2. 核心网网络架构基础:5G核心网架构、网络功能(NF)介绍、服务化接口(SBI)与信令面

聊到5G核心网的DDoS攻击溯源,你首先得搞清楚一件事——你追查的流量到底长什么样。说白了,你得先认识路,才能知道哪条路被人堵了。

我最早接触5GC的时候,说实话,第一反应是「这玩意儿跟4G EPC差别也太大了」。以前EPC里那些MME、SGW、PGW,一个个都是硬邦邦的网元,接口就那么几个。到了5G核心网,好家伙,全拆成微服务了。嗯,这给攻击者留下了更多的「缝」,但也给我们做溯源留下了更多的「眼」。

2.1 5G核心网架构概览

5G核心网(5GC)采用的是服务化架构(SBA)。这不是什么花架子,而是实实在在的架构变革。

我个人的理解是:
以前是「一个萝卜一个坑」,每个网元干自己的活,接口固定。
现在是「乐高积木」,每个网络功能(NF)提供标准化的服务,谁需要谁调用。

这种架构的好处很明显——灵活、可扩展、便于引入新功能。但坏处也很明显——攻击面变大了。你想想看,每个NF都暴露了服务化接口,每个接口都可能成为DDoS的靶子。

核心要点: 5GC的SBA架构,本质上是把传统的网元功能「原子化」了。每个NF独立部署、独立扩容,也独立挨打。

2.2 核心网络功能(NF)介绍

5GC里NF很多,但做DDoS溯源,你重点关注这几个就够了:

NF名称 中文名 在DDoS溯源中的角色
AMF 接入与移动性管理功能 信令风暴的第一道防线,UE接入的入口
SMF 会话管理功能 PDU会话的建立/修改/释放,容易被会话洪流攻击
UPF 用户面功能 数据流量的转发节点,用户面DDoS的重灾区
NRF 网络仓储功能 NF的「黄页」,被攻击会导致全网服务发现瘫痪
AUSF/UDM 认证/统一数据管理 认证风暴的目标,搞瘫了谁都登不上网

我在项目中遇到过一种情况:攻击者并不直接打UPF,而是疯狂向NRF发送服务发现请求。NRF扛不住挂了,所有NF之间互相找不到,整个核心网直接「失联」。你看,打一个NF,等于打了一锅端。

个人经验: 做溯源时,别只盯着被攻击的NF。看看它上下游的NF日志,往往能发现攻击的「跳板」。

2.3 服务化接口(SBI)与信令面

SBI是5GC的「血管」。所有NF之间的通信,都走SBI。它基于HTTP/2协议,消息格式是JSON或Protobuf。

为什么我要强调这个?因为DDoS攻击的流量特征,就藏在这些HTTP请求里。

举个例子:
正常的NF注册请求,NRF会收到一个PUT /nnrf-nfm/v1/nf-instances/{nfInstanceId}。
如果攻击者伪造大量NF实例注册请求,NRF的SBI接口就会收到海量的PUT请求——这就是典型的服务化接口洪泛攻击

信令面呢?说白了就是控制面。AMF、SMF之间的N1/N2/N4接口,走的都是信令。信令面的DDoS,我见过最狠的是PDU会话建立请求风暴——攻击者伪造大量UE,疯狂发PDU会话建立请求,SMF直接CPU打满。

避坑指南: 我曾经在溯源时犯过一个低级错误——只看了SBI接口的HTTP状态码,没看请求体的内容。结果发现攻击流量伪装成了合法的服务请求,状态码全是200。后来我养成了习惯:溯源时一定要抓包看Payload,攻击者的「马脚」往往藏在请求体里。

2.4 核心网DDoS攻击的「攻击面」分析

搞清楚了架构和接口,我们来看看攻击者到底能从哪些地方下手:

  1. N1接口(UE-AMF):UE接入的入口,信令风暴的第一站
  2. N2接口(gNB-AMF):基站与核心网的连接,容易被伪造基站攻击
  3. N4接口(SMF-UPF):会话策略的下发通道,攻击者可以伪造策略请求
  4. SBI接口(NF-NF):服务化接口,NRF、NSSF等容易被服务发现洪泛
  5. N6接口(UPF-外部网络):用户面出口,流量型DDoS的重灾区

你想想看,这么多接口,每个接口都有对应的协议和消息类型。攻击者只要找到其中一个接口的「软肋」,就能发起有效的DDoS攻击。

2.5 知识体系结构图

下面这张图,是我自己梳理的5GC DDoS溯源的知识框架。你把它存下来,后面每一章都会用到。

5GC DDoS攻击溯源知识体系 5GC SBA架构 AMF / SMF / UPF / NRF N1/N2/N4/SBI/N6 信令风暴 / 服务洪泛 / 流量攻击 日志关联 / 流量抓包 / NF追踪 溯源关键点 1. 每个NF都有独立的SBI接口 2. 信令面攻击集中在N1/N2/N4 3. 用户面攻击集中在N6 4. NRF是服务发现的中枢 5. HTTP/2请求头藏攻击特征 6. NF实例ID可追踪攻击源 7. 信令面DDoS看AMF/SMF日志 8. 用户面DDoS看UPF流量统计 9. 跨NF关联分析是核心能力 10. 溯源要「由表及里」

2.6 小结

这一章我们聊了5GC的SBA架构、核心NF、SBI接口和信令面。说白了,就是给你画了一张「核心网地图」。后面做DDoS溯源的时候,你得知道攻击者站在地图的哪个位置,打的是哪个NF,走的是哪个接口。

我个人习惯是:先看接口,再看NF,最后看消息内容。这个顺序能帮你快速定位攻击的「第一落点」。

嗯,下一章我们会深入具体的攻击场景,到时候你会用上今天学的这些「地图知识」。

一句话总结: 5GC的SBA架构让核心网更灵活,但也让DDoS攻击的「入口」更多了。做溯源,先认路。

公众号:蓝海资料掘金营,微信deep3321