明明信号好好的,可突然手机信号消失,无法拨打电话,却收到垃圾短信或者伪装成10086或者银行的短信!
很不幸的告诉你!你已经中了伪基站的招了!
伪基站是个什么鬼?
遇到背这样包的人,你要警惕了! 不要忘了拨打110。
这就是伪基站,注意背包上有散热孔。
我们今天就来深度揭秘一下伪基站的工作原理。
共同打击伪基站,还通信网络一片清朗!
伪基站的工作流程,简单点说是这样的。
伪基站发射GSM信号,设置极端重选参数诱使目标范围内的MS离开原有正常基站,重选驻留伪基站信源,随后MS在伪基站信号下进行位置更新,进行网络登记,相关人员通过后台分析可以获得用户的IMSI、IMEI及手机号码等关键信息,进一步获取用户的位置信息。然后再发送垃圾、诈骗短信,手机收到伪基站发送的任意内容、任意数量的短信。
不过,既然要深度揭秘,我们还是从GSM网络原理说起。
这是GSM网络结构图。
GSM系统的组成:
1. 手机(MS) + SIM卡
如同每个人都有身份证一样,你的手机和手机里的SIM卡也有自己的身份ID,分别叫IMEI和IMSI。
手机:设备识别码 (IMEI)唯一识别
SIM卡:用户识别码(IMSI)唯一识别
IMEI,与每台手机一 一对应,而且该码是全世界唯一的,用于区别移动终端设备。
IMSI,区别移动用户的标志,储存在SIM卡中,可用于区别移动用户的有效信息。
2. 基站子系统(BSS) 手机(MS)与交换机之间的桥梁
基站收发信机(BTS):负责无线传输。基站识别码(BSIC) 唯一识别。
基站控制器(BSC): 负责控制和管理,可管理几十个BTS。
3. 网络与交换子系统(NSS) 管理GSM用户和其他网络用户之间的通信
移动业务交换中心(MSC):GSM网络的核心
访问位置寄存器(VLR):动态存储位置区内手机信息 (相当于暂住地公安局)
归属位置寄存器(HLR):永久存储登记在其中的手机信息 (相当于户口所在地公安局)
鉴权中心(AUC):存储用户的加密信息
设备识别寄存器(EIR):存储鉴权信息
GSM网络区域划分
MSC服务区:一个MSC/VLR覆盖的区域;
位置区:寻呼区域,由位置区识别码(LAI)区分;
小区:一个BTS覆盖的区域,由基站识别码(BSIC)区分。
GSM系统-逻辑信道
BCCH向手机广播:本小区频率和LAI,以及相邻小区BCCH频率等信息。
GSM系统单向鉴权隐患
1)GSM只有网络侧对手机的“单向鉴权”。
2)非法基站可忽略鉴权,直接反馈鉴权成功。
3)手机不能鉴权网络身份的合法性。
伪基站工作原理-组成示意图
工作流程
步骤一 监听与伪装
在监听与伪装过程如下:
1)工程手机获取邻小区BCCH频率;
2)工程手机测量邻近小区的BCCH场强;
3)选定BCCH信号最弱的小区频率;
4)设置相同 MCC 和 MNC;
5)发射伪装后的BCCH信号。
伪装后,伪基站可作为GSM手机的候选服务小区。
步骤二 吸入手机-小区选择
手机空闲状态下,由C1和C2两个网络参数决定驻留于哪个小区。
开机时,由C1决定,选C1>0且最大的。
C1 = 手机接收平均电平 – 允许手机接入的最小电平
重选时,
1)由C2决定,选C2连续5秒大于服务小区C2的
C2 = C1 + 小区重选偏移量 = 手机接收平均电平 +(小区重选偏移量 – 允许手机接入的最小电平)
2)邻小区C1值超过当前小区C2值与小区重选滞后值(CRH)之和连续5秒。
步骤二 吸入手机-鉴权(假)
1)伪基站要求手机鉴权;
2)待手机反馈后,直接确认成功。
步骤二 吸入手机-位置更新
位置更新由手机触发,共三种方式:
●开机位置登记
●正常位置更新(发现LAC变化) 手机吸入/踢出
●周期性位置更新(计时器T3212到时) 手机踢出
1)设置较为极端的LAC值;
原则上仿真基站信号的LAC和正常网络的LAC不一样;(目前发现伪基站采用的LAC为0、65534、65535、1003、1005等)
2)通过BCCH广播;
3)手机发现LAC变化;
4)手机触发位置更新请求。
步骤二 吸入手机-获取用户信息
伪基站获取的用户信息包括:
获取用户信息步骤:
1)发出识别请求,获得TMSI;
2)发出识别请求,获得IMSI;
3)发出识别请求,获得IMEI。
GSM手机向伪基站提交了全部信息。
步骤三 发送短信
1)根据用户 IMSI 判断是否已经发送;
2)若未发,则设置任意主叫号码,于独立专用控制信道(SDCCH)发送短信。
手机收到伪基站发送的任意内容、任意数量的短信。
步骤四 踢出手机
利用正常位置更新踢出
1)伪基站更新LAC并广播;
2)手机发现LAC变化;
3)手机触发位置更新请求;
4)伪基站通过IMSI判断是否已发短信;
5)伪基站拒绝位置更新;
6)手机小区重选,接入正常基站。
利用周期性位置更新踢出
1)伪基站设置计时器T3212;
2)通过BCCH广播给用户;
3)用户依照T3212计时;
4)逾时则触发位置更新请求;
5)伪基站通过IMSI判断是否已发短信;
6)伪基站拒绝位置更新;
7)手机小区重选,接入正常基站。
若计时器T3212设置时间较长,这种情况下,用户通常较长时间无法正常拨打电话。
下面是一次完整伪基站工作流程:
15:36:50tems手机探测到伪基站信号,重选到伪基站的广播频点,随后手机发起第一次位置更新请求,伪基站向手机提取了IMSI和IMEI,后位置更新成功,登记在伪基站下LAC1。
15:37:03伪基站向手机发送垃圾广告短信,手机收到垃圾短信。
15:37:09由于手机在上一次位置更新过程中,伪基站将原来的LAC1修改未LAC2,伪基站的频点和BISC未修改,手机无需小区重选,待手机侧定时器超时后,由于手机中存储的LAC1和伪基站广播的LAC2不同,又向伪基站做了一次位置更新,但这次位置更新被拒绝。
15:37:20随后手机在现网做小区重选和位置更新成功。
通过以上信令流程分析,伪基站利用和现网不同的LAC诱骗手机进行位置更新,提取手机的IMSI和IMEI,向手机发送垃圾广告短信,随后变换LAC并且根据手机的IMSI和IMEI信息,每部手机或每个号码在同一时间段只能收到一次短信。
在测试时将两个卡放到同一部TEMS测试手机中,只有第一张卡收到了短信。
根据实际测试,用户从发送短息的伪基站位置更新失败时,失败原因如下:
LocationAreaIdentification
Mobilecountrycode(MCC):460
Mobilenetworkcode(MNC):00
Locationareacode(LAC):65534(Hex0xFFFE)
Mobileidentity
Odd/evenindication 1)Oddnumberofdigits
Typeofidentity 1)IMSI
Identitydigits(BCD):46002705310xxxx
Causevalue 15)NoSuitableCellsInLocationArea
对位置更新失败原因为:“NoSuitableCellsInLocationArea”的情况,手机会在同一PLMN的不同LA尝试再发起位置更新。由于对位置更新拒绝原因15,手机不清除原有的LAI和TMSI,手机再次位置更新时会采用上次位置更新拒绝前存储的LAI(一般是伪基站的LAI)和TMSI。
通信工程师是如何排除伪基站的呢?
1 信息收集
1)用户投诉信息
用户投诉是获取伪基站信息的主要途径之一,也是最直接最有效的途径。
用户投诉信息主要包含以下3类:从*点开始a、突然没信号;b、无法正常拨打和接听电话;c、信号一会有一会没有,周围用户均如此。
2)指标预警
有数据证明伪基站覆盖区域主覆盖小区LU统计有异常增加、同时与伪基站同主频小区存在强烈的下行干扰,下行质差比例异常上升!这2个指标可作为伪基站存在的预警指标。
3)DT测试
DT测试中非法位置更新导致的未接通是发现伪基站的途径之一,缺点就是费时费力且响应时间慢。
2 现场排查处理
当发现疑似伪基站的出现的迹象后,应第一时间到现场,我们能做的事情有以下几点:
1)TEMS测试手机定位伪基站信号所使用的主频频点、影响范围、初判哪个方向最强;
2)关闭周围与伪基站同主频小区,通过频谱分析仪锁定该主频定位伪基站信号从哪个方向最强,确定方向后,再用TEMS和扫频仪配合共同确定伪基站信号的最强点,也就是伪基站的安装位置;
3)协调公安局对非法伪基站进行处理。
成功处理案例
用户投诉案例
某日接到用户集中投诉早上9点左右开始出现收不到信号或无法正常主被叫现象,主要投诉集中在某一片区域。
收到投诉后,相关人员即到现场进行处理,经现场排查,在附近发现伪基站信号:CGI=460-00-1003-10。
图 TEMS锁定非法伪信号
伪基站发射的信号有以下几个显著特性:
1)LAC值=1003/1005,在一定周期内2个值不停变化;
2)伪基站广播信道频点BCCH=70为现网服务小区XX的主频;
3)C2瞬间高至127,但并不稳定为该值,有一定周期性——隐蔽性更强;
4)当MS驻留在该伪信号下时,收到2条房地产推销广告。每张SIM卡号仅收到2条,后面虽然受到伪基站影响但不停驻留进伪信号上,不再收到垃圾短信,具有一定智能识别功能。
发现伪基站信号后,现场当机立断将XX小区关闭,并使用泰克扫频仪锁定70号主频下行频段进行排查,跟踪信号最强方向最终定位伪基站安装位置。
图泰克锁定非法伪基站仿真主频并跟踪其最强方向
伪基站锁定后,最终由网络部相关领导协调无委、公安局、通信管理局共同联合执法,成功地将该伪基站一举铲除。
指标统计案例
1)与伪基站同主频小区干扰统计,在伪基站开启期间(8:00~20:00)与伪基站同主频小区下行质差比例有显著增加,平均增幅160%,最大增幅241%。
2)伪基站覆盖区域主服小区LU统计经统计,伪基站覆盖区域主服小区LU统计次数有大幅增加,总LU较平常增加了232127次!
3)LAC级寻呼成功率的影响经统计分析,伪基站开启期间,某LAC下寻呼成功率从日常92.4%下降至87.9%,下降了5个百分点!
严格的说,“伪基站”模拟了部分核心网的功能,具有鉴权、位置更新和发短信功能,它已经不是一个基站那么简单,更像是一个“非法网络”。
那么,3G/LTE网络下,手机为何不再被伪基站欺骗?主要两个因素:
1)USIM卡的使用。
2)双向鉴权,即手机也对网络进行合法性鉴定。
SIM卡主要包含了IMSI(国际移动用户识别码)、KI值以及加密算法和运营商信息等等,只支持单向鉴权,就是网络对手机(SIM)进行合法性的认证,缺乏用户对网络的认证,这就给诸如“伪基站”这样的不法行为留了空子。而USIM卡中则使用了不同于SIM卡的一些安全参数(比如K值,还有多种鉴权算法等等),支持双向鉴权,允许手机(USIM)也对网络进行合法性认证,从而加强了安全措施。在LTE里,双向鉴权是必选项,而在3G里,使用SIM卡也被允许以单向鉴权的方式接入。
最后,再给大家讲个案例…
今年“三八节”期间,某店主为了店内搞广告促销,购买伪基站设备狂发广告促销短信,造成51000余名用户通讯中断,后来,该店主被检察院以破坏公用电信设施罪提起公诉,判处有期徒刑三年,缓刑三年!
本文部分内容作者为国家无线电监测中心李景春