2000元不到，他就在某宝上整出了一套伪基站装备

本篇文章3633字，读完约9分钟

“为了得到委托书，我更难向他妈的西方学习！”

在电影《泰国》中，高博煞费苦心地跟踪徐朗，索要数亿份合同授权书，并轮流使用各种高科技跟踪手段。不仅赢得了观众的一笑，就连那些销售定位和跟踪技术的人也笑了。

当然，所使用的手段只是常用的定位技术中的一种或两种，例如基站定位、wifi定位、ip定位、rfid/二维码和其他标签识别定位、蓝牙定位、声波定位、场景识别定位...只是你想不起来，却跟不上。

今天，我们将讨论基站定位。

你眼中的基站是什么？

像这样？

还是这样吗？

醒醒吧，今天我们要谈谈家庭基站，沙司~

毫微微蜂窝基站是一种小型、低功耗的蜂窝基站，主要用于家庭和办公室等室内场所。用户可以在家里更好地使用手机，只要他们将毫微微蜂窝连接到基于ip的网络，而且它也是由运营商提供的，所以用户不用花钱！

然而，用户可以接触到的毫微微蜂窝往往会被任性的黑客记住，甚至黑客在建立毫微微蜂窝后，也能很快将它们变成伪基站短信群和流量嗅探器。

想象一下你模糊的信息、电话和数据流量被窃听是多么可怕。

最近，雷锋的编辑听了一位搜索者的演讲，主题是“电信设备和物联网安全上一笔财富”。

搜索者的个人资料仍然是个性化的，即使当被问及他为什么在这个领域做研究时，这也是一个简单而有趣的句子。

我不知道如何进攻，但知道如何防守。

当一顶白帽子被一顶黑帽子盖住时，你能对毫微微蜂窝基站做什么？探索者解密了它。

第一步是“招募和购买马匹”

将大象放入冰箱只需三步，但使用毫微微蜂窝基站监控和定位它需要多少步？

首先，建立一个家庭基站，即购买设备。

毫微微蜂窝很容易从宝藏中买到，当然，你必须首先知道如何具体搜索。

在这里你可以参考伟大的上帝探索者的购买清单:

手机:gsm:京信hmb-10

Td-scdma:京信hnb-33和韦伯hn1200

Td-lte:中兴bs8102

联通:华为uap2105、uap2816、uap2835、uap2855

华为epico3801和华为epico3802

电信:华为epico3680

这些家庭基站非常便宜，每个搜索者都买了不止一套，最低的在20元，最贵的在450元。

第二步，“拿钥匙。”

让我们先看一张图片。

这是典型的3g网络结构。最左边的手持终端，中间部分是两种类型的基站，在3g中被称为节点b，与rnc合作连接运营商的核心网，最后连接到互联网。在家庭基站中，它被称为家庭节点b，它通过互联网与安全网关segw通信，然后连接到运营商的核心网络。

几乎所有的家庭基站都连接到自动配置服务器acs。Acs使用tr-069协议，用于发布配置文件，包括配置家庭节点b地址和更新家庭基站固件。

实际上，运营商使用的tr-069协议可以完成四项任务:

一是用户设备的自动配置和动态服务配置。

第二是用户设备的软件和固件的管理。Tr-069协议提供管理和下载用户设备中的软件和固件的功能。

第三是监控用户设备的状态和性能。

第四是通信故障的诊断。

~但这并不意味着它是安全的，也不意味着它不适合拥有巨大魔法力量的黑客~

最大的问题是acs地址需要在毫微微蜂窝上配置和保存，所以黑客可能会把它变成他们自己的地址。

拨打安全网关后，有一种安全的方法可以连接tr-069服务器。

当你准备好了，你首先需要根。Root可以获得设备的所有权限，并在毫微微蜂窝基站上运行自己的程序。具体做法因设备而异。如果你幸运的话，你可以直接使用jtag，uart和其他调试接口。如果你运气不好，你可能需要从旧设备中读取固件，修改并写回来。

鲁特使用的设备非常简单。基本上，数字万用表、cp2102、dubang line和segger j-link就足够了。它应该是专业的，可以配备总线盗版，jtagulator和nand闪存阅读器。鲁特的软件，其中最重要的是tr-069，被推荐使用genieacs，ida pro，openocd等。

在root之后，您可以破解ipsec，监听传入和传出的通信，甚至在不被发现的情况下修改通信内容。因为毫微微蜂窝基站是一个合法的运营商基站，所以当受到攻击时，发送到用户手机的数据和短消息被认为是合法的，并且在内容级别没有安全验证。

第三步是“开门”。

在根毫微微蜂窝之后，它可以连接到运营商的核心网络来进行信令攻击。为什么要加入运营商的核心网络？

制造东西！

经过身份验证的加密五元组(ik、ck、autn、rand、xres)和四元组(kasme、autn、rand、xres)

不用去现场，你可以坐在家里通过信号监控任何手机，获取其位置和通信内容，并远程植入木马。

当然，运营商进入核心网的具体方式取决于具体情况。通常，自写代理程序在毫微微蜂窝基站上运行。

有没有可能直接连接到核心网络而不用毫微微蜂窝基站？

答案是肯定的。

原因是京信和中兴的家庭基站使用软sim卡，并在文件系统的某个文件中写入密钥。取出钥匙后，他们可以通过strongswan用自己的电脑拨打运营商的安全网关。

更困难的是，像华为这样使用真实sim卡的家庭基站需要pc/sc读卡器，并且需要对strongswan代码进行更多修改。

通过毫微微蜂窝连接运营商的核心网络的主要问题是很容易追溯。事实上，现在更常见的方法是通过互联网连接运营商的核心网络。

主要步骤是，

找到暴露在互联网上的grx或ipx设备，通常是ggsn/mme，并发送信号。

获得grx设备的根权限并在内部网中漫游

另一个开源软件openggsn将在这里使用。它可以伪装成sgsn，帮你找到ggsn，给它发送一条消息，看看它是否有反应。

另一个有趣的点是，如果使用运营商的内部网，比如中国联通或移动4g网络，实际上，我是在它的网状结构中接入网络的底层设备。从这里向上搜索，与国外扫描的结果大不相同，可以扫描更多可用的设备。

有什么辩护吗？

可以看出，整个构建过程并不是很复杂，但是如果对研究感兴趣的搜索者被别有用心的黑客所取代，那就会让人发笑。

“家庭基站本身的安全机制是有用的，但它不足以对付持续的黑客。”探索者说。

除了毫微微蜂窝基站，搜索者还发现运营商大量使用的基站设备也可以用魔法宝藏廉价买到。当然，您必须首先了解运营商基站的典型配置，然后进行有针对性的搜索。例如，运营商基站主要由bbu和rru组成。最好知道设备的具体型号，比如华为最新型号的bbu3910，它可以通过插入不同的基带板和主控板来支持不同的通信系统。下图为标准的华为lte室内配电系统，包括电源、rhub、bbu、rru等。prru3902的功率约为125mw，有效覆盖半径约为50米。

《雷锋》的编辑。com在这里计算了一个账户。典型td-lte配置的华为bbu3910约500-700元，rru也很便宜，价格在100-1000之间。常用的包括华为prru3902约200元，外加rhub3908、通信电源etp48100、gps天线等。这套不到2000元。

这套设备体积不小。开机后，风扇声音很大，所以不能随身携带，黑客也不会感兴趣。然而，网络安全公司更适合建设无线通信实验环境，从事物联网设备安全研究。

为了使设备正常工作，需要解决两个问题。首先，基站应该与omc连接，这类似于acs。华为m2000可以从网上下载破解。此外，它需要与mme连接，并且可以使用openairinterface中的mme。

这套基站与运营商使用的基站完全相同，只是没有联合运营商的核心网，不能通过双向认证，所以手机不认为是合法基站。如果你想转换成一个运营商的合法基站，你需要能够连接到运营商的核心网络，并获得av四倍。可以使用上述两种方法进入运营商的核心网络。

读完这些，你是否深感忧虑？

有什么辩护吗？

探索者建议，

对于网络公司、应用开发商、物联网制造商和网络服务提供商来说，互联网和电信网络同样不安全，有必要拥有一个应用层认证和加密系统。短信验证码不可信，因此应尽可能启用双因素认证。

对于认证服务提供者、银行和运营商来说，市场需要可靠的认证基础设施，而拥有更多网点的机构具有优势，因此它们应该尽力抓住机会提供服务。

对于电信设备制造商来说，应该增加更多的安全特性以增加破解的难度。

对于电信运营商来说，网络建设应该遵循3gpp安全标准，辅以多级防御系统，如安全审计、防火墙、蜜罐等。

对于淘宝等电子商务平台，运营商的设备应该被移除。这些设备只能卖给运营商，不能出现在2c的电子商务平台上。

然而，面对国内通信行业的快速发展和运营商的大规模建设，用户似乎别无选择，只能皱眉头。

幸运的是，《雷锋》的编辑。(公开号码:雷锋。com)看到他在探索者演讲后派了一圈朋友过来。内容可能是:一顶白帽子做了一个自制的伪基站，以防止结果被无法阻止的黑客记住。埋在公园的地下...

我忍不住喜欢它。

雷锋原创文章。严禁擅自转载。详情请参考转载说明。