RTSP协议分析与安全实践

RTSP协议，全称实时流协议(Real Time Streaming Protocol)，前文已经简单介绍了RTSP相关协议；

RTSP和RTP(RTCP)

这里再提一下RTSP和RTP/RTCP、RSVP的关系；如图：

请添加图片描述

RTSP和HTTP

相似性：RTSP和HTTP协议都使用纯文本来发送消息，而且RTSP协议的语法也类似于HTTP。 RTSP一开始就是这样设计的，主要是为了能兼容使用之前编写的HTTP协议分析代码。
区别：RTSP是有状态的，需要知道当前处于什么状态，也就是说RTSP的命令总是按照顺序发送，某个命令总在另一个命令之前发送。无论处于什么状态，RTSP都不会断开连接。而HTTP则无状态，发送一个命令后，连接就会断开，命令之间没有依赖性。另外，RTSP协议使用554端口，HTTP使用80端口。

RTSP交互过程

RTSP交互过程的请求数据解析

由于RTSP跟HTTP的相似，除了在wireshark上捕获RTSP请求，burpsuite一类http流量的测试工具也可以捕获RTSP流量；
请添加图片描述

OPTIONS

请求服务器提供的可用方法；

OPTIONS rtsp://192.170.1.1/xxx RTSP/1.0
CSeq: 34
User-Agent:VLC media player (LIVE555 Streaming Media v2005.11.10)

服务器返回对应的可用方法，常见包含OPTIONS, DESCRIBE, SETUP, TEARDOWN, PLAY, PAUSE, SCALE,GET_PARAMETER

RTSP/1.0 200 OK
CSeq: 34
Date: Tue, May 07 2024 07:32:10 GMT
Public: OPTIONS, DESCRIBE, SETUP, TEARDOWN, PLAY, PAUSE, SCALE,GET_PARAMETER //服务器提供的可用的方法

DESCRIBE

请求会话描述信息(SDP)

DESCRIBE rtsp://192.170.1.1/xxx RTSP/1.0
CSeq: 35
User-Agent: VLC media player (LIVE555 Streaming Media v2005.11.10)
Accept: application/sdp

详细SDP信息参考SDP协议解析

RTSP/1.0 200 OK
CSeq: 35
Date: Tue, May 07 2024 07:32:11 GMT
Content-Type: application/sdp
Content-length: 414
Content-Base: rtsp://192.170.1.20/xxx/v=0
o=StreamingServer 3331435948 1 IN IP4 192.170.1.20
s=RTSP Session
c=IN IP4 0.0.0.0
t=0 0
a=control:*
a=range:npt=0-
m=video 0 RTP/AVP 96
a=control:trackID=0
a=rtpmap:96 H264/90000
a=fmtp:96  packetization-mode=1; profile-level-id=4D0033; sprop-parameter-sets=J00AM+dAPAET8s1AQEB8AAADAAQAAAMAyMQAAfoYAAF7k///wKA=,KO48gA==;
m=audio 0 RTP/AVP 97
a=control:trackID=1
b=as:32
a=rtpmap:97 L16/16000/1

SETUP

客户端提醒服务器建立会话,并确定传输模式；通过trackID参数进行控制，0表示rtp包，1表示rtcp包

SETUP trackID=1 RTSP/1.0
CSeq: 37
User-Agent: VLC media player (LIVE555 Streaming Media v2005.11.10)
Transport: RTP/AVP/TCP;unicast;interleaved=2-3
Session: 1012;timeout=65

服务端返回会话标识，Session值；

RTSP/1.0 200 OK
CSeq: 37
Date: Tue, May 07 2024 07:32:11 GMT
Transport: RTP/AVP/TCP;unicast;destination=192.170.1.20;source=192.170.1.20;interleaved=2-3
Session: 1012;timeout=65

PLAY

播放请求；

PLAY rtsp://192.170.1.20/xxx/ RTSP/1.0
CSeq: 38
User-Agent: VLC media player (LIVE555 Streaming Media v2005.11.10)
Session: 1012;timeout=65
Range: npt=0.000-

返回流数据；

RTSP/1.0 200 OK
CSeq: 38
Date: Tue, May 07 2024 07:32:11 GMT
Range: npt=0.000-
Session: 1012
RTP-Info: url=rtsp://192.170.1.20/;seq=0$../....H.....tx'k..K4{s>/..f..BI.....22 .(`.o%....$.........tz.....E= ...........#$.......H.....tx(.<.$....`..H.....tx<.. ..F!.....1d.....%2.h 6...h%q.|.te.zs........u.5..X...)y..x...t.C....6s..SE..F.....m[..... .'b/.^.GbV..^n.E.5=7....g..v.ZD;..-z.-..S%...
....4M..>E6.TK....I2pC.....aE.epb.....{.. ....~..h*.7...MY...."..x....Om....|T.7...TI,B+DO+z.b.Z...E..3.-.|T..,.....P%.G.../...V.H.Y.....><......... ..]...1_qq......+[............?.c^....\...y.........*8T....3L.....>3_x.=.84.WG!r..k....V.......x#..a}./J..?t...C...2...W...U....X.[.CB...?v...e..

TEARDOWN

客户端发起关闭请求；

TEARDOWN rtsp://192.170.1.20/xxx/ RTSP/1.0
CSeq: 38
Session: 1012
User-Agent: VLC media player (LIVE555 Streaming Media v2005.11.10)

服务器回应关闭会话；

RTSP/1.0 200 OK
Server: UServer 0.9.7_rc1
Cseq: 38
Session: 1012

SDP协议

SDP（Session Description Protocol）是一个描述多媒体通信会话的格式，用来在会话发起者和参与者之间交换会话的参数和能力。SDP 本身并不传送媒体数据，它只描述了媒体流的元数据，比如媒体类型（音频、视频、文本等）、格式、传输协议和网络地址。

v=0
o=StreamingServer 3331435948 1 IN IP4 192.170.1.20
s=RTSP Session
c=IN IP4 0.0.0.0
t=0 0
a=control:*
a=range:npt=0-
m=video 0 RTP/AVP 96
a=control:trackID=0
a=rtpmap:96 H264/90000
a=fmtp:96  packetization-mode=1; profile-level-id=4D0033; sprop-parameter-sets=J00AM+dAPAET8s1AQEB8AAADAAQAAAMAyMQAAfoYAAF7k///wKA=,KO48gA==;
m=audio 0 RTP/AVP 97
a=control:trackID=1
b=as:32
a=rtpmap:97 L16/16000/1

v=（版本） - 指定SDP的版本号，目前通常为0。
o=（所有者/创建者和会话ID） - 描述会话的所有者，包含用户名、会话ID、会话版本、网络类型、地址类型和所有者地址。
s=（会话名称） - 会话的名字。
c=（连接信息） - 网络类型、地址类型和连接地址。
t=（时间描述） - 会话的开始和结束时间。
a=（属性） - 会话属性描述（可选），可以是媒体属性或会话属性，不同的属性有不同的含义。
m=（媒体描述） - 描述媒体类型、端口、协议和格式。
i=*（会话信息） - 提供有关会话的额外信息（可选）。
```
i=A Seminar on the session description protocol
```
u=（URI） - 描述与会话相关的更多信息的URI（可选）。
```
u=http://www.example.com/seminars/sdp.pdf
```
e=（电子邮件地址） - 提供会话联系人的电子邮件地址（可选）。
```
e=j.doe@example.com
```
p=（电话号码） - 提供会话联系人的电话号码（可选）。
```
p=+1 617 555-6011
```
b=（带宽信息） - 指定会话或媒体的带宽信息（可选）。
```
b=CT:384
```
r=*（重复时间） - 会话的重复时间（可选）。
```
r=604800 3600 0 90000
```
z=*（时区调整） - 会话的时区偏移量（可选）。
```
z=2882844526 -1h 2898848070 0
```
k=*（加密密钥） - 指定媒体加密的密钥（可选且不推荐使用）。
```
k=clear:1234
```

以上是SDP协议中的一些主要字段。SDP是非常灵活的，可以包含多个媒体描述m和多个属性a，每个描述可以有自己的设置，如编解码器、带宽限制和其他媒体特定属性，业务上可以在这个参数上自定义使用。

RTSP安全测试

python脚本

import cv2# RTSP URL of the video stream
rtsp_url = 'rtsp://192.168.137.81:554/xxx'# Create a VideoCapture object
cap = cv2.VideoCapture(rtsp_url)# Check if the video stream is opened correctly
if not cap.isOpened():print("Error: Could not open video stream.")
else:print("Video stream opened successfully.")# Loop to display the frames
while cap.isOpened():# Capture frame-by-frameret, frame = cap.read()# If frame is read correctly ret is Trueif not ret:print("Can't receive frame (stream end?). Exiting ...")break# Display the resulting framecv2.imshow('RTSP Stream', frame)# Press 'q' on the keyboard to exitif cv2.waitKey(1) & 0xFF == ord('q'):break# When everything is done, release the VideoCapture object
cap.release()
# Closes all the frames
cv2.destroyAllWindows()

VLC等连接工具

请添加图片描述

burpsuite等http流量请求抓包工具

请添加图片描述

RTSP安全实践

使用RTSPS

观察RTSP的交互过程后，我们可以发现RTSP没有任何权限验证，也没有加解密过程（即使有加密，也是明文传输加密密钥）。因此，RTSP并不是一个安全的协议，与http类似，RTSP有自己的安全版本RTSPS，通过SSL/TLS进行通道加密，以确保传输数据的保密性和完整性。然而，RTSP常用于嵌入式设备摄像头中，这类IoT的场景由于性能等原因的限制，无法使用RTSPS。那么，针对这类场景，有哪些相对安全的方案可以使用呢？