Workflow¶
最近会把与D2C文章对应的“实验环境部署”单独整理一遍
本文实验既包括了 “实网试验”, 也包括了 “prototype 仿真/模拟实验”
-
实网试验 (§5.2)
- 目的:验证 SatOver 攻击所利用的“信令漏洞”在真实卫星和真实设备上确实存在
- 设备:他们真的连接了一个在轨的 GEO 卫星,并使用了真实的 IoT-NTN 测试设备和真实的卫星电话(如 Thuraya X5-touch 和 iPhone 15)作为受害者
- 攻击原型机:USRP B210 (SDR) 硬件和 Sonica 软件栈来扮演攻击者,向真实设备发送虚假信号
-
Prototype 模拟/仿真实验 (§5.3 & §5.4)
- 目的 1(实验室 PoC 验证):在受控环境中,完整地验证 SatOver 攻击的所有机制(包括实网测试无法验证的 LEO 动态“混淆”机制),并对比 COTS、IoT-NTN 和 NR-NTN 三种设备
- 设备 1(实验室):使用了 Amarisoft Callbox。这是一个专业的 3GPP NTN(非地面网络)协议测试套件,它本身就是一个高级的“原型机/模拟器”,可以模拟 LEO 卫星的完整协议栈和动态信道
- 目的 2(大规模仿真):评估攻击在大范围(如整个美国或中国)部署时的宏观有效性和成本
- 设备 2(仿真):这部分是纯粹的计算机软件仿真。使用了真实的数据集(如TLE、地面基站的位置分布)来进行 "what-if" 分析,计算攻击成功率
汇总一下试验设备:
| 类别 | 硬件 / 软件 / 数据 | 用途 |
|---|---|---|
| 真实卫星测试 | 真实 GEO 卫星 (1个):工作在 LTE Band 65,采用“弯管”模式 | 作为真实的攻击目标 |
| IoT-NTN 测试设备 (合作伙伴提供) | 作为真实的 IoT 受害者 | |
| 卫星电话 (3种):合作伙伴手机、Thuraya X5-touch (开放标准)、iPhone 15 (私有协议) | 作为真实的手机受害者 | |
| 攻击原型机 (PoC) | 原型机 1 (实验室):Amarisoft Callbox NR-4-U Ultimate | 商用 3GPP IoT/NR-NTN 协议测试套件,用于在受控实验室环境中模拟 SatOver 攻击者和受害者 |
| 原型机 2 (真实世界):USRP B210 SDR + 联想笔记本电脑 | 用于在真实卫星测试中扮演 SatOver 攻击者,运行开源软件 | |
| 攻击软件 (PoC) | Amarisoft 协议栈 (用于原型机 1) | 实现了 3GPP-R17 IoT/NR-NTN 协议栈和 LEO 卫星信道模拟器 |
| Sonica (开源 LTE/5G 协议栈,用于原型机 2) | 作者对其进行了 NTN 扩展,使其能发动 SatOver 攻击 | |
| 受害者设备 (Lab/COTS) | 商用手机 (COTS):小米 13/11, 华为 Mate 50 Pro, OnePlus 9 | 用于测试对普通手机的攻击 |
| 数据集 (仿真) | 真实卫星星历 (TLEs):来自 space-track.org | 用于驱动 Amarisoft 模拟器,模拟 LEO 卫星的真实轨道 |
| 卫星网络信令:从 Iridium 等真实卫星收集 | 用于验证信令漏洞 | |
| 地面 LTE/5G 信令:使用 MobileInsight 工具从 COTS 手机上收集 | 用于表征 COTS 攻击行为 | |
| 测试环境 | RF 屏蔽箱 | 用于实验室测试,防止干扰真实卫星和蜂窝网络 |
从 UE-RAN-CoreNet-WAN 的角度来梳理试验软硬件结合情况:
| 组件 | 在 SatOver 实验中的角色 (SDR/Amarisoft) | 在标准网络中的位置 |
|---|---|---|
| UE (Victim) | COTS 手机、真实的 IoT-NTN 设备,或 Amarisoft 模拟的 NR-NTN 设备 | UE |
| RAN (Attacker) | Sonica 堆栈 + USRP B210 SDR (充当“假卫星”) | 无线电接入网络 (基站/卫星) |
| RRC Protocol | Attacker (假卫星) 通过伪造更强的射频信号,在 RRC 层的 Cell Selection 阶段劫持 UE | RAN 层协议 |
| CoreNet (NAS) | Attacker (假卫星) 伪造核心网的 NAS 响应 | 理论上在 GS |
| 攻击工作流 | 攻击方式: UE (发送 RRC/NAS 请求) \(\rightarrow\) SatOver Attacker (Fake RAN) \(\rightarrow\) SatOver Attacker (伪造 NAS 拒绝消息,原因: Congestion) \(\rightarrow\) UE | 合法流: UE \(\rightarrow\) 卫星 (RAN) \(\rightarrow\) 地面站 (CoreNet) \(\rightarrow\) WAN |
| 攻击验证的核心点 | 攻击者无需访问真实的 CoreNet,它只需在空中接口拦截 UE 发送的未加密的初始 NAS 注册请求,并以 NAS 协议允许的“拥塞” 原因, 伪造一个 CoreNet 应该发出的拒绝消息,并携带一个长达 15-30 分钟的回退定时器 | SatOver 攻击的核心优势在于,它在 NAS 层伪造了集中式地面站的拥塞,从而利用了巨型星座的“规模”特性进行放大 |
TLDR: UE-RAN-CoreNet-WAN 这条数据流在实验中被简化为 UE \(\leftrightarrow\) SatOver Attacker (SDR)
其中 SDR (SatOver Attacker) 在 RRC 层充当基站(RAN), 同时在 NAS 层扮演伪造的核心网消息发送者, 从而实现了对合法 CoreNet/WAN 的阻塞.
很显然,这个workflow,依然存在两个很明显的问题
- 只能给出单个设备的信令交互,实现这篇文章给出来的功能!没法给出整个LEO卫星网络所有设备的群体画像!
- 没有给出整个E2E链路的步骤,它缺乏了对 CoreNet-WAN 的刻画