中国美女黑客攻击4G网络？啪啪打脸

呵呵。

世界上最悲惨的事情之一，

莫过于你的女朋友是一名黑客。

因为你永远不知道，

她究竟有什么手段来监控你。

更悲惨的事情，

莫过于你的男朋友是一名通信工程师，

因为他知道，

其实你没有什么手段来监控我。

这里废话不多说，我们看看互联网安全大佬对于通信过程的分析都存在什么样的问题。

问题1 怎么骗到IMSI？骗到IMSI后干什么用？

按照文章描述，美女黑客张小姐首先制作一个4G伪基站，加大4G伪基站的发射功率，这样可以使得在附近的4G终端被"吸引"过来，其中4G连接态终端切换过来，而4G空闲态终端重选过来，可真是这样么？不着急，我们分两步慢慢来说。

如果是处于连接态的手机，发现伪基站信号强了，就会触发测量-切换流程。首先通过测量报告（MR）上报发现最强的伪基站信号给源基站小区，而源小区此时并没有配置伪基站小区为邻区，因此不会通过X2或者S1接口发送切换准备指令。此时终端只是上报了测量到的信号很强的伪基站小区，一直没有等待网络侧通过重配消息下发的切换指令。终端只会不断上报测量报告，假设伪基站不是模三干扰的伪基站，而且伪基站在下行数据业务信道模拟发射功率，那么此时暂时不会对正常源小区终端产生什么影响，恰恰相反，这倒是一个很好定位伪基站的方法，通过大数据的分析，发现在某些区域终端不断上报一个频点 PCI，而且信号电平很强，同时该频点 PCI表征小区又不是这个区域基站小区的邻区，那么我们可以推测这个小区就是伪基站小区。（真是道高一尺，魔高一丈啊，hiahia）

接下来，如果用户由于移动性在源小区的电平越来越弱，但是测量到最强的小区反而是伪基站信号，那么用户迟迟等不到网络侧下发的切换指令，到了一定程度，会由于发生无线链路失败（RLF）触发重建流程，而该重建流程有可能在伪基站小区发起，因为电平强嘛。我们看看，重建信令里面包含了哪些内容。

包含了源小区分配的C-RNTI，以及源小区PCI，并没有小区分配的TMSI，此时伪基站拿到该信令也无所适从，一般不会傻傻的回复一条重建信令，后续终端的行为会变成IDLE态，这是后话。

及时总结一下，就即使美女黑客张小姐做了个4G伪基站，对于连接态的4G用户，然并卵。

如果处于空闲态(IDLE)的手机，通过测量其他（注意这里不一定是邻小区）小区的信号，判决是否进行重选，当测量到强大伪基站信号时，4G终端发生重选行为，当进行完下行同步后，读完MIB后（注，这里由于太过专业，请兴趣读者自行跳到结论处），读取SIB1，如果发现TAC没有改变，那么会驻留在该小区，后续有其他业务后才触发向基站侧的信令连接，为了简化说明，我们姑且直接把此类情况合并到后一种情况，即发现TAC改变后，终端发起TAU的流程。

首先终端发起RRC Connection Request流程，同时启动T300定时器。我们看看RRC Connection Request里面都有什么信息。

没错，里面含有TMSI，此时美女张小姐的4G伪基站第一次拿到了TMSI。此时难题留给了美女张小姐的4G伪基站，是做点什么还是什么都不做？如果什么都不做，当T300超时后，UE会告诉高层RRC连接失败，相应的流程终止，这时候可怜的美女张小姐只拿到了"毫无意义"（这是站在美女张小姐的角度看的，其实并非毫无意义）的TMSI。

好吧，看来得做点什么，那到底做点什么呢？美女张小姐在原文中有一点说的到很有趣，帮别人重启手机的时候能够拿到IMSI，可怎么在一个这样的流程中模拟手机重启呢？（别着急，就快进入到问题的实质了）

当UE发起终端侧的TAU流程请求时，同步启动定时器T3430，T3430固定15秒，一旦T3430超时后，终端就会放弃该TAU流程，同时将UE置为EU2 NOT UPDATED，表示位置更新无法完成。因此一定要在这15秒内做点什么，做点什么呢？此时，一个简单的方式，不仅需要美女张小姐的伪基站，还需要一个逻辑的伪核心网，在这15秒内伪装下发TAU REJECT，其中带有CAUSE VALUE=10(隐式分离)，这样UE进入去注册的状态，会重新发起ATTACH流程。这个ATTACH流程里面含有什么呢

没错，这里会包含张小姐一直魂牵梦系的IMSI甚至IMEI。张小姐这里终于可以舒心的笑一笑了，等等，什么，这是做不到的（天塌的声音）

这是因为首先在无线侧加密流程中，伪基站就不起作用了。

我们可以看看正常网络侧安全模式指令下发的都是什么

SMC指令只下发完整性保护以及加密的算法，不不下发密钥，而且下发的算法必须是UE能够支持的，因此伪装SMC这一招其实是行不通的，而且搞不好会弄巧成拙，造成无线链路的释放。除非，伪基站能够事先计算出密钥，密钥在开卡时候就已经写死在芯片里了。能事先计算出密钥的为什么还去干伪基站这样的事情，光明正大的来运营商吧（hiahiahia）

及时总结一下，就即使美女黑客张小姐做了个4G伪基站，对于空闲态的4G用户的一般流程，然并卵。

难道美女黑客张小姐辛辛苦苦做的4G伪基站就没有用处么？其实也不尽然，天网恢恢，偶有疏漏，但是老衲不说。

至于张小姐辛辛苦苦拿到了IMSI，在文中后续却根本没用，小编没有想通，伪基站一般就是发骚扰短信小广告的，为了费劲周张发个小广告，拿IMSI干嘛，简直是杀鸡宰了牛刀。

反思：4G信令流程是否还有改进的空间，小编认为还是有的，如果所有的UL Information Transfer消息都在SMC流程之后发送，所有的NAS消息都piggybacking在UL/DL Information Transfer上，可能会更加稳妥和安全。

问题2 张小姐口述运营商奇葩的规定真的有么？

张小姐费了半天的劲，做了4G伪基站，目的还是把用户踢到2G伪基站，让2G伪基站再发个骚扰小广告（注，各位看官，就目前2G伪基站的水平也绝不可能拿到您的通话记录，顶多给您推送个房地产信息，融资贷款的小广告而已，拿到通话记录简直有点危（yi）言(pai)耸(hu)听(yan)了），大可不必如此大费周章。

不过我们更关注的是对3GPP协议理解深刻的张小姐团队口中的奇葩规定在协议中是否存在。

答案是：不存在

但是这种功能是可以实现的，现网也是有类似的功能，例如负载均衡，避免现网单基站下符合过高，可以采取这样的方式将用户分担到其他4G基站或者重定向到23G网络。

信息工程这门学科包容并蓄，博大精深，在电信行业中的从业人员其实都是当年各大高校中佼佼者，拥有着普遍高智商高学历，却甘于奉献，兢兢业业从事着最枯燥基础的网络维护优化工作，默默得甘做社会基础产业的柱石，这个行业并不如互联网，娱乐圈，金融领域那样的丰富精彩与靓丽光鲜，但是好在还有一些尽职尽责可爱的人，应该为他们的默默奉献点赞。

再送你一个回复，呵呵！