关于伪基恶意发送垃圾短信分析和定位研究报告VWord格式文档下载.docx
- 文档编号:17550824
- 上传时间:2022-12-07
- 格式:DOCX
- 页数:10
- 大小:138.93KB
关于伪基恶意发送垃圾短信分析和定位研究报告VWord格式文档下载.docx
《关于伪基恶意发送垃圾短信分析和定位研究报告VWord格式文档下载.docx》由会员分享,可在线阅读,更多相关《关于伪基恶意发送垃圾短信分析和定位研究报告VWord格式文档下载.docx(10页珍藏版)》请在冰豆网上搜索。
可以针对以上信令特征进行统计分析,统计源LAC是伪基站LAC的位置更新频次以及更新到现网的小区CI以确定伪基站的大概位置。
2、普通伪基站和伪基站短信系统的位置更新流程
1)普通伪基站
主要是用于收集用户信息,用户向伪基站发起位置更新,失败后会迅速登记到现网位置区。
其位置更新流程如下:
图1伪基站位置更新信令流程图
位置更新失败的拒绝原因是:
“Causevalue13:
Roamingnotallowedinthislocationarea”,有的伪基站也发送位置更新拒绝原因:
“Causevalue12:
LocationAreanotallowed”或,“Causevalue11:
PlMNnotallowed”
按照GSM04.08规范,当位置更新拒绝原因为11、12、13时,手机会清除存储的LAI、TMSI和密钥序列,重置位置更新尝试计数器,更新位置更新状态为“ROAMINGNOTALLOWED”并将LAI和PLMNID存储到相关禁止列表中。
对Causevalue:
(11>
,手机将PLMNID存储到相关禁止列表后,只会自动有新的PLMN时才会发起位置更新请求尝试,对正常用户的影响较大,伪基站一般不会采用,伪基站的位置更新拒绝原因一般采用Causevalue12和Causevalue13。
如果拒绝原因是Causevalue:
(12>
,手机将LAI存储于"
forbiddenlocationareasforregionalprovisionofservice"
,仅在新的PLMN会发起位置更新请求尝试;
(13>
forbidden或LAI时才locationareasforroaming"
,在返回MMIDEL状态时,手机会启动HPLMN选择。
对位置更新拒绝原因值11、12、13,手机会清除原来存储的LAI和TMSI,下次会采用系统保留的LAI:
460-00-65534<
也有的手机采用460-00-0)和IMSI号码发起位置更新。
2)伪基站短信系统
伪基站发送垃圾短信时,用户会在伪基站位置更新成功,然后伪基站给用户发送垃圾短信,用户接收垃圾短信后,期间伪基站会变换LAC,经过特定时间后再次向伪基站发起位置更新,此次位置更新失败,然后重选到现网小区后发起位置更新成功。
伪基站变换LAC后重新发起位置更新
伪基站变换LAC后重新位置更新失败
小区重选到现网LAC后重新发起位置更新,
在现网LAC下位置更新成功
在伪基站下位置更新成功
伪基站发送短信成功
向伪基站发起位置更新
图2伪基站位置更新及发送短信信令流程图
●15:
36:
50tems手机探测到伪基站信号,重选到伪基站的广播频点,随后手机发起第一次位置更新请求,伪基站向手机提取了IMSI和IMEI,后位置更新成功,登记在伪基站下LAC1。
37:
03伪基站向手机发送垃圾广告短信,手机收到垃圾短信。
09由于手机在上一次位置更新过程中,伪基站将原来的LAC1修改未LAC2,伪基站的频点和BISC未修改,手机无需小区重选,待手机侧定时器超时后,由于手机中存储的LAC1和伪基站广播的LAC2不同,又向伪基站做了一次位置更新,但这次位置更新被拒绝。
20随后手机在现网做小区重选和位置更新成功。
通过以上信令流程分析,伪基站利用和现网不同的LAC诱骗手机进行位置更新,提取手机的IMSI和IMEI,向手机发送垃圾广告短信,随后变换LAC并且根据手机的IMSI和IMEI信息,每部手机或每个号码在同一时间段只能收到一次短信。
在测试时将两个卡放到同一部TEMS测试手机中,只有第一张卡收到了短信。
根据实际测试,用户从发送短息的伪基站位置更新失败时,失败原因如下:
LocationAreaIdentification
Mobilecountrycode(MCC>
:
460
Mobilenetworkcode(MNC>
00
Locationareacode(LAC>
65534(Hex0xFFFE>
Mobileidentity
Odd/evenindication:
(1>
Oddnumberofdigits
Typeofidentity:
IMSI
Identitydigits(BCD>
46002705310xxxx
Causevalue:
(15>
NoSuitableCellsInLocationArea
对位置更新失败原因为:
“NoSuitableCellsInLocationArea”的情况,手机会在同一PLMN的不同LA尝试再发起位置更新。
由于对位置更新拒绝原因15,手机不清除原有的LAI和TMSI,手机再次位置更新时会采用上次位置更新拒绝前存储的LAI<
一般是伪基站的LAI)和TMSI。
3、伪基站短信系统的定位方法
根据以上伪基站发送短信后的信令特征分析,伪基站短信系统的除了和普通伪基站具有相同的信令特征外,还有一个明显的特征是接收短信后发起的到现网位置区的位置更新消息中采用TMSI、源LAI使用伪基站的LAI。
可以根据以上特征确定现网发伪基站短短信系统的疑似情况,主要分析流程如下:
1)统计现网每个位置区<
按照源位置区统计)的位置更新情况,排除现网在用的位置区LACi<
i=1,2,3,…)和相邻地市的边界区域位置区LACj<
j=1,2,3,…)
2)对1)中筛选的每天超过5000次的异常位置区LACx<
x=1,2,3,…)
3)统计现网成功位置更新消息中源LAC使用LACx、且采用TMSI发起的位置区和CIy<
y=1,2,3,…)
4)对源LAC使用LACx、且采用TMSI发起的位置更新的CIy,统计其位置更新次数和位置更新号码,如果位置更新次数/位置更新号码小于2,且小区内日位置更新次数大于500次或忙时位置更新次数大于100次,且位置更新次数较上周同期或平时均值有1倍以上增长的则判定CIy是疑似伪基站短信系统的区域。
5)统计现网成功位置更新消息中源LAC使用LACx、且采用IMSI发起的位置区和CIz<
z=1,2,3,…),如果小区内日位置更新次数大于5000次或忙时位置更新次数大于1000次,且位置更新次数较上周同期或平时均值有1倍以上增长的则判定CIy是疑似伪基站区域。
6>
根据4)和5)中分析的区域到现场进行测实验证。
注:
以上4)和5)统计中要排除异常IMEI引起的频繁位置更新,可将同一用户在同一小区内位置更新次数超过5次的用户排除。
三、现网分析排查
1、现网异常LAC分析
由于目前山东公司的A接口信令监测分析主要监控了济南本地网,本次主要针对济南地区2018年8月份的信令数据进行了分析。
对现网正常位置更新的源LAC进行了统计,除了济南本地正常使用的LAC和周边相邻地区的LAC外,还有以下几个异常的LAC:
异常LAC
正常位置更新次数
65534
9210566
4287304
171
29555
65535
15711
1556
9528
表1异常LAC统计表<
8月10-22统计数据分析)
根据GSM规范,LAC的取值范围是1-65535,其中LAC=0和65534作为备用,手机在某次位置更新被拒绝,且拒绝原因是“RoamingnotAllowedinthisLocationArea”等原因时,手机清除原来存储的LAI信息,随后以系统保留的LAC65534的作为源LAC向网络发起正常位置更新<
有个别手机也采用源LAC为0发起正常位置更新),因此对源LAC=0和源LAC=65534的情况,由于现网存在很多本地通异地漫游或在边界区域位置更新导致此问题出现,LAC=0和LAC=65534主要是现网业务导致,即使有伪基站使用0和65534的不规范LAC编码,由于无法和现网存在的正常业务区分,在分析时咱不考虑整两个LAC。
2、现网异常CI分析
对其他三个LAC171、65535和1556进行了分析,对使用TMSI发起位置更新的情况,在排除用户和IMEI异常频繁更新后,对符合上述原则的小区进行了筛选,目前初步确定的疑似区域如下:
BSC信令点
LAC
CI
基站名称
覆盖区域
1067
21526
6311
齐鲁国际
泉城路贵和、百盛、苏宁等
6313
20221
惠尔大厦
20224
9511
佛山苑
银座商城
11623
科技馆
泉城广场科技馆
11629
1079
21439
11283
历城百货
洪楼大润发
173
洪楼分局
10471
1043
25355
413
织布厂
泺口通信城
18051
通讯城
45512
1011
25345
45501
万达广场
1074
25356
13622
大观园
1084
21748
36921
嘉华购物广场
市华联
36923
46069
小商品市场
45271
银座和谐广场
和谐广场
1048
21522
233
纺织厅
历下大润发
1094
21745
17931
社科院
马鞍山
1051
21532
6692
银丰大厦
6691
17433
财政学院
表2济南现网主要伪基站疑似区域<
异常位置次数
异常位置更新IMSI号码数
21,526
9201
8018
25,345
7723
5532
4381
3973
45502
3419
2714
2411
2203
45564
2391
1798
2364
2207
39842
2024
1812
25,356
6841
1886
1699
45587
1348
1091
45589
1185
1083
26311
1128
1088
14013
986
817
45258
984
714
759
694
20012
758
707
30151
756
595
11
737
672
45588
710
665
10231
700
590
表3部分疑似区域的异常位置更新次数和IMSI号码数量
从以上区域可以看出,伪基站主要分布在:
泉城路、泉城广场、银座商城、洪楼大润发、万达广场、大观园、马鞍山、银座和谐广场、市华联、通讯城等周边区域,上述区域的特点是靠近商业中心或商务中心等人流量比较大的区域,便于针对特定人群发送广告,从用户反映的垃圾短信广告内容主要是商业广告也说明了这一点;
该区域的异常位置次数和IMSI号码数基本相当,也和实际测试中伪基站短信系统既判别IMSI又判别IMEI的情况基本吻合。
目前用户收到的垃圾短信主要有:
“泉城路XX七夕约惠有情人!
XX床品大型特卖会8.6日启动!
心仪情侣装132元,XXX克拉钻震撼价23999起,XX黄金每克减17.7元!
”
“泉城路XX暑期服饰1折起奥运T恤限量送,学生折上再9折。
周末FANCL20倍积分,山东少儿频道故事大王海选诚邀VIP适龄儿童相约XX!
“6377元/平起!
XX燕园78-90平两房101-126平三房火速开抢!
2万抵5万,山东XXXX置业会盛大启动,园林开放在即66666101”
用户收到的发送垃圾短信的主叫号码不固定有1327925XXXX、1339190XXXX等,除了手机号还有行业端口号。
根据前期投诉有多个用户反映在马鞍山<
8月5日)、泉城路百盛<
8月18日)区域收到垃圾短信,经分析覆盖用户投诉区域的17931、6311等小区在也信令分析筛选的异常小区列表中。
以17931小区为例,通过网管统计分析其位置更新趋势,可看出在8月5日用户投诉时间的位置更新次数较平时和周末同期有明显增长,峰值比平时高出1倍,说明当时小区的位置更新次数异常,应该是伪基站导致的。
图3小区位置更新统计对比图
3、后续处理建议
综合以上分析可知,伪基站发送垃圾短信主要是在人员密集地方部署伪基站,通过置基站发射功率等参数,使覆盖区域的GSM用户进行位置更新,获取用户信息<
TMSI、IMSI等),之后模拟网络信令,伪造短信下发给用户,主叫号码可以随意设置。
经在互联网搜索,已发现有伪基站短信系统的产品公开发售。
如果任由伪基站发送短信的情况蔓延,将会给通信网络安全和信息安全保障造成严重的威胁,尤其是伪基站被不法分子利用来发送反动短信时,将会造成严重的政治影响。
必须立即采取相关措施进行排查分析,联合相关部门进行打击。
一是,利用信令监测系统和网管系统对小区异常位置更新进行统计分析,确定现网的疑似伪基站发送短信情况和伪基站位置区域。
并结合用户投诉情况,去现场捕捉和确认此类垃圾短信情况。
二是,到伪基站现场检测伪基站的BCCH广播频点,将伪基站的广播频点从现网的BAlist列表中删除或采用厂家的双BA技术<
部分厂家支持,目前伪基站只有900M频点,可以强制用户小区重选时只选择到1800M小区),可以临时解决伪基站带来的干扰问题。
但伪基站能够自动检测临区频点、并且可以随时修改频点和LAC,有的伪基站是流动式的,很难现场实时捕捉到伪基站信息。
三是,将此类问题反映到各省通信管理局、无委会、公安部门等,并配合以上部门查处和打击使用伪基站发送垃圾短信的相关人员。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 关于 恶意 发送 垃圾 短信 分析 定位 研究 报告