无线电安全攻防之GPS定位劫持

IoT 2年前 (2022) admin
525 0 0
无线电安全攻防之GPS定位劫持

 

一.     需要硬件设备


l  HackRF

l  HackRF 连接数据线

l  外部时钟模块(TCXO 时钟模块)

l  天线(淘宝套餐中的 700MHz-2700MHz 吸盘天线)

无线电安全攻防之GPS定位劫持

图1,天线实物图



无线电安全攻防之GPS定位劫持


二.     需要软件应用


l  hackrf-tools

l  [Google Earth Pro](https://www.google.com/earth/versions/#earth-pro)

l  [gps-sdr-sim](https://github.com/osqzss/gps-sdr-sim)

l  [SatGen Trajectory Generation](https://files.cnblogs.com/files/k1two2/SatGenNMEAFree.zip)


无线电安全攻防之GPS定位劫持


三.     操作流程概述


1.   用 Google Earth Pro 制作运动轨迹坐标 kml 文件

2.   前往 NASA 官网下载 GPS 导航电文

3.   用 gps-sdr-sim 将 GPS 导航电文和运动轨迹坐标 kml 文件生成采样文件

4.   hackrf_transfer 发射 GPS 欺骗信号


无线电安全攻防之GPS定位劫持


四.     运动轨迹坐标文件


Google Earth Pro 查看国内地图会存在火星偏移,即卫星图与显示地名、街道信息不对应,以卫星图为准!


启动 Google Earth Pro ,寻找需要模拟地点,点击添加路径:


无线电安全攻防之GPS定位劫持

图2,Google Earth Pro演示图1

用鼠标点击图上勾画出路径:


无线电安全攻防之GPS定位劫持

图3,模拟轨迹图

绘图完成并保存后,在位置可以找到保存的路径,右键将位置另存为导出kml文件:

 

无线电安全攻防之GPS定位劫持

图4,Google Earth Pro演示图2

kml文件内容展示:


无线电安全攻防之GPS定位劫持

图5,kml文件内容


无线电安全攻防之GPS定位劫持


五.     NMEA文件


NMEA  GPS 导航设备统一的 RTCM 标准协议,包含坐标、海拔、时间轨迹。将运动轨迹坐标 kml 文件导入 SatGen ,就会自动加载 kml 路径。

无线电安全攻防之GPS定位劫持

图6,SatGen软件截图

5.1   调参拟合


调整参数将速度轨迹向真实情况进行拟合,SatGen 会模拟真实运动情况,如:拐弯减速、起步&结束停留……


output                    数据更新率
max longacc               最大纵向加速度
max jerk              最大加速度
max latacc                最大横向加速度
max speed             最大速度
stationary period      起步停留时间
stationary period end  结束停留时间
scenario distance      总路程长度
total time                总耗时

点击 `Generate NMEA file` ,即可生成标准的 NMEA 轨迹文件

 

无线电安全攻防之GPS定位劫持

图7,NMEA文件内容

GPGGA 格式,其内容定义如下:

无线电安全攻防之GPS定位劫持

图8,GPGGA格式定义

5.2   绕圈轨迹制作


要制作绕圈跑的 NMEA 轨迹只需要画一圈,将 NMEA 文件内容复制粘贴即可:



$GPGGA,090453.93,2306.36704898,N,11328.49988987,E,1,05,2.87,160.00,M,-21.3213,M,,*7C
$GPGGA,090454.00,2306.36704898,N,11328.49988987,E,1,05,2.87,160.00,M,-21.3213,M,,*71
……
$GPGGA,090453.93,2306.36704898,N,11328.49988987,E,1,05,2.87,160.00,M,-21.3213,M,,*7C
$GPGGA,090454.00,2306.36704898,N,11328.49988987,E,1,05,2.87,160.00,M,-21.3213,M,,*71
……

  

无线电安全攻防之GPS定位劫持


六. GPS导航电文


GPS 卫星发送的导航电文是每秒50位的连续的数据流,每颗卫星都同时向地面发送以下信息:系统时间、时钟校正值、自身精确的轨道数据、其他卫星的近似轨道信息、电离层模型参数和世界协调时(UTC)数据等系统状态信息。


导航电文用于计算卫星当前的位置和信号传输的时间,从而使 GPS 接收机在接收导航电文后能确定自身的位置。


各个接收机厂商普遍采用统一的 RINEX 格式,RINEX 本质上是文本文件,RINEX 文件遵循标准的[命名规则](https://cddis.nasa.gov/Data_and_Derived_Products/GNSS/RINEX_Version_3.html),具体如下图所示:

无线电安全攻防之GPS定位劫持

图9,RINEX格式定义


6.1   获取GPS导航电文


可以在NASA官网上获取 RINEX 格式的GPS导航电文,原 [ftp](ftp://cddis.gsfc.nasa.gov/pub/gps/data/daily) 地址在 2020  10 月由于安全原因停止使用,现在下载地址:https://cddis.nasa.gov/archive/gnss/data/daily/ 


武汉大学IGS数据中心也可以下载广播星历,数据延迟一天。http://www.igs.gnsswhu.cn/index.php/home/data_product/igs.html

无线电安全攻防之GPS定位劫持

图10,GPS导航电文1

打开选择最新的年份,然后滑到最底部的 brdc ,点开找最新的导航电文(`n.gz` 结尾):

无线电安全攻防之GPS定位劫持

图11,GPS导航电文2


6.2   GPS导航电文定义


解压后可以用文本编辑器打开,导航电文文件结果如图所示:


无线电安全攻防之GPS定位劫持

图12,导航电文文件定义



无线电安全攻防之GPS定位劫持


七.     生成采样文件


利用 [gps-sdr-sim](https://github.com/osqzss/gps-sdr-sim) 配合 GPS 导航电文和 NMEA 文件生成 HackRF 发射信号需要的采样文件。



git clone https://github.com/osqzss/gps-sdr-sim.git

7.1   修改动态模式时间上限


gps-sdr-sim 默认动态模式最大只能生成 300s ;静态模式 86400s 10Hz)。结合实际情况修改 `gpssim.h` `USER_MOTION_SIZE` 实现自定义时间上限。


 `USER_MOTION_SIZE` 调得比 NMEA 轨迹总耗时长 30s 以上。HackRF 开始发出信号,到手机 GPS 被欺骗需要一定时间(30s左右),所以时间上限比时间时间多加 30s ,让定位稳定被欺骗,以防在模拟定位与真实定位之间跳变。


最终运行作用时长取决于较短的那个时间。假如轨迹总耗时 400s `USER_MOTION_SIZE` 定义动态模拟时间上限 300s ,最终运行 300s 

#3000 == 300s
make USER_MOTION_SIZE=3000

7.2   编译gps-sdr-sim



gcc gpssim.c -lm -O3 -o gps-sdr-sim
用法:gps-sdr-sim [选项]
选项:
   -e <gps_nav>用于GPS星历表的RINEX导航文件(必填)
   -u <user_motion>用户动作文件(动态模式)
   -g <nmea_gga> NMEA GGA流(动态模式)
   -c <位置> ECEF X,Y,Z,以米为单位(静态模式),例如3967283.15,1022538.18,4872414.48
   -l <位置> Lat,Lon,Hgt(静态模式),例如30.286502,120.032669,100
   -t <日期,时间>场景开始时间YYYY / MM / DD,hh:mm:ss
   -T <日期,时间>将TOC和TOE覆盖到方案开始时间
   -d <欺骗时间>持续时间[秒](动态模式最大值:300静态模式最大值:86400)
   -o <输出> I/Q采样数据文件(默认值:gpssim.bin;使用 – 用于stdout)
   -s <频率>采样频率[Hz](默认值:2600000)
   -b <iq_bits> I/Q数据格式[1/8/16](默认值:16)
   -i 禁用航天器场景的电离层延迟
   -v 显示有关模拟频道的详细信息


7.3   生成采样文件



./gps-sdr-sim -e <导航电文文件> -g <轨迹文件> -b 8 -o <输出二进制文件路径>
 
`-b 8`:降低输出文件大小。hackrf 支持的是8-bit的二进制文件,其他 sdr 查询 [readme](https://github..com/osqzss/gps-sdr-sim)



无线电安全攻防之GPS定位劫持


 八. 发射GPS欺骗信号


8.1   hackrf-tools 安装


Mac brew 直接安装:

brew install hackrf

连接上 hackrf 之后,`hackrf_info` 查看连接是否成功:


无线电安全攻防之GPS定位劫持

图12,hackrf连接测试


8.2   安装外部TCXO(时钟晶振)

无线电安全攻防之GPS定位劫持

图13,时钟晶振


安装 TCXO 后,使用` hackrf_debug –si5351c -n 0 -r`检查 TCXO 是否被识别和使用。输出` [0] -> 0x01`表示使用 TCXO,而` [0] -> 0x51`表示不使用 TCXO


8.3   发射信号


hackrf_transfer -t gpssim.bin -f 1575420000 -s 2600000 -a 1 -x 20 -R
 
* -t:信号采样文件(gps-sdr-sim 生成的 bin 文件)
* -f:频率赫兹;美国官方的GPS L1信号频段1575420000Hz
* -s:HackRF 采样速率 2.6Msps(其他 sdr 查看 [readme](https://github.com/osqzss/gps-sdr-sim) )
* -a:放大器使能,接收/发射射频放大器:1=使能;0=禁用
* -x:增益分贝,TX VGA(中频)增益,0-47db;1dB步长
* -R:重复发射模式

 


原文始发于微信公众号(山石网科安全技术研究院):无线电安全攻防之GPS定位劫持

版权声明:admin 发表于 2022年3月31日 上午11:23。
转载请注明:无线电安全攻防之GPS定位劫持 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...