不知道為什么，感覺(jué)偽基站又有些卷土重來(lái)的趨勢(shì)，不想廢話，先分享幾個(gè)偽基站識(shí)別技巧，供拍磚交流。

0×01 了解偽基站

前幾年協(xié)助某些部門(mén)做過(guò)偽基站的電子取證分析，在對(duì)批量偽基站設(shè)備和軟件平臺(tái)的分析時(shí)，發(fā)現(xiàn)雖然大多數(shù)偽基站使用者，在設(shè)置參數(shù)前都會(huì)先對(duì)周邊基站的開(kāi)放頻點(diǎn)、MNC、LAC、CI等信息進(jìn)行掃描，但有些選項(xiàng)卻有趣地帶有明顯的掩耳盜鈴風(fēng)格，比如這個(gè)基站別名。如下圖所示，出于避免懷疑的心理，大多數(shù)偽基站的別名都會(huì)設(shè)置為“應(yīng)急通信”……這算是一葉蔽目么？

偽基站原理什么的有很多人在講，就不重復(fù)廢話了，下圖里是偽基站平臺(tái)上某個(gè)號(hào)碼的已發(fā)送對(duì)象與欺詐短信數(shù)量，可以清晰地從IMSI列表上看到周邊出現(xiàn)的手機(jī)被依次強(qiáng)制拉入。

和木馬的自毀設(shè)計(jì)一樣，既然國(guó)內(nèi)偽基站基本上都基于OpenBTS開(kāi)源項(xiàng)目，所以那些開(kāi)發(fā)的guys也都會(huì)設(shè)計(jì)平臺(tái)在指定時(shí)間或者通過(guò)預(yù)設(shè)操作，試圖在后臺(tái)銷(xiāo)毀一切已發(fā)送數(shù)據(jù)。不過(guò)明顯地，很多人都低估了現(xiàn)在的電子取證能力，下圖里是當(dāng)時(shí)鑒定組里某帥草在Ubuntu下提取的已刪除log數(shù)據(jù)，這臺(tái)偽基站里同類(lèi)文件有數(shù)萬(wàn)個(gè)。為什么要“毀尸滅跡”？當(dāng)然是銷(xiāo)毀罪證嘍，但關(guān)鍵點(diǎn)是，目前在國(guó)內(nèi)，發(fā)送條數(shù)也是量刑的重要參照依據(jù)，這下明白了吧。

0×02 基本判斷

最基本的判斷完全是基于表面化的異常情況判斷，不能說(shuō)一定是偽基站所致，但應(yīng)該引起警覺(jué)或者可以做點(diǎn)測(cè)試打消懷疑，以下判斷依據(jù)僅作參考：

1）通話中信號(hào)突然中斷。

在排除周邊信號(hào)不好或者存在信號(hào)死角之外，很可能是被偽基站強(qiáng)制“吸”走，于是信號(hào)被“切斷”。典型現(xiàn)象就是手機(jī)信號(hào)從滿格跌落到無(wú)信號(hào)，然后又快速回升。在偽基站上看到的效果參見(jiàn)上圖的IMSI列表。

2）通信網(wǎng)絡(luò)模式改變。

現(xiàn)在大家用的都是4G或者3G網(wǎng)絡(luò)，正常情況下載手機(jī)屏幕頂上右側(cè)會(huì)出現(xiàn)一個(gè)階梯狀信號(hào)格數(shù)提示，一般會(huì)顯示“4G”或“3G”，當(dāng)突然改變?yōu)椤癎SM”、“G”或者不再顯示具體網(wǎng)絡(luò)類(lèi)型時(shí)，就意味著遭遇到強(qiáng)制“降頻”，即從4G（僅舉例：1880-1900MHz）被拉到了GSM（僅舉例：890-990/935-954MHz）。

這是由于偽基站主要還是基于GSM制式，無(wú)法對(duì)4G網(wǎng)絡(luò)支持所致。當(dāng)然，對(duì)于公安技偵部門(mén)來(lái)說(shuō)，在特殊場(chǎng)合監(jiān)控時(shí)某些設(shè)備可能也會(huì)導(dǎo)致同樣效果，這里就不再解釋。好吧，若是非常幸運(yùn)遇到了CDMA制式的偽基站……當(dāng)我沒(méi)說(shuō)。

3）無(wú)法接收短信接打電話。

肯定的，一旦被偽基站“劫持”，手機(jī)的所有通信就只能與偽基站交互，由于偽基站無(wú)法與合法基站進(jìn)行鑒權(quán)等交互，所以就相當(dāng)于處于“孤島”模式，自然所有對(duì)外聯(lián)系都被中斷。這就解釋了有時(shí)候信號(hào)格數(shù)還行，但卻打不出去電話接收不到短信的原因，特別是對(duì)于一些就處于3G/4G信號(hào)薄弱的區(qū)域。

4）運(yùn)營(yíng)商信息。

在Android下，可以通過(guò)查看手機(jī)電話卡（就是SIM卡）狀態(tài)信來(lái)查詢(xún)當(dāng)前網(wǎng)絡(luò)的運(yùn)營(yíng)商相關(guān)信息，在疑似被偽基站劫持時(shí)，打開(kāi)查看便知。一般偽基站在此處的信息非常稀少，比如網(wǎng)絡(luò)名稱(chēng)標(biāo)識(shí)下“中國(guó)移動(dòng)”就會(huì)顯示為“應(yīng)急通信”，甚至有時(shí)候會(huì)放一個(gè)相似的詞，比如之前就見(jiàn)過(guò)“中國(guó)挪動(dòng)”，也不知道是不是惡搞。

5）異常LAC和CID值。

這算是以前對(duì)早期偽基站的一個(gè)判定方法，一個(gè)區(qū)域內(nèi)出現(xiàn)異常數(shù)值的LAC或者CID值。原理是偽基站一般為了減少運(yùn)營(yíng)商注意，會(huì)刻意先探查周邊的基站LAC和CID參數(shù)后，然后給偽基站設(shè)置一個(gè)絕對(duì)不會(huì)出現(xiàn)沖突或干擾的高位數(shù)值。同一個(gè)運(yùn)營(yíng)商下的基站設(shè)備肯定也要考慮這個(gè)，但正常是不會(huì)設(shè)置差距較大的數(shù)值，所以在移動(dòng)探查中，一旦出現(xiàn)一個(gè)比周邊LAC、CID值差距很大的基站，除了真正的應(yīng)急通信基地車(chē)，很可能就是偽基站。

大致就這么多，下面再看看其它的技巧。

0×03 基站定位輔助判斷

一提到基站定位，估計(jì)有人就會(huì)想到什么三角、多點(diǎn)定位法，一般而言，必須獲取到基站的三個(gè)參數(shù)（MNC、LAC、CID）才能進(jìn)行基站定位，拿到這三個(gè)參數(shù)就可以借助基站網(wǎng)站對(duì)此基站的位置進(jìn)行定位，直接地圖上顯示出基站的位置。不過(guò)這次我們是識(shí)別偽基站，并不是為了精確鎖定偽基站位置，所以還是簡(jiǎn)單粗暴點(diǎn)。

作為判斷偽基站真?zhèn)蔚募记芍?#xff0c;說(shuō)出來(lái)很簡(jiǎn)單，就是獲取下當(dāng)前疑似偽基站的LAC和CID，直接到基站數(shù)據(jù)網(wǎng)站查詢(xún)?cè)摶臼欠裾鎸?shí)存在，沒(méi)有入庫(kù)的即為偽基站：）

3.1 基站數(shù)據(jù)庫(kù)

在此之前，我們先了解下一個(gè)標(biāo)準(zhǔn)的基站數(shù)據(jù)庫(kù)應(yīng)該具備的內(nèi)容，也順便解釋下剛提到的MNC、LAC和CID。

3.2 基站定位數(shù)據(jù)查詢(xún)實(shí)例

對(duì)于玩過(guò)OsmocomBB和Airprobe的人來(lái)說(shuō)，通過(guò)對(duì)空口數(shù)據(jù)的抓包，可以很輕易地獲取到附近基站信息。

?

從上圖中提取LAC和CID值，到相關(guān)的基站查詢(xún)網(wǎng)站，輸入LAC和CID就能立刻查到該基站的具體物理位置。深圳的同學(xué)對(duì)下圖這個(gè)地址是不是很熟悉？嘿嘿，這個(gè)就是深交所附近的基站位置。

通過(guò)對(duì)請(qǐng)求數(shù)據(jù)的分析：

請(qǐng)求地址：http://v.juhe.cn/cell/get

請(qǐng)求參數(shù)：

mnc=&lac=9332&cell=3612&hex=&dtype=&callback=&key=0cd0f9b15c29099bcab50aa8b955b63b

請(qǐng)求方式：GET

返回內(nèi)容如下圖：

由上面查詢(xún)的內(nèi)容和返回的字段，再對(duì)照標(biāo)準(zhǔn)基站數(shù)據(jù)庫(kù)信息結(jié)構(gòu)就可以看出，雖然有點(diǎn)區(qū)別，但一個(gè)基本的基站數(shù)據(jù)庫(kù)具備內(nèi)容大致一樣：

MCC：移動(dòng)國(guó)家號(hào)(MCC)由三位十進(jìn)制數(shù)組成，它表明移動(dòng)用戶(hù)(或系統(tǒng))歸屬的國(guó)家

MNC：這里廠商定義為移動(dòng)基站：0，聯(lián)通基站:1。各個(gè)廠商都會(huì)進(jìn)行調(diào)整。

LAC： 為了確定移動(dòng)臺(tái)的位置，每個(gè)GSMPLMN的覆蓋區(qū)都被劃分成許多位置區(qū)，位置區(qū)碼(LAC)則用于標(biāo)識(shí)不同的位置區(qū)。

CELL：就是CELL ID，這里廠商為了方便簡(jiǎn)化為CELL。

LNG：地圖坐標(biāo)緯度

LAT：地圖坐標(biāo)經(jīng)度

O_LNG：谷歌地圖坐標(biāo)緯度

O_LAT：谷歌地圖坐標(biāo)經(jīng)度

PRECISION：精確度

ADDRESS：預(yù)設(shè)地址描述

好了，常見(jiàn)基站定位/基站數(shù)據(jù)查詢(xún)網(wǎng)站扔出來(lái)了，支持開(kāi)發(fā)接口、API什么的，總之以后別再為基站數(shù)據(jù)來(lái)煩我：

1） http://www.cellid.cn/

2） https://www.juhe.cn/d/cellmap/gsm.php

3） http://www.jizhanyun.com

3.3 更簡(jiǎn)便的獲取LAC與CID

對(duì)于稍懂通信技術(shù)的人而言，工程手機(jī)是個(gè)實(shí)時(shí)獲取基站信息的好選擇，用偽基站的都會(huì)配一個(gè)刷過(guò)的NOKIA老式手機(jī)，當(dāng)然，刷下C118也能用，不過(guò)對(duì)于現(xiàn)在人手一個(gè)的智能手機(jī)而言，也有些APP能夠更方便地獲取到LAC和CID信息，比如這款非常有名的GSM Signal Monitoring（國(guó)內(nèi)市場(chǎng)：GSM信號(hào)監(jiān)測(cè)專(zhuān)業(yè)版），支持GSM和UMTS網(wǎng)絡(luò)，能夠自動(dòng)收集并顯示周?chē)镜男^(qū)ID、LAC、信號(hào)強(qiáng)度等級(jí)的信息。其它APP用得少就不介紹了。

恩，下圖就是這款工具的日志，哈哈，能查到我的位置不？

頻點(diǎn)列表

在對(duì)基站掃頻時(shí)，正常情況下，從實(shí)用性上考慮，一個(gè)G網(wǎng)的基站至少提供3個(gè)以上的頻點(diǎn)支持（請(qǐng)不要拿偏僻基站的例子反駁，謝謝），繁華地段的基站甚至?xí)_(kāi)放7、8個(gè)以上的頻點(diǎn)，同時(shí)部署密度會(huì)增大，而每個(gè)頻點(diǎn)上的8個(gè)時(shí)隙（Slot）也會(huì)全部開(kāi)放接入。好，掃盲結(jié)束，我們直接從數(shù)據(jù)包上看看實(shí)際的頻點(diǎn)列表是封裝在GSMTAP協(xié)議中，具體是下面這樣的：

而在默認(rèn)情況下，雖然OsmocomBB可以很容易地抓取到任意頻點(diǎn)Slot0的一些數(shù)據(jù)，但是嚴(yán)重的丟包率還是使得該開(kāi)源項(xiàng)目用于實(shí)戰(zhàn)的可行性降低了很多。關(guān)于時(shí)隙的概念大家自行查資料吧，就會(huì)明白OsmocomBB里面這個(gè)最明顯的大坑是什么。

扯遠(yuǎn)了，回到我們的判斷技巧上，既然一個(gè)正規(guī)的基站應(yīng)該是提供了不少于3個(gè)頻點(diǎn)的接入，且每個(gè)頻點(diǎn)上支持8個(gè)Slot（雖然不一定每個(gè)有用）。那么技巧來(lái)了，只需要用工程手機(jī)或者掃頻軟件查驗(yàn)下當(dāng)前基站的可用頻點(diǎn)數(shù)量，并切換下不同的頻點(diǎn)，便知基站是是真假。深入點(diǎn)的還可以切換時(shí)隙Slot0~Slot7進(jìn)行抓包，就會(huì)發(fā)現(xiàn)和正規(guī)基站完全不同的情況，細(xì)節(jié)以后找機(jī)會(huì)描述。

0×04 短信中心號(hào)碼識(shí)別

基本思路是對(duì)接收到的常見(jiàn)短信/彩信進(jìn)行解析，提取短信服務(wù)中心號(hào)碼，通過(guò)對(duì)短信服務(wù)中心號(hào)碼的判斷，來(lái)識(shí)別是否為偽基站發(fā)送。各個(gè)地區(qū)都有自己的信息中心號(hào)碼，短消息是無(wú)法發(fā)送成功的。對(duì)于中國(guó)移動(dòng)，短消息中心號(hào)碼以+861380開(kāi)頭，緊接4位該號(hào)碼所在的地區(qū)碼(電話區(qū)號(hào))，比方0571(杭州)，最后一般是500。對(duì)于區(qū)號(hào)小于四位的地區(qū)，地區(qū)碼則在第四位補(bǔ)0，例如北京0100。

如下圖就是直接在Android下查看SIM卡對(duì)應(yīng)的短信中心號(hào)碼，如下右圖顯示的短信中心號(hào)碼是+8613800290500，依照定義，該號(hào)碼是陜西的短信中心號(hào)碼。

所以，在遭遇到偽基站的信號(hào)劫持后，短信中心號(hào)碼失效，無(wú)法再正常接收和發(fā)送短信，而收到的強(qiáng)制推送的垃圾、釣魚(yú)短信，也不再是通過(guò)預(yù)設(shè)的短信中心號(hào)碼。這需要很簡(jiǎn)單的一個(gè)查詢(xún)參數(shù)就能判斷是否偽基站。

0×05 基于IP判斷

在手機(jī)正常收到彩信，我們點(diǎn)擊讀取彩信內(nèi)容時(shí)，實(shí)質(zhì)上是訪問(wèn)到彩信中包含的一個(gè)IP地址。下圖是標(biāo)準(zhǔn)的基于MMSE架構(gòu)的彩信，可以看到彩信中包含的實(shí)際地址。

而能查看彩信內(nèi)容也就是訪問(wèn)該IP地址的前提，簡(jiǎn)單來(lái)說(shuō)，自然就是手機(jī)本身也持有一個(gè)已注冊(cè)的合法IP地址，這個(gè)地址可以通過(guò)讀取手機(jī)狀態(tài)信息獲得。需要說(shuō)明的是，這個(gè)IP并不是固定的，將隨著手機(jī)的重啟會(huì)更新。如下圖所示，同樣的，也能在手機(jī)的移動(dòng)夢(mèng)網(wǎng)MMS設(shè)置中看到代理網(wǎng)關(guān)的IP地址。

思路來(lái)了，只需要從IP上開(kāi)展下判斷就可以直接識(shí)別出偽基站。可以開(kāi)展的角度有IP地址段區(qū)間（192開(kāi)頭的肯定有問(wèn)題了）、IP開(kāi)放端口掃描識(shí)別等等…….自己琢磨吧。

0×06 構(gòu)造特殊短信

篇幅太長(zhǎng)了，再收縮一下。再換一個(gè)麻煩點(diǎn)的思路，該思路適用于復(fù)雜的偽基站劫持環(huán)境，比如被徹底劫持了語(yǔ)音和短信通信的場(chǎng)景。

根據(jù)短信SPEC的規(guī)定，短信分為class0，class 1，class 2 和class 3四種，具體描述如下表所示：

其中，class 0 短信是不用用戶(hù)確認(rèn)就直接顯示的短信，平常的普通短信多為class 1，會(huì)存儲(chǔ)在手機(jī)上，而SIM上的存儲(chǔ)空間是用于存儲(chǔ)class2短信的。用戶(hù)只能手動(dòng)的將手機(jī)里的短信copy到SIM上。

看到這里，明白思路了么？就是如果疑似被困在某個(gè)偽基站下，可以發(fā)送除Class1類(lèi)型之外的特殊短信確認(rèn)下，目前沒(méi)有業(yè)務(wù)架構(gòu)支撐的偽基站是無(wú)法識(shí)別這些類(lèi)型短信的，

悄悄說(shuō)聲，其實(shí)也可以利用下偽造號(hào)碼向任何手機(jī)發(fā)送短信漏洞，恩，在線漏洞庫(kù)里有很多，參考下就明白。幫人幫到底，Google用inurl參數(shù)配合關(guān)鍵字smssend也可以找到很多短信發(fā)送后臺(tái)頁(yè)面。

0×07 對(duì)業(yè)務(wù)的威脅

前年參加TSRC時(shí)就已經(jīng)在提偽基站識(shí)別，當(dāng)時(shí)TX已經(jīng)在考慮偽基站對(duì)QQ的影響，這個(gè)其實(shí)對(duì)電商業(yè)務(wù)的威脅也挺明顯，只是目前造成的危害還沒(méi)那么夸張。

威脅1：線上實(shí)時(shí)交易威脅。可能整個(gè)交互被劫持，當(dāng)然，難度很大，建議在啟動(dòng)交易前先進(jìn)行“通信環(huán)境安全檢查”，確保當(dāng)前沒(méi)有在偽基站或者疑似被監(jiān)控被劫持的通信網(wǎng)絡(luò)環(huán)境下，確保交易的順利開(kāi)展。

威脅2：虛假短信欺詐威脅。在線上交易過(guò)程中，典型的交易短信提示、驗(yàn)證碼短信提示、賬戶(hù)修改短信提示、余額不足短信提示、賬戶(hù)密碼錯(cuò)誤短信提示……等等，實(shí)在太多地方可以做手腳，當(dāng)然，這些虛假短信既可以獨(dú)立出現(xiàn)（比如附上一個(gè)釣魚(yú)網(wǎng)站），也可以配合一系列復(fù)雜的釣魚(yú)手段出現(xiàn)（比如虛假站點(diǎn)的驗(yàn)證短信，增加真實(shí)感）。從理論上而言，對(duì)一個(gè)小區(qū)2棟居民樓的大部分用戶(hù)的欺詐短信發(fā)送，總會(huì)有上鉤的。

威脅3：移動(dòng)襲擊難以鎖定。目前已經(jīng)破獲的大部分偽基站案件中，除了早期那些放到昌河面包車(chē)?yán)锏摹敖┦瑐位尽蓖?#xff0c;嫌疑人都是邊開(kāi)車(chē)邊開(kāi)動(dòng)偽基站，半小時(shí)甚至更短時(shí)間就會(huì)離開(kāi)，這樣很難第一時(shí)間鎖定來(lái)源，也就造成了欺詐事件的難以破獲。

威脅4：難以察覺(jué)的降級(jí)攻擊。一般而言，攻擊者若是為了獲得某個(gè)區(qū)域一片人群的交易數(shù)據(jù)，完全可以用干擾器故意打掉或者偽基站劫持的方式破壞掉4G及3G網(wǎng)絡(luò)，使得當(dāng)前網(wǎng)絡(luò)通信環(huán)境不得不從高速4G降級(jí)到慢速的2.5G，在無(wú)法忍受慢速的情況下，很多人就會(huì)選擇附近的商業(yè)或者免費(fèi)的WiFi熱點(diǎn)，這樣，提前部署的釣魚(yú)WiFi就可以大量收獲了……這些實(shí)現(xiàn)起來(lái)真不難。

威脅5…..略

0×08 小結(jié)

去年有機(jī)會(huì)和公安部“打擊偽基站領(lǐng)導(dǎo)辦公室”的一位負(fù)責(zé)人交流：雖然在過(guò)去兩年，公安部嚴(yán)打已經(jīng)打掉了絕大多數(shù)偽基站的上下游，但是技術(shù)一直在進(jìn)步，比如OpenLTE開(kāi)源項(xiàng)目中的一些架構(gòu)、軟件無(wú)線電的新應(yīng)用、配合OpenIMS業(yè)務(wù)架構(gòu)等等，都很可能被用于新的偽基站技術(shù)……這些技術(shù)將使得偽基站更小更強(qiáng)大，而且，低成本高性能一直是偽基站開(kāi)發(fā)者追求的目標(biāo)之一，撇去黑產(chǎn)收益方面不說(shuō)，單純從技術(shù)角度研究，還是蠻有意思的。

總結(jié)

以上是生活随笔為你收集整理的伪基站识别技巧（一）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。