На главную страницу сайта
· Наш магазин · Объявления · Рейтинг · Статьи · Частоты · Копилка · Аэродромы · Live!
· Файлы · Диапазоны · Сигналы · Музей · Mods · LPD-форум · Клуб · Радиостанции
На сайте: гостей - 63,
участников - 3 [ R1AIT, Барабашка_Азимут_, Voevoda]
 · Начало · Опросы · События · Статистика · Поиск · Регистрация · Правила · FAQ · Галерея ·
 Форум —› Радиотехническая безопасность —› Прослушивание и переадресация звонков в GSM сетях 
Новая линейка радиостанций Hytera в нашем магазине


Hytera TC-320
руб.

Hytera TC-508
руб.

Hytera TC-580
руб.

Hytera PD-355
руб.

Hytera X1E
руб.
 Страница:  ««  1  2  3  4  5  6  7  8  9  »»Поиск в теме
Автор Сообщение
барСук
Участник
Offline1.5
с дек 2009
Москва
Сообщений: 219

Дата: 30 Апр 2011 02:13:09 · Поправил: барСук (30 Апр 2011 07:46:56) #  

микроавтобус со спецтехникой и целыми двумя специалистами... - кто-то должен рулить, кто-то охранять... ну и реализовать полученную инфо иногда бывает надо оччень срочно! (продолжая в то же время поиск новой). Времена одиночек в нашем деле прошли!.. А что касаемо творческой фантазии журналиста относительно начинки фургона, так наверняка, без нее в обсуждаемом сообщении не обошлось;)
Fath
Участник
Offline3.4
с мая 2007
Ярославль
Сообщений: 2320

Дата: 30 Апр 2011 08:46:25 #  

барСук
подмена базовой станции? или за "сортирниками" охотились?
Комплекс перехвата GSM, скорее всего, что ни будь типа "GSM-interceptor". Не думаю, что они там сугубо местный DECT слушали.
Реклама
Google
барСук
Участник
Offline1.5
с дек 2009
Москва
Сообщений: 219

Дата: 30 Апр 2011 09:29:08 · Поправил: барСук (30 Апр 2011 09:29:55) #  

они там сугубо местный DECT слушали + аналоговые "сортирники" и 9ХХ МГц, беспечно используемые офисным планктоном. И не только офисным... Когда я служил в маленькой психиатрической больничке (ул.Житная, 16), у нас вовсю пользовались "конфискованным крыжовником" - теми же "панасами" 30МГц. И когда кто-то из моих коллег позволил себе заметить, что рядом посольство Франции квартирует, нынешний ИО начальника Управления "К" махнул рукой: - "А-а, перестаньте!"
Страна непуганных идиотов!
Викиликс, конечно, не только из подобных источников пополнял свою коллекцию, но всё-же...
----------------------------------
"...Дела давно минувших дней, преданья старины глубокой" (С)АС Пушкин
Fath
Участник
Offline3.4
с мая 2007
Ярославль
Сообщений: 2320

Дата: 30 Апр 2011 10:06:30 #  

барСук
аналоговые "сортирники" и 9ХХ МГц
Вероятно. Но таких уже совсем мало осталось.
барСук
Участник
Offline1.5
с дек 2009
Москва
Сообщений: 219

Дата: 01 Май 2011 01:01:55 #  

таких уже совсем мало осталось
пока еще живут и здравствуют! Хотя предыдущий мой пост - экскурс в историю более чем 10летней давности.
Интересное применение завалявшемуся сортирнику нашел Sergey4565: включил базу на постоянную ретрансляцию FM вещалки для экспериментов по дальности приема (F=904.5375МГц) где-то в ЮАО Мск. Я его уверенно принимал в Чертанове (сейчас, правда, сигнала нет).
Shadovv13
Участник
Offline1.1
с янв 2011
Украина
Сообщений: 46

Дата: 03 Май 2011 01:25:45 #  

Прослушка возможна!!!

Года 3-4 назад, я интересовался анализом ЖСМ и перерыл множество сайтов, собирая разные обрывки схем и документов. В результате родилась такая идея!!!! (ДЛЯ АНАЛИЗА ;))



При старте в радиусе 20-30 метров ищем тел., глушим таймслот от БС к телу.
Выступаем в роли БС, принимаем запрос на Авторизацию; Запрашиваем Авторизацию от БС по видом Тела жертвы.
Ответ от БС перенаправляем Телую. Таким образом мы будем выступать в роли ШЛЮЗА, и сможем управлять соединениям и получать весь трафик.

Так как разговор будет зашифрован (А5/1 А5/2), его надо просто записать на ПК. А потом с помощью програм и грубой силы расшифровать.



P.S. Не пинать :)) Проект не реализован по причине недостающей инфы!!!
Fath
Участник
Offline3.4
с мая 2007
Ярославль
Сообщений: 2320

Дата: 03 Май 2011 07:59:07 #  

Shadovv13
Ну вообще примерно так и работают активные комплексы перехвата.
Ангстрем
Участник
Offline6.2
с сен 2005
127.0.0.1
Сообщений: 9128

Дата: 03 Май 2011 09:33:36 #  

Fath
Ну вообще примерно так
Ну вообще-то нет.
Fath
Участник
Offline3.4
с мая 2007
Ярославль
Сообщений: 2320

Дата: 03 Май 2011 10:34:47 · Поправил: Fath (03 Май 2011 11:13:47) #  

Ангстрем
Ну вообще-то нет.
Ну почему же. Не очень корректно я конечно выразился, правильней будет - некоторые работают и так. Во истину активные комплексы работают просто как виртуальная базовая станция, которая "перетягивает" на себя мобылку. Комплексы работающие по такой схеме скорее можно отнести к пассивным, так как сугубо для перехвата можно не заморачиваться с глушением таймслотов, а просто вполне себе пассивно принимать сигнал. Ну а посредством таких вот заморочек можно например заглушить в нужный момент отдельно взятый телефон, только с этой точки зрения такой комплекс будет активным.
Shadovv13
Участник
Offline1.1
с янв 2011
Украина
Сообщений: 46

Дата: 03 Май 2011 14:39:54 #  

Да!! Хотя бы пассивный соорудить, посмотреть что и где! Но инфы всеравно нету!!!
Fath
Участник
Offline3.4
с мая 2007
Ярославль
Сообщений: 2320

Дата: 03 Май 2011 15:04:00 #  

Shadovv13
Да есть тут ссылки, посмотрите по соответствующим темам.

В схеме порадовало слово "авторежыма". :-))
Shadovv13
Участник
Offline1.1
с янв 2011
Украина
Сообщений: 46

Дата: 03 Май 2011 15:43:07 #  

Имелось виду, удержание связи в моменты частотных прыжков, коррекции и подстройки частоты!!! :)

Нету ничего существенного, Так рекомендации. А надо биты, байты!! :(
Например как тел ищет БС, свободный канал/слот, регистрация и авторизация.

Вот нету хххххх!
Ангстрем
Участник
Offline6.2
с сен 2005
127.0.0.1
Сообщений: 9128

Дата: 03 Май 2011 15:47:30 #  

Shadovv13
Если бы всё было так просто:)
Shadovv13
Участник
Offline1.1
с янв 2011
Украина
Сообщений: 46

Дата: 03 Май 2011 15:52:41 #  

АГА! :))
077
Участник
Offline3.3
с апр 2008
Шамбала
Сообщений: 2967

Дата: 03 Май 2011 22:21:39 #  

При старте в радиусе 20-30 метров ищем тел., глушим таймслот от БС к телу.
Чудесно. И как мы ищем этот телефон? По какому TMSI? И что же будет делать MS без TS?

Сами висим (судя по схеме) на той же частоте, которую и давим.. Охренительно.

Выступаем в роли БС, принимаем запрос на Авторизацию;
Для начала нужно организовать полностьтью всю эмуляцию работы BTS - и AGСH, и CCH, и TFCH и так далее.
Кроме этого, нужно быть уверенным, что ...


Ну давайте начнём с начала.
Во-первых, в GSM-900 (не говоря уже о GSM-1800 и тем более, о EGSM) 124 канала. Это на регион. А в регионе может быть до трёх операторов GSM на диапазон.
Вопросы:

1. Какому оператору принадлежит MS?
2. Какого именно ОПСОСА Вы планируете эмулировать?
3. Какие у него диапазоны частот?
4. Где гарантия, что MS висит, к примеру, на 900, а не на 1800 или на EGSM, или 3G ?
5. Какие в этом месте BCCH (CCCH, DCCH и т.д.) ?
6. Какой у вашего подопечного TMSI в данный момент?

Запрашиваем Авторизацию от БС по видом Тела жертвы.
Допустим, пройдёт по IMSI.
А Ki его тоже известен?

Так как разговор будет зашифрован (А5/1 А5/2), его надо просто записать на ПК. А потом с помощью програм и грубой силы расшифровать.
Всего-то..


Может, хоть по паре пунктов поясните?
У нас тут народ собрался, гадают все..
Mesh
Участник
Offline4.0
с мая 2006
Сообщений: 6169

Дата: 03 Май 2011 22:27:36 #  

Никого обидеть не хочу, но первая реакция на рисульки, ну да, классно нарисовано, дальше то что? Чего оно ради работать будет? Но потом узрел Не пинать :)) Проект не реализован по причине недостающей инфы!!! То бишь он и не будет реализован никогда, так как кроме инфы ещё и бабла потребует, и исследований, и разочарований и всё такое. Ну а это проекту не грозит, посему и ладно, пусть будет как красивая мечта. :)
Shadovv13
Участник
Offline1.1
с янв 2011
Украина
Сообщений: 46

Дата: 03 Май 2011 23:08:04 #  

Да просто ищем по порядку возрастания каналов и проверки тайм слотов на присутствие данных, при передачи от ТЕЛ. к БС.
И По*** какой оператор диапазон частот один для всех! (ДЛЯ ЖСМ 900 - 124 канала).
Разработка велась ТОЛЬКО для ЖСМ 900.
На 5 вопрос ответа не дам 8(.
ИМСИ проверяем во время регистрации ТЕЛа в нашей БС. Кстати получить номер ИМСИ по номеру тела легко(потом выложу прогу).
А получать Ки ключ нам и не надо (хотя было бы неплохо, сразу замутить клон симки).

Насчет реализации проекта, загвоздка в ИНФОРМАЦИИ какую усердна скрывают. Материальная база в нашы дни велика(например старые мобилы, МК, ПЛИС конец концов на 400мгц).


P.S. Дайте мне точку опоры, и переверну мир!!!
Mesh
Участник
Offline4.0
с мая 2006
Сообщений: 6169

Дата: 03 Май 2011 23:11:07 #  

Shadovv13 Дайте мне точку опоры, и переверну мир!!! Ключевое слово дайте. :-) Дайте мне бабла и не токмо мир, вселенную переверну, тока бабла ну уж очень много нужно будет. :) Шутка, не заморачивайтесь. Дерзайте.
Shadovv13
Участник
Offline1.1
с янв 2011
Украина
Сообщений: 46

Дата: 03 Май 2011 23:15:39 #  

ДАЙТЕ ИНФУ!!!! ХОТЬ НА ЕВРИТЕ!!!!

И БАБЛА НЕНАДО!!!!!
Ангстрем
Участник
Offline6.2
с сен 2005
127.0.0.1
Сообщений: 9128

Дата: 04 Май 2011 01:57:43 #  

Shadovv13
Не будет инфы. Все забыли, никто не знает...
Fath
Участник
Offline3.4
с мая 2007
Ярославль
Сообщений: 2320

Дата: 04 Май 2011 08:03:21 #  

Shadovv13
ДАЙТЕ ИНФУ!!!! ХОТЬ НА ЕВРИТЕ!!!!
Вообще-то инфа вся есть, только читайте. Описание стандарта, форматы кадра, всё есть в "открытой печати".
077
Участник
Offline3.3
с апр 2008
Шамбала
Сообщений: 2967

Дата: 04 Май 2011 11:02:24 #  

ИМСИ проверяем во время регистрации ТЕЛа в нашей БС.
MS не регистрируется на BTS. MS регистрируется в MSC VLR, а аутентифицируется в HLR AuC.
А в BTS он попадает по хэндоверу. Или при очередной смене LA с выполнением LU.
Но и тут никакой регистрации на BTS не происходит.

Да и вообще-то, используется TMSI, записанный в MS и в VLR по последнему апдейту.
Вот если в VLR обнулили запись после отсутствия радиоконтакта в течение таймаута на 25 часов (или сколько выставит оператор), тогда по IMSI и пройдёт (если разрешено). Но в BSC, а не на BTS.

Кстати получить номер ИМСИ по номеру тела легко(потом выложу прогу).
Ёшкин кот.. Вона оно чё, Михалыч!
А "Номер тела" - это MSISDN или IMEI ? (хотя, в данном случае непринципиально: что так чушь, что эдак)

Чё-то у Вас смешались в кучу кони/люди. Давайте разложим по полочкам. Хотя бы не побайтно/побитово, а в общих, т.с., чертах. А то пока что всё как-то очень глупо выглядит в Вашей схеме. даже если делать поправку на "отсуствие информации".
Fath
Участник
Offline3.4
с мая 2007
Ярославль
Сообщений: 2320

Дата: 04 Май 2011 13:27:26 · Поправил: Fath (04 Май 2011 13:28:56) #  

Shadovv13
Вот это вот читаните: Т-204, Т-205, Т-206, "Эльбрус" и т.д.? - Страница 3
там мы достаточно подробно обсуждали IMSI, TMSI и иже с ними.
askaev
Участник
Offline3.4
с окт 2005
Каменск-Шахтинский
Сообщений: 397

Дата: 04 Май 2011 15:03:22 · Поправил: askaev (04 Май 2011 15:04:13) #  

И По*** какой оператор диапазон частот один для всех! (ДЛЯ ЖСМ 900 - 124 канала).
Разработка велась ТОЛЬКО для ЖСМ 900.


вроде как в городе стараются работать на 1800, а на 900 -- за городом...

кстати, по поводу этих схем: на псевдобазе надо просто использовать 2 радиоканала - по 1му работать с трубкой, по 2му - с базой. Либо по одному радиоканалу, но в 2х тайм-слотах. Единственно что, не получится давить поток БС, т.к его должна псевдоБС слушать. Тогда вопрос: как застаить трубку пересесть с БС на псевдоБС? Наверно трубка сможет пересесть лишь если от БС будет настолько слабый сигнал (а от псевдоБС сильный), что трубка примет решение поискать более сильный сигнал.
А если работь по одному радиоканалу в разных тайм-слотах, то не будет ли наш сигнал мешаться с другим от тругой трубки в этом-же тайм-слоте? Наверно будет. тогда лучше в разных радиоканалах, при чём 2й радиоканал (от псевдоБС) не должен в данном месте исп-ся прочими БС. Тогда получается, что б псевдоБС брала сигнал с одного радиоканала (все тайм-слоты) и транслировала их на другой (свободный) радиоканал. А дальше... нужно в псебдобазе влазить в конкретный тайм-слот, и брать от туда нужные данные, обрабатывать, изменять их и обатно в этот тайм-слот выпуливать на выход по другому р/каналу... Таким образом можно делать подмену данных на лету. Вопрос в другом: а есть ли такое железо, которое без существенных для GSM задержек со всем этим справится?
Shadovv13
Участник
Offline1.1
с янв 2011
Украина
Сообщений: 46

Дата: 04 Май 2011 17:12:36 #  

Вообще-то инфа вся есть, только читайте. Описание стандарта, форматы кадра, всё есть в "открытой печати".

Ну так укажите на название.
Shadovv13
Участник
Offline1.1
с янв 2011
Украина
Сообщений: 46

Дата: 04 Май 2011 17:15:07 #  

MS не регистрируется на BTS. MS регистрируется в MSC VLR, а аутентифицируется в HLR AuC.
А в BTS он попадает по хэндоверу. Или при очередной смене LA с выполнением LU.
А в BTS он попадает по хэндоверу. Или при очередной смене LA с выполнением LU.
Но и тут никакой регистрации на BTS не происходит.
не происходит.


Та блин пофиг! Хоть в Байконур, все равно через БТС...
Shadovv13
Участник
Offline1.1
с янв 2011
Украина
Сообщений: 46

Дата: 04 Май 2011 17:19:08 · Поправил: Shadovv13 (04 Май 2011 17:19:43) #  

И сразу столько скептиков, как войну выиграли? 8(
Подключи сим карту к телу через логер, и посмотри какие запроси при регистрации!!!
077
Участник
Offline3.3
с апр 2008
Шамбала
Сообщений: 2967

Дата: 04 Май 2011 18:55:01 · Поправил: 077 (04 Май 2011 19:25:07) #  

Shadovv13, не нервничайте.
Давайте спокойно разберёмся вместе.

Подключи сим карту к телу через логер, и посмотри
Я это спокойно вижу на консоли BSC через интерфейсы. (-:

Итак, мы говорим про GSM900.

Нам нужно записать в цифровом виде обмен между конкретной MS<->BTS по TCH. Используя вышеприведённую суперсхему.
Нет ничего проще.

Вот мы стоим в пробке рядом (в 20-ти метрах) подопытной MS. Вот владелец MS пытается позвонить.
Нам почти ничего не нужно делать.

Всего лишь нужно:
1. Знать, чьего оператора этот пациент. От этого зависит, NCC/MNC/HLRID ну и MSIN. Это чтобы знать, кого потом выщемлять "в радиусе 20-30 метров". Так как у нас там до сотни вызовов одновременно. Но у Вас вроде есть супер-программа, позволяющая по IMEI (или по MSISDN) определить IMSI. Так что задача почти решена.
2. Заставляем пациента работать строго в GSM900 (не знаю, как, наверное, просто пригрозив ему и его аппарату оружием).
2a. Нам нужно знать, LAC той NCC, и к какой BTS мы прицепимся под видом пациента, а также такие же значения той BTS, которую мы будем эмулировать. Это будем вычислять "на лету", так как пациент перемещается и эти данные меняются.
3. Так как мы начнём светить (эмулировать) локально с таким уровнем, что все абоненты нашего ОПСОСа, увидев лучший уровень, поскачут на нас, то будем отмахиваться от их TMSI (что уже фэйк, так как передачу HO осуществляет контроллер, который про нашу BTS и слышать не слышал Sic!), попутно застявляя их идти к нам по IMSI. Не забыть бы тут ещё, что существуют таймауты, после которых мы поуроним все их соединения, выбросив ломящихся по case 41 или 43 (overload). Ну, как бы, и хрен с ними, главное - нашу MS выщемить.
4. Мы должны сэмулировать ВСЕ каналы (Разговорный канал TCH (traffic channel) используется для передачи речи и данных. Разговорные каналы определяются, используя 26-фреймовый мультифрейм, или группу из 26 фреймов TDMA. Длина этого мультифрейма 120 мс. Помимо этих 26 фреймов, 24 используются для трафика, 1 для контроля канала SACCH (Slow Associated Control Channel). Прямой и обратный разговорные каналы (от МТ к БС и наоборот).
Вдобовок к этим полноскоростным разговорным каналам, нужны полускоростные разговорные каналы, хотя они еще не реализуются. Полускоростные разговорные каналы эффективно удваивают емкость системы, если действуют вкупе с полускоростными кодировщиками речи (т.е. если речь кодируется со скоростью примерно в 7 kbps вместо 13). Специфицированы также 8-скоростные разговорные каналы, предназначенные для передачи служебных сигналов. В рекомендациях они называются Stand-alone Dedicated Control Channels (SDCCH).

ВССН (Broadcast Control Channels) - каналы передачи сигналов управления; СССН (Common Control Channels) - общие каналы управления; SDCCH ( Stand-alone Dedicated Control Channels) - индивидуальные каналы управления; АССН (Associated Control Channels) - совмещенные каналы управления. Каналы передачи сигналов управления используются только в направлении с базовой станции на все подвижные станции. Они несут информацию, которая необходима подвижным станциям для работы в системе. Различают три вида каналов передачи сигналов управления ВССН:

FCCH (Frequency Correction Channel) - канал подстройки частоты, который используется для синхронизации несущей в подвижной станции. По этому каналу передается немодулированная несущая с фиксированным частотным сдвигом относительно номинального значения частоты канала связи;

SCH (Synchronization Channel) - канал синхронизации, по которому передается информация на подвижную станцию о кадровой (временной) синхронизации:

ВССН (Broadcast Control Channel) - канал управления передачей, обеспечивает передачу основных команд по управлению передачей (номер общих каналов управления тех из них, которые объединяются с другими каналами, в том числе и с физическими и т.д.).

РСН (Paging Channel) - канал вызова, используется только в направлении от базовой станции к подвижной для ее вызова:

RACH (Random Access Channel) - канал параллельного доступа, используется только в направлении от подвижной станции к базовой для запроса о назначении индивидуального канала управления;

AGCH (Access Grant Channel) - канал разрешенного доступа, используется только для передачи с базовой станции на подвижную (для выделения специального канала управления, обеспечивающего прямой доступ к каналу связи).

Ещё нужны каналы управления. И всем этим нужно рулить.
Этим занимается отдельная штука, называющаяся CBSC.
...
Тут уже достаточно проблем, чтобы оставить эту затею в розовом цвете на бумаге, но, продолжим..
...
4. Наконец, нам повезло и мы видим, как наша MS ломится через нашу BTS.
Тут самое интересное: нам надо отработать с ней A38. Для этого мы должны знать несколько пустяковых моментов. Хотя, можно и без них. Просто передавать через себя на реальный AuC все ответы от MS. Главное - не забыть про те же таймауты, задержка через которые более, чем на 200ms чревато фэйлом.

Но и даже не это главное!
Дело в том, что в кодированном ответе от BTS будет содержаться и присвоенный нашей MS таймслот в TCH и ключ шифрования.
Если (когда) мы встанем не в тот таймслот (а мы его не знаем, так как декодировать пакет не можем, не зная Ki и ключа шифрования, как следствие), то мы тут же потеряем связь с очерёдностью.


Всё, приплыли.
Эксперимент закончен. Всем спасибо.
Shadovv13
Участник
Offline1.1
с янв 2011
Украина
Сообщений: 46

Дата: 04 Май 2011 20:53:36 #  

Я это спокойно вижу на консоли BSC через интерфейсы. (-:

0_o Вы работаете на опсоса?

А на форуме что делаете? Смотрите на продвижение по взлому )))))

Помогите документацией!!! ;)
dmitry22
Участник
Offline2.6
с янв 2006
Mykolaiv
Сообщений: 545

Дата: 04 Май 2011 22:12:29 #  

Shadovv13
А на форуме что делаете? Смотрите на продвижение по взлому )))))
До взлома ой как далеко :)
Помогите документацией!!! ;)
Черканите в личку, если интересно - были где-то спецификации на GSM. Вроде почти все.
Но на английском :)
Реклама
Google
 Страница:  ««  1  2  3  4  5  6  7  8  9  »» 

Создавать сообщения могут только зарегистрированные участники форума.
Войти в форум :: » Логин » Пароль
Начало
Средства связи, рации. Купить радиостанции Motorola, Yaesu, Vertex, приемники, антенны.
Время загрузки страницы (сек.): 0.052; miniBB ®