此文章PDF文档下载地址:点击下载

0x00 前言

在移动互联网深入普及和物联网开始规模应用的今天,网络安全公司怎能不研究移动安全,要研究移动安全,怎能没有4G/LTE伪基站研究测试环境?

本文介绍如何利用开源项目和SDR,合法的搭建并使用便携式4G/LTE伪基站,用于实验室的安全研究,或者用于用户授权的物理渗透测试。

0x01 合法开展研究活动

根据国家无线电管理法规,我们需要先取得频率、设备和人员许可才能合法的在通信业务频段进行收发。而已经分配给运营商的频段,需要该运营商同意才能使用。因此,我们做通信实验时,通常的做法不是申请许可,而是构造一个封闭的电磁空间,即法拉第笼,在这个空间里进行无线信号的发射和接收不会影响到外部世界。

法拉第笼是由金属或金属网包围形成的一个空间,大可以到一个大房子,小可能就是一个小箱子。测试时,如果法拉第笼比较小,我们就只把发射和接收无线电信号的天线放在法拉第笼里面,其它部分仍可放在外面,内外通过馈线连接。

0x02 硬件准备

SBC:UP Board, Intel Atom x5-Z8350 四核CPU,4GB RAM,64GB eMMC

SDR:USRP B200mini + USB电缆

天线+馈线+双工器

充电宝:5V 3A(非常重要)

0x04 软件准备

1.Ubuntu 16.04 LTS

安装之后更新

sudo apt-get update

sudo apt-get upgrade

2.必备软件:Git

sudo apt-get install git

国内专享:Shadowsocks、Privoxy

sudo apt-get install privoxy python-gevent python-pip

sudo pip install shadowsocks

科学上网配置略。

0x05 安装步骤

1.eNodeB: OpenAirInterface

git clone https://gitlab.eurecom.fr/oai/openairinterface5g.git

cd openairinterface5g

git checkout develop

source oaienv

cd cmake_targets

./build_oai -I --eNB -x --install-system-files -w USRP

2.EPC: OpenAir-CN

git clone https://gitlab.eurecom.fr/oai/openair-cn.git

cd openair-cn

git checkout develop

cd scripts

./build_hss -i

./build_mme -i

./build_spgw -i

./build_hss

./build_mme

./build_spgw

0x06 配置

1.eNodeB: 

找到 ~/openairinterface5g/targets/PROJECTS/GENERIC-LTE-EPC/CONF/enb.band3.tm1.usrpb210.conf 进行如下修改,并另存为enb.band3.tm1.usrpb200.conf。
tracking_area_code  =  "";

    mobile_country_code =  "";

    mobile_network_code =  "";

    Nid_cell                          = ;

    ////////// MME parameters:

    mme_ip_address      = ( { ipv4       = "127.0.1.10";

                              ipv6       = "192:168:30::17";

                              active     = "yes";

                              preference = "ipv4";

                            }

                          );

    NETWORK_INTERFACES :

    {

        ENB_INTERFACE_NAME_FOR_S1_MME         = "lo";

        ENB_IPV4_ADDRESS_FOR_S1_MME           = "127.0.1.2/8";

        ENB_INTERFACE_NAME_FOR_S1U            = "lo";

        ENB_IPV4_ADDRESS_FOR_S1U              = "127.0.6.2/8";

        ENB_PORT_FOR_S1U                      = ; # Spec

    };

2.EPC:

修改hosts文件和hostname,然后重新启动。

sudo gedit /etc/hosts

127.0.0.1   localhost

127.0.1.1   mini.openair4G.eur mini

127.0.33.1  hss.openair4G.eur hss

sudo gedit /etc/hostname

mini

复制EPC配置文件:

sudo mkdir -p /usr/local/etc/oai/freeDiameter

sudo cp ~/openair-cn/etc/mme.conf /usr/local/etc/oai

sudo cp ~/openair-cn/etc/hss.conf /usr/local/etc/oai

sudo cp ~/openair-cn/etc/spgw.conf /usr/local/etc/oai

sudo cp ~/openair-cn/etc/acl.conf /usr/local/etc/oai/freeDiameter

sudo cp ~/openair-cn/etc/mme_fd.conf /usr/local/etc/oai/freeDiameter

sudo cp ~/openair-cn/etc/hss_fd.conf /usr/local/etc/oai/freeDiameter

编辑hss.conf

## MySQL mandatory options

MYSQL_server = "127.0.0.1";

MYSQL_user   = "root";

MYSQL_pass   = "linux";

MYSQL_db     = "oai_db";

编辑mme.conf

REALM = "openair4G.eur";

    S6A :

    {

        S6A_CONF                   = "/usr/local/etc/oai/freeDiameter/mme_fd.conf"; # YOUR MME freeDiameter config file path

        HSS_HOSTNAME               = "hss";                                         # THE HSS HOSTNAME

    };

GUMMEI_LIST = (

        {MCC="" ; MNC=""; MME_GID="" ; MME_CODE=""; }                   # YOUR GUMMEI CONFIG HERE

     );

TAI_LIST = (

{MCC="" ; MNC="";  TAC = ""; }                              # YOUR PLMN CONFIG HERE

);

   NETWORK_INTERFACES :

    {

        # MME binded interface for S1-C or S1-MME  communication (S1AP), can be ethernet interface, virtual ethernet interface, we don't advise wireless interfaces

        MME_INTERFACE_NAME_FOR_S1_MME         = "lo";                        # YOUR NETWORK CONFIG HERE

        MME_IPV4_ADDRESS_FOR_S1_MME           = "127.0.1.10/8";            # YOUR NETWORK CONFIG HERE

        # MME binded interface for S11 communication (GTPV2-C)

        MME_INTERFACE_NAME_FOR_S11_MME        = "lo";                          # YOUR NETWORK CONFIG HERE

        MME_IPV4_ADDRESS_FOR_S11_MME          = "127.0.8.11/8";                # YOUR NETWORK CONFIG HERE

        MME_PORT_FOR_S11_MME                  = ;                          # YOUR NETWORK CONFIG HERE

    };

S-GW :

{

    # S-GW binded interface for S11 communication (GTPV2-C), if none selected the ITTI message interface is used

    SGW_IPV4_ADDRESS_FOR_S11                = "127.0.8.1/8";            # YOUR NETWORK CONFIG HERE

};

编辑spgw.conf

S-GW :

{

    NETWORK_INTERFACES :

    {

        # S-GW binded interface for S11 communication (GTPV2-C), if none selected the ITTI message interface is used

        SGW_INTERFACE_NAME_FOR_S11              = "lo";                    # YOUR NETWORK CONFIG HERE

        SGW_IPV4_ADDRESS_FOR_S11                = "127.0.8.1/8";            # YOUR NETWORK CONFIG HERE

        # S-GW binded interface for S1-U communication (GTPV1-U) can be ethernet interface, virtual ethernet interface, we don't advise wireless interfaces

        SGW_INTERFACE_NAME_FOR_S1U_S12_S4_UP    = "lo";                       # YOUR NETWORK CONFIG HERE, USE "lo" if S-GW run on eNB host

        SGW_IPV4_ADDRESS_FOR_S1U_S12_S4_UP      = "127.0.6.1/8";           # YOUR NETWORK CONFIG HERE

        SGW_IPV4_PORT_FOR_S1U_S12_S4_UP         = ;                         # PREFER NOT CHANGE UNLESS YOU KNOW WHAT YOU ARE DOING

        # S-GW binded interface for S5 or S8 communication, not implemented, so leave it to none

        SGW_INTERFACE_NAME_FOR_S5_S8_UP         = "none";                       # DO NOT CHANGE (NOT IMPLEMENTED YET)

        SGW_IPV4_ADDRESS_FOR_S5_S8_UP           = "0.0.0.0/24";                 # DO NOT CHANGE (NOT IMPLEMENTED YET)

    };

...

}

P-GW =

{

    NETWORK_INTERFACES :

    {

        # P-GW binded interface for S5 or S8 communication, not implemented, so leave it to none

        PGW_INTERFACE_NAME_FOR_S5_S8          = "none";                         # DO NOT CHANGE (NOT IMPLEMENTED YET)

        PGW_IPV4_ADDRESS_FOR_S5_S8            = "0.0.0.0/24";                   # DO NOT CHANGE (NOT IMPLEMENTED YET)

        # P-GW binded interface for SGI (egress/ingress internet traffic)

        PGW_INTERFACE_NAME_FOR_SGI            = "eth0";                         # YOUR NETWORK CONFIG HERE

        PGW_IPV4_ADDRESS_FOR_SGI              = "192.168.12.82/24";             # YOUR NETWORK CONFIG HERE

        PGW_MASQUERADE_SGI                    = "yes";                          # YOUR NETWORK CONFIG HERE

    };

...

   # DNS address communicated to UEs

    DEFAULT_DNS_IPV4_ADDRESS     = "192.168.106.12";                            # YOUR NETWORK CONFIG HERE

    DEFAULT_DNS_SEC_IPV4_ADDRESS = "192.168.12.100";                            # YOUR NETWORK CONFIG HERE

...

}

编辑HSS freediameter配置文件 (/usr/local/etc/oai/freeDiameter/hss_fd.conf):

Identity = "hss.openair4G.eur";

Realm = "openair4G.eur";

编辑MME freediameter配置文件 (/usr/local/etc/oai/freeDiameter/mme_fd.conf):

Identity = "mini.openair4G.eur";

Realm = "openair4G.eur";

ConnectPeer= "hss.openair4G.eur" { ConnectTo = "127.0.33.1"; No_SCTP ; No_IPv6; Prefer_TCP; No_TLS; port = ;  realm = "openair4G.eur";};

0x07 运行

安装证书:

cd ~/openair-cn/scripts

./check_hss_s6a_certificate /usr/local/etc/oai/freeDiameter/ hss.openair4G.eur

./check_mme_s6a_certificate /usr/local/etc/oai/freeDiameter/ mini.openair4G.eur

首次运行HSS:

cd ~/openair-cn/scripts

./run_hss -i ~/openair-cn/src/oai_hss/db/oai_db.sql

之后每次运行HSS:

cd ~/openair-cn/scripts

./run_hss

运行MME:

cd ~/openair-cn/scripts

./run_mme

安全测试通常不需要运行SP-GW。

运行eNB:

cd ~/openairinterface5g

source oaienv

cd cmake_targets/lte_build_oai/build

sudo -E ./lte-softmodem -O $OPENAIR_DIR/targets/PROJECTS/GENERIC-LTE-EPC/CONF/enb.band3.tm1.usrpb200.conf

0x08 高级玩法

1.对TD-LTE的支持

  OAI本身支持TD-LTE。但是因为TD系统全网收发同步的要求,伪基站要正常工作,就必须与运营商现网同步。OAI已含有部分通过空中接口信号实现TD同步的代码,需要进一步修改才能完成与现网同步。

2.精简代码

  如果我们只做网络安全研究,不做通信研究,就不需要完整的EPC。大部分公司只是研究空口的DoS攻击和RRC重定向攻击,每次只有少量固定格式的网络报文从MME返回,因此可以修改代码,直接返回我们想要的报文,或者执行我们想要的逻辑,就可以精简掉EPC,只运行lte-softmodem一个进程就好了。

3.连接运营商核心网

  如果能从运营商核心网获得安全认证四元组:Kasme、AUTN、RAND、XRES,就能通过双向鉴权,让LTE手机相信我们的基站是真基站。这需要修改MME的代码和freeDiameter的配置来实现。

4.同一硬件集成LTE+GSM伪基站

5.架设自己的测试网

如果你对某一种高级玩法感兴趣,并且知道大体怎么实现,欢迎找我组队,可以一起做点有意思的(开源)通信安全项目,Seeker老师的微信:70772177。

0x09 结束语

在万物互联时代,了解LTE可用性和安全性的边界,事关我们每个人的人身安全和数据安全。

不管你是在开发无人驾驶汽车、医疗设备、智能电表,还是普通的移动应用,过于相信运营商网络的可用性和安全性都会带来安全威胁。不只是网络安全公司需要研究无线通信的安全,产品开发者同样需要。

如何搭建并使用便携式 4G/LTE 伪基站研究移动安全的更多相关文章

  1. 使用GnuRadio+OpenLTE+SDR搭建4G LTE基站(上)

    0×00 前言 在移动互联网大规模发展的背景下,智能手机的普及和各种互联网应用的流行,致使对无线网络的需求呈几何级增长,导致移动运营商之间的竞争愈发激烈.但由于资费下调等各种因素影响,运营商从用户获得 ...

  2. 双4G LTE

    我们即将上市的Xplay3S将支持双4G LTE(TDD-LTE+FDD-LTE),那什么是4G LTE呢,今天来给大家科普下4G LTE网络知识. 什么是TDD-LTE/FDD-LTE? LTE是通 ...

  3. 深入浅出谈4G ─ 4G LTE网速到底有多快?

    常说4G网速能达100MHz,实际感受远远没有这么快.今天和大家一起算算帐,算算4G LTE网速到底有多快. 基本概念1:资源粒子 个资源粒子就是用个子载波传送个OFDM符号. 1个子载波的带宽是15 ...

  4. 最快下载速度100Mbps!4G LTE技术全解析

    1导读,关于4G的几个关键概念 [PConline资讯]100Mbps下载速度是什么概念?比3G网速快50倍又是什么概念?比3G通信方式更灵活.通信频谱更宽绰.通信质量更高效.通信费用更便宜是怎样一个 ...

  5. 4G LTE 网只能提供数据服务,不能承载语音通话,该怎么理解?

    转:http://www.qbiao.com/16776.html 这个问题要从移动核心网的角度来理解.我们平时说的WCDMA.TD-SCDMA.TD-LTE其实通常指空口技术,即从手机到基站的通信技 ...

  6. 撑持4G LTE网络 OPPO R1S或在美出售

    据外媒报导,OPPO R1S踪影近来出如今美国FCC官网上, 将撑持除T-Mobile之外其他运营商的LTE 4G网络.假如音讯事实,外型简洁美丽OPPO R1S将登入北美商场. 音讯称尽管当前还不晓 ...

  7. 如何利用 LTE/4G 伪基站+GSM 中间人攻击攻破所有短信验证

    这次公开课请来的嘉宾对自己的简介是: 连续创业失败的创业导师:伪天使投资人:某非知名私立大学创办人兼校长:业余时间在本校通信安全实验室打杂. 自从他在黑客大会上演讲<伪基站高级利用技术——彻底攻 ...

  8. 全网通4G工业路由器模块和串口转网口/4G/有线/WiFi/LTE模块的实现原理

    随着现在信息化的高速发展,网络信息的需求量大增,在移动的4G流量的场合比如汽车上实现WiFi网络覆盖,户外wifi网络覆盖需求下,4G流量已经明显不够用,而网线到达的成本比较大,难以管控.在这市场痛点 ...

  9. 黑客炼金术士 Seeker:可以攻破 4G 摸到你短信,还要为朝阳群众提供谍战工具

    在北京上地的一家咖啡馆里,我在等待黑客 Seeker 的到来. 我对黑客 Seeker 颇有期待.他曾在黑客大会 KCon 上演讲<伪基站高级利用技术——彻底攻破短信验证码>,介绍利用 L ...

随机推荐

  1. 复习-css常用伪类别属性

    css常用伪类别属性 对<a>标签可制动态效果的css a:link:超链接的普通样式 a:visited:被点击过的超链接样式 a:hover:鼠标指针经过超链接上时的样式 a:acti ...

  2. 『Numpy』np.meshgrid

    生成网格坐标,一个很好的说明图如下: 虽然xy双坐标比较常用,但实际上其输入可以是任意多的数组,输出数组数目等于输出数组数目,且彼此间shape一致. 如果输入数组不是一维的,会拉伸为1维进行计算. ...

  3. SQL Server 2012安装时报错,错误 0x80070422怎么解决?解决方法。

    步骤一: Win+R打开运行窗口,输入services.msc 打开服务窗口 步骤二: 找到并启用"Windows Update" 成功进入下一步!

  4. Docker Swarm 服务版本更新与回滚

    Docker Swarm 服务版本更新 环境: 系统:Centos 7.4 x64 应用版本:Docker 18.09.0 管理节点:192.168.1.79 工作节点:192.168.1.78 工作 ...

  5. 剑指offer(3)从尾到头打印链表

    题目描述 输入一个链表,从尾到头打印链表每个节点的值. 题目分析 比较简单,主要注意下从尾到头,可以用栈可以用递归,我给出我比较喜欢的代码吧 代码 /* function ListNode(x){ t ...

  6. 复旦高等代数 I(17级)每周一题

    本学期将继续进行高等代数每周一题的活动.计划从第二教学周开始,到第十六教学周为止(根据法定节假日安排,中间个别周会适当地停止),每周的周末将公布1-2道思考题,供大家思考和解答.每周一题通过“谢启鸿高 ...

  7. 第十届蓝桥杯2019年C/C++ 大学A组省赛试题

    2019年蓝桥杯第十届软件类省赛 C/C++ 大 学 A 组 试题 A: 平方和 本题总分:5 分 [问题描述] 小明对数位中含有 2.0.1.9 的数字很感兴趣,在 1 到 40 中这样的数包括 1 ...

  8. IDEA中静态资源无法找到的原因

    IDEA中静态资源无法找到, 原因1:同名的文件但是在不同的包里. 原因2:IDEA重启,web清空缓存. 原因3:错误的文件及路径. 原因4:其他原因排除后,可使用绝招重启试试.

  9. 【Git】vs code+git 不使用ssh的链接remote server的方式

    git config --global user.name "dennis wu" git config --global user.email "email" ...

  10. Vue:(五)axios

    Axios是一个基于 promise 的 HTTP 库,可以用在浏览器和 node.js 中.axios主要是用于向后台发起请求的,还有在请求中做更多可控功能.官方不再维护vue-resource,推 ...