用户
搜索
  • TA的每日心情
    擦汗
    2021-2-19 17:54
  • 签到天数: 348 天

    连续签到: 1 天

    [LV.8]以坛为家I

    版主

    我是表弟

    Rank: 7Rank: 7Rank: 7

    47

    主题

    334

    帖子

    1028

    魔法币
    收听
    0
    粉丝
    17
    注册时间
    2015-11-20

    秦突出贡献春秋游侠核心白帽i春秋签约作者楚燕魏齐赵积极活跃奖春秋文阁春秋达人幽默灌水王

    0nise 版主 我是表弟 秦 突出贡献 春秋游侠 核心白帽 i春秋签约作者 楚 燕 魏 楼主
    发表于 2017-8-14 16:04:21 582424
    作者:冰尘
    注:本文参与现金奖励,未经允许禁止转载

    免责声明:
    本文只是科普和供专业人员在合法范围内进行研究,严禁学习用于非法用途,造成一些后果与本人无关!   参考  中国GSM通讯协议规范,七号信令系统解析

    相信很多人近来对SS7七号信令这个很神秘的攻击有所耳闻,但是这个看起来很神秘而且高大上的东西,据说能在知道对方电话号码情况下十秒打遍全球,监听短信拦截等攻击。在经过我数个晚上熬夜奋战之后来为大家科普解读他的攻击原理是什么。

    SS7七号信令是国际电信联盟电信标准分局制定的(ITU-T for ITU Telecommunication Standardization Sector), 它是国际电信联盟管理下的专门制定电信标准的分支机构。他指的是一种数据网络,也是一系列管理数据交换的技术协议或规则。它出现于上世纪70年代,目的是跨运营商网络跟踪和连接固话。不过,现在通常用于手机计费和发送短信,附带跨运营商和区域交换中心路由手机和固话呼叫。SS7是电信骨干网的一部分,但却不是语音通话流经的网络,它是带有不同功能的独立管理网络。可以用客运火车系统来打比方,SS7就是程序员使用的调试接口,而不是普通用户使用的正常接口。

    七号信令工作编码由主信令区编码分信令区编码信令点编码构成;
    国内编码每部分为8Bit,计24Bit;
    国际编码:主信令编码3bit,分区信令编码为8bit,信令点编码3bit,一共14bit

    SS7被广泛用于设置漫游,以便能在所属运营商范围之外也能拨打电话收发短信。域外运营商会通过SS7向所属运营商发送获取手机唯一IMIE的请求以便跟踪手机,还会请求手机通信被重定向到它的网络以便投递呼叫和短信。这是一种确保跨网络通信的手段。可是在这里恰恰没有做认证校验防护,造成了只需要知道手机号便能定位和打遍全球的效果。拦截短信和其他都是鸡毛蒜皮的事情。

    SS7信令攻击原理
    我们已经知道了这个协议被用于漫游呼转,这就好比你用移不动、联不通、信不过三大老流氓的服务,你却去了爪哇国,用上了更加坑比的爪哇移不动、联不通、信不过,而你在别人的地方使用别人的基站和设备进行通讯, 就要缴纳保护费,于是你的费用结转就会通过ss7端局通告,来进行告知我国的运营商,你的人在我的地盘撒野你要给我交保护费了而且要找他来我地盘找他,这个时候就会进行一个利用ss7信令的接转工作,而在这其间需要获取手机唯一ID——IMIE码 这个时候如果在全球任意一点进行号码伪造就能调用IMIE并进行定位监听等一系列骚操作,这里就不细讲了,再讲就违法了………

    SS7信令工作原理解析  
    用户呼叫过程
    1. 用户呼叫目的地为MSISDN的被叫用户,呼叫信号到达GMSC
    2. GMSC根据MSISDN查询这个用户HLR,并连接HLR
    3. HLR数据库里面存储有被叫用户的当前位置信息(被叫VLR),HLR查询被叫VLR获取被叫用户的当前状态信息(关机,待机等)
    4. 被叫VLR返回一个MSRN给HLR,这个MSRN里面还有到达被叫VLR的路由信息
    5. HLR将MSRN交给主叫GMSC
    6. 主叫GMSC根据MSRN连接被叫VLR
    7. 被叫VLR(MSC)负责处理接通被叫用户
    图片1.png

    位置跟新
    用户手机SIM卡的内存中存储着当前网络的位置区识别码LAI和移动用户临时识别码TMSI,手机会定期向当前MSC发送LAI信息与用户当前实际所在网络区域的LAI进行对比,如果不同,则可以根据用户手机的就LAI连接到用户之前的MSC或者所在区域,告知原来的MSC或者原来的BTS用户已经移动到新的位置.同时新的MSC从用户的HLR中获得数据,并更新用户HLR中的位置信息.
    图片2.png
    切换过程
    切换的核心过程就是在切换之前确保新的链路准备就绪可以使用,切换包括
    1. 同一个BSC下,不同BTS的切换由BSC控制完成
    2. 同一个MSC下,不同BSC的切换由MSC控制完成
    3. 不同的MSC下的切换过程如下:

    MSC 间切 换
    MSC/VLR 控制 的 小 区 移 至 另 一 个 MSC/VLR
    控制
    MSC/VLR 经过 通 过 PSTN 线路 的 链 路 连 到 GMSC , 很 显
    MSC/VLR 不能 完 全 代 替 MSC/VLR 。
    MSC/VLR (也称 为 锚 定 MSC) 联系 目
    MSC,话务 连 接 转 接 至 目 标 MSC/VLR 。当 两 个 MSC 属
    MSC 和源 MSC 是两 个 不 同 的 电 话 交 换 机 。 只 要 有 电
    MSC, 呼 叫 就 能 在 两 个 交 换 机 之 间 转
    图片3.png
    这 就 必 须 产 生 一 个 新 号 码 , 即 切 换 号码(HON) 。 HON 的
    产 生 和 功 能 在 下 文 中 做 出 解 释 。
    锚 定 MSC/VLR 从 BSS 接收 切 换 信 息。 它 判 断 出 目 的 地 在
    另 一 个 MSC 的区 域 范 围 内 , 然 后 通 过 信 令 网 向 目 标
    MSC 发送 一 个 切 换 请 求 。

    MSC HON
    并将 MSC/VLR
    便
    MSC/VLR MSC/VLR。当 MSC 完成

    实 际 上 , 切 换 号 与 漫 游 号 相 似 , 而 且 切 换 号 和 漫 游 号
    的 使 用 的 也 相 似 , 那 就 是 连 接 两 个 MSC。切 换 号 的 结 构
    如 下 所 示 :
    图片4.png
    MSRN的结构完全相同
    图片5.png
    图片6.png
    七号信令及其在GSM系统中
    七号信令SS7,也缩写为CCS7,C7,它是共路信令(即信令和话音走不同的通道.),SS7信令通道的带宽为64kbit/s
    SS7最初包括两个部分(消息传送部分MTP负责传送消息,电话用户部分TUP负责处理用户消息)

    消息传送部分MTP
    整个SS7是建立在MTP的基础上
    MTP1:物理连接层,定义物理和电气特性
    MTP2:数据链路控制层,在相邻的网元间帮助无差错的传送信令消息
    MTP3:网络层,在同一个信令网内从一个网络单元携带消息至另一个网络单元.


    电话用户部分TUP(ISUP,NUP)
    谁是MTP的用户呢?接收,发送和作用这些消息的又是谁呢? 答案就是电话用户部分TUP. 固网中很多SS7只包括两部分MTP和TUP
    随着综合业务数字网ISDN的出现,由于它比PSTN具有更好的性能和更强的处理能力,因而需要若干额外的消息集,这就是我们所知道的的ISDN用户部分ISUP,国内用户部分称为NUP.

    信令连接控制部分SCCP: Signaling Connection Control Part
    SCCP的出现是为了解决一下两个问题,
    1. 每个消息可能到达谜底信令点所走的路径并不相同,这可能会引起接收消息的次序与原来的顺序不同,当次序很重要的时候,就需要建立一个虚拟的连接,虚拟连接采用”面向连接协议提供需要保证在远端的次序正确.

    2. 信令在跨越多个网络的建立呼叫的情形与同一个网络内的信令完全不用,信令是跟随呼叫传输的,但是在呼叫不存在的情况下MTP不能为信令消息跨越多个网络选择路由.

    因此SCCP就是为了解决虚链接和无连接信令的问题,但应该注意TUP和SCCP的任务并不相同,他们是彼此并行的,但都使用MTP服务.
    固网中的SS7结构
    MTP:消息传送部分
    TUP:呼叫的建立,监控,释放
    SCCP:信令连接控制,提供虚链接和无连接信令
    图片7.png
    GSM中的SS7
    由于GSM用户是移动的,需要对移动台进行跟踪,GSM信令不像PSTN那么简单,它需要大量的与呼叫无关的额外信令.基站子系统应用部分BSSAP,移动应用部分MAP,事物处理能力应用部分TCAP.

    基站子系统应用部分BSSAP-BSS Application Part
    它用于MSC与BSC和移动台之间的通信,由于移动台与MSC必须通过BSC通信,这之间必须建立一个虚链接,英雌SCCP服务也是需要的. 鉴权过程和新的TSMI分配都是通过BSSAP消息来完成的.

    因此BSSAP服务于两个目的:
    MSC-BSC信令,以及MSC-MS信令.
    移动应用部分MAP- Mobile Application Part
    MAP主要用于NSS单元之间,如MSC(VLR)之间呼叫无关的信令(呼叫相关信令使用TUP),以及MSC与HLR之间的信令.

    事物处理能力应用部分TCAP
    TCAp主要为MAP消息提供一些类似于秘书服务的机制.
    完整的GSM SS7信令图表
    图片8.png
    图片9.png
    GSM系统不同物理单元中的协议栈
    通过以上我们知道了ss7的攻击原理之后来看看万能的GitHub基友圈给我们带的的什么——
    武器库:


    项目介绍:
    该工具包是建立在Osmocom SS7协议栈,并实现了一些基本的MAP消息。在对当前状态随时可用的HLR测试,在未来的版本将增加对VLR,MSC和SMSC的测试。该工具是用Erlang编写的,你将需要Erlang运行环境,它是17.5版本开发的。



    本帖被以下淘专辑推荐:

    发表于 2017-8-17 22:27:38
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    100
    文章的理论性很强,配图也很合理,不错的文章


    一位特爱收藏Supreme的大哥哥....
    使用道具 举报 回复
    发表于 2017-8-16 11:15:16
    别说了,已出警
    使用道具 举报 回复
    过来人劝你一句,算了我先录口供了
    使用道具 举报 回复
    发表于 2017-8-26 16:44:22
    过来人劝你一句,算了我先录口供了
    使用道具 举报 回复
    发表于 2018-10-10 17:12:45
    支持一下~
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册