GTP 检查检查器

GTP 检查检查器概述

类型

检查器(服务)

使用方式

检测

实例类型

多实例

所需其他检查器

stream_udp

已启用

false

通用分组无线业务 (GPRS) 隧道协议 (GTP) 实现通过 GTP 核心网络进行通信。

gtp_inspect 检查器检测 GTP 流量中的异常,并将命令通道信令消息转发到规则引擎以进行检查。

GTP 检查检查器参数

GTP 检查服务和端口配置

绑定程序 检查器定义 GTP 检查 服务端口 配置。有关详细信息,请参阅绑定程序检查器概述

示例: 
[
   {
       "when": {
           "service": "gtp_inspect",
           "role": any
       },
       "use": {
           "type": "gtp_inspect"
       }
   },
   {
       "when": {
           "proto": "tcp",
           "role": "server",
           "ports": "2123 2152 3386"
       },
       "use": {
           "type": "gtp_inspect"
       }
   }
]

version

指定有效的 GTP 版本。

类型: 整数

有效值: 0, 1, 2

默认值: 2

messages[]

指定有关有效 GTP 消息的信息数组。

类型: 数组(对象)

示例: 
{
    messages: [
        {
            "type": 0,
            "name": ""
        }
    ]
}

messages[].type

指定有效的 GTP 消息类型。请参阅 GTP 消息类型 表。

类型: 整数

有效范围:0255

默认值: None

messages[].name

指定有效的 GTP 消息名称。请参阅 GTP 消息类型 表。

类型: 字符串

有效值: 有效的 GTP 消息名称

默认值: None

infos[]

指定 GTP 信息元素数组。

类型: 数组(对象)

示例: 
{
    infos: [
        {
            "type": 0,
            "name": "echo_request",
            "length": 0
        }
    ]
}

infos[].type

指定有效的 GTP 元素类型代码。请参阅 GTP 信息元素 表。

类型: 整数

有效范围: 0255

默认值: 0

infos[].name

指定有效的 GTP 元素名称。

类型: 字符串

有效值: 有效的 GTP 信息元素名称。请参阅 GTP 信息元素 表。

infos[].length

指定有效 GTP 信息元素的长度。

类型: 整数

有效范围:0255

默认值: 0

GTP 检查检查器规则

启用 gtp_inspect 检查器规则以 生成事件并在内联部署中丢弃攻击性数据包

表 1. GTP 检查器规则

GID:SID

Rule Message
143:1

信息长度无效

143:2

信息元素长度无效

143:3

信息元素顺序错误

143:4

TEID 缺失

GTP 检查检查器入侵规则选项

通过 gtp_inspect 检查器入侵规则选项,您可以检查 GTP 命令通道中的 GTP 版本、消息类型和信息元素。

不能将 GTP 选项与 contentbyte_jump结合使用。必须在使用 gtp_infogtp_type 的每个规则中使用 gtp_version

gtp_version

根据 GTP 控制消息的版本检查指定的 GTP 版本。

类型: 整数

语法: gtp_version:<version>;

有效值: 0, 1, 2

示例: gtp_version: 1;

gtp_type

每条 GTP 消息由一种消息类型标识,消息类型由一个数值和一个字符串组成。根据 GTP 消息的类型检查指定的 GTP 类型。

可以为消息类型指定定义的十进制值,可以指定定义的字符串,或者指定包含这两项的任意组合的逗号分隔列表,如以下示例所示:

类型: 字符串

语法: gtp_type: <message_type>;

有效值: 在 GTP 消息类型表中列出。请参阅 GTP 消息类型 表。

示例: gtp_type: "10, 11, echo_request";

系统使用 OR 操作来匹配列出的每个值或字符串。值和字符串的列出顺序并不重要。列表中的任何一个值或字符串均与此关键字匹配。如果尝试保存包含无法识别的字符串或超出范围的值的规则,系统将生成错误。

请注意,不同的 GTP 版本有时会对同一种消息类型使用不同的值。例如,sgsn_context_request 这一消息类型在 GTPv0 和 GTPv1 中值是 50,但在 GTPv2 中值是 130

gtp_type 选项匹配不同的值,具体取决于数据包中的版本号。例如,在 GTPv0 或 GTPv1 数据包中,sgsn_context_request 信息匹配值 50,在 GTPv2 数据包中,则匹配值 130。如果数据包中的消息类型值不是在数据包中指定的版本的已知值,此选项不会匹配数据包。

如果为消息类型指定一个整数,则当消息类型与 GTP 数据包中的该值匹配时,关键字将会匹配,无论数据包中指定的版本如何。

gtp_message_typeGTP 消息类型 表中的数值或关键字。

表 2. GTP 消息类型

类型

版本 0 的名称

版本 1 的名称

版本 2 的名称

1

echo_request

echo_request

echo_request

2

echo_response

echo_response

echo_response

3

version_not_supported

version_not_supported

version_not_supported

4

node_alive_request

node_alive_request

不适用

5

node_alive_response

node_alive_response

不适用

6

redirection_request

redirection_request

不适用

7

redirection_response

redirection_response

不适用

16

create_pdp_context_request

create_pdp_context_request

不适用

17

create_pdp_context_response

create_pdp_context_response

不适用

18

update_pdp_context_request

update_pdp_context_request

不适用

19

update_pdp_context_response

update_pdp_context_response

不适用

20

delete_pdp_context_request

delete_pdp_context_request

不适用

21

delete_pdp_context_response

delete_pdp_context_response

不适用

22

create_aa_pdp_context_request

init_pdp_context_activation_request

不适用

23

create_aa_pdp_context_response

init_pdp_context_activation_response

不适用

24

delete_aa_pdp_context_request

不适用

不适用

25

delete_aa_pdp_context_response

不适用

不适用

26

error_indication

error_indication

不适用

27

pdu_notification_request

pdu_notification_request

不适用

28

pdu_notification_response

pdu_notification_response

不适用

29

pdu_notification_reject_request

pdu_notification_reject_request

不适用

30

pdu_notification_reject_response

pdu_notification_reject_response

不适用

31

不适用

supported_ext_header_notification

不适用

32

send_routing_info_request

send_routing_info_request

create_session_request

33

send_routing_info_response

send_routing_info_response

create_session_response

34

failure_report_request

failure_report_request

modify_bearer_request

35

failure_report_response

failure_report_response

modify_bearer_response

36

note_ms_present_request

note_ms_present_request

delete_session_request

37

note_ms_present_response

note_ms_present_response

delete_session_response

38

不适用

不适用

change_notification_request

39

不适用

不适用

change_notification_response

48

identification_request

identification_request

不适用

49

identification_response

identification_response

不适用

50

sgsn_context_request

sgsn_context_request

不适用

51

sgsn_context_response

sgsn_context_response

不适用

52

sgsn_context_ack

sgsn_context_ack

不适用

53

不适用

forward_relocation_request

不适用

54

不适用

forward_relocation_response

不适用

55

不适用

forward_relocation_complete

不适用

56

不适用

relocation_cancel_request

不适用

57

不适用

relocation_cancel_response

不适用

58

不适用

forward_srns_contex

不适用

59

不适用

forward_relocation_complete_ack

不适用

60

不适用

forward_srns_contex_ack

不适用

64

不适用

不适用

modify_bearer_command

65

不适用

不适用

modify_bearer_failure_indication

66

不适用

不适用

delete_bearer_command

67

不适用

不适用

delete_bearer_failure_indication

68

不适用

不适用

bearer_resource_command

69

不适用

不适用

bearer_resource_failure_indication

70

不适用

ran_info_relay

downlink_failure_indication

71

不适用

不适用

trace_session_activation

72

不适用

不适用

trace_session_deactivation

73

不适用

不适用

stop_paging_indication

95

不适用

不适用

create_bearer_request

96

不适用

mbms_notification_request

create_bearer_response

97

不适用

mbms_notification_response

update_bearer_request

98

不适用

mbms_notification_reject_request

update_bearer_response

99

不适用

mbms_notification_reject_response

delete_bearer_request

100

不适用

create_mbms_context_request

delete_bearer_response

101

不适用

create_mbms_context_response

delete_pdn_request

102

不适用

update_mbms_context_request

delete_pdn_response

103

不适用

update_mbms_context_response

不适用

104

不适用

delete_mbms_context_request

不适用

105

不适用

delete_mbms_context_response

不适用

112

不适用

mbms_register_request

不适用

113

不适用

mbms_register_response

不适用

114

不适用

mbms_deregister_request

不适用

115

不适用

mbms_deregister_response

不适用

116

不适用

mbms_session_start_request

不适用

117

不适用

mbms_session_start_response

不适用

118

不适用

mbms_session_stop_request

不适用

119

不适用

mbms_session_stop_response

不适用

120

不适用

mbms_session_update_request

不适用

121

不适用

mbms_session_update_response

不适用

128

不适用

ms_info_change_request

identification_request

129

不适用

ms_info_change_response

identification_response

130

不适用

不适用

sgsn_context_request

131

不适用

不适用

sgsn_context_response

132

不适用

不适用

sgsn_context_ack

133

不适用

不适用

forward_relocation_request

134

不适用

不适用

forward_relocation_response

135

不适用

不适用

forward_relocation_complete

136

不适用

不适用

forward_relocation_complete_ack

137

不适用

不适用

forward_access

138

不适用

不适用

forward_access_ack

139

不适用

不适用

relocation_cancel_request

140

不适用

不适用

relocation_cancel_response

141

不适用

不适用

configuration_transfer_tunnel

149

不适用

不适用

detach

150

不适用

不适用

detach_ack

151

不适用

不适用

cs_paging

152

不适用

不适用

ran_info_relay

153

不适用

不适用

alert_mme

154 种

不适用

不适用

alert_mme_ack

155

不适用

不适用

ue_activity

156

不适用

不适用

ue_activity_ack

160

不适用

不适用

create_forward_tunnel_request

161

不适用

不适用

create_forward_tunnel_response

162

不适用

不适用

suspend

163

不适用

不适用

suspend_ack

164

不适用

不适用

继续执行

165

不适用

不适用

resume_ack

166

不适用

不适用

create_indirect_forward_tunnel_request

167

不适用

不适用

create_indirect_forward_tunnel_response

168

不适用

不适用

delete_indirect_forward_tunnel_request

169

不适用

不适用

delete_indirect_forward_tunnel_response

170

不适用

不适用

_access_bearer_request

171

不适用

不适用

release_access_bearer_response

176

不适用

不适用

downlink_data

177

不适用

不适用

downlink_data_ack

179

不适用

不适用

pgw_restart

180 个

不适用

不适用

pgw_restart_ack

200

不适用

不适用

update_pdn_request

201

不适用

不适用

update_pdn_response

211

不适用

不适用

modify_access_bearer_request

212

不适用

不适用

modify_access_bearer_response

231

不适用

不适用

mbms_session_start_request

232

不适用

不适用

mbms_session_start_response

233

不适用

不适用

mbms_session_update_request

234

不适用

不适用

mbms_session_update_response

235

不适用

不适用

mbms_session_stop_request

236

不适用

不适用

mbms_session_stop_response

240

data_record_transfer_request

data_record_transfer_request

不适用

241

data_record_transfer_response

data_record_transfer_response

不适用

254

不适用

end_marker

不适用

255

pdu

pdu

不适用

gtp_info

一条 GTP 消息可以包含多个信息元素,其中的每一个元素均由已定义的一个数值和一个字符串来识别。可以使用 gtp_info 选项在指定的信息元素开头开始检查,并将检查限于该信息元素。

可以为信息元素指定已定义的十进制值或字符串。可以指定一个值或字符串,也可以在一个规则中使用多个 gtp_info 选项来检查多个信息元素。

如果一条消息包含相同类型的多个信息元素,系统将会全部检查这些元素来进行匹配。如果信息元素按无效顺序出现,将仅检查最后一个实例。

根据版本的不同,GTP 消息可以对同一信息元素使用不同的值。例如,cause 这个信息元素在 GTPv0 和 GTPv1 中值是 1,但在 GTPv2 中值是 2

gtp_info 选项匹配不同的值,具体取决于数据包中的版本号。在上述示例中,在 GTPv0 或 GTPv1 数据包中,此关键字匹配信息元素值 1,在 GTPv2 数据包中,则匹配值 2。如果数据包中的信息元素值不是在数据包中指定的版本的已知值,此选项不会匹配数据包。

如果为信息元素指定一个整数,则当消息类型与 GTP 数据包中的该值匹配时,选项将会匹配,无论数据包中指定的版本如何。

类型: 字符串

语法: gtp_info: <identifier>;

有效值:GTP 信息元素 表中列出。

示例: gtp_info: "qos";

表 3. GTP 信息元素

类型

版本 0 的名称

版本 1 的名称

版本 2 的名称

1

cause

cause

imsi

2

imsi

imsi

cause

3

rai

rai

recovery

4

tlli

tlli

不适用

5

p_tmsi

p_tmsi

不适用

6

qos

不适用

不适用

8

recording_required

recording_required

不适用

9

authentication

authentication

不适用

10

不适用

不适用

不适用

11

map_cause

map_cause

不适用

12

p_tmsi_sig

p_tmsi_sig

不适用

13

ms_validated

ms_validated

不适用

14

recovery

recovery

不适用

15

selection_mode

selection_mode

不适用

16

flow_label_data_1

teid_1

不适用

17

flow_label_signalling

teid_control

不适用

18

flow_label_data_2

teid_2

不适用

19

ms_unreachable

teardown_ind

不适用

20

不适用

nsapi

不适用

21

不适用

ranap

不适用

22

不适用

rab_context

不适用

23

不适用

radio_priority_sms

不适用

24

不适用

radio_priority

不适用

25

不适用

packet_flow_id

不适用

26

不适用

charging_char

不适用

27

不适用

trace_ref

不适用

28

不适用

trace_type

不适用

29

不适用

ms_unreachable

不适用

71

不适用

不适用

apn

72

不适用

不适用

ambr

73

不适用

不适用

ebi

74

不适用

不适用

ip_addr

75

不适用

不适用

mei

76

不适用

不适用

msisdn

77

不适用

不适用

indication

78

不适用

不适用

pco

79

不适用

不适用

paa

80

不适用

不适用

bearer_qos

80

不适用

不适用

flow_qos

82

不适用

不适用

rat_type

83

不适用

不适用

serving_network

84

不适用

不适用

bearer_tft

85

不适用

不适用

tad

86

不适用

不适用

uli

87

不适用

不适用

f_teid

88

不适用

不适用

tmsi

89

不适用

不适用

cn_id

90

不适用

不适用

s103pdf

91

不适用

不适用

s1udf

92

不适用

不适用

delay_value

93

不适用

不适用

bearer_context

94

不适用

不适用

charging_id

95

不适用

不适用

charging_char

96

不适用

不适用

trace_info

97

不适用

不适用

bearer_flag

99

不适用

不适用

pdn_type

100

不适用

不适用

pti

101

不适用

不适用

drx_parameter

103

不适用

不适用

gsm_key_tri

104

不适用

不适用

umts_key_cipher_quin

105

不适用

不适用

gsm_key_cipher_quin

106

不适用

不适用

umts_key_quin

107

不适用

不适用

eps_quad

108

不适用

不适用

umts_key_quad_quin

109

不适用

不适用

pdn_connection

110

不适用

不适用

pdn_number

111

不适用

不适用

p_tmsi

112

不适用

不适用

p_tmsi_sig

113

不适用

不适用

hop_counter

114

不适用

不适用

ue_time_zone

115

不适用

不适用

trace_ref

116

不适用

不适用

complete_request_msg

117

不适用

不适用

guti

118

不适用

不适用

f_container

119

不适用

不适用

f_cause

120

不适用

不适用

plmn_id

121

不适用

不适用

target_id

123

不适用

不适用

packet_flow_id

124

不适用

不适用

rab_contex

125

不适用

不适用

src_rnc_pdcp

126

不适用

不适用

udp_src_port

127

charge_id

charge_id

apn_restriction

128

end_user_address

end_user_address

selection_mode

129

mm_context

mm_context

src_id

130

pdp_context

pdp_context

不适用

131

apn

apn

change_report_action

132

protocol_config

protocol_config

fq_csid

133

gsn

gsn

信道

134

msisdn

msisdn

emlpp_pri

135

不适用

qos

node_type

136

不适用

authentication_qu

fqdn

137

不适用

tft

ti

138

不适用

target_id

mbms_session_duration

139

不适用

utran_trans

mbms_service_area

140

不适用

rab_setup

mbms_session_id

141

不适用

ext_header

mbms_flow_id

142

不适用

trigger_id

mbms_ip_multicast

143

不适用

omc_id

mbms_distribution_ack

144 个

不适用

ran_trans

rfsp_index

145

不适用

pdp_context_pri

uci

146

不适用

addi_rab_setup

csg_info

147

不适用

sgsn_number

csg_id

148

不适用

common_flag

cmi

149

不适用

apn_restriction

service_indicator

150

不适用

radio_priority_lcs

detach_type

151

不适用

rat_type

ldn

152

不适用

user_loc_info

node_feature

153

不适用

ms_time_zone

mbms_time_to_transfer

154 种

不适用

imei_sv

throttling

155

不适用

camel

ARP

156

不适用

mbms_ue_context

epc_timer

157

不适用

tmp_mobile_group_id

signalling_priority_indication

158

不适用

rim_routing_addr

tmgi

159

不适用

mbms_config

mm_srvcc

160

不适用

mbms_service_area

flags_srvcc

161

不适用

src_rnc_pdcp

nmbr

162

不适用

addi_trace_info

不适用

163

不适用

hop_counter

不适用

164

不适用

plmn_id

不适用

165

不适用

mbms_session_id

不适用

166

不适用

mbms_2g3g_indicator

不适用

167

不适用

enhanced_nsapi

不适用

168

不适用

mbms_session_duration

不适用

169

不适用

addi_mbms_trace_info

不适用

170

不适用

mbms_session_repetition_num

不适用

171

不适用

mbms_time_to_data

不适用

173

不适用

bss

不适用

174

不适用

cell_id

不适用

175

不适用

pdu_num

不适用

177

不适用

mbms_bearer_capab

不适用

178

不适用

rim_routing_disc

不适用

179

不适用

list_pfc

不适用

180 个

不适用

ps_xid

不适用

181

不适用

ms_info_change_report

不适用

182

不适用

direct_tunnel_flags

不适用

183

不适用

correlation_id

不适用

184

不适用

bearer_control_mode

不适用

185

不适用

mbms_flow_id

不适用

186

不适用

mbms_ip_multicast

不适用

187

不适用

mbms_distribution_ack

不适用

188

不适用

reliable_inter_rat_handover

不适用

189

不适用

rfsp_index

不适用

190

不适用

fqdn

不适用

191

不适用

evolved_allocation1

不适用

192 个

不适用

evolved_allocation2

不适用

193

不适用

extended_flags

不适用

194

不适用

uci

不适用

195

不适用

csg_info

不适用

196

不适用

csg_id

不适用

197

不适用

cmi

不适用

198

不适用

apn_ambr

不适用

199

不适用

ue_network

不适用

200

不适用

ue_ambr

不适用

201

不适用

apn_ambr_nsapi

不适用

202

不适用

ggsn_backoff_timer

不适用

203

不适用

signalling_priority_indication

不适用

204

不适用

signalling_priority_indication_nsapi

不适用

205

不适用

high_bitrate

不适用

206

不适用

max_mbr

不适用

251

charging_gateway_addr

charging_gateway_addr

不适用

255

private_extension

private_extension

private_extension