找回密码
 立即注册

QQ登录

只需一步,快速开始

广告载入中...
查看: 1341|回复: 1

中国美女黑客攻击4G网络?啪啪打脸

[复制链接]
发表于 2016-8-10 16:09 | 显示全部楼层 |阅读模式

马上注册,享用更多功能,让你轻松玩转本论坛。

您需要 登录 才可以下载或查看,没有账号?立即注册

×

下班时分,看到朋友转发了个帖子,标题如下:

呵呵。

世界上最悲惨的事情之一,

莫过于你的女朋友是一名黑客。

因为你永远不知道,

她究竟有什么手段来监控你。

更悲惨的事情,

莫过于你的男朋友是一名通信工程师,

因为他知道,

其实你没有什么手段来监控我。

这里废话不多说,我们看看互联网安全大佬对于通信过程的分析都存在什么样的问题。

问题1 怎么骗到IMSI?骗到IMSI后干什么用?

按照文章描述,美女黑客张小姐首先制作一个4G伪基站,加大4G伪基站的发射功率,这样可以使得在附近的4G终端被"吸引"过来,其中4G连接态终端切换过来,而4G空闲态终端重选过来,可真是这样么?不着急,我们分两步慢慢来说。

如果是处于连接态的手机,发现伪基站信号强了,就会触发测量-切换流程。首先通过测量报告(MR)上报发现最强的伪基站信号给源基站小区,而源小区此时并没有配置伪基站小区为邻区,因此不会通过X2或者S1接口发送切换准备指令。此时终端只是上报了测量到的信号很强的伪基站小区,一直没有等待网络侧通过重配消息下发的切换指令。终端只会不断上报测量报告,假设伪基站不是模三干扰的伪基站,而且伪基站在下行数据业务信道模拟发射功率,那么此时暂时不会对正常源小区终端产生什么影响,恰恰相反,这倒是一个很好定位伪基站的方法,通过大数据的分析,发现在某些区域终端不断上报一个频点 PCI,而且信号电平很强,同时该频点 PCI表征小区又不是这个区域基站小区的邻区,那么我们可以推测这个小区就是伪基站小区。(真是道高一尺,魔高一丈啊,hiahia)

接下来,如果用户由于移动性在源小区的电平越来越弱,但是测量到最强的小区反而是伪基站信号,那么用户迟迟等不到网络侧下发的切换指令,到了一定程度,会由于发生无线链路失败(RLF)触发重建流程,而该重建流程有可能在伪基站小区发起,因为电平强嘛。我们看看,重建信令里面包含了哪些内容。

包含了源小区分配的C-RNTI,以及源小区PCI,并没有小区分配的TMSI,此时伪基站拿到该信令也无所适从,一般不会傻傻的回复一条重建信令,后续终端的行为会变成IDLE态,这是后话。

及时总结一下,就即使美女黑客张小姐做了个4G伪基站,对于连接态的4G用户,然并卵。

如果处于空闲态(IDLE)的手机,通过测量其他(注意这里不一定是邻小区)小区的信号,判决是否进行重选,当测量到强大伪基站信号时,4G终端发生重选行为,当进行完下行同步后,读完MIB后(注,这里由于太过专业,请兴趣读者自行跳到结论处),读取SIB1,如果发现TAC没有改变,那么会驻留在该小区,后续有其他业务后才触发向基站侧的信令连接,为了简化说明,我们姑且直接把此类情况合并到后一种情况,即发现TAC改变后,终端发起TAU的流程。

首先终端发起RRC Connection Request流程,同时启动T300定时器。我们看看RRC Connection Request里面都有什么信息。

没错,里面含有TMSI,此时美女张小姐的4G伪基站第一次拿到了TMSI。此时难题留给了美女张小姐的4G伪基站,是做点什么还是什么都不做?如果什么都不做,当T300超时后,UE会告诉高层RRC连接失败,相应的流程终止,这时候可怜的美女张小姐只拿到了"毫无意义"(这是站在美女张小姐的角度看的,其实并非毫无意义)的TMSI。

好吧,看来得做点什么,那到底做点什么呢?美女张小姐在原文中有一点说的到很有趣,帮别人重启手机的时候能够拿到IMSI,可怎么在一个这样的流程中模拟手机重启呢?(别着急,就快进入到问题的实质了)

当UE发起终端侧的TAU流程请求时,同步启动定时器T3430,T3430固定15秒,一旦T3430超时后,终端就会放弃该TAU流程,同时将UE置为EU2 NOT UPDATED,表示位置更新无法完成。因此一定要在这15秒内做点什么,做点什么呢?此时,一个简单的方式,不仅需要美女张小姐的伪基站,还需要一个逻辑的伪核心网,在这15秒内伪装下发TAU REJECT,其中带有CAUSE VALUE=10(隐式分离),这样UE进入去注册的状态,会重新发起ATTACH流程。这个ATTACH流程里面含有什么呢

没错,这里会包含张小姐一直魂牵梦系的IMSI甚至IMEI。张小姐这里终于可以舒心的笑一笑了,等等,什么,这是做不到的(天塌的声音)

这是因为首先在无线侧加密流程中,伪基站就不起作用了。

我们可以看看正常网络侧安全模式指令下发的都是什么

SMC指令只下发完整性保护以及加密的算法,不不下发密钥,而且下发的算法必须是UE能够支持的,因此伪装SMC这一招其实是行不通的,而且搞不好会弄巧成拙,造成无线链路的释放。除非,伪基站能够事先计算出密钥,密钥在开卡时候就已经写死在芯片里了。能事先计算出密钥的为什么还去干伪基站这样的事情,光明正大的来运营商吧(hiahiahia)

及时总结一下,就即使美女黑客张小姐做了个4G伪基站,对于空闲态的4G用户的一般流程,然并卵。

难道美女黑客张小姐辛辛苦苦做的4G伪基站就没有用处么?其实也不尽然,天网恢恢,偶有疏漏,但是老衲不说。

至于张小姐辛辛苦苦拿到了IMSI,在文中后续却根本没用,小编没有想通,伪基站一般就是发骚扰短信小广告的,为了费劲周张发个小广告,拿IMSI干嘛,简直是杀鸡宰了牛刀。

反思:4G信令流程是否还有改进的空间,小编认为还是有的,如果所有的UL Information Transfer消息都在SMC流程之后发送,所有的NAS消息都piggybacking在UL/DL Information Transfer上,可能会更加稳妥和安全。

问题2 张小姐口述运营商奇葩的规定真的有么?

张小姐费了半天的劲,做了4G伪基站,目的还是把用户踢到2G伪基站,让2G伪基站再发个骚扰小广告(注,各位看官,就目前2G伪基站的水平也绝不可能拿到您的通话记录,顶多给您推送个房地产信息,融资贷款的小广告而已,拿到通话记录简直有点危(yi)言(pai)耸(hu)听(yan)了),大可不必如此大费周章。

不过我们更关注的是对3GPP协议理解深刻的张小姐团队口中的奇葩规定在协议中是否存在。

答案是:不存在

但是这种功能是可以实现的,现网也是有类似的功能,例如负载均衡,避免现网单基站下符合过高,可以采取这样的方式将用户分担到其他4G基站或者重定向到23G网络。

信息工程这门学科包容并蓄,博大精深,在电信行业中的从业人员其实都是当年各大高校中佼佼者,拥有着普遍高智商高学历,却甘于奉献,兢兢业业从事着最枯燥基础的网络维护优化工作,默默得甘做社会基础产业的柱石,这个行业并不如互联网,娱乐圈,金融领域那样的丰富精彩与靓丽光鲜,但是好在还有一些尽职尽责可爱的人,应该为他们的默默奉献点赞。

再送你一个回复,呵呵!



您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|股海明灯官网 ( 京ICP备18020431号 )

GMT+8, 2024-11-25 23:20 , Processed in 0.102116 second(s), Total 14, Slave 12 queries , Gzip On, MemCached On.

Powered by Discuz! X3.5

Copyright © 2001-2024 Tencent Cloud.

快速回复 返回顶部 返回列表