移动数据网络基础

在移动数据网络中，设备位置信息至关重要。例如荷兰KPN运营商拥有约5000个基站，每个基站通过小区标识符（CI）和路由区域码（RAC）进行管理。国际移动用户标识（IMSI）、接入点名称（APN）和SIM卡存储的通用集成电路卡（UICC）是网络接入的核心要素。数据包传输需经过服务GPRS支持节点（SGSN）、网关GPRS支持节点（GGSN）等组件，并通过GPRS隧道协议（GTP）建立专用通信隧道（基于UDP的GTPv0/v1/v2协议）。

GRX网络的安全价值

当设备漫游时，运营商通过GRX网络将流量路由至归属国网关。研究团队发现：

1. 数据暴露风险：通过自定义脚本剥离GTP头部后，可解析出明文流量（含用户凭证）；
2. 位置追踪：GTP头部包含MCC（国家代码）、MNC（运营商代码）、LAC（位置区号）等元数据，结合IMEI分析可精确定位设备；
3. 网络隔离失效：扫描显示GRX网络中存在大量暴露的SMTP/FTP/Telnet服务（含老旧漏洞版本），42K主机中有5.5K可直接从互联网访问。

渗透测试方法论

团队采用"杀伤链"模型对GRX网络进行审计：

• BGP路由分析：识别4.8K子网（320K IP地址）；
• 大规模扫描：使用zmap探测GTP服务（UDP 2152/2123端口）；
• 模拟攻击：通过SGSNEMU工具伪造GGSN连接，建立虚假PDP上下文；
• 服务枚举：发现运营商DNS服务器多运行老旧BIND版本（存在DoS漏洞）。

防御建议

运营商应：

• 从BGP表中移除GRX前缀
• 实施BGP认证与入口过滤
• 严格限制AS号间的路由前缀交换
• 应用最小权限访问控制列表（仅允许GTP/DNS/ICMP）

案例关联：比利时电信（Belgacom）被黑事件表明，攻击者可能通过社工管理员而非外部漏洞获取GRX访问权限，凸显内部威胁防护的重要性。