下班时分,看到朋友转发了个帖子,标题如下:
呵呵。
世界上最悲惨的事情之一,
莫过于你的女朋友是一名黑客。
因为你永远不知道,
她究竟有什么手段来监控你。
更悲惨的事情,
莫过于你的男朋友是一名通信工程师,
因为他知道,
其实你没有什么手段来监控我。
这里废话不多说,我们看看互联网安全大佬对于通信过程的分析都存在什么样的问题。
问题1 怎么骗到IMSI?骗到IMSI后干什么用?
按照文章描述,美女黑客张小姐首先制作一个4G伪基站,加大4G伪基站的发射功率,这样可以使得在附近的4G终端被"吸引"过来,其中4G连接态终端切换过来,而4G空闲态终端重选过来,可真是这样么?不着急,我们分两步慢慢来说。
如果是处于连接态的手机,发现伪基站信号强了,就会触发测量-切换流程。首先通过测量报告(MR)上报发现最强的伪基站信号给源基站小区,而源小区此时并没有配置伪基站小区为邻区,因此不会通过X2或者S1接口发送切换准备指令。此时终端只是上报了测量到的信号很强的伪基站小区,一直没有等待网络侧通过重配消息下发的切换指令。终端只会不断上报测量报告,假设伪基站不是模三干扰的伪基站,而且伪基站在下行数据业务信道模拟发射功率,那么此时暂时不会对正常源小区终端产生什么影响,恰恰相反,这倒是一个很好定位伪基站的方法,通过大数据的分析,发现在某些区域终端不断上报一个频点 PCI,而且信号电平很强,同时该频点 PCI表征小区又不是这个区域基站小区的邻区,那么我们可以推测这个小区就是伪基站小区。(真是道高一尺,魔高一丈啊,hiahia)
接下来,如果用户由于移动性在源小区的电平越来越弱,但是测量到最强的小区反而是伪基站信号,那么用户迟迟等不到网络侧下发的切换指令,到了一定程度,会由于发生无线链路失败(RLF)触发重建流程,而该重建流程有可能在伪基站小区发起,因为电平强嘛。我们看看,重建信令里面包含了哪些内容。
包含了源小区分配的C-RNTI,以及源小区PCI,并没有小区分配的TMSI,此时伪基站拿到该信令也无所适从,一般不会傻傻的回复一条重建信令,后续终端的行为会变成IDLE态,这是后话。
及时总结一下,就即使美女黑客张小姐做了个4G伪基站,对于连接态的4G用户,然并卵。
如果处于空闲态(IDLE)的手机,通过测量其他(注意这里不一定是邻小区)小区的信号,判决是否进行重选,当测量到强大伪基站信号时,4G终端发生重选行为,当进行完下行同步后,读完MIB后(注,这里由于太过专业,请兴趣读者自行跳到结论处),读取SIB1,如果发现TAC没有改变,那么会驻留在该小区,后续有其他业务后才触发向基站侧的信令连接,为了简化说明,我们姑且直接把此类情况合并到后一种情况,即发现TAC改变后,终端发起TAU的流程。