GSM Hacking:如何对GSM/GPRS网络测试进行测试
GSM Hacking:如何对GSM/GPRS网络测试进行测试
写在前面
这里需要介绍的是GSM / GPRS网络测试的一些方法,随着现在硬件设备连网现象的普遍存在,例如智能电表、自动变速箱控制单元(TCU)、POS机、报警系统等。这些设备通常需要与网络连接,GSM/2G是1992年欧洲标准化委员会统一推出的标准,它采用数字通信技术、统一的网络标准。加密并不是强制性要求的,但是没有加密通信网络其用户也不会收到通知。这里就不得不提出一个概念移动台(MS),它是移动用户的终端设备,同时是公用GSM移动通信网中用户使用的设备,是整个GSM系统中用户能够直接接触的唯一设备。
移动台能通过无线方式按组成通信网络,为主叫和被叫提供通信完成各种控制和处理,MS还具备与使用者之间的接口,如完成通话呼叫所需要的话筒、扬声器,显示屏或按键,或者提供与其他一些终端设备之间的接口,如与个人计算机或传真机之间的接口、或同时提供这两种接口。因此,根据用户应用情况,移动台可以是单独的移动终端(MT、手持机、车载台或者是移动终端(MT〕直接与终端设备(TE)传真机相连接而构成,或者是移动终端(MT)通过相关终端适配器(TA〕与终端设备(MT)相连接而构成,而这个也有可能出现连接到伪基站的可能性。下一代移动网络3G/UMTS以及4G/LTE,这就意味着已经出现针对这类移动网络的诈骗行为,而现在2G网络已经开始逐渐停用,新一代网络即将取代其位置。
正文
这些测试都是在实验室中进行的,而目前也有不少开源项目供我们参考使用,例如OpenBSC、OpenBTS。在早期试验中我们测试了不同的网络,我们最后决定在一台Linux系统(Debian 8)上开始OpenBTS搭建,还需要使用Ettus Research公司的USRP B200 软件无线电平台,当然我们也考虑了成本问题。另外需要说明的一点是 OpenBTS还是可以的,目前该项目支持2G、3G/UMTS。基本情况如下图
基站发信台(BTS)
基站发信台(BTS)指受控于基站控制器(BSC),属于基站子系统(BSS)的无线部分,服务于某小区的无线收发信设备,实现BTS与移动台(MS)空中接口的功能。同时也是GSM/GPRS/EDGE网络的RAN网元,BTS主要通过Um接口(GSM/GPRS/EDGE网络的空中接口)与MS(移动台)通信,通过A-bis接口与BSC通信。,同时会搜索附近的移动设备,MS(移动台)发送数字信号发送到BSC(基站控制器),然后BSC将信号转发到MSC(移动交换中心),之后MSC会连接MSC(短消息服务中心),当然这个前提是一次短信发送服务过程。
OpenBTS
OpenBTS是一个基于软件的 GSM 接入点, GSM兼容手机允许标准作为SIP端点在语音IP(VOIP)网络。OpenBTS是一个开源的软件开发和维护的网络范围。值得注意的是公众释放OpenBTS是第一个自由软件实现的低三层标准的协议栈。它是用C++写的,作为自由软件发布版本3的条件下的GNU Affero通用公共许可证。OpenBTS的提供经由呼叫SIP到VoIP软交换(例如FreeSWITCH或yate)或PBX(如Asterisk)。该VOIP交换机或PBX软件可以安装用于运行的OpenBTS本身相同的计算机,形成一个单一的计算机系统的一个独立的蜂窝网络。多OpenBTS单元也可以共享一个共同的VOIP或PBX形成更大的网络。而其主要的优点是,可以连接手机等移动网络( SIP)设备,不需要特殊的软件。可以在单一的主机上运行,并使用常见的通信协议。
测试
我们在这里使用的是之前提到的USRP,USB接口是USB 3.0,信号频率70 MHz~6GHz,而预期是在900/1800 MHz。考虑GSM网络的相关性所以需要在B200平台(GPSDO-TCXO-MODULE)上安装天线( VERT900)以及对应模块, 需要用到的软件运行在一个具有i7处理器、固态硬盘、8g内存笔记本上面,笔记本系统(Debian 8 Linux)也已经配置好了。
软件
这里就需要配置安装OpenBTS,可以参考(点击我)。安装之后就可以运行了,Sipauthserve 是 SIP 鉴权服务配置,smqueue是短信服务,Asterisk是之前介绍的VoIP PBX 服务,Openbts是核心部分,同时也是GSM网络协议栈。
硬件
SDR平台可以通过USB连接线或者网线连接到计算机,同时也是一种无线电广播通信技术,它基于软件定义的无线通信协议而非通过硬连线实现。频带、空中接口协议和功能可通过软件下载和更新来升级,而不用完全更换硬件,也通过动态加载新的波形和协议可使用不同的波形和协议操作,而其频率也是在50 MHz到6 GHz,也就是说不限制在特定的应用程序,可以通过主机来调整其状态。
基本操作
如果已经配置好OpenBTS,那么就开始启动服务吧
root@GSMTB:/home/gsm# start openbtsopenbts start/running, process 5066
这里可以通过命令行界面来安装,在 /OpenBTS路径下找到对应信息
root@GSMTB:/home/gsm# cd /OpenBTS/root@GSMTB:/OpenBTS# ./OpenBTSCLIOpenBTS Command Line Interface (CLI) utilityCopyright 2012, 2013, 2014 Range Networks, Inc.Licensed under GPLv2.Includes libreadline, GPLv2.Connecting to 127.0.0.1:49300...Remote Interface Ready.Type:"help" to see commands,"version" for version information,"notices" for licensing information,"quit" to exit console interface.OpenBTS>
这里需要查看OpenBTS发射功率,数值应该是45到70。数值越高,功率越低。最安全的数值是45,50~55也还可以,在命令行页面检查完成之后,出现问题就需要检查是否有干扰设备。
OpenBTS> powercurrent downlink power -45 dB wrt full scaleOpenBTS>
CellID
在这里需要检查一下配置情况,如基站编号ID信息,你可以输入CELLID查看信息
OpenBTS> cellidMCC=001 MNC=01 LAC=1010 CI=10OpenBTS>
这里就可以看到MCC和MNC码了。MCC:移动国家码,MCC的资源由国际电联(ITU)统一分配和管理,唯一识别移动用户所属的国家,由三个数字组成( ITU-T E.212),测试网络的默认值是001。MNC 即移动网络号码,用于
识别移动客户所属的移动网络,测试默认值01。基本上配置好OpenBTS,然后模拟这些过程,同时利用到了MCC/MNC码,而下面就是改变这些数值(上面和这一步主要是改变编号,可做可不做建议不用考虑)
OpenBTS> config GSM.Identity.MCC 234GSM.Identity.MCC is already set to "234", nothing changedOpenBTS> config GSM.Identity.MNC 20GSM.Identity.MNC is already set to "20", nothing changedOpenBTS> cellidMCC=234 MNC=20 LAC=1010 CI=10OpenBTS>
GSM网络不使用手机号码来识别用户,主要的是 IMSI码,它是区别移动用户的标志,储存在SIM卡中,可用于区别移动用户的有效信息。其总长度不超过15位,同样使用0~9的数字。通信时手机将IMSI存储于一个64位的字段发送给网络,为了防止非法个人或团体通过监听无线路径上的信令交换而窃得移动客户真实的 IMSI码或跟踪移动客户的位置,就会使用临时识别码 – TMSI。
连接网络
这里就需要将测试的设备连接网络
枚举设备信息,这里可以使用 tmsis 命令
OpenBTS> tmsisIMSI TMSI IMEI AUTH CREATED ACCESSED TMSI_ASSIGNED234200900527575 - 358246838000527 2 264s 264s 0204043521650775 - 358921020018920 2 11m 11m 0234261027406775 - 358921020018920 2 7h 6h 0OpenBTS>
从上面的例子中得知,IMEI码有助于我们识别目标设备,由于GSM网络认证很大程度上依赖于存储在SIM卡中的加密密匙,OpenBTS支持三种类型的认证:AUTH type 2主要是未经身份验证的认证类型,AUTH type 1是缓存认证,可以通过OpenBTS来进行简单的加密认证,AUTH type 0主要是有关SIM密匙的认证,连接网络之后会收到下面的短信。
用户管理
在这一情况下需要连接网络来进行电话测试,如果没有设置好手机网络,即你的手机以及SIM卡还有IMSI码,而需要进行测试就需要分配好测试号码,这里需要连接网络还有使用之前的tmsis命令来进行配置,这样就可以出现之前的认证信息(AUTH),可以参考下面,其实AUTH 1已经满足测试了,如果要是有关SIM卡的测试可能会用到AUTH 0。
OpenBTS> tmsisIMSI TMSI IMEI AUTH CREATED ACCESSED TMSI_ASSIGNED234335501150083 - 352048064107610 1 285m 81m 0234207505270905 - 358240052768380 2 268m 268m 0
可以利用下面的命令来查看分配到的号码
root@GSMTB:/OpenBTS# cd /opt/dev/NodeManager/root@GSMTB:/opt/dev/NodeManager# ./nmcli.py sipauthserve subscribers readraw request: {"command":"subscribers","action":"read","key":"","value":""}raw response: {"code" : 200,"data" : [{"imsi" : "IMSI260032995311149","msisdn" : "1020","name" : "Orange"},{"imsi" : "IMSI001010000000000","msisdn" : "1000","name" : "MagicSIM"},{"imsi" : "IMSI234335501150083","msisdn" : "1030","name" : "iPhone5s"}]}
这里已经分配好号码了,IMSI码234335501150083,但没有查看到IMSI 234207505270905。其实需要注意的是MSISDN码,它主要是指主叫用户为呼叫GSM PLMN中的一个移动用户所需拨的号码,作用同于固定网PSTN号码;是在公共电话网交换网络编号计划中,唯一能识别移动用户的号码。这里就会看到1030已经归属到234335501150083(IMSI码),认证和分配MSISDN码到目标设备中,这里需要运行nmcli.py(网络管理命令行接口),并添加 MSISDN码,然后运行下面命令,创建用户,开始验证
./nmcli.py sipauthserve subscribers create name imsi msisdn
使用完整的身份验证
./nmcli.py sipauthserve subscribers create name imsi msisdn ki
将1234 (MSISDN码)分配到234207505270905(IMSI 码),这里需要注意前缀问题
root@GSMTB:/OpenBTS# cd /opt/dev/NodeManager/root@GSMTB:/opt/dev/NodeManager# ./nmcli.py sipauthserve subscribers create "Nexus5" IMSI234207505270905 1234raw request: {"command":"subscribers","action":"create","fields":{"name":"Nexus5","imsi":"IMSI234207505270905","msisdn":"1234","ki":""}}raw response: {"code" : 200,"data" : "both ok"}root@GSMTB:/opt/dev/NodeManager#
注册目标网络设备然后使用tmsis命令
OpenBTS> tmsisIMSI TMSI IMEI AUTH CREATED ACCESSED TMSI_ASSIGNED234200905750527 - 358240052768380 1 6h 1s 0234207505270905 - 352048064107610 1 7h 45m 0OpenBTS>
测试语音通话
要进行进一步的测试,您可以通过这些数字来测试语音呼叫:2600(echo服务)、2602(噪音测试)。测试中可以获得额外的信息,如下
OpenBTS> chansCN TN chan transaction Signal SNR FER TA TXPWR RXLEV_DL BER_DL Time IMSItype id dB pct sym dBm dBm pct0 3 TCH/F T106 32 25.2 5.08 0.2 5 -100 2.26 0:12 234335501150083OpenBTS> callsTranEntry( tid=106 GSMState=active chan=(C0T3 TCH/F state=Established) Subscriber=( Imsi=234335501150083 Tmsi=(no tmsi) Imei="") L3TI=8 Service=MOC to=2602 stateAge=(13 sec) stack=( Machine=(InCallMachine tid=106 C0T3 TCH/F CCState=active PopState=0)))1 transactions in tableOpenBTS>
短信测试
如果smqueue部分一切正常,那么就可以进行测试了,分配MSISDN码接收短信,你可以指定其接受和发送短信。
如果进一步确认就需要查看日志(/var/log/messages openbts.log)信息了,使用下面命令查看
root@GSMTB:/var/log# cat OpenBTS.log | grep -i smqueueMay 14 15:10:32 GSMTB smqueue: NOTICE 1003:1066 2015-05-14T15:10:32.3 smqueue.cpp:2455:main_loop: Got SMS rqst qtag '144201--OBTSorubnzrmmaqfyrxb' from IMSI234335501150083 for smscMay 14 15:10:32 GSMTB smqueue: NOTICE 1003:1067 2015-05-14T15:10:32.3 smqueue.h:505:get_text: Decoded text: Test123May 14 15:10:33 GSMTB smqueue: NOTICE 1003:1067 2015-05-14T15:10:33.3 smqueue.h:505:get_text: Decoded text: Test123May 14 15:10:34 GSMTB smqueue: NOTICE 1003:1067 2015-05-14T15:10:34.7 smqueue.cpp:318:handle_response: Got 200 response for sent msg '144201--OBTSorubnzrmmaqfyrxb' in state 12May 14 15:55:32 GSMTB smqueue: NOTICE 1003:1066 2015-05-14T15:55:32.0 smqueue.cpp:2455:main_loop: Got SMS rqst qtag '355318--OBTSuuebbbqoumpjhlia' from IMSI234207505270905 for smscMay 14 15:55:32 GSMTB smqueue: NOTICE 1003:1067 2015-05-14T15:55:32.0 smqueue.h:505:get_text: Decoded text: Test321May 14 15:55:33 GSMTB smqueue: NOTICE 1003:1067 2015-05-14T15:55:33.0 smqueue.h:505:get_text: Decoded text: Test321May 14 15:55:35 GSMTB smqueue: NOTICE 1003:1067 2015-05-14T15:55:35.7 smqueue.cpp:318:handle_response: Got 200 response for sent msg '355318--OBTSuuebbbqoumpjhlia' in state 12
就像之前描述的那样,可以查看记录来看短信发送情况,可以在命令行页面直接输入下面命令,然后查看OpenBTS.log文件
OpenBTS> help sendsmssendsms IMSI src# message... -- send direct SMS to IMSI on this BTS, addressed from source number src#.OpenBTS> sendsms 234335501150083 6666 bleszkolytkimessage submitted for delivery
GPRS网络连接
这里就需要进行 APN配置,配置目标设备之后然后进行网络连接测试,在这之前还需要进行iptables配置,如下
root@GSMTB:/etc/OpenBTS# iptables -t nat -L -n -vChain PREROUTING (policy ACCEPT 1166 packets, 211K bytes)pkts bytes target prot opt in out source destinationChain INPUT (policy ACCEPT 1063 packets, 203K bytespkts bytes target prot opt in out source destinationChain OUTPUT (policy ACCEPT 94 packets, 8816 bytes)pkts bytes target prot opt in out source destinationChain POSTROUTING (policy ACCEPT 56 packets, 6125 bytes)pkts bytes target prot opt in out source destination127 8248 MASQUERADE all -- * eth0 0.0.0.0/00.0.0.0/0
如果没有看到配置信息请运行下面命令
iptables-restore < /etc/OpenBTS/iptables.rules
所有的GPRS流量将通过网络(eth0)连接到笔记本电脑,之后连接到USRP。所以请一定连接到网络
Wireshark分析流量数据
当运行openbts 服务之后应该可以使用GPRS流量然后再连接到GSM网络,而GPRS流量又是通过SGSN即服务GPRS支持节点,然后利用Wireshark捕获流量信息(eth0),配置信息如下
root@GSMTB:/home/gsm# ifconfigeth0 Link encap:Ethernet HWaddr d4:be:d9:34:04:9cinet addr:10.20.30.40 Bcast:10.20.30.255 Mask:255.255.255.0inet6 addr: fe80::d6be:d9ff:fe34:49c/64 Scope:LinkUP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1RX packets:73562 errors:0 dropped:0 overruns:0 frame:0TX packets:6515 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000RX bytes:11524083 (10.9 MiB) TX bytes:1224915 (1.1 MiB)Interrupt:20 Memory:e6e00000-e6e20000lo Link encap:Local Loopbackinet addr:127.0.0.1 Mask:255.0.0.0inet6 addr: ::1/128 Scope:HostUP LOOPBACK RUNNING MTU:65536 Metric:1RX packets:1913718 errors:0 dropped:0 overruns:0 frame:0TX packets:1913718 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:0RX bytes:259161083 (247.1 MiB) TX bytes:259161083 (247.1 MiB)sqsntun Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1RX packets:5088 errors:0 dropped:0 overruns:0 frame:0TX packets:4644 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:500RX bytes:714308 (697.5 KiB) TX bytes:2503539 (2.3 MiB)
所有外部流量信息(IP)都会将 eth0 IP地址作为源地址
拦截流量
这里需要用到Burp proxy来配置反向代理,几步就可以完成
运行
root@GSMTB:/home/gsm#java -jar -Xmx1024m burpsuite_free_v1.6.01.jar
设置Proxy Listener,按照下面的截图即可(注意是 eth0 的IP地址)
重新定义主机地址
所有的请求都会发送到eth0 IP地址上(端口80),如果对此感兴趣的小伙伴可以(点击我),来获取更多的信息。
本文转自 K1two2 博客园博客,原文链接: http://www.cnblogs.com/k1two2/p/5534183.html ,如需转载请自行联系原作者
GSM Hacking:如何对GSM/GPRS网络测试进行测试相关推荐
- GSM Hacking Part① :使用SDR扫描嗅探GSM网络
GSM Hacking Part① :使用SDR扫描嗅探GSM网络 0×00 写在开头 近期,发现Crazy Danish Hacker在YouTuBe发布了一个挺不错的教程视频:使用SDR嗅探监听G ...
- GSM模块的GPRS的TCP测试成功-校园网(内网穿透)映射
** GPRS的TCP测试成功-校园网(内网穿透)映射 ** 笔者是基于手上已有SIM800C的GSM模块进行测试,也是经过一番测试才获得成功的测试经历,特此分享. 首先GSM模块的硬件连接就不说了, ...
- gsm模块网站服务器,gsm模块是什么_gsm模块工作原理_gsm模块的应用
描述 gsm模块是什么 GSM模块,是将GSM射频芯片.基带处理芯片.存储器.功放器件等集成在一块线路板上,具有独立的操作系统.GSM射频处理.基带处理并提供标准接口的功能模块. GSM模块具有发送S ...
- GPRS SIM900A电脑测试,发短信
GPRS SIM900A电脑测试,发短信 一. 准备工作 一块SIM900A开发板 USB转tt模块(我选择的)或者USB–232 模块 若干根杜邦线 二. 连线操作 USB–TTL 模块与 SIM9 ...
- 单片机与gsm通信c语言,gsm模块如何与单片机通信?
51单片机与GSM模块实现通信 1.检测串口线的好坏 1)将串口线插在电脑上,用短路子短接串口的2脚和3脚 2)打开串口调试助手 3)点击自动发送,在自动发送的窗口中随便发个数据,看看能不能接收到若能 ...
- Qualcomm GSM Packets log 分析——GSM
https://blog.csdn.net/Ciellee/article/details/88125110 https://blog.csdn.net/Ciellee/article/details ...
- NB-IoT SIM7000C调试笔记 01 NB-IoT及GPRS加网测试
一.前言 NB-IoT现在有华为和高通两种最主流的方案,两个方案的代表分别是移远和SIMCOM. 前头试玩了移远BC95,这次玩玩SIM7000C.本小能手作为IoT的弄潮儿,自然是不能拉下.(拉倒吧 ...
- Linux--系统网络测试和测试工具
**************************************************************************************************** ...
- SIM900A、GPRS、GSM 基础知识
1:什么是GPRS GSM ? 目前,第二代移动通信技术(GSM)逐渐向第三代移动通信技术 3G)发展,而GPRS(通用分组无线业务)作为GSM向3G的过渡技术,就成为了连接GSM与3G的桥梁. GS ...
最新文章
- 双边滤波算法的简易实现bilateralFilter
- Python 越被黑越红?2 万程序员这么说......
- 输入列号得到excel对应的字母列
- 利用抽象工厂创建DAO、利用依赖注入去除客户端对工厂的直接依赖、将有关Article的各种Servlet封装到一个Servlet中(通过BaseServlet进行
- Linux 下shell中exec解析
- es6 Generator函数概述
- mysql锁表与不锁表设置主从复制的方法
- esp8266 esp12 AT指令连接wifi热点联网,HTTP获取OneNET物联网平台消息,控制四路远程开关
- python提前退出内层循环,python with提前退出遇到的坑与解决方案
- Android使用valgrind内存泄漏和越界检测等
- 管理感悟:进步,体现在自己行为的改变
- 谭浩强C语言(第三版)习题6.11
- asp.net网上零食销售商城系统
- 定时任务corn表达式设置
- 校园二手交易系统设计与实现
- CST材料库相关问题
- 金山词霸手机版java_金山词霸手机java版
- noi2017滚粗记
- 拼音转汉字算法(隐马尔科夫、维特比算法)
- 工作室课题—质因数2