2. 核心网网络架构基础:5G核心网架构、网络功能(NF)介绍、服务化接口(SBI)与信令面
聊到5G核心网的DDoS攻击溯源,你首先得搞清楚一件事——你追查的流量到底长什么样。说白了,你得先认识路,才能知道哪条路被人堵了。
我最早接触5GC的时候,说实话,第一反应是「这玩意儿跟4G EPC差别也太大了」。以前EPC里那些MME、SGW、PGW,一个个都是硬邦邦的网元,接口就那么几个。到了5G核心网,好家伙,全拆成微服务了。嗯,这给攻击者留下了更多的「缝」,但也给我们做溯源留下了更多的「眼」。
2.1 5G核心网架构概览
5G核心网(5GC)采用的是服务化架构(SBA)。这不是什么花架子,而是实实在在的架构变革。
我个人的理解是:
以前是「一个萝卜一个坑」,每个网元干自己的活,接口固定。
现在是「乐高积木」,每个网络功能(NF)提供标准化的服务,谁需要谁调用。
这种架构的好处很明显——灵活、可扩展、便于引入新功能。但坏处也很明显——攻击面变大了。你想想看,每个NF都暴露了服务化接口,每个接口都可能成为DDoS的靶子。
2.2 核心网络功能(NF)介绍
5GC里NF很多,但做DDoS溯源,你重点关注这几个就够了:
| NF名称 | 中文名 | 在DDoS溯源中的角色 |
|---|---|---|
| AMF | 接入与移动性管理功能 | 信令风暴的第一道防线,UE接入的入口 |
| SMF | 会话管理功能 | PDU会话的建立/修改/释放,容易被会话洪流攻击 |
| UPF | 用户面功能 | 数据流量的转发节点,用户面DDoS的重灾区 |
| NRF | 网络仓储功能 | NF的「黄页」,被攻击会导致全网服务发现瘫痪 |
| AUSF/UDM | 认证/统一数据管理 | 认证风暴的目标,搞瘫了谁都登不上网 |
我在项目中遇到过一种情况:攻击者并不直接打UPF,而是疯狂向NRF发送服务发现请求。NRF扛不住挂了,所有NF之间互相找不到,整个核心网直接「失联」。你看,打一个NF,等于打了一锅端。
2.3 服务化接口(SBI)与信令面
SBI是5GC的「血管」。所有NF之间的通信,都走SBI。它基于HTTP/2协议,消息格式是JSON或Protobuf。
为什么我要强调这个?因为DDoS攻击的流量特征,就藏在这些HTTP请求里。
举个例子:
正常的NF注册请求,NRF会收到一个PUT /nnrf-nfm/v1/nf-instances/{nfInstanceId}。
如果攻击者伪造大量NF实例注册请求,NRF的SBI接口就会收到海量的PUT请求——这就是典型的服务化接口洪泛攻击。
信令面呢?说白了就是控制面。AMF、SMF之间的N1/N2/N4接口,走的都是信令。信令面的DDoS,我见过最狠的是PDU会话建立请求风暴——攻击者伪造大量UE,疯狂发PDU会话建立请求,SMF直接CPU打满。
2.4 核心网DDoS攻击的「攻击面」分析
搞清楚了架构和接口,我们来看看攻击者到底能从哪些地方下手:
- N1接口(UE-AMF):UE接入的入口,信令风暴的第一站
- N2接口(gNB-AMF):基站与核心网的连接,容易被伪造基站攻击
- N4接口(SMF-UPF):会话策略的下发通道,攻击者可以伪造策略请求
- SBI接口(NF-NF):服务化接口,NRF、NSSF等容易被服务发现洪泛
- N6接口(UPF-外部网络):用户面出口,流量型DDoS的重灾区
你想想看,这么多接口,每个接口都有对应的协议和消息类型。攻击者只要找到其中一个接口的「软肋」,就能发起有效的DDoS攻击。
2.5 知识体系结构图
下面这张图,是我自己梳理的5GC DDoS溯源的知识框架。你把它存下来,后面每一章都会用到。
2.6 小结
这一章我们聊了5GC的SBA架构、核心NF、SBI接口和信令面。说白了,就是给你画了一张「核心网地图」。后面做DDoS溯源的时候,你得知道攻击者站在地图的哪个位置,打的是哪个NF,走的是哪个接口。
我个人习惯是:先看接口,再看NF,最后看消息内容。这个顺序能帮你快速定位攻击的「第一落点」。
嗯,下一章我们会深入具体的攻击场景,到时候你会用上今天学的这些「地图知识」。
公众号:蓝海资料掘金营,微信deep3321