GPRS安全问题分析与优化试点要求.ppt

内容 GPRS网络基本架构 GPRS网络病毒问题有关背景 GPRS网络病毒问题有关背景 NOKIA公司在河南、海南的监控情况 采用美国THETA公司专用的、支持GTP协议的GPRS网络病毒扫描产品VirusGuardMAX，通过Gn接口上的交换机镜像端口进行监控。 河南：2004年3月9日；监控两个Nokia Gn接口；11:04～14:55共3个小时51分钟； 海南： 2004年4月，监控一个Nokia Gn 接口，两次监控，分别是?19日10:00～11:35和20日14:45～16:45，共3.5小时； 病毒对GPRS网络和用户的影响 中国移动通信集团公司网络部 -*- * GPRS安全问题分析与安全优化试点要求 2004年6月 GPRS网络基本架构 GPRS网络病毒问题有关背景 病毒对GPRS网络和用户的影响 解决方案建议 海南网络优化后的效果以及存在的问题 试点建议 BTS BSC SGSN GGSN Intranet GGSN Internet CG 计费系统 路由器 服务器 局域网 企业 GPRS IP 骨干网 BG InterPLMN 网络 LIG FW FW NMS DNS MSC/VLR SS7 HLR AuC EIR SMS-GMSC SMS-IWMSC HLR GPRS网络 病毒的变迁 早期的病毒主要破坏感染病毒的计算机本身； 新型病毒则结合了网络技术，从感染病毒的主机对网内和网外其它系统进行攻击。通过扫描，试图感染网络上存在漏洞的主机，因此能够在网络上观察到病毒流量。Blast病毒、MyDoom病毒、振荡波病毒都属于这个类型。 病毒的危害性和感染主机的数量越来越大。振荡波病毒导致全国400万台主机受到感染。 GPRS网络的特点 GPRS网络提供了用户访问CMNet和CMWAP的IP传输通道，必然会受到染毒笔记本发送病毒流量的影响； 与CMNet连接的Gi接口，通过设置策略，可以防止互联网一侧的计算机系统主动发起的对GPRS网内活动用户的访问，包括互联网一侧病毒流量主动进入GPRS网内。 GPRS用户一侧，特别是笔记本＋GPRS网卡上网的用户，在无线侧由于上下行资源的不对称性（上行：下行＝1：2），当染毒终端大量发送病毒流量时，会占用上行链路资源，导致该小区用户普遍感觉到网速变慢。对于下行链路，资源相对丰富，而且GPRS用户收到的数据包中病毒包的比例要更低，影响也小。 15% 24% 病毒包比例 （占总流量） 3个小时30分钟 3个小时51分钟 检测时长 12.7M (上午1.5 小时) 273.1M 病毒包字节数 245,000 5,560,915 (平均24,000/分钟) 病毒流量（包） 37% 平均96,000/分钟 3％ 平均50/秒钟 平均1600/秒钟 河南 总流量（包） 25% 4% 平均8/秒钟 平均200/秒钟 海南 上行病毒流量比例 比例 感染病毒用户数量 检测期间GPRS活动用户数量 省公司 海南监控分析－流量 病毒包占整个数据流量（字节）的比例平均在3.5％左右 病毒流量（字节数）平均在10K/秒 用户数据流量（字节数）平均在450K/秒 病毒包占整个数据流量（包）的比例平均在15％左右 病毒流量（包）平均在200/秒 用户数据流量（包）平均在1300/秒 染毒终端占这个GPRS活动用户的比例平均在3％左右 染毒终端数量平均在6台左右 海南监控分析－端口负荷分析（上行影响最大） 病毒流量对无线、Gb、Gn接口的负荷影响平均都在4－5％左右 上行病毒流量对无线、Gb、Gn接口的负荷影响平均15％左右 对网络的影响 大量消耗有限的尤其是无线部分的带宽资源，浪费GPRS网络建设投资。 大量消耗设备的处理资源，如SGSN、GGSN、路由器、防火墙、CG等等，导致丢包率升高，数据重传增加，时延增大。 在不限制GPRS用户对GPRS用户访问的情况下，将产生GPRS网络内病毒的蔓延。 对用户的影响 由于GPRS有限带宽资源的浪费，带来用户满意度的降低； 对于基于流量计费的用户，比如国外漫游用户，会产生高额话单纠纷。 网络侧（近期） 采用支持GTP协议分析的病毒检测软件，如VirusGuardMAX，实现在Gn接口对病毒的实时检测。及时发现感染特定病毒的终端发送的IP包，确定其IP地址、GPRS 数据专用SIM卡的MSISDN、IMSI以及接入点APN名称、病毒流量、起止时间等详细信息，准确定位； 发现病毒流量后迅速响应。如果流量很小，可以不采取其它措施；否则，进一步对PCU, SGSN, GGSN, Firewall.的进行监控和日志分析，确定影响程度。结合IDS发现病毒利用的特定端口并进行封堵。 经常检查防火墙配置，调整影响丢包率和时延的参数；限制病毒利用的