web-dev-qa-db-ja.com

DTLS-SRTPをペンテストするには?

現在、DTLS-SRTPの長所と短所に関する侵入テストに取り組んでいます。しかし、Wiresharkを使用した盗聴テストに行き詰まっています。

はい、SRTPによって保護されていますが、

  1. DTLSは実際にメディアチャネルで何をしている/働いていますか?
  2. このようなセキュリティで保護されたチャネルでテストできる(盗聴を除いて)他の攻撃方法は何ですか(機能することを証明するため、または代わりにまだ欠陥があることを証明するため)。

具体的には、WebRTC通信でそれを行っています。メディア転送チャネルを除いて、他の場所のセキュリティの側面は無視しています。

tlsvoipwebrtcdtlssrtp
6
alsterisk

どのような攻撃方法を探していますか? DTLS-SRTP拡張解析コードにメモリリークがあることを覚えています。これにより、OpenSSLはDoS攻撃に対して脆弱になります(詳細については CVE-2014-351 )。

しかし、私は RFC 5764 を読んで、それがあなたの質問に答えるかどうかを確認することをお勧めします。

「Prateek Gupta、Vitaly Shmatikov(2006) Voice-over-IPプロトコルのセキュリティ分析 も推奨できます。

2
Zardox