述对过滤出的RTP数据包进行解析,为:
获取RTP数据包的完整IP包,对所述完整IP包进行IP、UDP、RTP的逐层解析,根据RTP协议栈中各通话参数所处的位置,提取出通话参数;所述通话参数主要包括:RTP数据包的序列号SN、RTP数据包的时间戳Timestamp、数据包的SSRC。
优选地,所述威胁检测包括以下威胁检测的至少一种:
会话中断威胁检测、合法用户被踢出会话威胁检测和流插入威胁检测;
所述检测策略对应包括以下策略的至少一种:
检测会话中断威胁的策略、检测合法用户被踢出会话威胁的策略和检测流插入威胁策略;
其中,实现会话中断威胁检测为:
根据检测会话中断威胁的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流发送者中断自己的RTP会话,并向RTP数据流接收者发送RTP控制协议RTCP终止标识BYE包,并改变RTP数据流发送者的SSRC值;所述检测会话中断威胁的策略为:当用户A位于通话中,且作为发送者正在给其他用户发送RTP数据包时,监听获取用户A发送的RTP数据包的SSRC值x;伪造RTP数据包,伪造的RTP数据包中SSRC值为x;并将伪造后的RTP数据包发给用户A;
实现合法用户被踢出会话威胁检测为:根据检测合法用户被踢出会话威胁的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流接收者放弃原始发送者发送的数据包,转而接收威胁者发来的伪造的RTP数据包;所述检测合法用户被踢出会话威胁的策略为:当用户A位于通话中,且作为接收者正在其他用户发送的RTP数据包,监听获取用户A接收的RTP数据包的SSRC值x;伪造RTP数据包,伪造的RTP数据包中SSRC值为x;并将伪造后的RTP数据包发给用户A;
实现流插入威胁检测为:根据检测流插入威胁策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流接收者同时接收来自用户A和威胁者发来的RTP数据包;所述检测流插入威胁策略为:用户A和用户B正在通话,且A作为RTP数据包发送者正在给用户B发送RTP数据包,监听获取用户A的IP地址、发送RTP数据包使用的端口号、发送的RTP数据包的SSRC值x、序列号y和时间戳的值z;伪造RTP数据包,伪造的RTP数据包的SSRC值为x、序列号为y和时间戳的值为z;将伪造后的RTP数据包发给用户B,且使用的IP地址和端口号与用户A的相同。
在上述RTP威胁的检测方法中,所述伪造RTP数据包的构造方法为:伪造模块从监听模块接收RTP参数;同时可接收用户从外部输入的指令,指定要进行何种威胁。伪造模块根据参数和指令,调用开源的RTP库,构造符合标准的RTP数据包。
一种针对IP多媒体子系统实时传输协议威胁的检测系统,包括监听模块、过滤模块、解析及提取模块、构造模块、发送模块和检测模块,其中,
监听模块,用于监听IMS中的数据流;
过滤模块,用于过滤出RTP数据包;
解析及提取模块,用于对过滤出的RTP数据包进行解析,提取所述RTP数据包的通话参数;
构造模块,用于利用通话参数,根据检测策略构造伪造RTP数据包;
发送模块,用于将伪造RTP数据包发送至通话用户;
检测模块,用于利用伪造RTP数据包实现威胁检测。
优选地,所述过滤模块进一步用于,获取通话用户双方建立通话时的SIP信令;对SIP信令进行解析,获得通话用户双方的IP地址及RTP使用的用户数据包协议UDP端口号;并在通话双方建立通话后,根据IP地址及RTP使用的UDP端口号过滤出通话用户双方的RTP数据包。
优选地,所述过滤模块进一步用于,检测当前所接收数据流是否与RTP数据流特征匹配,匹配时将所接收数据流作为RTP数据流;所述RTP数据流特征包括以下特征的至少一项:
UDP载荷头部的两个比特是0x10,指示其协议版本号为V=2;
RTP数据流的数据包载荷类型不变,且位于数据包的第9到15比特;
RTP数据流中相邻数据包的序列号SN随传输数据包的数量递增,增量为1,且位于第16到31比特;
RTP数据流中数据包的时间戳值随传输时间递增,且位于数据包的第32到63比特;
RTP数据流的数据包的同步源标识SSRC值不变,且位于数据包的第64到95比特。
优选地,所述解析及提取模块进一步用于,获取RTP数据包的完整IP包,对所述完整IP包进行IP、UDP、RTP的逐层解析,根据RTP协议栈中各通话参数所处的位置,提取出通话参数;所述通话参数主要包括:RTP数据包的序列号SN、RTP数据包的时间戳Timestamp、数据包的SSRC。
优选地,所述威胁检测包括以下威胁检测的至少一种:
会话中断威胁检测、合法用户被踢出会话威胁检测和流插入威胁检测;
所述检测策略对应包括以下策略的至少一种:
检测会话中断威胁的策略、检测合法用户被踢出会话威胁的策略和检测流插入威胁策略;
检测模块进一步地,根据检测会话中断威胁的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流发送者中断自己的RTP会话,并向RTP数据流接收者发送RTP控制协议RTCP终止标识BYE包,并改变RTP数据流发送者的SSRC值;所述检测会话中断威胁的策略为:当用户A位于通话中,且作为发送者正在给其他用户发送RTP数据包时,监听获取用户A发送的RTP数据包的SSRC值x;伪造RTP数据包,伪造的RTP数据包中SSRC值为x;并将伪造后的RTP数据包发给用户A;
或者,所述检测模块进一步地,实现合法用户被踢出会话威胁检测为:根据检测合法用户被踢出会话威胁的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流接收者放弃原始发送者发送的数据包,转而接收威胁者发来的伪造的RTP数据包;所述检测合法用户被踢出会话威胁的策略为:当用户A位于通话中,且作为接收者正在其他用户发送的RTP数据包,监听获取用户A接收的RTP数据包的SSRC值x;伪造RTP数据包,伪造的RTP数据包中SSRC值为x;并将伪造后的RTP数据包发给用户A;
或者,所述检测模块进一步地,根据检测流插入威胁策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流接收者同时接收来自用户A和威胁者发来的RTP数据包;所述检测流插入威胁策略为:用户A和用户B正在通话,且A作为RTP数据包发送者正在给用户B发送RTP数据包,监听获取用户A的IP地址、发送RTP数据包使用的端口号、发送的RTP数据包的SSRC值x、序列号y和时间戳的值z;伪造RTP数据包,伪造的RTP数据包的SSRC值为x、序列号为y和时间戳的值为z;将伪造后的RTP数据包发给用户B,且使用的IP地址和端口号与用户A的相同。
本发明中,首先在数据流中检测出RTP数据流,再对当前数据流中所检测出的RTP数据流进行解析,获取RTP数据流的各种通话参数,然后根据所获取的通话参数构造出伪造RTP数据包,发送给待检测的通话方,再利用检测策略,实现RTP威胁的检测。本发明能主动确定IMS系统中的RTP威胁,大大方便了IMS系统的安全策略的制定,从而提升IMS系统的服务质量。
附图说明
图1为本发明针对IP多媒体子系统实时传输协议威胁的检测系统的组成结构示意图;
图2为本发明针对IP多媒体子系统实时传输协议威胁的检测方法的流程图。
具体实施方式
图1为本发明针对IP多媒体子系统实时传输协议威胁的检测系统的组成结构示意图,如图1所示,本发明针对IP多媒体子系统实时传输协议威胁的检测系统包括监听模块10、过滤模块11、解析及提取模块12、构造模块13、发送模块14和检测模块15,其中,
监听模块10,用于监听IMS中的数据流;
过滤模块11,用于过滤出RTP数据包;
解析及提取模块12,用于对过滤出的RTP数据包进行解析,提取所述RTP数据包的通话参数;
构造模块13,用于利用通话参数,根据检测策略构造伪造RTP数据包;
发送模块14,用于将伪造RTP数据包发送至通话用户;
检测模块15,用于利用伪造RTP数据包实现威胁检测。
上述过滤模块11进一步用于,获取通话用户双方建立通话时的SIP信令;对SIP信令进行解析,获得通话用户双方的IP地址及RTP使用的用户数据包协议UDP端口号;并在通话双方建立通话后,根据IP地址及RTP使用的UDP端口号过滤出通话用户双方的RTP数据包。
或者,上述过滤模块11进一步用于,检测当前所接收数据流是否与RTP数据流特征匹配,匹配时将所接收数据流作为RTP数据流;所述RTP数据流特征包括以下特征的至少一项:
UDP载荷头部的两个比特是0x10,指示其协议版本号为V=2;
RTP数据流的数据包载荷类型不变,且位于数据包的第9到15比特;
RTP数据流中相邻数据包的序列号SN随传输数据包的数量递增,增量为1,且位于第16到31比特;
RTP数据流中数据包的时间戳值随传输时间递增,且位于数据包的第32到63比特;
RTP数据流的数据包的同步源标识SSRC值不变,且位于数据包的第64到95比特。
上述解析及提取模块12进一步用于,获取RTP数据包的完整IP包,对所述完整IP包进行IP、UDP、RTP的逐层解析,根据RTP协议栈中各通话参数所处的位置,提取出通话参数;所述通话参数主要包括:RTP数据包的序列号SN、RTP数据包的时间戳Timestamp、数据包的SSRC。
上述威胁检测包括以下威胁检测的至少一种:
会话中断威胁检测、合法用户被踢出会话威胁检测和流插入威胁检测;
上述检测策略对应包括以下策略的至少一种:
检测会话中断威胁的策略、检测合法用户被踢出会话威胁的策略和检测流插入威胁策略;
检测模块15进一步地,根据检测会话中断威胁的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流发送者中断自己的RTP会话,并向RTP数据流接收者发送RTP控制协议RTCP终止标识BYE包,并改变RTP数据流发送者的SSRC值;所述检测会话中断威胁的策略为:当用户A位于通话中,且作为发送者正在给其他用户发送RTP数据包时,监听获取用户A发送的RTP数据包的SSRC值x;伪造RTP数据包,伪造的RTP数据包中SSRC值为x;并将伪造后的RTP数据包发给用户A;
或者,检测模块15进一步地,实现合法用户被踢出会话威胁检测为:根据检测合法用户被踢出会话威胁的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流接收者放弃原始发送者发送的数据包,转而接收威胁者发来的伪造的RTP数据包;所述检测合法用户被踢出会话威胁的策略为:当用户A位于通话中,且作为接收者正在其他用户发送的RTP数据包,监听获取用户A接收的RTP数据包的SSRC值x;伪造RTP数据包,伪造的RTP数据包中SSRC值为x;并将伪造后的RTP数据包发给用户A;
或者,检测模块15进一步地,根据检测流插入威胁策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流接收者同时接收来自用户A和威胁者发来的RTP数据包;所述检测流插入威胁策略为:用户A和用户B正在通话,且A作为RTP数据包发送者正在给用户B发送RTP数据包,监听获取用户A的IP地址、发送RTP数据包使用的端口号、发送的RTP数据包的SSRC值x、序列号y和时间戳的值z;伪造RTP数据包,伪造的RTP数据包的SSRC值为x、序列号为y和时间戳的值为z;将伪造后的RTP数据包发给用户B,且使用的IP地址和端口号与用户A的相同。
构造模块13从解析及提取模块12接收RTP的相关通话参数,并可接收用户从外部输入的指令,获取要构造出何种RTP威胁数据包。构造模块13根据相关通话参数和输入指令,调用开源的RTP库,构造符合标准的RTP数据包。上述发送模块14获取构造模块13构造的RTP包,将其按发送设置类型转发出去。当检测会话中断威胁、合法用户被踢出会话威胁时,只需直接使用开源的RTP库的发送功能进行发送即可;当验证流插入威胁时,要使用原始套接字手填写IP头部的源IP地址字段,进行IP伪装,再将RTP包作为UDP的载荷,构造IP/UDP包,发送到目的IMS终端。
本领域技术人员应当理解,本发明图1所示的针对IP多媒体子系统实时传输协议威胁的检测系统中的各处理模块所实现的功能可通过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现。
图2为本发明针对IP多媒体子系统实时传输协议威胁的检测方法的流程图,如图2所示,本发明针对IP多媒体子系统实时传输协议威胁的检测方法包括以下步骤:
步骤201:检测者监听IMS核心网中正常通话用户之间的数据流,并从中过滤出RTP数据包。
具体的,本发明中监听IMS核心网中的数据流是获取RTP数据包的基础,包括以下方式:广域网监听方式和局域网监听方式。所述局域网监听方式包括以下两种:广播式局域网监听方式、交换式局域网监听方式。
本发明中滤出RTP数据包是进行威胁检测的基础,包括以下方式:结合SIP呼叫信令过滤RTP的方式、根据RTP数据流特征过滤RTP的方式。所述结合SIP呼叫信令过滤RTP方式,具体为:根据SIP消息体中提供的IP地址和UDP端口来过滤RTP数据包,执行过程包括以下步骤:
第一步:获取正常用户建立通话时的SIP信令;
第二步:对SIP信令进行解析,获得通话双方的IP地址及RTP使用的UDP端口号;
第三步:双方通话建立后,根据IP地址及RTP使用的UDP端口号来过滤通话双方的RTP数据包。
所述根据RTP数据流特征过滤RTP方式,具体为:结合RTP协议的特点,进行多方面的特征匹配,从监听到的大量数据流中过滤有效的RTP数据流。
其中,所述RTP协议的特点包括:
(1)UDP载荷头部的两个比特是0x10,指示其协议版本号为V=2;
(2)对某一个RTP数据流来说,其数据包的载荷类型(Payload Type)不变,其位置位于RTP数据包的第9到15比特;
(3)RTP数据流中相邻数据包的序列号(Sequence Number,SN)随包数递增,增量为1,其位置位于RTP数据包的第16到31比特;
(4)RTP数据流中数据包的时间戳值(Timestamp)随时间递增,其位置位于RTP数据包的第32到63比特;
(5)对某一个RTP数据流来说,其RTP数据包的同步源标识(SSRC,Synchronization Source)值不变,其位置位于RTP数据包的第64到95比特。
步骤202:检测者对得到的RTP数据包进行分析,提取出重要的通话参数。
具体的,本发明中对RTP数据包的分析方法为;获取RTP数据包的完整IP包之后,对其进行IP、UDP、RTP的逐层解析,根据RTP协议栈中各通话参数所处的位置,将这些通话参数从完整数据中取出。
其中,所述重要的通话参数主要包括:SN、Timestamp、SSRC等。
步骤203:检测者利用通话参数,根据检测需求制定检测策略,构造的伪造RTP数据包。
具体的,本发明中述检测需求包括:
(1)会话中断威胁检测,即根据特定的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流发送者中断自己的RTP会话,并发送RTCPBYE包给接收者,同时改变自己的SSRC值;
(2)合法用户被踢出会话威胁检测,即根据特定的策略构造并发RTP数据包,检测是否能使正常通话中的RTP数据流接收者放弃原始发送者发来的数据包,转而接收威胁者发来的伪造的RTP数据包;
(3)流插入威胁检测,即根据特定的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流接收者同时接收来自用户A和威胁者发来的RTP数据包。
与上述的威胁检测对应的,本发明中检测策略包括:
(1)检测会话中断威胁的策略,即当用户A正在通话中,并且作为发送者正在给其他用户发送RTP数据包,监听模块通过监听的方法,获取A发送的RTP数据包的SSRC值x;伪造模块伪造RTP数据包(其中SSRC值为x);发送模块将RTP数据包发给用户A。
(2)检测合法用户被踢出会话威胁的策略,即当用户A正在通话中,并且作为接收者正在其他用户发送的RTP数据包,监听模块通过监听的方法,获取A接收的RTP数据包的SSRC值x;伪造模块伪造RTP数据包(其中SSRC值为x);发送模块将RTP数据包发给用户A。
(3)检测流插入威胁策略,即当用户A和用户B正在通话中,并且A作为发送者正在给B发送RTP数据包,监听模块通过监听的方法,获取A的IP地址、发送RTP数据包使用的端口号、发送的RTP数据包的SSRC值x、序列号y和时间戳的值z;伪造模块伪造RTP数据包(其中SSRC值为x、序列号为y和时间戳的值为z);发送模块将数据包发给用户B,使用的IP地址和端口号与用户A的相同。
本发明中伪造RTP数据包的构造方式具体为:获取RTP的各通话参数;同时结合用户输入的指令,根据指令所指定的需要构造何种RTP威胁,调用开源的RTP库,构造符合标准的RTP数据包。
步骤204:检测者将伪造的RTP数据包发送至正常的通话用户。
具体的,本发明中RTP数据包的发送方法为:获取所构造的伪造RTP包,将其按发送设置类型转发出去。当检测会话中断威胁、合法用户被踢出会话威胁时,只需直接使用开源的RTP库的发送功能进行发送即可;当验证流插入威胁时,要使用原始套接字手动填写IP头部的源IP地址字段,进行IP伪装,再将RTP包作为UDP的载荷,构造IP/UDP包,发送到目的终端。
当验证流插入威胁时,伪造模块构造的第一个RTP包要插入一些参数,这个包负责与发送模块进行通信。该包的结构如表1所示:
表1
如表1所示,所述插入的参数包括:源IP和源端口,即验证流插入威胁时,使用到的发送地址和端口;目的IP和目的端口,即被威胁者的地址和端口。这些参数被固定插入到RTP头部及其有效载荷之间。发送模块在接收到以上带参数的RTP包时,需要从中提取并保存参数,之后将该包恢复为原(不含插入参数的)RTP数据包,最后进行转发。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种针对IP多媒体子系统实时传输协议威胁的检测方法,其特征在于,所述方法包括:
监听IP多媒体子系统IMS中的数据流,过滤出实时传输协议RTP数据包,对过滤出的RTP数据包进行解析,提取所述RTP数据包的通话参数;
利用通话参数,根据检测策略构造伪造RTP数据包,并发送至通话用户,实现威胁检测。
2.根据权利要求1所述的方法,其特征在于,所述过滤出RTP数据包,为:
获取通话用户双方建立通话时的SIP信令;
对SIP信令进行解析,获得通话用户双方的IP地址及RTP使用的用户数据包协议UDP端口号;
通话双方建立通话后,根据IP地址及RTP使用的UDP端口号过滤出通话用户双方的RTP数据包。
3.根据权利要求1所述的方法,其特征在于,所述过滤出RTP数据包,为:
检测当前所接收数据流是否与RTP数据流特征匹配,匹配时将所接收数据流作为RTP数据流;所述RTP数据流特征包括以下特征的至少一项:
UDP载荷头部的两个比特是0x10,指示其协议版本号为V=2;
RTP数据流的数据包载荷类型不变,且位于数据包的第9到15比特;
RTP数据流中相邻数据包的序列号SN随传输数据包的数量递增,增量为1,且位于第16到31比特;
RTP数据流中数据包的时间戳值随传输时间递增,且位于数据包的第32到63比特;
RTP数据流的数据包的同步源标识SSRC值不变,且位于数据包的第64到95比特。
4.根据权利要求1所述的方法,其特征在于,所述对过滤出的RTP数据包进行解析,为:
获取RTP数据包的完整IP包,对所述完整IP包进行IP、UDP、RTP的逐层解析,根据RTP协议栈中各通话参数所处的位置,提取出通话参数;所述通话参数主要包括:RTP数据包的序列号SN、RTP数据包的时间戳Timestamp、数据包的SSRC。
5.根据权利要求1所述的方法,其特征在于,所述威胁检测包括以下威胁检测的至少一种:
会话中断威胁检测、合法用户被踢出会话威胁检测和流插入威胁检测;
所述检测策略对应包括以下策略的至少一种:
检测会话中断威胁的策略、检测合法用户被踢出会话威胁的策略和检测流插入威胁策略;
其中,实现会话中断威胁检测为:
根据检测会话中断威胁的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流发送者中断自己的RTP会话,并向RTP数据流接收者发送RTP控制协议RTCP终止标识BYE包,并改变RTP数据流发送者的SSRC值;所述检测会话中断威胁的策略为:当用户A位于通话中,且作为发送者正在给其他用户发送RTP数据包时,监听获取用户A发送的RTP数据包的SSRC值x;伪造RTP数据包,伪造的RTP数据包中SSRC值为x;并将伪造后的RTP数据包发给用户A;
实现合法用户被踢出会话威胁检测为:根据检测合法用户被踢出会话威胁的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流接收者放弃原始发送者发送的数据包,转而接收威胁者发来的伪造的RTP数据包;所述检测合法用户被踢出会话威胁的策略为:当用户A位于通话中,且作为接收者正在其他用户发送的RTP数据包,监听获取用户A接收的RTP数据包的SSRC值x;伪造RTP数据包,伪造的RTP数据包中SSRC值为x;并将伪造后的RTP数据包发给用户A;
实现流插入威胁检测为:根据检测流插入威胁策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流接收者同时接收来自用户A和威胁者发来的RTP数据包;所述检测流插入威胁策略为:用户A和用户B正在通话,且A作为RTP数据包发送者正在给用户B发送RTP数据包,监听获取用户A的IP地址、发送RTP数据包使用的端口号、发送的RTP数据包的SSRC值x、序列号y和时间戳的值z;伪造RTP数据包,伪造的RTP数据包的SSRC值为x、序列号为y和时间戳的值为z;将伪造后的RTP数据包发给用户B,且使用的IP地址和端口号与用户A的相同。
在上述RTP威胁的检测方法中,所述伪造RTP数据包的构造方法为:伪造模块从监听模块接收RTP参数;同时可接收用户从外部输入的指令,指定要进行何种威胁。伪造模块根据参数和指令,调用开源的RTP库,构造符合标准的RTP数据包。
6.一种针对IP多媒体子系统实时传输协议威胁的检测系统,其特征在于,所述系统包括监听模块、过滤模块、解析及提取模块、构造模块、发送模块和检测模块,其中,
监听模块,用于监听IMS中的数据流;
过滤模块,用于过滤出RTP数据包;
解析及提取模块,用于对过滤出的RTP数据包进行解析,提取所述RTP数据包的通话参数;
构造模块,用于利用通话参数,根据检测策略构造伪造RTP数据包;
发送模块,用于将伪造RTP数据包发送至通话用户;
检测模块,用于利用伪造RTP数据包实现威胁检测。
7.根据权利要求6所述的系统,其特征在于,所述过滤模块进一步用于,获取通话用户双方建立通话时的SIP信令;对SIP信令进行解析,获得通话用户双方的IP地址及RTP使用的用户数据包协议UDP端口号;并在通话双方建立通话后,根据IP地址及RTP使用的UDP端口号过滤出通话用户双方的RTP数据包。
8.根据权利要求6所述的系统,其特征在于,所述过滤模块进一步用于,检测当前所接收数据流是否与RTP数据流特征匹配,匹配时将所接收数据流作为RTP数据流;所述RTP数据流特征包括以下特征的至少一项:
UDP载荷头部的两个比特是0x10,指示其协议版本号为V=2;
RTP数据流的数据包载荷类型不变,且位于数据包的第9到15比特;
RTP数据流中相邻数据包的序列号SN随传输数据包的数量递增,增量为1,且位于第16到31比特;
RTP数据流中数据包的时间戳值随传输时间递增,且位于数据包的第32到63比特;
RTP数据流的数据包的同步源标识SSRC值不变,且位于数据包的第64到95比特。
9.根据权利要求6所述的系统,其特征在于,所述解析及提取模块进一步用于,获取RTP数据包的完整IP包,对所述完整IP包进行IP、UDP、RTP的逐层解析,根据RTP协议栈中各通话参数所处的位置,提取出通话参数;所述通话参数主要包括:RTP数据包的序列号SN、RTP数据包的时间戳Timestamp、数据包的SSRC。
10.根据权利要求1所述的方法,其特征在于,所述威胁检测包括以下威胁检测的至少一种:
会话中断威胁检测、合法用户被踢出会话威胁检测和流插入威胁检测;
所述检测策略对应包括以下策略的至少一种:
检测会话中断威胁的策略、检测合法用户被踢出会话威胁的策略和检测流插入威胁策略;
检测模块进一步地,根据检测会话中断威胁的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流发送者中断自己的RTP会话,并向RTP数据流接收者发送RTP控制协议RTCP终止标识BYE包,并改变RTP数据流发送者的SSRC值;所述检测会话中断威胁的策略为:当用户A位于通话中,且作为发送者正在给其他用户发送RTP数据包时,监听获取用户A发送的RTP数据包的SSRC值x;伪造RTP数据包,伪造的RTP数据包中SSRC值为x;并将伪造后的RTP数据包发给用户A;
或者,所述检测模块进一步地,实现合法用户被踢出会话威胁检测为:根据检测合法用户被踢出会话威胁的策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流接收者放弃原始发送者发送的数据包,转而接收威胁者发来的伪造的RTP数据包;所述检测合法用户被踢出会话威胁的策略为:当用户A位于通话中,且作为接收者正在其他用户发送的RTP数据包,监听获取用户A接收的RTP数据包的SSRC值x;伪造RTP数据包,伪造的RTP数据包中SSRC值为x;并将伪造后的RTP数据包发给用户A;
或者,所述检测模块进一步地,根据检测流插入威胁策略构造并发送RTP数据包,检测是否能使正常通话中的RTP数据流接收者同时接收来自用户A和威胁者发来的RTP数据包;所述检测流插入威胁策略为:用户A和用户B正在通话,且A作为RTP数据包发送者正在给用户B发送RTP数据包,监听获取用户A的IP地址、发送RTP数据包使用的端口号、发送的RTP数据包的SSRC值x、序列号y和时间戳的值z;伪造RTP数据包,伪造的RTP数据包的SSRC值为x、序列号为y和时间戳的值为z;将伪造后的RTP数据包发给用户B,且使用的IP地址和端口号与用户A的相同。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110080704.0A CN102739458B (zh) | 2011-03-31 | 2011-03-31 | 一种针对ip多媒体子系统的rtp威胁的检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110080704.0A CN102739458B (zh) | 2011-03-31 | 2011-03-31 | 一种针对ip多媒体子系统的rtp威胁的检测方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102739458A true CN102739458A (zh) | 2012-10-17 |
| CN102739458B CN102739458B (zh) | 2015-05-20 |
Family
ID=46994288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110080704.0A Expired - Fee Related CN102739458B (zh) | 2011-03-31 | 2011-03-31 | 一种针对ip多媒体子系统的rtp威胁的检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102739458B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553935A (zh) * | 2015-11-30 | 2016-05-04 | 东莞酷派软件技术有限公司 | 一种数据包处理方法、装置以及终端 |
| CN111447148A (zh) * | 2020-03-12 | 2020-07-24 | 深圳震有科技股份有限公司 | 一种rtp数据包排序方法、系统及存储介质 |
| CN112073822A (zh) * | 2019-06-10 | 2020-12-11 | 成都鼎桥通信技术有限公司 | 一种宽带集群通信中的媒体变更方法和系统 |
| CN112653708A (zh) * | 2020-12-30 | 2021-04-13 | 北京天融信网络安全技术有限公司 | 媒体流量检测方法、装置、网络设备及可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040184432A1 (en) * | 2003-03-19 | 2004-09-23 | Ralitsa Gateva | Method for controlling streaming services |
| US20070094691A1 (en) * | 2005-10-24 | 2007-04-26 | Gazdzinski Robert F | Method and apparatus for on-demand content transmission and control over networks |
-
2011
- 2011-03-31 CN CN201110080704.0A patent/CN102739458B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040184432A1 (en) * | 2003-03-19 | 2004-09-23 | Ralitsa Gateva | Method for controlling streaming services |
| US20070094691A1 (en) * | 2005-10-24 | 2007-04-26 | Gazdzinski Robert F | Method and apparatus for on-demand content transmission and control over networks |
Non-Patent Citations (1)
| Title |
|---|
| 蒋帅: "IMS中RTP脆弱性利用方法的研究与实现", 《中国优秀硕士学位论文全文数据库》, 15 March 2011 (2011-03-15) * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105553935A (zh) * | 2015-11-30 | 2016-05-04 | 东莞酷派软件技术有限公司 | 一种数据包处理方法、装置以及终端 |
| CN105553935B (zh) * | 2015-11-30 | 2019-03-22 | 东莞酷派软件技术有限公司 | 一种数据包处理方法、装置以及终端 |
| CN112073822A (zh) * | 2019-06-10 | 2020-12-11 | 成都鼎桥通信技术有限公司 | 一种宽带集群通信中的媒体变更方法和系统 |
| CN112073822B (zh) * | 2019-06-10 | 2022-10-18 | 成都鼎桥通信技术有限公司 | 一种宽带集群通信中的媒体变更方法和系统 |
| CN111447148A (zh) * | 2020-03-12 | 2020-07-24 | 深圳震有科技股份有限公司 | 一种rtp数据包排序方法、系统及存储介质 |
| CN111447148B (zh) * | 2020-03-12 | 2024-04-05 | 深圳震有科技股份有限公司 | 一种rtp数据包排序方法、系统及存储介质 |
| CN112653708A (zh) * | 2020-12-30 | 2021-04-13 | 北京天融信网络安全技术有限公司 | 媒体流量检测方法、装置、网络设备及可读存储介质 |
| CN112653708B (zh) * | 2020-12-30 | 2023-02-10 | 北京天融信网络安全技术有限公司 | 媒体流量检测方法、装置、网络设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102739458B (zh) | 2015-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7570743B2 (en) | Method and apparatus for surveillance of voice over internet protocol communications | |
| US8218534B2 (en) | VoIP anomaly traffic detection method with flow-level data | |
| CN101150496A (zh) | 提高重要信息网络传输质量的方法 | |
| WO2006118397A8 (en) | Sip based session setup method and terminal thereof | |
| WO2006030277A1 (en) | Compressing, filtering, and transmitting of protocol messages via a protocol-aware intermediary node | |
| CN102739458B (zh) | 一种针对ip多媒体子系统的rtp威胁的检测方法和系统 | |
| US20090138959A1 (en) | DEVICE, SYSTEM AND METHOD FOR DROPPING ATTACK MULTIMEDIA PACKET IN THE VoIP SERVICE | |
| CN101605342A (zh) | 一种ims网络中通信内容的监听方法、系统及装置 | |
| CN104954724A (zh) | 一种视频通话切换方法、智能电视终端、移动终端和系统 | |
| JP4020018B2 (ja) | パケット情報識別方法及びシステム | |
| CN108111530B (zh) | 用于侦测voip通话状态的计算机可读存储介质和应用该介质的侦测系统 | |
| CN101588424B (zh) | 通话监听的方法及设备 | |
| US8391284B2 (en) | Usage of feedback information for multimedia sessions | |
| EP2375649B1 (en) | Number reception method based on media gateway control protocol and media gateway controller | |
| CN102208990B (zh) | 语音质量分析方法及装置 | |
| CN108123959B (zh) | 用于还原voip话单的计算机可读存储介质和应用该介质的voip话单还原系统 | |
| KR20150097986A (ko) | 통신 단말기 종류별 통신 품질 판단 시스템 및 그 제어방법과, 그 제어방법을 실행하기 위한 프로그램을 기록한 기록 매체 | |
| CN101222500B (zh) | 一种视频监听的关联方法 | |
| US20110238785A1 (en) | Multimedia providing service | |
| CN101478736A (zh) | 移动数据网络点对点voip通话建立协议的发明 | |
| CN101616072A (zh) | 网络地址转换装置及其封包处理方法 | |
| CN100407861C (zh) | 一种实现电路域多媒体业务呼叫的方法 | |
| KR101169433B1 (ko) | VoIP 시스템의 라인 에코 방지 장치 및 그 방법 | |
| KR101177002B1 (ko) | 실시간 모니터링 방법 및 그 시스템 | |
| CN102148720B (zh) | Ip多媒体子系统分布式拒绝服务脆弱性检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150520 Termination date: 20160331 |