來源：網(wǎng)優(yōu)老兵（ID：WhatsComm）

偽基站泛指?jìng)窝b成正常的通信基站用于干擾用戶正常通信,，以獲取用戶位置,、給用戶發(fā)送垃圾短信等，其中獲取位置用戶信息主要是某暴力機(jī)構(gòu)所為,，本文重點(diǎn)探討發(fā)送垃圾短信——聊聊垃圾短信群發(fā)的設(shè)備,、操作、原理和可能的規(guī)避措施,，不足之處,，煩請(qǐng)有關(guān)達(dá)人給予指點(diǎn)。常見的偽基站由一家名為“大唐無線設(shè)備研究所”的公司（www.ssrpsms.net）以所謂的應(yīng)急通信的名義對(duì)外銷售,。

設(shè)備構(gòu)成  

圖1 偽基站硬件構(gòu)成

設(shè)備構(gòu)成比較簡(jiǎn)單,，一臺(tái)大容量電源、一臺(tái)ssrp短信群發(fā)機(jī),、一面平板天線或八木天線,、一臺(tái)帶wifi連接的電腦,、一部帶信號(hào)測(cè)試功能的手機(jī)、一個(gè)開關(guān)遙控器,。不法份子將這些設(shè)備打包在一個(gè)皮箱里,，拉著皮箱在城市里四處流動(dòng)，主要在人群密集區(qū)域,、十字路口等停留,，完成發(fā)送短信后換到另一個(gè)地方發(fā)送。常見的還有以電動(dòng)車,、小面包車等形式出現(xiàn),。

目前這類短信群發(fā)機(jī)只能影響駐留在2G網(wǎng)絡(luò)的終端（包括單卡或雙卡雙待機(jī)），當(dāng)終端駐留在3G或4G網(wǎng)絡(luò)時(shí)不會(huì)收到垃圾短信,。當(dāng)時(shí)駐留在2G的終端會(huì)出現(xiàn)短時(shí)間（5秒）內(nèi)有信號(hào),，無法主被叫，并收到一條短信的現(xiàn)象,。其聲稱的性能指數(shù)有：

• 支持移動(dòng)聯(lián)通GSM網(wǎng)絡(luò)

• 支持多條內(nèi)容同時(shí)發(fā)送

• 發(fā)送的距離超過1000米

• 發(fā)送速度2-3萬條/小時(shí)

• 同一個(gè)區(qū)域的用戶不同內(nèi)容會(huì)重復(fù)收到

• 支持長(zhǎng)短信

• 發(fā)送短信不收費(fèi)

• 360視內(nèi)容攔截,，運(yùn)營(yíng)商不會(huì)屏蔽支持多頻點(diǎn)

• 短信簽名和號(hào)碼可自行設(shè)置

• 發(fā)送數(shù)量無限制

• 無需要提供短信接收者的手機(jī)號(hào)碼

• 支持多頻點(diǎn)

 設(shè)備操作

短信群發(fā)機(jī)內(nèi)置TPLink的無線路由器，搭建基于偽基站的局域網(wǎng),，可使用手機(jī),、電腦等接入偽基站。同時(shí)基于內(nèi)置的WEB服務(wù),，為用戶提供操作界面（192.168.1.253,，GSMS應(yīng)急方案處理系統(tǒng)）。具體操作流程如下：

1,、   移動(dòng)終端(手機(jī)或電腦)連接TP-link無線路由器,，IP地址可根據(jù)型號(hào)從TP-link網(wǎng)站獲取,；

2,、   登陸無線路由器管理界面，從DHCP服務(wù)器-客戶端列表上尋找命名為gsms的終端,，確定分配的ip地址,；

3、   登陸該IP地址即進(jìn)入偽基站操作設(shè)置界面,，可設(shè)置顯示號(hào)碼,、短信內(nèi)容、簽名,、發(fā)送時(shí)間和發(fā)送條數(shù)等,。

圖2偽基站操作界面

工作原理

很顯然，大多數(shù)的偽基站都是基于開源的OpenBTS項(xiàng)目開發(fā)的，有興趣的朋友可以自行登陸GNURadio社區(qū)網(wǎng)站了解更詳細(xì)的信息http://gnuradio./chinese/openbts,。

圖3偽基站內(nèi)部連接圖

上圖分別顯示了OpenBTS 使用的天線,，部分硬件設(shè)備，尤其是射頻部分的硬件設(shè)備,，以及系統(tǒng)結(jié)構(gòu),。整個(gè)射頻系統(tǒng)的關(guān)鍵部件是 USRP，USRP 代表通用軟件無線電外設(shè)（Universal Software Radio Peripheral）,。USRP 的設(shè)計(jì)理念是把智能化程度比較高的信號(hào)處理,，交給PC上的軟件執(zhí)行，包括調(diào)制和解調(diào),。而常見的數(shù)字上下變頻,，抽樣和內(nèi)插等由 USRP 板上的 FPGA 完成。USRP 板與 PC 之間,，通過 USB 端口連接,。這些器件包括帶通濾波器、低噪放大器,、功率放大器,、雙工器都可以從淘寶上低價(jià)購(gòu)得，USRP也可以從社區(qū)等網(wǎng)站采購(gòu),。因此,，整個(gè)系統(tǒng)的重點(diǎn)就是尋找一個(gè)集成度高的PC，安裝Ubuntu操作系統(tǒng)和交叉編譯環(huán)境,，修改必要的開源代碼,，完成編譯即可。

這些集成的工作不是太難,，本文重點(diǎn)還是討論通信的機(jī)制,。

圖4 偽基站在GSM網(wǎng)絡(luò)下發(fā)短信的信令時(shí)序圖

1、  偽基站設(shè)置為一個(gè)異常的LAC并將CRO設(shè)置為最大值,，駐留在GSM網(wǎng)絡(luò)的空閑態(tài)終端將重選到偽基站。

2,、  UE讀取廣播消息,，發(fā)現(xiàn)LAC變更；

3,、  UE發(fā)起隨機(jī)接入,，請(qǐng)求更新位置區(qū)，并上報(bào)TMSI或IMSI,；

4,、  偽基站利用已知的TMSI或IMSI為該用戶指配一條SDCCH信道，并攜帶短消息,；

5,、  UE讀取SDCCH信道,，獲取短消息。

整個(gè)過程的關(guān)鍵有三個(gè)：（1）通過UE的位置更新請(qǐng)求（LocaltionUpdate Request）消息,，獲取目標(biāo)用戶,；（2）通過在SI3消息中的Rach 重發(fā)次數(shù)參數(shù)讓終端持續(xù)發(fā)起隨機(jī)接入處于SDCCH接入階段，如上圖最大RA重傳次數(shù)為2,；（3）SDCCH指配消息不是用于響應(yīng)Localtion Update Accept消息而是攜帶短消息,，終端未做識(shí)別。因此,，在這里也大致可以猜測(cè),，華為的麒麟芯片的詐騙短信攔截原理，大概是基于（3）來實(shí)現(xiàn)的,。即,，若UE之前發(fā)起了LAU Request消息，而接收Immediate Assignment的NAS消息不是LAU Accept則直接做丟棄,。 

• LTE偽基站探討

上述簡(jiǎn)單討論了基于GSM網(wǎng)絡(luò)的短信群發(fā)機(jī)及其工作原理,。可以看到,，當(dāng)且僅當(dāng)終端駐留GSM網(wǎng)絡(luò)且處于空閑態(tài)下,，才會(huì)收到群發(fā)短信。那么對(duì)于號(hào)稱史上最安全的通信網(wǎng)絡(luò)——LTE網(wǎng)絡(luò),，是否也存在類似的偽基站問題呢,？答案是原理一樣，風(fēng)險(xiǎn)依舊,。

1,、  LTE下的短信提供方式

在LTE下，短信的提供方式很多樣,，不同的終端在不同的網(wǎng)絡(luò)下,，是否附著IMS等將有不同的短信發(fā)送方式。其中方式1,，就是當(dāng)前的偽基站短信發(fā)送方式,；方式3和4需要建立LTE的DRB承載，需要經(jīng)過RRC層和NAS層的鑒權(quán)和加密,，因此無法利用,。但方式2卻有可乘之機(jī)。

表1 短信(SMS)發(fā)送方式

 2、LTE的安全模式

LTE理論上有多重安全措施可以防范遭受偽基站的干擾。主要有：

（1）      終端與網(wǎng)絡(luò)雙向鑒權(quán),，這需要USIM卡五元鑒權(quán)模式的支持,；

（2）      三重加密：RRC層加密和完整性保護(hù)，NAS層加密和完整性保護(hù),，SIP消息IPSec加密,；

圖5 LTE網(wǎng)絡(luò)的RRC層和NAS鑒權(quán)和加密流程（SRB1已建立，但SRB2未建立,，且僅網(wǎng)絡(luò)對(duì)終端鑒權(quán)(Command是下行的),，終端未對(duì)網(wǎng)絡(luò)鑒權(quán)）

（3）      三種安全性保護(hù)和加密算法：

表2 LTE網(wǎng)絡(luò)鑒權(quán)和加密算法

但當(dāng)前存在如下漏洞，導(dǎo)致了LTE偽基站用于群發(fā)短信的可能,。

（1）終端未對(duì)網(wǎng)絡(luò)鑒權(quán),，因此終端可以接入LTE偽基站，并發(fā)起TAU Request,，偽基站獲得用戶的GUTI,；

（2）終端從RRC 空閑返回RRC連接態(tài)，沒有經(jīng)過安全模式確認(rèn),；

（3）偽基站可以利用DL Information Transfer來欺騙終端冒TAU Accept之名之際攜帶CP-DATA（短信內(nèi)容）給終端,。

所以，看來要從網(wǎng)絡(luò)側(cè)防范LTE偽基站,，看來目前的技術(shù)還是無能為力的,，解決該問題還得靠終端，或者終端對(duì)網(wǎng)絡(luò)進(jìn)行反向鑒權(quán)或者終端根據(jù)信令上下文對(duì)DL Information Transfer消息進(jìn)行過濾,。否則,，LTE偽基站在不久的將來勢(shì)必會(huì)到來，有興趣的朋友可以到http://www./了解詳情,。

圖6 LTE網(wǎng)絡(luò)TAU信令流程（中間沒有做任何鑒權(quán)和加密）

圖7 短信網(wǎng)關(guān)通過SGs口發(fā)給MME,，MME通過SRB2作為NAS消息承載在RRC消息DLInformation Transfer下發(fā)給終端

 結(jié)束語

由于偽基站可以任意定制短信發(fā)送號(hào)碼，若定制為特殊號(hào)碼（如銀行客服,、政府公眾服務(wù)號(hào)等）,，則可用于傳播詐騙、虛假,、甚至反動(dòng)言論,，挑戰(zhàn)社會(huì)主義核心價(jià)值觀，引發(fā)社會(huì)動(dòng)蕩,，其影響極其惡劣,，必須以重拳以打擊,。刑法第124條“破壞廣播電視設(shè)施,、公用電信設(shè)施，危害公共安全的，處三年以上七年以下有期徒刑,；造成嚴(yán)重后果的,，處七年以上有期徒刑”。刑法第266條“詐騙公私財(cái)物,，數(shù)額較大的,，處三年以下有期徒刑、拘役或者管制,，并處或者單處罰金,；數(shù)額巨大或者有其他嚴(yán)重情節(jié)的，處三年以上十年以下有期徒刑,，并處罰金,；數(shù)額特別巨大或者有其他特別嚴(yán)重情節(jié)的，處十年以上有期徒刑或者無期徒刑,，并處罰金或者沒收財(cái)產(chǎn)”,。數(shù)罪并罰，最高可判刑17年以上,。不法份子切莫以身試法,。