论文部分内容阅读
摘 要:本文介绍一种基于漫游网络攻击本地网络的APT攻击,这种攻击由不同位置区域协同攻击,使得系统达到饱和,不能对正常的请求进行响应,影响正常通信。为了防御这种攻击,移动运营商需要耗费大量资源,降低移动网络的可靠性,应对此攻击仍然具有挑战性,应对方案还需要我们努力去设计和完善。
关键词:APT;攻击;网络
An Advanced Persistent Threat Analysis Based on Attacking the Home Network from Roaming Networks
Longye Wang1,Jinling Zhang2
(1.Sichuan Hengjin Yi Technology Co. Ltd.,Chengdu 610035,China;
2.University of Electronic Science and Technology of China,Chengdu 100044,China)
Abstract:An APT attack based on the local network attack is introduced in this paper,which is attacked by different location area and makes the system achieve saturation and cannot respond to the normal request. To defend this kind of attack,mobile operators need to consume a lot of resources and reduce the reliability of the mobile network. Defense such attack is still a challenge task,which need us to design and improve the solution.
一、引言
高级持续性威胁(APT,Advanced Persistent Threat)是一类主要针对企业和政府重要信息资产的攻击,它包括"高级"、"持续性"、"威胁"三個方面的内容[1]。"高级"指的是APT的攻击手段和技术相较于传统攻击更复杂[2-3],它可能是单一攻击手段的结合,也有可能是多种手段的联合,并且攻击者可以跟据攻击对象的状态实时调整攻击方式。"持续性"意味着APT攻击在实施攻击时有更为明确的攻击目标,在此过程中,攻击者会采用必要的隐藏手段保证自己不被发现,同时通过长期的监视、入侵来收获更大的利益。APT需要高技术的攻击者和长时间的潜伏,其攻击所得结果的价值性高,它的实施向来有技术团伙和稳定经费的支持,攻击的成功率很高,造成的威胁也就越大。
APT采用的攻击手段很多,本文介绍一种基于漫游网络攻击本地网络的APT攻击,这种攻击方式由不同位置区域协同攻击,使得系统达到饱和,不能对正常的请求进行响应,以达到瘫痪网络的目的。
二、APT攻击分析
下面介绍一种基于漫游网络攻击本地网络的APT攻击方法,这种APT攻击实质上是一种DoS攻击[4],下面首先以3G网络为例进行介绍。
1、3G漫游网络注册过程
3G网络架构如图1所示,由于本文仅仅关注3G网络中本地网络和漫游网络之间的互联,因此图中重点突出这个互联。在漫游用户发起电话呼叫或数据会话,它应首先注册到漫游网络[5]。为了实现这一目标,用户要进行如图2所示的注册过程。
首先,用户移动台(MS,Mobile State)建立自身与RNC(Radio Network Controller)之间的无线电资源控制RRC(Radio Resource Control)连接。在此期间,在MS发送RRC连接请求消息给RNC包括它的临时移动订户身份TMSI(Temporary Mobile Subscriber Identity),而后者响应以RRC连接建立。该MS通过转发RRC连接建立完成消息发送回给RNC确认此消息。然后,MS发送服务请求到漫游MSC/SGSN(Mobile Switching Center/ Serving GPRS Support Node)包括其TMSI,MSC/SGSN通过发送身份请求消息返回到MS发起注册过程,其含有国际移动订户身份(IMSI,International Mobile Subscriber Identity),是永久标志。漫游MSC/SGSN转发该接收的IMSI到本地网络HLR/ AuC(Home Location Register/Authentication Center),本地网络HLR/ AUC将认证数据响应消息发回给该漫游的MSC/SGSN中,最后,漫游网络MSC/SGSN发送一个加密模式命令消息到MS指示其成功注册到网络上。注册成功后,用户便能享受一系列由3G网络提供的服务
2、APT攻击分析
基于漫游网络攻击本地网络的APT攻击,攻击者是恶意的MS,首先,恶意的MS使用无效的TMSI建立与节点B的RRC连接。然后,恶意的MS通过发送服务请求消息到MSC/SGSN,使用相同的TMSI发起电话呼叫。由于TMSI无效,则MSC / SGSN不能从恶意的MS的有效IMSI识别它并且请求,只能使用身份请求消息。此后,恶意的MS选择并发送其捕捉的IMSI中的标识响应消息至MSC / SGSN。由于恶意的MS位于漫游网络,MSC / SGSN没有存储的AV分配给特定的IMSI。这意味着为恶意的MS提供服务的站MSC / SGSN不得不与目标HLR/ AuC建立联系并获取订户信息,而这个目标HLR/ AuC位于IMSI的本地网络中。因此,该站MSC / SGSN将认证数据请求消息发送给目标的HLR/ AUC,包括IMSI,用来生成新的AV。目标HLR/ AuC被强制为特定的IMSI产生一批 个AV,并将其发送到MSC/ SGSN中。 这个过程被反反复复地执行,以这种方式,认证数据请求消息大量从漫游MSC / SGSN向目标HLR/ AuC发送,目标HLR/ AuC被连续地强制产生的AV。最终,目标HLR/ AUC达到饱和点,无论这个请求是合法的还是恶意的,HLR/ AUC都不能满足新的请求,影响正常通信。因此,这种APT攻击实质上是一种DoS攻击。
为了防御这种攻击,移动运营商阻止漫游功能,这需要耗费大量资源[6],并且降低移动网络的可靠性。然而,这将对移动运营商造成很大的负面影响。
结论
本文所讨论的基于漫游网络攻击本地网络的APT攻击,可以通过现有的软件和硬件来实现,对们每一个移动用户和运营商都造成很大的威胁。这种APT攻击在很短时间内,让目标HLR/AuC计算资源枯竭,导致系统饱和,影响正常通信。对于这样的APT攻击,最好的解决方案是在其未造成严重后果前检测出来,另一种解决方式是均衡负载,一旦APT攻击发生,复制一個HLR/ AuC以设置和维护数据库副本,但是由于海量通信数据的更新,复制一个HLR/ AuC的成本必然越来越高。所以,应对这种APT攻击仍然具有挑战性,许多应对方案还需要我们努力去设计和完善。
参考文献:
[1] 刘婷婷. APT攻击悄然来袭企业信息面临"精准打击"[J]. 信息安全与通信保密,2012,03:39-40.
[2] 刘东鑫等. 面向企业网的APT攻击特征分析及防御技术探讨[J]. 电信科学,2013,12:158-163.
[3]林龙成,陈波,郭向民. 传统网络安全防御面临的新威胁:APT攻击[J]. 信息安全与技术,2013,03:20-25.
[4] Xenakis,Christos;Ntantogian,Christoforos. An advanced persistent threat in 3G networks:Attacking the home network from roaming networks [J]. COMPUTERS & SECURITY,vol. 40,pp. 84 - 94,2014.
[5] 范俊谱,张颖. 2G/3G网络漫游的思考[J]. 电信技术,2006,10:89-92.
[6] 张帅. 对APT攻击的检测与防御[J]. 信息安全与技术,2011,09:125-127.
基金项目:四川省科技支撑项目(编号:2014GZ0017)资助。
关键词:APT;攻击;网络
An Advanced Persistent Threat Analysis Based on Attacking the Home Network from Roaming Networks
Longye Wang1,Jinling Zhang2
(1.Sichuan Hengjin Yi Technology Co. Ltd.,Chengdu 610035,China;
2.University of Electronic Science and Technology of China,Chengdu 100044,China)
Abstract:An APT attack based on the local network attack is introduced in this paper,which is attacked by different location area and makes the system achieve saturation and cannot respond to the normal request. To defend this kind of attack,mobile operators need to consume a lot of resources and reduce the reliability of the mobile network. Defense such attack is still a challenge task,which need us to design and improve the solution.
一、引言
高级持续性威胁(APT,Advanced Persistent Threat)是一类主要针对企业和政府重要信息资产的攻击,它包括"高级"、"持续性"、"威胁"三個方面的内容[1]。"高级"指的是APT的攻击手段和技术相较于传统攻击更复杂[2-3],它可能是单一攻击手段的结合,也有可能是多种手段的联合,并且攻击者可以跟据攻击对象的状态实时调整攻击方式。"持续性"意味着APT攻击在实施攻击时有更为明确的攻击目标,在此过程中,攻击者会采用必要的隐藏手段保证自己不被发现,同时通过长期的监视、入侵来收获更大的利益。APT需要高技术的攻击者和长时间的潜伏,其攻击所得结果的价值性高,它的实施向来有技术团伙和稳定经费的支持,攻击的成功率很高,造成的威胁也就越大。
APT采用的攻击手段很多,本文介绍一种基于漫游网络攻击本地网络的APT攻击,这种攻击方式由不同位置区域协同攻击,使得系统达到饱和,不能对正常的请求进行响应,以达到瘫痪网络的目的。
二、APT攻击分析
下面介绍一种基于漫游网络攻击本地网络的APT攻击方法,这种APT攻击实质上是一种DoS攻击[4],下面首先以3G网络为例进行介绍。
1、3G漫游网络注册过程
3G网络架构如图1所示,由于本文仅仅关注3G网络中本地网络和漫游网络之间的互联,因此图中重点突出这个互联。在漫游用户发起电话呼叫或数据会话,它应首先注册到漫游网络[5]。为了实现这一目标,用户要进行如图2所示的注册过程。
首先,用户移动台(MS,Mobile State)建立自身与RNC(Radio Network Controller)之间的无线电资源控制RRC(Radio Resource Control)连接。在此期间,在MS发送RRC连接请求消息给RNC包括它的临时移动订户身份TMSI(Temporary Mobile Subscriber Identity),而后者响应以RRC连接建立。该MS通过转发RRC连接建立完成消息发送回给RNC确认此消息。然后,MS发送服务请求到漫游MSC/SGSN(Mobile Switching Center/ Serving GPRS Support Node)包括其TMSI,MSC/SGSN通过发送身份请求消息返回到MS发起注册过程,其含有国际移动订户身份(IMSI,International Mobile Subscriber Identity),是永久标志。漫游MSC/SGSN转发该接收的IMSI到本地网络HLR/ AuC(Home Location Register/Authentication Center),本地网络HLR/ AUC将认证数据响应消息发回给该漫游的MSC/SGSN中,最后,漫游网络MSC/SGSN发送一个加密模式命令消息到MS指示其成功注册到网络上。注册成功后,用户便能享受一系列由3G网络提供的服务
2、APT攻击分析
基于漫游网络攻击本地网络的APT攻击,攻击者是恶意的MS,首先,恶意的MS使用无效的TMSI建立与节点B的RRC连接。然后,恶意的MS通过发送服务请求消息到MSC/SGSN,使用相同的TMSI发起电话呼叫。由于TMSI无效,则MSC / SGSN不能从恶意的MS的有效IMSI识别它并且请求,只能使用身份请求消息。此后,恶意的MS选择并发送其捕捉的IMSI中的标识响应消息至MSC / SGSN。由于恶意的MS位于漫游网络,MSC / SGSN没有存储的AV分配给特定的IMSI。这意味着为恶意的MS提供服务的站MSC / SGSN不得不与目标HLR/ AuC建立联系并获取订户信息,而这个目标HLR/ AuC位于IMSI的本地网络中。因此,该站MSC / SGSN将认证数据请求消息发送给目标的HLR/ AUC,包括IMSI,用来生成新的AV。目标HLR/ AuC被强制为特定的IMSI产生一批 个AV,并将其发送到MSC/ SGSN中。 这个过程被反反复复地执行,以这种方式,认证数据请求消息大量从漫游MSC / SGSN向目标HLR/ AuC发送,目标HLR/ AuC被连续地强制产生的AV。最终,目标HLR/ AUC达到饱和点,无论这个请求是合法的还是恶意的,HLR/ AUC都不能满足新的请求,影响正常通信。因此,这种APT攻击实质上是一种DoS攻击。
为了防御这种攻击,移动运营商阻止漫游功能,这需要耗费大量资源[6],并且降低移动网络的可靠性。然而,这将对移动运营商造成很大的负面影响。
结论
本文所讨论的基于漫游网络攻击本地网络的APT攻击,可以通过现有的软件和硬件来实现,对们每一个移动用户和运营商都造成很大的威胁。这种APT攻击在很短时间内,让目标HLR/AuC计算资源枯竭,导致系统饱和,影响正常通信。对于这样的APT攻击,最好的解决方案是在其未造成严重后果前检测出来,另一种解决方式是均衡负载,一旦APT攻击发生,复制一個HLR/ AuC以设置和维护数据库副本,但是由于海量通信数据的更新,复制一个HLR/ AuC的成本必然越来越高。所以,应对这种APT攻击仍然具有挑战性,许多应对方案还需要我们努力去设计和完善。
参考文献:
[1] 刘婷婷. APT攻击悄然来袭企业信息面临"精准打击"[J]. 信息安全与通信保密,2012,03:39-40.
[2] 刘东鑫等. 面向企业网的APT攻击特征分析及防御技术探讨[J]. 电信科学,2013,12:158-163.
[3]林龙成,陈波,郭向民. 传统网络安全防御面临的新威胁:APT攻击[J]. 信息安全与技术,2013,03:20-25.
[4] Xenakis,Christos;Ntantogian,Christoforos. An advanced persistent threat in 3G networks:Attacking the home network from roaming networks [J]. COMPUTERS & SECURITY,vol. 40,pp. 84 - 94,2014.
[5] 范俊谱,张颖. 2G/3G网络漫游的思考[J]. 电信技术,2006,10:89-92.
[6] 张帅. 对APT攻击的检测与防御[J]. 信息安全与技术,2011,09:125-127.
基金项目:四川省科技支撑项目(编号:2014GZ0017)资助。