2、数据劫持威胁模型:中间人攻击(MITM)原理、核心网内部威胁面分析、攻击者假设与能力模型
各位同学,咱们今天聊点硬核的。数据劫持,说白了就是攻击者偷偷插了一脚,把本该直达的数据给截胡了。在核心网这个环境里,这事儿尤其要命。我做了这么多年安全,见过太多人只盯着外围防火墙,却忽略了内部那点事儿。嗯,咱们今天就把这个威胁模型彻底拆开看看。
2.1 中间人攻击(MITM)原理:核心网里的“窃听风云”
中间人攻击,名字听着玄乎,其实原理很简单。攻击者把自己伪装成通信双方都信任的“中间人”,然后转发、篡改甚至直接吞掉数据包。在核心网里,这种攻击的隐蔽性极高。
为什么会这样?因为核心网内部的信令和用户面数据,默认是“信任”的。很多网元之间没有强加密,或者加密强度不够。我记得有一次在客户现场排查一个诡异的掉话问题,抓包一看,发现S1-U接口上有个伪造的GTP-U隧道端点,数据全被引流到一台未知服务器上去了。这就是典型的MITM。
核心网MITM的典型攻击路径:
- ARP欺骗/ND欺骗:在同一个二层网络内,攻击者伪造网关的MAC地址,让流量先经过自己。
- DNS劫持:篡改DNS响应,把核心网网元的域名解析到攻击者控制的IP上。
- GTP隧道劫持:伪造GTP-U头,把用户面数据包重定向到攻击者指定的端点。
- SSL/TLS剥离:如果网元之间用了HTTPS但证书验证不严,攻击者可以降级到明文通信。
你想想看,一旦攻击者成功插在中间,他能干什么?
- 窃听用户面数据:短信、语音、上网记录,一览无余。
- 篡改数据包:比如注入恶意代码,或者修改计费信息。
- 会话劫持:直接接管用户的PDU会话,以用户身份发起攻击。
避坑指南:我曾经在测试一个5G SA网络时,发现gNB和UPF之间的N3接口竟然用的是明文GTP-U。当时我就觉得不对劲,一查配置,发现安全策略里“IPSec加密”选项是关闭的。嗯,这个坑太常见了,很多运维人员为了省事或者降低时延,直接跳过了加密。千万别这么干。
2.2 核心网内部威胁面分析:最危险的敌人往往在内部
很多人觉得,核心网嘛,藏在运营商机房里,层层防火墙,安全得很。其实不然。核心网内部的威胁面,比外部要复杂得多。我个人的经验是,外部攻击者要突破边界防火墙,难度确实大,但一旦进入内部,那就是“如入无人之境”。
咱们把核心网内部的威胁面分成几个维度来看:
| 威胁维度 | 具体风险点 | 攻击者视角 |
|---|---|---|
| 网元间接口 | N2/N3/N4/N6等接口未加密或弱加密 | 直接抓包即可获取用户面数据 |
| 管理平面 | OAM/EMS/网管系统弱口令、未授权访问 | 拿到管理权限,直接修改网元配置 |
| 虚拟化平台 | Hypervisor逃逸、容器镜像漏洞 | 从虚拟化层突破,控制整个NFV环境 |
| 信令面 | Diameter/SBI接口信令风暴、伪造信令 | 伪造注册/去注册消息,踢掉合法用户 |
| 用户面 | GTP-U隧道无源验证、UPF转发规则可篡改 | 劫持用户面数据,实现数据窃取或篡改 |
我建议你重点关注两个地方:一个是N4接口(SMF到UPF的控制面接口),另一个是N6接口(UPF到外部数据网络)。这两个接口一旦被攻破,用户面数据基本就裸奔了。我在一个项目中遇到过,攻击者通过N4接口的漏洞,直接修改了UPF的转发规则,把某个VIP用户的所有流量都镜像了一份到自己的服务器上。这事儿持续了三个月才被发现,因为流量镜像对用户来说完全无感。
个人经验:做核心网安全评估时,我习惯先看“东西向流量”,也就是网元之间的流量。很多安全团队只盯着南北向(外部到内部),结果内部网元之间全是明文。你想想看,攻击者只要突破一个边缘节点,就能横向移动到核心网内部,这多可怕。
2.3 攻击者假设与能力模型:我们到底在防谁?
做安全,不能空谈理论。你得先搞清楚:攻击者是谁?他有什么能力?他想要什么?我一般把核心网的攻击者分成三个层级:
2.3.1 层级一:外部脚本小子
- 能力:只会用现成的工具,比如扫描器、公开的PoC。
- 目标:搞破坏、刷存在感,或者窃取一些不敏感的数据。
- 防御:做好边界防火墙、及时打补丁、关闭不必要的端口,基本就能挡住。
2.3.2 层级二:有组织的黑客团伙
- 能力:能编写定制化工具,懂核心网协议,能利用0day漏洞。
- 目标:窃取用户隐私数据、进行电信诈骗、或者勒索运营商。
- 防御:需要纵深防御,包括网元间加密、行为分析、异常流量检测。
2.3.3 层级三:国家级APT组织
- 能力:拥有完整的攻击链,能从供应链、物理层、甚至人员社会工程学入手。
- 目标:监听特定目标、破坏国家通信基础设施、或者长期潜伏。
- 防御:这已经超出了纯技术范畴,需要结合情报、物理安全、人员管理。
说白了,咱们这门课主要针对的是层级二和层级三的攻击者。因为层级一的攻击者,你做好基础安全就能防住。但层级二和层级三,他们有能力在核心网内部实施MITM攻击,而且很难被发现。
攻击者能力模型总结:
- 网络接入能力:能接入核心网内部网络(物理或逻辑)。
- 协议理解能力:熟悉GTP、PFCP、HTTP/2、Diameter等核心网协议。
- 工具开发能力:能编写或改造抓包、篡改、重放工具。
- 持久化能力:能在被攻击网元上留下后门,长期控制。
我记得有一次做红蓝对抗,蓝方(防守方)觉得自己的边界防火墙固若金汤。结果红方(攻击方)通过一个被攻陷的第三方运维终端,直接拨VPN进入了核心网管理网段。然后红方只用了十分钟,就在N4接口上部署了一个伪造的PFCP会话建立请求,把用户面流量全引到了自己的UPF上。蓝方直到复盘时才发现,因为流量路径变了,但用户业务完全正常,只是延迟高了那么一点点。嗯,这就是攻击者的能力模型——他们不一定要多高深的技术,但一定要懂核心网的业务逻辑。
避坑指南:我曾经见过一个案例,攻击者利用SMF和UPF之间的PFCP协议没有做源IP验证,直接伪造了PFCP心跳消息,让UPF以为SMF挂了,然后接管了控制面。这个漏洞其实很基础,但很多厂商默认配置里就是没开验证。所以,我建议你在部署核心网时,一定要检查所有接口的源地址验证和双向认证是否开启。
2.4 知识体系核心逻辑图
下面这张图,是我自己梳理的核心网数据劫持威胁模型。你可以把它当成一个思维导图,方便理解各个模块之间的关系。
这张图从左到右,从上到下,展示了攻击者如何利用自身能力,通过不同的攻击手段,最终在核心网的各个威胁面上实现数据劫持。你仔细看看,就会发现每个环节都有对应的防御措施。比如,针对GTP隧道劫持,我们可以启用GTP-U的源地址验证和IPSec加密。针对信令伪造,我们可以部署信令防火墙和异常行为检测。
好了,这一章的内容就到这儿。核心网数据劫持的威胁模型,说白了就是“谁、用什么、打哪里、造成什么后果”。把这个模型吃透了,后面的防御技术你才能理解得更加透彻。