通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  少将

注册:2011-10-18363
跳转到指定楼层
1#
发表于 2015-12-7 08:50:00 |只看该作者 |倒序浏览
明明信号好好的,可突然手机信号消失,无法拨打电话,却收到垃圾短信或者伪装成10086或者银行的短信!

很不幸的告诉你!你已经中了伪基站的招了!

伪基站是个什么鬼?

遇到背这样包的人,你要警惕了! 不要忘了拨打110。
这就是伪基站,注意背包上有散热孔。

我们今天就来深度揭秘一下伪基站的工作原理。共同打击伪基站,还通信网络一片清朗!

伪基站的工作流程,简单点说是这样的。
伪基站发射GSM信号,设置极端重选参数诱使目标范围内的MS离开原有正常基站,重选驻留伪基站信源,随后MS在伪基站信号下进行位置更新,进行网络登记,相关人员通过后台分析可以获得用户的IMSI、IMEI及手机号码等关键信息,进一步获取用户的位置信息。然后再发送垃圾、诈骗短信,手机收到伪基站发送的任意内容、任意数量的短信。

不过,既然要深度揭秘,我们还是从GSM网络原理说起。

这是GSM网络结构图。
GSM系统的组成:

1. 手机(MS) + SIM卡

如同每个人都有身份证一样,你的手机和手机里的SIM卡也有自己的身份ID,分别叫IMEI和IMSI。
手机:设备识别码 (IMEI)唯一识别

SIM卡:用户识别码(IMSI)唯一识别

IMEI,与每台手机一 一对应,而且该码是全世界唯一的,用于区别移动终端设备。

IMSI,区别移动用户的标志,储存在SIM卡中,可用于区别移动用户的有效信息。

2. 基站子系统(BSS) 手机(MS)与交换机之间的桥梁
基站收发信机(BTS):负责无线传输。基站识别码(BSIC) 唯一识别。

基站控制器(BSC): 负责控制和管理,可管理几十个BTS。

3. 网络与交换子系统(NSS) 管理GSM用户和其他网络用户之间的通信

移动业务交换中心(MSC):GSM网络的核心

访问位置寄存器(VLR):动态存储位置区内手机信息 (相当于暂住地公安局)

归属位置寄存器(HLR):永久存储登记在其中的手机信息 (相当于户口所在地公安局)

鉴权中心(AUC):存储用户的加密信息

设备识别寄存器(EIR):存储鉴权信息

GSM网络区域划分
MSC服务区:一个MSC/VLR覆盖的区域;

位置区:寻呼区域,由位置区识别码(LAI)区分;

小区:一个BTS覆盖的区域,由基站识别码(BSIC)区分。

GSM系统-逻辑信道
BCCH向手机广播:本小区频率和LAI,以及相邻小区BCCH频率等信息。

GSM系统单向鉴权隐患

1)GSM只有网络侧对手机的“单向鉴权”。

2)非法基站可忽略鉴权,直接反馈鉴权成功。

3)手机不能鉴权网络身份的合法性。

伪基站工作原理-组成示意图
工作流程
步骤一 监听与伪装

在监听与伪装过程如下:
1)工程手机获取邻小区BCCH频率;

2)工程手机测量邻近小区的BCCH场强;

3)选定BCCH信号最弱的小区频率;

4)设置相同 MCC 和 MNC;

5)发射伪装后的BCCH信号。

伪装后,伪基站可作为GSM手机的候选服务小区。
步骤二 吸入手机-小区选择
手机空闲状态下,由C1和C2两个网络参数决定驻留于哪个小区。

开机时,由C1决定,选C1>0且最大的。

C1 = 手机接收平均电平 – 允许手机接入的最小电平

重选时,

1)由C2决定,选C2连续5秒大于服务小区C2的

C2 = C1 + 小区重选偏移量 = 手机接收平均电平 +(小区重选偏移量 – 允许手机接入的最小电平)

2)邻小区C1值超过当前小区C2值与小区重选滞后值(CRH)之和连续5秒。

步骤二 吸入手机-鉴权(假)
1)伪基站要求手机鉴权;

2)待手机反馈后,直接确认成功。

步骤二 吸入手机-位置更新

位置更新由手机触发,共三种方式:

●开机位置登记

●正常位置更新(发现LAC变化) 手机吸入/踢出

●周期性位置更新(计时器T3212到时) 手机踢出
1)设置较为极端的LAC值;

原则上仿真基站信号的LAC和正常网络的LAC不一样;(目前发现伪基站采用的LAC为0、65534、65535、1003、1005等)
2)通过BCCH广播;

3)手机发现LAC变化;

4)手机触发位置更新请求。

步骤二 吸入手机-获取用户信息

伪基站获取的用户信息包括:
  
获取用户信息步骤:
1)发出识别请求,获得TMSI;

2)发出识别请求,获得IMSI;

3)发出识别请求,获得IMEI。

GSM手机向伪基站提交了全部信息。

步骤三 发送短信
1)根据用户 IMSI 判断是否已经发送;

2)若未发,则设置任意主叫号码,于独立专用控制信道(SDCCH)发送短信。

手机收到伪基站发送的任意内容、任意数量的短信。

步骤四 踢出手机

利用正常位置更新踢出
1)伪基站更新LAC并广播;

2)手机发现LAC变化;

3)手机触发位置更新请求;

4)伪基站通过IMSI判断是否已发短信;

5)伪基站拒绝位置更新;

6)手机小区重选,接入正常基站。

利用周期性位置更新踢出
1)伪基站设置计时器T3212;

2)通过BCCH广播给用户;

3)用户依照T3212计时;

4)逾时则触发位置更新请求;

5)伪基站通过IMSI判断是否已发短信;

6)伪基站拒绝位置更新;

7)手机小区重选,接入正常基站。

若计时器T3212设置时间较长,这种情况下,用户通常较长时间无法正常拨打电话。

下面是一次完整伪基站工作流程:
15:36:50tems手机探测到伪基站信号,重选到伪基站的广播频点,随后手机发起第一次位置更新请求,伪基站向手机提取了IMSI和IMEI,后位置更新成功,登记在伪基站下LAC1。

15:37:03伪基站向手机发送垃圾广告短信,手机收到垃圾短信。

15:37:09由于手机在上一次位置更新过程中,伪基站将原来的LAC1修改未LAC2,伪基站的频点和BISC未修改,手机无需小区重选,待手机侧定时器超时后,由于手机中存储的LAC1和伪基站广播的LAC2不同,又向伪基站做了一次位置更新,但这次位置更新被拒绝。

15:37:20随后手机在现网做小区重选和位置更新成功。

通过以上信令流程分析,伪基站利用和现网不同的LAC诱骗手机进行位置更新,提取手机的IMSI和IMEI,向手机发送垃圾广告短信,随后变换LAC并且根据手机的IMSI和IMEI信息,每部手机或每个号码在同一时间段只能收到一次短信。

在测试时将两个卡放到同一部TEMS测试手机中,只有第一张卡收到了短信。

根据实际测试,用户从发送短息的伪基站位置更新失败时,失败原因如下:

LocationAreaIdentification

Mobilecountrycode(MCC):460

Mobilenetworkcode(MNC):00

Locationareacode(LAC):65534(Hex0xFFFE)

Mobileidentity

Odd/evenindication1)Oddnumberofdigits

Typeofidentity1)IMSI

Identitydigits(BCD):46002705310xxxx

Causevalue15)NoSuitableCellsInLocationArea

对位置更新失败原因为:“NoSuitableCellsInLocationArea”的情况,手机会在同一PLMN的不同LA尝试再发起位置更新。由于对位置更新拒绝原因15,手机不清除原有的LAI和TMSI,手机再次位置更新时会采用上次位置更新拒绝前存储的LAI(一般是伪基站的LAI)和TMSI。

通信工程师是如何排除伪基站的呢?

1 信息收集

1)用户投诉信息

用户投诉是获取伪基站信息的主要途径之一,也是最直接最有效的途径。

用户投诉信息主要包含以下3类:从*点开始a、突然没信号;b、无法正常拨打和接听电话;c、信号一会有一会没有,周围用户均如此。

2)指标预警

有数据证明伪基站覆盖区域主覆盖小区LU统计有异常增加、同时与伪基站同主频小区存在强烈的下行干扰,下行质差比例异常上升!这2个指标可作为伪基站存在的预警指标。

3)DT测试

DT测试中非法位置更新导致的未接通是发现伪基站的途径之一,缺点就是费时费力且响应时间慢。

2 现场排查处理

当发现疑似伪基站的出现的迹象后,应第一时间到现场,我们能做的事情有以下几点:

1)TEMS测试手机定位伪基站信号所使用的主频频点、影响范围、初判哪个方向最强;

2)关闭周围与伪基站同主频小区,通过频谱分析仪锁定该主频定位伪基站信号从哪个方向最强,确定方向后,再用TEMS和扫频仪配合共同确定伪基站信号的最强点,也就是伪基站的安装位置;

3)协调公安局对非法伪基站进行处理。

成功处理案例

用户投诉案例

某日接到用户集中投诉早上9点左右开始出现收不到信号或无法正常主被叫现象,主要投诉集中在某一片区域。

收到投诉后,相关人员即到现场进行处理,经现场排查,在附近发现伪基站信号:CGI=460-00-1003-10。
图 TEMS锁定非法伪信号

伪基站发射的信号有以下几个显著特性:

1)LAC值=1003/1005,在一定周期内2个值不停变化;

2)伪基站广播信道频点BCCH=70为现网服务小区XX的主频;

3)C2瞬间高至127,但并不稳定为该值,有一定周期性——隐蔽性更强;

4)当MS驻留在该伪信号下时,收到2条房地产推销广告。每张SIM卡号仅收到2条,后面虽然受到伪基站影响但不停驻留进伪信号上,不再收到垃圾短信,具有一定智能识别功能。

发现伪基站信号后,现场当机立断将XX小区关闭,并使用泰克扫频仪锁定70号主频下行频段进行排查,跟踪信号最强方向最终定位伪基站安装位置。
图泰克锁定非法伪基站仿真主频并跟踪其最强方向

伪基站锁定后,最终由网络部相关领导协调无委、公安局、通信管理局共同联合执法,成功地将该伪基站一举铲除

指标统计案例

1)与伪基站同主频小区干扰统计,在伪基站开启期间(8:00~20:00)与伪基站同主频小区下行质差比例有显著增加,平均增幅160%,最大增幅241%。

2)伪基站覆盖区域主服小区LU统计经统计,伪基站覆盖区域主服小区LU统计次数有大幅增加,总LU较平常增加了232127次!

3)LAC级寻呼成功率的影响经统计分析,伪基站开启期间,某LAC下寻呼成功率从日常92.4%下降至87.9%,下降了5个百分点!

严格的说,“伪基站”模拟了部分核心网的功能,具有鉴权、位置更新和发短信功能,它已经不是一个基站那么简单,更像是一个“非法网络”。

那么,3G/LTE网络下,手机为何不再被伪基站欺骗?主要两个因素:

1)USIM卡的使用。

2)双向鉴权,即手机也对网络进行合法性鉴定。

SIM卡主要包含了IMSI(国际移动用户识别码)、KI值以及加密算法和运营商信息等等,只支持单向鉴权,就是网络对手机(SIM)进行合法性的认证,缺乏用户对网络的认证,这就给诸如“伪基站”这样的不法行为留了空子。而USIM卡中则使用了不同于SIM卡的一些安全参数(比如K值,还有多种鉴权算法等等),支持双向鉴权,允许手机(USIM)也对网络进行合法性认证,从而加强了安全措施。在LTE里,双向鉴权是必选项,而在3G里,使用SIM卡也被允许以单向鉴权的方式接入。
最后,再给大家讲个案例…
今年“三八节”期间,某店主为了店内搞广告促销,购买伪基站设备狂发广告促销短信,造成51000余名用户通讯中断,后来,该店主被检察院以破坏公用电信设施罪提起公诉,判处有期徒刑三年,缓刑三年!

本文部分内容作者为国家无线电监测中心李景春

举报本楼

本帖有 8 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-11-19 11:16 , Processed in 0.342694 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部