GNU Radio无线通信嗅探基础

文章内容简介

---

1.使用哪些grc模块完成我们的嗅探工作

2.如何选择参数以获取最完美的波形

3.如何从波形还原回数据

我接下来会使用电视棒（RTL-SDR）嗅探一个固定码遥控锁开发组件。

我使用如下的grc流图

模块选择与参数设定

---

首先，rtlsdr_source中封装有电视棒的底层驱动，可以用它来获取原始的数据信号。

samp_rate表示采样率，由于软件无线电使用的是带通采样定理，根据定理，我们的采样率应该为所需采样信号的2倍，这样才能保证信号不失真，使用大的采样率固然有好处，但是会带来巨大的内存和运算消耗。

下面两项分别是频率和频率误差，frequency中填写需要获取信号的中心频率。由于sdr设备，尤其是电视棒的精度并不高，频率选择会有误差，Freq_corr用来修正误差，我没有更高精度的设备来确定这个值，所以写0。

还有其他一些参数，其中DC offset，IQ Balance  Mode选择自动（Automatic）即可。主要说一下Gain Mode ，RF Gain， IF Gain 和BB Gain 他们用来调整增益，如果不设置增益，信号的强度会很低，处理很麻烦，如果增益过大，信号在噪音中会很难识别出来。一般来说，Gain Mode 填自动即可。

上图是低通滤波器的配置参数，采样率和rtl-sdr source保持一致，cutoff Freq填写一个信号的大概宽度。我们可以先使用gqrx来确定一下。

我们可以看到一个尖峰，就是信号的位置，对应的瀑布图为红色，表示能量较高。由手册可知，这个模块使用ASK调制，信号范围比较窄，载根据上面的图，我们把截止频率设置为10KHz，就可以把大部分的信号截取下来。transition width为过度带宽，根据博客《利用GRC进行安全研究和审计 – 将无线电信号转换为数据包》的介绍，这个值应该选为信道带宽的百分之40到50，由于这个遥控器只会在一个位置发射，且ASK的信号范围很窄，所以我填了5KHz，它的选择是一个根据实际情况不断试错改正的过程。

接下来，我使用Complex to Mag对信号进行解调，去除载波。一般来说，发射的调制有调幅，调频和调相三种，分别使用能量大小的变化，频率的变化和波相位的变化表示数据，我们先来看看没解调之前的原始无线电信号是什么样的。

我们可以使用scope sink这个模块观察，但是由于计算机性能的问题，波形有很明显的延时和卡顿，所以我使用file_sink把它采集成一个文件，之后使用Audacity进行观察。

使用图：

可以看到波形（注：没使用自动增益，RF，IF，BB增益各为30，对比请向下看）

Complex to Mag解调之后，会把能量大致为0解为低电平，能量不为0解成高电平，如下图所示。

大家可能会注意到，每一段的前几个峰值好像比较高，这是因为我们rtlsdr_source中Gain Mode设置为了自动，没有信号的时候，增益会比较大，以便获取信号，发现信号之后，会调整增益到合适的区间。在原始信号的波形中就没出现这种情况。推荐使用自动增益，这不会干扰后面的数据获取，手动增益有局限性，需要根据距离和发射强度调节，很麻烦。

之后我们使用Threshold进行脉冲信号的整理，

小于0.2，为0，大一0.5，为一，处理之后波形如下。

我们提取到了基带信号。无论是继续深入解出数字信息，还是进行重放攻击，获取基带信号都是非常大的帮助。只录取原始信号进行重放，无论是信号的强度还是质量都很差，而通过基带信号调制之后再发送，整体信号是可控的，效果会好很多，距离也会增加，也可以导入其他更小巧的设备。

我们接下来还原数字信息

---

这点一定要注意，不要主观臆断的认为高电平就是1，低电平就是0，数字通信中，基带信号也有很多种表示方法，甚至有的是不能经过Threshold处理（例如双极性归零波形），此时，最正确的方法是阅读芯片手册。

接收器上使用的芯片有两个，分别是LM358和PT2272，LM358是集成运放芯片，主要为信号的放大，对我们没有意义，PT2272是我们要关注的。PT2272详细信息不再赘述，我只说重点：

使用ASK调制（这点从遥控器的说明书我已经知道了）

发出的编码信号由：地址码、数据码、同步码组成一个完整的码字

而信道编码的定义如下：

也就是说，a为时钟周期，4a高+12a低+4a高表示bit“0”,12a高+4a低+12a高表示bit“1”,4a高+12a低+12a高表示bit“f”，f只在地址码中使用。

这是每一帧的结构，也就是说，默认情况下，9个地址码，3个数据码，一个脉冲作为截断，一个帧携带3bit数据，应该有12*2+1也就是25个脉冲。

我们随意取出一帧波形，是遥控器上按“C”的时候发出的

可以解出，数据为“FFFFFFFF0010”，（最后的脉冲是一个隔断）也就是，数据为“010”。

一些杂七杂八的事情

---

1.grc图集合了集中不同的GUI库，可以自行选择，但是只能选一个，如果发现无法运行，看看图形库的选择是否和模块对应。

2.解调方法我只介绍了ASK，其他请参阅《利用GRC进行安全研究和审计 – 将无线电信号转换为数据包》这篇文章，实战推荐参阅阿里巴巴谢君前辈的《如何远程控制别人的无线鼠标：深度揭露mouseJack内幕 》

3.大家可能感觉这种方式很麻烦，属实很麻烦，发射的时候更麻烦，使用专用芯片无论是从成本上还是复杂度上都很又是，推荐使用Arduino设备驱动芯片进行发射，Arduino就像是硬件届的Python，功能十分强大，编程也比较简单。SDR设备主要可以用来对复杂通讯的嗅探和发射（比如横行的伪基站就是SDR），当然，基础也是很关键的。

4.涉及很多通信的知识，我是学渣，有写错或者理解错的希望前辈留言勘误。

5.挖个坑，争取有时间写一篇使用Arduino进行嗅探的文章。

发表于安全客http://bobao.360.cn/learning/detail/3324.html