仿冒GRE隧道地址消息攻击及防御方法.docVIP

仿冒GRE隧道地址消息攻击及防御方法摘要：10年前，WAP应用的出现标志着移动数据业务时代的到来。10年后的今天，智能手机、移动数据业务已是随处可见。WAP业务已经是移动运营商的重要业务收入来源，但用心不良的不法分子却时刻窥探着移动数据业务这块蛋糕。本文通过分析移动运营商受到的一起普通用户投诉的垃圾WAP PUSH，折射出目前黑客攻击手段的高明，并针对该种攻击给出GPRS/WAP承载网络的安全加固策略。 关键字：GRE GPRS WAP PUSH UDP 一、背景介绍 现实网络已发生过多种对GPRS的攻击，这些攻击不仅滥用业务，窃取用户关键数据，更导致网络瘫痪，给运营商带来经济和名誉损失，也损害了广大用户的利益。这里举几个比较典型的滥用实例： 德国E-Plus 曾存在GPRS 存在过计费漏洞，非法用户接入GPRS，而费用记在某个合法用户身上； 某设备提供商GGSN 存在内核错误，黑客利用一个数据包导致GPRS网络瘫痪GGSN ； 沃达丰GPRS-MMS服务曾存在计费漏洞，用户可免交上网费； 美国T-Mobile发现黑客透过GPRS的DNS系统进入OAM系统，窃取了大量用户的社会保险号码、私人邮箱等重要用户数据。 这些攻击或者利用协议漏洞，或者利用网络或设备漏洞，对业务运营造成极坏的影响。 前阶段，国内某运营商接到用户投诉，称收到发送者为212.138.115.省略:88/***”，手机打开链接后显示为“天下商机”的页面。经过从运营商的短信中心数据库仔细查询，并未发现短信下发记录。我们怀疑可能是网络攻击并通过GPRS网络下发，遂针对该问题进行了查证。 二、查证分析过程及原因 由于类似网络攻击仅出现在晚上20:00-23:00之间，我们从连续3日每晚进行网络抓包，逐渐发现了仿冒GRE隧道地址发送WAP PUSH短信整个过程。 1.查证过程 GRE路由器对INTERNET的出口（消息跟踪点A）进行了抓包 我们在GRE路由器对INTERNET的出口进行了抓包结果如下图，这些WSP PUSH数据包被封装在GRE隧道里，其GRE隧道源地址为212.138.115.236（GGSNC GRE隧道地址），目的地址为WAP GRE路由器GRE隧道地址，其隧道内数据包的源地址为212.138.115.X (X为随机数，212.138.115.X为攻击者随意填写)，目的地址为10.X.X.X（GGSNA/B的CMWAP IP地址池地址）。 2、GGSNC对INTERNET的出口（消息跟踪点B）进行了抓包 我们对GGSNC的出口进行了抓包，结果如下图。我们未抓到从212.138.115.236（GGSNC GRE隧道地址）发出的WSP PUSH数据包，而是抓到了GRE隧道源地址为WAP GRE路由器GRE隧道地址，目的地址为212.138.115.236（GGSNC GRE隧道地址），其隧道内数据包的源地址为212.138.115.X(X为随机数，211.136.115.X为攻击者随意填写)，目的地址为10.X.X.省略:88/***对应IP地址为117.135.141.52，为IDC地址段。 三、解决方案及建议 1、临时解决方案： 在GRE路由器的隧道虚接口中屏蔽对手机下行数据包的WSP PUSH所使用的UDP 2948端口。经过与各家运营商确认，目前可能承载WAP PUSH的UDP端口包括：2948、2949、4035、4036。我们建议在GRE路由器封堵这些UDP端口的业务量。 经较长时间抓包未发现正常数据包使用UDP 2948、2949、4035、4036端口，且该端口为WAP协议规定的终端接收WSP PUSH所使用端口，对正常业务基本无影响。经过对WAP GRE路由器进行了实施，目前已拦截了此类非法PUSH消息，且无用户投诉。 2、最终解决方案 【方案一】在GGSN上添加策略，阻止向手机用户下发UDP 2948端口数据包。 我们在消息跟踪时也发现网络攻击者尝试伪造WAP GRE tunnel地址，直接和GGSNC建立链接的现象，但由于目前GGSNC无正常业务，故没有实际影响。但如果网络攻击者了解其他GGSN地址，那就可以不通过WAP GRE路由器，直接向GPRS用户下发数据包，此时我们实施的临时方案将无效。 但是在实施该方案一后，我们抓包发现虽然GGSN阻挡了WAP PUSH，但是对于终端侧以上述端口发送正常的DNS请求也会被过滤，Log如下： Name of protocol: UDP, Packet Length: 99, Source address: 212.138.115.X:53,