伪基站排查总结-20141125 - 图文

伪基站排查分析流程总结

一、位置更新流程及伪基站提取IMSI信息原理 1.1 位置更新流程

根据GSM协议，IMSI号码将在以下情况被使用：用户第一次移动接入网络；用户开机；用户发生位置区更新，即手机移动前后分别与属于不同的LAC位置区的基站通信。拦截者可以通过建立伪基站的方式，在手机的空闲状态时，迫使手机从真基站转向伪基站进行通信，触发位置更新程序，继而要求手机将IMSI发给伪基站获取用户身份。

位置区更新流程如图3所示，其中A位置区为旧的位置区，也可理解为真实基站，B位置区为新的位置区，即伪基站，HLR/AC是归属位置寄存器/鉴别中心，MSC/VLR是移动交换中心/访问者位置寄存器，BSC是基站控制器。当手机从A位置区进入B位置区时，移动用户与B位置区交互资源请求连接设置（RRConnection Setup），与其建立一个无线通信信道并交互位置更新流程：

图3 用户位置更新流程图

（1）移动用户转向刚分配的无线信道并发送位置更新请求（LOCATION UPDATE REQUEST）到B MSC/VLR，其中包含A位置区的TMSI和位置区号LAI（以下简称A_TMSI和A_LAI）。

（2）该流程有两种可能情况

●B位置区MSC/VLR收到该请求后，在数据库没有找到该A_TMSI，根据收到的A_LAI得到A位置区MSC/VLR的地址，发送IMSI请求命令IMSI REQUEST（包含A_TMSI）到A位置区MSC/VLR，A位置区MSC/VLR收到该信令后，到其数据库中找到该TMSI对应的IMSI返回给B位置区MSC/VLR，这样B位置区MSC/VLR 就得到了手机用户的IMSI。

●B位置区MSC/VLR可以选择直接发送IMSI请求给手机，手机将直接返回IMSI号码给该B位置区MSC/VLR，如图中虚线部分流程。

（3）B位置区MSC/VLR发送位置更新请求（UPDATE LOCATION）给HLR/AC，HLR/AC将做两件事：

●更新其数据库中的用户位置区记录。

●发送n组（Kc，RAND，SRES）给MSC/VLR，其中Kc是会话密钥，RAND是随机数，SRES是签署回应，这几组数据将在后续的认证过程中使用。

（4）B位置区MSC/VLR收到HLR/AC的这几组认证数据后，结合双方预定好的算法（A3，A5，A8），进行用户认证。

（5）B位置区MSC/VLR发送信道加密命令（CIPHERING MODE COMMAND）给用户，完成信道加密，随后B位置区MSC/VLR分配给手机一个新的TMSI；至此，位置更新流程完毕，移动用户与B位置区MSC/VLR交互释放资源连接（RR Connection Release），释放其建立的无线通信信道。 1.2 IMSI信息提取过程分析

从以上流程分析可以看出，GSM系统存在IMSI安全漏洞。流程（2）中可以直接向手机用户发送信令IMSI请求就获取IMSI，且此时信道未被加密，未授权用户利用之并获取IMSI。因此，只要构造这样一个伪基站就可以实现对IMSI号的截取：

（1）由于手机维护了一个广播频点信息列表，该列表列出了6个周围合法基站的频点，信号强度C1，C2值。手机同时监测这些基站，当某基站信号强度大于目前服务基站时就转向该基站。因此，伪基站的频点要设为某个合法基站的频点。

（2）伪基站的一些参数如移动国家代码MCC，移动网络代码MNC要设置成真基站一样，此外一些信道如频率校正信道FCCH，同步信道SCH都要根据GSM标准设置正确。

（3）位置区号（LAI）要设成与周围真基站不同，这样才能够触发位置更新流程以获取IMSI。

（4）发送位置更新拒绝（LOCATION UPDATE REJECT）消息给手机释放手机用户，使其可连接到真实基站。

当伪基站工作时，周围手机检测到该伪基站，且信号最强，移动用户将与伪基站建立连接，交互信令。由于伪基站位置区号LAI号与原基站不同，触发位置更行流程，伪基站根据GSM信令流程收发信号，并在流程（2）时直接发送IMSI 请求信令给手机，手机返回IMSI给伪基站，伪基站收到IMSI后，释放手机用户。 1.3 伪基站系统的特点及对网络影响

伪基站系统用于监测手机用户的移动信息，多安装于人员流动性大的城区出入口。

伪小区模拟移动周边小区BCCH频点发射，移动手机用户通过安装伪小区的路口时，会重选占用上伪小区，因与手机存储LAC不一致，会尝试进行位置更新（位置更新肯定失败），此时手机将用户信号上报，通过伪基站系统可实现移动用户上报信息的跟踪及时掌握人员行踪等。

由于伪小区的从手机尝试到伪小区到恢复到正常使用状态（向伪小区发起位置更新、位置更新拒绝、手机脱网、重选到移动小区、再次位置更新及位置更新成功）需要时间通常为10~20s，造成用户无法正常主被叫，严重影响用户感知。 1.3.1 伪小区的特点

（1）伪小区频点具有不确定性，伪基站系统跟据上报手机数量信息等，发现周边BCCH频点变动后，将同步更新相关频点。

（2）伪小区的CI多为10。

（3）伪小区的CRO设置较高，这样才能使其C1，C2值较高，便于小区选择。 （4）手机占用伪小区时间较短，一般为10~20s的时间。

（5）移动手机重选占用伪小区，位置更新失败脱网，小区选择至移动网络。 当手机重选至伪小区时就必然会触发位置更新且位置更新必然失败。而这种类型的位置更新和网络中正常的位置更新有所不同，反映在信令中则会出现系统下发“Identity Request”，然后上传“Dentity Response”信令，此类信令的意思是：身证认证请求，MS注册或异系统间重选时会出现，交换侧可以设置是否要求验证身份。当MS跨LAC后就会出现此条消息，手机开机时也会进行此过程。此类位置更新一般都是被拒绝的，所以系统下发“Location Update reject”，“Channel Release”。 1.3.1.1传统伪基站工作原理

图-2 传统伪基站信令流程

位置更新失败的拒绝原因是：“Cause value 13: Roaming not allowed in this location area”，有的伪基站也发送位置更新拒绝原因：“Cause value 12: Location Area not allowed”或，“Cause value 11: PlMN not allowed” 按照GSM 04.08规范，当位置更新拒绝原因为11、12、13时，手机会清除存储的LAI、TMSI和密钥序列，重置位置更新尝试计数器, 更新位置更新状态为“ROAMING NOT ALLOWED”并将LAI和PLMN ID存储到相关禁止列表中。 对Cause value : (11)，手机将PLMN ID存储到相关禁止列表后，只会自动有新的PLMN时才会发起位置更新请求尝试，对正常用户的影响较大，伪基站一般不会采用，伪基站的位置更新拒绝原因一般采用Cause value 12和Cause value 13。

如果拒绝原因是Cause value : (12)，手机将LAI存储于\location areas for regional provision of service\，仅在新的PLMN会发起位置更新

请求尝试；如果拒绝原因是Cause value : (13)，手机将LAI存储于\或LAI时才 location areas for roaming\，在返回MM IDEL状态时，手机会启动HPLMN选择。

对位置更新拒绝原因值11、12、13，手机会清除原来存储的LAI和TMSI，下次会采用系统保留的LAI：460-00-1003（也有的手机采用460-00-其他）和IMSI号码发起位置更新。

1.3.1.2、新型伪基站（或伪基站短信系统）工作原理

伪基站发送垃圾短信时，用户会在伪基站位置更新成功，然后伪基站给用户发送垃圾短信，用户接收垃圾短信后，期间伪基站会变换LAC，经过特定时间后再次向伪基站发起位置更新，此次位置更新失败，然后重选到现网小区后发起位置更新成功。

向伪基站发起位置更在伪基站下位置更新成伪基站发送短信成功 伪基站变换LAC后重新发起位置更新 伪基站变换LAC后重新小区重选到现网LAC后重新发起位置更新，

图-3 新型伪基站位置更新及发送短信信令流程图

在现网LAC下位置更新

测试分析：MS占用到港口区搬迁3（LAC-CI:10031-65407）,在电平-75dBm时发起重选，重选到较差的邻区“南沙科技馆

1”

（LAC-CI:19098-10,BCCH=70,BSIC=0-5），电平-85dBm,最后位置更新失败，Cause value : (13) Roaming not allowed in this location area；信令流程如下，包括2次身份识别过程（网络使用该程序的目的是请求MS提供特定识别参数，如IMSI或IMEI信息），第一次索要IMSI信息，第二次索要IMEI信息，从而完成用户信息的提取过程，查看系统信息C2-C1=127-23=124,ACCMIN=0,T3212=0。

很典型的传统伪基站信令流程：

3、4，

按照GSM 04.08规范，当位置更新拒绝原因为11、12、13时，手机会清除存储的LAI、TMSI和密钥序列，重置位置更新尝试计数器, 更新位置更新状态为“ROAMING NOT ALLOWED”并将LAI和PLMN ID存储到相关禁止列表中。 对Cause value : (11)，手机将PLMN ID存储到相关禁止列表后，只会自动有新的PLMN时才会发起位置更新请求尝试，对正常用户的影响较大，伪基站一般不会采用，伪基站的位置更新拒绝原因一般采用Cause value 12和Cause value 13。

如果拒绝原因是Cause value : (12)，手机将LAI存储于\location areas for regional provision of service\，仅在新的PLMN会发起位置更新请求尝试；

如果拒绝原因是Cause value : (13)，手机将LAI存储于\或LAI时才 location areas for roaming\，在返回MM IDEL状态时，手机会启动HPLMN选择。

对位置更新拒绝原因值11、12、13，手机会清除原来存储的LAI和TMSI，下次会采用系统保留的LAI：460-00-1003（也有的手机采用460-00-其他）和IMSI号码发起位置更新。

2.2节能中心11F月有宾馆伪基站——新型/智能伪基站

2013年6月13日接到用户集中投诉早上9点左右开始出现收不到信号或无法正常主被叫现象，主要投诉集中在红鼎国际、北城天街步行街区域。

收到投诉后，相关人员即到现场进行处理，经现场排查，在香港城C座门口附近发现伪基站信号：CGI=460-00-1003-10。

图2 TEMS锁定非法伪信号

新型伪基站发射的信号有以下几个显著特性：

① LAC值=1003/1005，在一定周期内2个值不停变化；

② 伪基站广播信道频点BCCH=70为附近城二节能中心900G（RB3003B）主频； ③ C2瞬间高至127，但并不稳定为该值，有一定周期性——隐蔽性更强； ④ 当MS驻留在该伪信号下时，收到2条房地产推销广告。每张SIM卡号仅

收到2条，后面虽然收到伪基站影响不停驻留进伪信号上，但不再收到垃圾短信，具有一定智能识别功能；

⑤ 只影响驻留在GSM的手机，对驻留在TD的手机不产生影响。

发现伪基站信号后，现场当机立断将城二节能中心900G（RB3003B）进行关闭，并使用泰克扫频仪锁定70号主频下行频段进行排查，跟踪信号最强方向最终定位伪基站安装位置。

图-3 泰克锁定非法伪基站仿真主频并跟踪其最强方向

伪基站锁定后，即上报至网络部，最终由网络部相关领导协调无委、公安局、

通信管理局共同联合执法，成功地将该伪基站一举铲除（遗憾的是安装伪基站的非法人员不在现场，未能逮捕）。

图-4 现场图片

三、总结：

1) 伪基站仿真软件

通过伪基站系统仿真软件相关参数设置，可以发现以下3点特性：①固定发射主频；②功率为2W；③固定周期。这也佐证了排查过程中发现的一些现象，为后期伪基站的排查提供参考：一定要关闭周围同主频小区以便扫频仪锁定仿真频点进行排查，避免同频合法小区“干扰”排查视线。

本文来源：https://www.bwwdw.com/article/12hw.html