来源:网优老兵(ID:WhatsComm) 伪基站泛指伪装成正常的通信基站用于干扰用户正常通信,以获取用户位置、给用户发送垃圾短信等,其中获取位置用户信息主要是某暴力机构所为,本文重点探讨发送垃圾短信——聊聊垃圾短信群发的设备、操作、原理和可能的规避措施,不足之处,烦请有关达人给予指点。常见的伪基站由一家名为“大唐无线设备研究所”的公司(www.ssrpsms.net)以所谓的应急通信的名义对外销售。 设备构成 图1 伪基站硬件构成 设备构成比较简单,一台大容量电源、一台ssrp短信群发机、一面平板天线或八木天线、一台带wifi连接的电脑、一部带信号测试功能的手机、一个开关遥控器。不法份子将这些设备打包在一个皮箱里,拉着皮箱在城市里四处流动,主要在人群密集区域、十字路口等停留,完成发送短信后换到另一个地方发送。常见的还有以电动车、小面包车等形式出现。 目前这类短信群发机只能影响驻留在2G网络的终端(包括单卡或双卡双待机),当终端驻留在3G或4G网络时不会收到垃圾短信。当时驻留在2G的终端会出现短时间(5秒)内有信号,无法主被叫,并收到一条短信的现象。其声称的性能指数有:
设备操作 短信群发机内置TPLink的无线路由器,搭建基于伪基站的局域网,可使用手机、电脑等接入伪基站。同时基于内置的WEB服务,为用户提供操作界面(192.168.1.253,GSMS应急方案处理系统)。具体操作流程如下: 1、 移动终端(手机或电脑)连接TP-link无线路由器,IP地址可根据型号从TP-link网站获取; 2、 登陆无线路由器管理界面,从DHCP服务器-客户端列表上寻找命名为gsms的终端,确定分配的ip地址; 3、 登陆该IP地址即进入伪基站操作设置界面,可设置显示号码、短信内容、签名、发送时间和发送条数等。 图2伪基站操作界面 工作原理 很显然,大多数的伪基站都是基于开源的OpenBTS项目开发的,有兴趣的朋友可以自行登陆GNURadio社区网站了解更详细的信息http://gnuradio./chinese/openbts。 图3伪基站内部连接图 上图分别显示了OpenBTS 使用的天线,部分硬件设备,尤其是射频部分的硬件设备,以及系统结构。整个射频系统的关键部件是 USRP,USRP 代表通用软件无线电外设(Universal Software Radio Peripheral)。USRP 的设计理念是把智能化程度比较高的信号处理,交给PC上的软件执行,包括调制和解调。而常见的数字上下变频,抽样和内插等由 USRP 板上的 FPGA 完成。USRP 板与 PC 之间,通过 USB 端口连接。这些器件包括带通滤波器、低噪放大器、功率放大器、双工器都可以从淘宝上低价购得,USRP也可以从社区等网站采购。因此,整个系统的重点就是寻找一个集成度高的PC,安装Ubuntu操作系统和交叉编译环境,修改必要的开源代码,完成编译即可。 这些集成的工作不是太难,本文重点还是讨论通信的机制。 图4 伪基站在GSM网络下发短信的信令时序图 1、 伪基站设置为一个异常的LAC并将CRO设置为最大值,驻留在GSM网络的空闲态终端将重选到伪基站。 2、 UE读取广播消息,发现LAC变更; 3、 UE发起随机接入,请求更新位置区,并上报TMSI或IMSI; 4、 伪基站利用已知的TMSI或IMSI为该用户指配一条SDCCH信道,并携带短消息; 5、 UE读取SDCCH信道,获取短消息。 整个过程的关键有三个:(1)通过UE的位置更新请求(LocaltionUpdate Request)消息,获取目标用户;(2)通过在SI3消息中的Rach 重发次数参数让终端持续发起随机接入处于SDCCH接入阶段,如上图最大RA重传次数为2;(3)SDCCH指配消息不是用于响应Localtion Update Accept消息而是携带短消息,终端未做识别。因此,在这里也大致可以猜测,华为的麒麟芯片的诈骗短信拦截原理,大概是基于(3)来实现的。即,若UE之前发起了LAU Request消息,而接收Immediate Assignment的NAS消息不是LAU Accept则直接做丢弃。
上述简单讨论了基于GSM网络的短信群发机及其工作原理。可以看到,当且仅当终端驻留GSM网络且处于空闲态下,才会收到群发短信。那么对于号称史上最安全的通信网络——LTE网络,是否也存在类似的伪基站问题呢?答案是原理一样,风险依旧。 1、 LTE下的短信提供方式 在LTE下,短信的提供方式很多样,不同的终端在不同的网络下,是否附着IMS等将有不同的短信发送方式。其中方式1,就是当前的伪基站短信发送方式;方式3和4需要建立LTE的DRB承载,需要经过RRC层和NAS层的鉴权和加密,因此无法利用。但方式2却有可乘之机。 表1 短信(SMS)发送方式
2、LTE的安全模式 LTE理论上有多重安全措施可以防范遭受伪基站的干扰。主要有: (1) 终端与网络双向鉴权,这需要USIM卡五元鉴权模式的支持; (2) 三重加密:RRC层加密和完整性保护,NAS层加密和完整性保护,SIP消息IPSec加密; 图5 LTE网络的RRC层和NAS鉴权和加密流程(SRB1已建立,但SRB2未建立,且仅网络对终端鉴权(Command是下行的),终端未对网络鉴权) (3) 三种安全性保护和加密算法: 表2 LTE网络鉴权和加密算法
但当前存在如下漏洞,导致了LTE伪基站用于群发短信的可能。 (1)终端未对网络鉴权,因此终端可以接入LTE伪基站,并发起TAU Request,伪基站获得用户的GUTI; (2)终端从RRC 空闲返回RRC连接态,没有经过安全模式确认; (3)伪基站可以利用DL Information Transfer来欺骗终端冒TAU Accept之名之际携带CP-DATA(短信内容)给终端。 所以,看来要从网络侧防范LTE伪基站,看来目前的技术还是无能为力的,解决该问题还得靠终端,或者终端对网络进行反向鉴权或者终端根据信令上下文对DL Information Transfer消息进行过滤。否则,LTE伪基站在不久的将来势必会到来,有兴趣的朋友可以到http://www./了解详情。 图6 LTE网络TAU信令流程(中间没有做任何鉴权和加密) 图7 短信网关通过SGs口发给MME,MME通过SRB2作为NAS消息承载在RRC消息DLInformation Transfer下发给终端 结束语 由于伪基站可以任意定制短信发送号码,若定制为特殊号码(如银行客服、政府公众服务号等),则可用于传播诈骗、虚假、甚至反动言论,挑战社会主义核心价值观,引发社会动荡,其影响极其恶劣,必须以重拳以打击。刑法第124条“破坏广播电视设施、公用电信设施,危害公共安全的,处三年以上七年以下有期徒刑;造成严重后果的,处七年以上有期徒刑”。刑法第266条“诈骗公私财物,数额较大的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产”。数罪并罚,最高可判刑17年以上。不法份子切莫以身试法。 |
|