[ 👇 краткое введение для новичков ]
GPRS предлагает услугу передачи данных "с коммутацией пакетов".
Услуги с PS обычно только занимают ячейку соединения, когда им действительно есть что отправлять или получать(сообщения , звонки и тд)
Это делает его хорошо подходящими для передачи трафика данных.
Большинство приложений для передачи данных - просмотр веб-страниц, электронная почта и тд, имеют данные, которыми нужно обмениваться лишь периодически(пакетиками)
Но грубо говоря, термин "GPRS" (и связанный с ним термин "EDGE") относится только к службе мобильной передачи данных, предоставляемой в сетях 2G. В сетях 3G, 4G и 5G эта услуга называется
просто "мобильными данными" или "данными с коммутацией пакетов", но термин "GPRS" прижился и ошибочно используется как общий термин для всех услуг мобильной передачи данных.
В дальнейшем тексте термины "GPRS" и "сети передачи данных PS" будут использоваться для обозначения ко всем поколениям мобильно сети 🙃
Услуги передачи данных 2G GPRS используют те же радиоканалы, соты и сети доступа, что и голосовые услуги 2G голосовые услуги GSM.
GSM увеличивает пропускную способность своих радиоканалов путем разделения каждый из них на набор из 8 "таймслотов" - до 8 телефонов используют один и тот же радиоканал одновременно, каждый из которых периодически передает/принимает небольшие объемы данных в свой собственный
таймслоте в строгой последовательности.
BSC в 2G обрабатывает трафик, полученный в таймслотах "голос" и "данные" по-разному, перенаправляя голосовой трафик в основную сеть CS, а трафик данных - в основную сеть PS
базовой сети.
Радиоканалы 3G/4G/5G не используют таймслоты, но предоставляют общий доступ к ресурсам соединений, которые они используют. Общие термины "соединения" или "сеансы" будут используются для описания подключения данных PS, используемого всеми поколениями сетей.
Основная сеть PS 2G/3G состоит из двух основных элементов, известных как SGSN и GGSN . SGSN взаимодействует с сетью доступа и управляет обменом пакетами данных с мобильными устройствами. SGSN получает запросы на установку сеанса передачи данных от мобильных устройств и передает их в GGSN. Как только сеанс активирован, SGSN передает пакеты данных как в восходящем, так и в нисходящем и ведет подсчет объема отправленных и полученных данных.
SGSN также периодически получает информацию о соте, которую в настоящее время использует каждое активное мобильное устройство и принимает к сведению любые изменения соты или области маршрутизации. GGSN - это, по сути, маршрутизатор, который взаимодействует с внешними сетями, такими как интернет.
Каждый GGSN может подключаться к нескольким внешним сетям и включает в себя логический элемент, известный как APN элемент, для выполнения обязанностей по взаимодействию с каждой конкретной внешней сети. 😶🌫️
Имя, присвоенное APN, обычно отражает сеть или услуги, к которой она подключается, поэтому типичными являются APN 'Internet', 'MMS' и 'ims'. SGSN и GGSN генерируют CDR для каждого сеанса передачи данных и передают их в сеть.
В базовой сети 4G PS используются устройства, аналогичные SGSN/GGSN, которые называются S-GW и P-GW . Контроль соединений и управление абонентами в сетях 4G осуществляется с помощью MME . Биллинговые данные для сеансов передачи данных 4G генерируются в S-GW и P-GW.
В сетях 5G используются аналогичные методы обработки мобильных данных, что и в сетях 4G, хотя названия сетевых узлов снова изменились: вместо типов узлов обработки пакетных данных, в сети 5G имеется только один тип устройств, известный как UPF . Управление соединениями и абонентами осуществляется узлом, известным как AMF (функция управления доступом и мобильностью).
Данные для выставления счетов генерируются в UPF.
Голосовые и текстовые события обычно имеют очень четкую временную идентичность, в том смысле есть с времени начала до окончания голосового вызова и время передачи или время доставки текстового события.
Записи вызовов для событий SMS определяют идентификатор соты, которая использовалась для передачи текстового сообщения.
Передача SMS обычно занимает всего несколько десятков миллисекунд, не существует механизма, позволяющего, позволяющего осуществлять переключение во время SMS-события, поэтому в записях SMS обычно указывается только
идентификатор "стартовой" ячейки.
В случае как голосовых, так и SMS-событий, аналитики сотовых сайтов могут быть абсолютно уверены в том, что целевой телефон находился в зоне покрытия перечисленных сот в момент начала события и (в случае голосовых записей) в момент начала события и в момент его окончания. 👌
Таким образом, по отчетам сотовых сайтов можно сделать вывод в отношении соты, обслуживающей важное местоположение, что использование этой соты согласуется с возможностью того, что целевой телефон мог находиться "в" этом месте
CDR данных GPRS/PS могут быть гораздо менее определенными в отношении корреляции их временных меток и начальных ячеек, и поэтому потенциально менее ценны с точки зрения доказательств о сотовом сайте, которые они могут предоставить.
Новый CDR данных GPRS/PS открывается, когда мобильное устройство устанавливает новый логический сеанс связи с сетью передачи данных
Например, с интернетом📡, там каждому новому сеансу присваивается отдельный идентификатор.
Отдельные CDR генерируются узлами SGSN/S-GW и GGSN/P-GW.
Статьи про форензику , сбор данных от мобильных операторов, про работу мобильно сети и про лояльность сбора приватной информации оператором. И так же еще много чего интересного . Надеюсь вам будет полезно.
Да многие говорят: "ss7 устарел", хотя на практике он используется все довольно часто.
В особенности в странах снг, впрочем, не только в них. По прогнозам, объем мирового рынка SS7 достигнет 597 млн долларов США к 2028 году по сравнению с 531,2 млн долларов США в 2021 году при среднегодовом темпе роста 1,7% в период с 2022 по 2028 год.
Да и вообще он все еще в расцвете сил (так сказать) , во много регионах Европы даже в азии.
Вот более подробный матерьял про рынок ss7 : тык
По это причине будет резонно поговорить именно о нем его уязвимостях, в частности перехвате IMSI и dos атаках.🎯
Теперь следует поговорить про сам атаки на его уязвимости
Первое о чем я хочу рассказать это что-то вроде прослушивания 👂
Ибо злоумышленник может подслушивать данные абонента, отправлять/изменять текстовые сообщения жертве, действуя как MiTM. При этом жертва совершенно не подозревает об атаке , если кратко (подробнее будет в одной из статей ниже в архиве) и в посте в последствии.
Злоумышленник устанавливает мост между двумя вызывающими сторонами и направляет все звонки в свою систему мониторинга. Для этого используются MAP сообщения и функция переадресации вызовов.
Целевой пользователь обычно не знает об этой атаке. А злоумышленник может направить вызовы жертвы в систему мониторинга на уровне MAP-сообщений SS7.
Одной из причин этого , является отсутствие шифрования в сети что "на руку " для этих атак.
Еще есть атаки когда при атаке выдается MSC. Целью является получение текстовых сообщений или информации о банковском счете жертвы и подобные другие атаки. USSD используются для получения инфы к примеру банка . Счет жертвы может быть незаконно присвоен к примеру.
Так же есть DOS атаки 💣
Основным мотивом DOS является отказ в предоставлении услуг определенному абоненту.
Когда пользователь получает информацию о новое местоположение и регистрируется в последнем MSC/VLR, он сначала делает запрос на обновление MAP в HLR. После проверки полученного HLR выдает команду ISD новому MSC/VLR и DSD ,CL а так же нашему старым MSC/VLR .
Делая подобное, злоумышленник может изменить разрешенные услуги жертвы, например, запретить абоненту совершать телефонные звонки, отправлять SMS, или вообще удалить его из подключенного VLR абонента.
Это кажется не таким вредным, но может помочь более сложным атакам после 🫥
Так же не редкость какие-либо атаки по местоположению.
Злоумышленник может использовать либо MAP и ATI либо запросы сообщений PSI для отслеживания лактации.
Теперь поговрим про 4g или LTE 🔑
Все еще существуют некоторые уязвимости и проблемы в системе безопасности LTE, в частности на уровне MAC.
Плоская IP-архитектура сетей 3GPP LTE приводит к увеличению рисков безопасности, таких как уязвимость к атакам внедрения, модификации, подслушивания(типо тех атак, что были описаны выше).
Установлено, что архитектура LTE более уязвима к традиционным вредоносным атакам, таких как подмена IP-адреса, DoS-атаки, вирусы, черви, спам-письма и звонки, и так далее. 🩸
Есть еще несколько потенциальных слабостей, вызванных базовыми станциями, существующими в системах LTE.
Сеть all-IP предоставляет злоумышленникам прямой путь к базовым станциям.
Поскольку MME управляет многочисленными eNBs в плоской архитектуре LTE. Как только противник компрометирует базовую станцию, он может подвергнуть опасности всю сеть из-за IP-природы сетей LTE.
Более того, из-за внедрения небольших и недорогих базовых станций, HeNBs, которые легко получить злоумышленнику, он может таким образом создать свою собственную неавторизованную версию.
Используя неавторизованную базовую станцию, злоумышленник может выдать себя за настоящую базовую станцию, чтобы переманить законного пользователя. Кроме того, он может замаскировать легитимного пользователя для установления соединения с подлинной базовой станцией.
Архитектура LTE может породить некоторые новые проблемы в процедурах аутентификации при переходе.
Из-за внедрения простой базовой станции, HeNB, существует несколько различных сценариев мобильности в сетях LTE, когда UE перемещается от eNB/HeNB к новой HeNB/eNB.
В EPS AKA отсутствует защита конфиденциальности .
Существует множество случаев, приводящих к раскрытию IMSI.
Например, когда UE регистрируется в сети в первый раз или с текущим MME невозможно связаться, или IMSI не может быть получен из-за возможного сбоя синхронизации при роуминге к новому MME, текущий MME или новый
MME запрашивает IMSI UE, и таким образом, UE должно передать IMSI в открытом виде.
Раскрытие IMSI может повлечь за собой серьезные проблемы с безопасностью , доходя даже до перехвата смс.
Как только IMSI будет получен, злоумышленник может получить информацию об абоненте, местоположении и даже информацию о разговоре, а затем замаскировать настоящий UE и запустить другие атаки, такие как DoS-атаки, чтобы разрушить сеть.
Пример различных атак:
Отслеживание на основе C-RNTI
Поскольку C-RNTI в управляющем сигнале L1 можно прочитать, злоумышленник может узнать, продолжает ли UE использовать C-RNTI.
Он может узнать, находится ли UE, использующее C-RNTI, все еще, в той же соте или нет, а также может связать C-RNTI и соответствующие сообщения, если они не зашифрованы.
Использование одной и той же CRNTI в пределах одной соты, предоставляет информацию о присутствии UE для злоумышленника.
Если он может сопоставить сигнализацию с услугами, где идентификатор пользователя виден, он может сопоставить идентификационные данные на уровне соты с идентификационными данными на уровне услуг пользователя. В процессе хэндовера новый CRNTI назначается UE с помощью команды хэндовера.
Это означает, что злоумышленник может связать новый C-RNTI в сообщении Handover Command и старый C-RNTI в управляющем сигнале L1, если только само назначение C-RNTI не защищено конфиденциальностью. Это позволяет отслеживать UE в нескольких сотах.
Идентификация сообщений на основе небольших различий в длине сообщений не является очевидной атакой , да и провести ее сложновато и может даже невозможно💧 . Тем не мнение я решила упомянуть это 🙃🧩
Атака на ложный отчет о состоянии буфера 🍩
Отчет о состоянии буфера используется в качестве входной информации для алгоритмов планирования пакетов, распределения нагрузки и управления допуском.
Злоумышленник может изменить поведение этих алгоритмов, отправляя ложные отчеты о состоянии буфера от имени другого нормального UE.
Хотя влияние этой угрозы зависит от алгоритмов реализации, можно проиллюстрировать несколько возможных атак.
Первая атака заключается в краже пропускной способности путем изменения поведения планирования пакетов.
Используя C-RNTI другого UE, атакующий может отправлять отчеты о состоянии буфера от имени других UE. Это может заставить сеть поверить, что другим UE нечего передавать (буферы пусты). В результате алгоритм планирования пакетов в eNB не выделяет/меньше ресурсов этим другим UE, а больше ресурсов выделяет злонамеренному UE .
Вторая атака заключается в изменении поведение алгоритмов балансировки нагрузки/контроля доступа в eNBs.
От имени реальных UE атакующий утверждает, что у них больше данных в буферах отправки, чем на самом деле буферизовано в них.
Множество таких отчетов о состоянии буфера от различных UEs, заставляют сеть поверить, что существует нагрузка на этой ячейке.
Следовательно, новые прибывающие UE не могут быть приняты этой ячейкой.
Эти виды атак трудно обнаружить , они снижают пропускную способность/возможности системы.
Атака может даже считаться более вредной, чем глушения, поскольку для ее выполнения требуется меньше энергии.
Но на практике злонамеренному UE(или злоумышленику) трудно осуществить такую атаку.
Когда UE общается с обслуживающей его eNB, поддельный отчет буфера будет сталкиваться с пакетом от нормального UE.
Но, как обсуждалось выше, злоумышленник может внедрить поддельный отчет о состоянии буфера когда UE входит в длительный период DRX. Этот отчет не вызовет никакого конфликта с управляющим сигналом от обычного UE.
Еще пример атаки другой⚡️
Если плоскость пользователя (RLC, PDCP) или плоскость управления (RRC, NAS) номера последовательности пакетов непрерывны до и после хэндовера, злоумышленник может угадать отображение между старыми и новыми C-RNTI, основываясь на непрерывности номеров последовательности пакетов.
Чем больше битов используется для номера последовательности на радиоканале, тем выше вероятность эного.
Это особенно актуально для EUTRAN и подобных сетей с высокой пропускной способностью ,поскольку порядковый номер должен быть длиннее для правильной работы ARQ.
Этот тип отслеживания UE также применим к переходам состояния между холостым и активным, если конечно номера последовательности сохраняются непрерывными.
Злоумышленник радиоканала может отслеживать UE на основе непрерывных порядковых номеров пакетов в потоках пакетов.
Эта атака представляется особенно интересной для E-UTRAN, поскольку UE будут находиться в активном состоянии в течение длительных периодов времени.
Также ожидается, что UE будут получать больше пакетов из сети в E-UTRAN, чем например в UTRAN.
Это была теоретическая часть серии посто про ss7 для того чтобы вы понимали какие бывают атаки ,и как они работают . В бедующем я расскажу про более практическое применение этого.📱📡
Для более подробных матерьялов об атаках , архитектуре защиты , и многое другое смотре статьи в архиве ниже:
🇬🇧
[ 👇 a quick introduction for novices ]
GPRS offers a "packet-switched" data service. Services with PS usually only occupy a connection cell when they actually have something to send or receive (messages, calls, etc). This makes it well suited for transmitting data traffic. Most data applications - web browsing, email, etc, have data to be exchanged only periodically(packets).
But roughly speaking, the term "GPRS" (and the related term "EDGE") refers only to mobile data service provided in 2G networks.
In 3G, 4G, and 5G networks, this service is called simply "mobile data" or "packet-switched data," but the term "GPRS" has caught on and is mistakenly used as a generic term for all mobile data services.
In the following text, the terms "GPRS" and "PS data networks" will be used to refer to all generations of mobile network 🙃
2G GPRS data services use the same radio channels, cells, and access networks as GSM 2G voice services.
GSM increases the capacity of its radio channels by separating each into a set of 8 "timeslots" - up to 8 telephones using the same radio channel simultaneously, each of which periodically transmits/receives small amounts of data into its own timeslot in a strict sequence.
The BSC in 2G handles traffic received in the "voice" and "data" time slots differently, redirecting voice traffic to the CS core network and data traffic to the PS of the core network.
3G/4G/5G radio channels do not use timeslots, but do share the resources of the connections they use. The generic terms "connections" or "sessions" will used to describe the PS data connections used by all network generations.
The core PS 2G/3G network consists of two basic elements known as the SGSN and GGSN. The SGSN communicates with the access network and manages the exchange of data packets with mobile devices.
The SGSN receives requests to establish a data session from mobile devices and forwards them to the GGSN. Once the session is activated, the SGSN transmits data packets both upstream and downstream and keeps a count of the amount of data sent and received. The SGSN also periodically receives the cell information that each active mobile device is currently using and takes note of any changes to the cell or routing area.
The GGSN is essentially a router that communicates with external networks, such as the Internet.
Each GGSN can connect to multiple external networks and includes a logical element, known as an APN element, to perform the duties of communicating with each specific external network. 😶🌫️
The name assigned to an APN usually reflects the network or service to which it connects, so typical APNs are 'Internet', 'MMS' and 'ims'. The SGSN and GGSN generate CDRs for each data session and transmit them to the network.
The 4G PS core network uses devices similar to the SGSN/GGSN, which are called S-GW and P-GW . Connection control and subscriber management in 4G networks is done with MME . Billing data for 4G data sessions are generated in S-GW and P-GW.
5G networks use similar mobile data processing methods as 4G networks, although the names of network nodes have changed again: instead of packet data processing node types, the 5G network has only one type of device known as UPF . Connections and subscribers are managed by a node known as AMF (Access and Mobility Management Function). Billing data is generated in the UPF.
Voice and text events usually have a very clear temporal identity, in the sense that there is from the start time to the end time of the voice call and the transmission time or delivery time of the text event. The call records for SMS events identify the cell ID that was used to transmit the text message.
SMS transmission usually takes only a few tens of milliseconds, there is no mechanism to allow switching during an SMS event, so SMS records usually only specify the identifier of the "start" cell.
In the case of both voice and SMS events, cell site analysts can be absolutely certain that the target phone was within coverage of the listed cells at the time the event began and (in the case of voice records) at the time the event began and at the time it ended. 👌
Thus, from the cell site reports, it can be concluded with respect to the cell serving the important location that the use of that cell is consistent with the possibility that the target phone may have been "in" that location GPRS/PS data CDRs may be much less certain about the correlation of their timestamps and starting cells, and therefore potentially less valuable in terms of the evidence about the cell site that they can provide.
A new GPRS/PS data CDR opens when the mobile device establishes a new logical session with the data network Internet📡 for example, there each new session is assigned a separate identifier.
Separate CDRs are generated by the SGSN/S-GW and GGSN/P-GW nodes.
Articles about forensics, data collection from mobile operators, about the operation of the mobile network and about the loyalty of the collection of private information by the operator. And also a lot of other interesting things. I hope you find it useful.
Yes many people say "ss7 is obsolete" although in practice it is used all quite often.
Especially in cis countries, however, not only them. The global SS7 market is projected to reach $597 million by 2028, up from $531.2 million in 2021 at a compound annual growth rate of 1.7% from 2022 to 2028.
And it's still in its prime (so to speak) , in many regions of Europe, even in Asia.
Here is a more detailed article about the ss7 market: link
For this reason it would be reasonable to talk about his vulnerabilities, especially the IMSI hijacking and dos attacks. 🎯
Now we should talk about the attack itself on its vulnerabilities
The first thing I want to talk about is something like eavesdropping 👂
For the attacker can eavesdrop on the subscriber's data, send/change text messages to the victim, acting like a MiTM . The victim is completely unaware of the attack, in short (more details will be in one of the articles below in the archive) and in a post in the aftermath .
The attacker establishes a bridge between the two callers and routes all calls to his monitoring system. This uses MAP messages and the call forwarding feature.
The target user is usually unaware of this attack. And the attacker can route the victim's calls to the monitoring system at the level of MAP messages SS7.
One reason for this, is the lack of encryption on the network which is "handy" for these attacks.
Then there are attacks where the attack is performed with the MSC. The goal is to obtain text messages or bank account information from the victim and other similar attacks. USSDs are used to obtain information about a bank for example. The account of the victim can be misappropriated for example.
There are also DOS attacks 💣
The main motive of DOS is to deny service to a certain subscriber.
When a user receives information about a new location and registers in the last MSC/VLR, it first makes a request to update the MAP in the HLR. After checking the received HLR gives ISD command to the new MSC/VLR and DSD, CL as well as to our old MSC/VLR.
By doing this, the attacker can change the allowed services of the victim, for example, prohibit the subscriber to make phone calls, send SMS, or even remove him from the connected VLR subscriber.
This does not seem as damaging, but can help more sophisticated attacks afterwards. 🫥
Location-based attacks are also not uncommon.
An attacker can use either MAP and ATI or PSI message requests to track location.
Now let's talk about 4g or LTE 🔑
There are still some vulnerabilities and issues in LTE security, particularly at the MAC level.
The flat IP architecture of 3GPP LTE networks leads to increased security risks such as vulnerability to infiltration, modification, eavesdropping attacks (like the attacks described above).
The LTE architecture has been found to be more vulnerable to traditional malicious attacks such as IP spoofing, DoS attacks, viruses, worms, spam emails and calls, and so on. 🩸
There are several other potential weaknesses caused by the base stations that exist in LTE systems.
The all-IP network gives attackers a direct path to the base stations.
Since the MME manages numerous eNBs in the flat LTE architecture. Once an adversary compromises a base station, it can expose the entire network because of the IP nature of LTE networks.
Moreover, because of the introduction of small and inexpensive base stations, HeNBs, which are easy for an attacker to obtain, he can thus create his own rogue version.
Using a rogue base station, the attacker can impersonate a real base station in order to poach a legitimate user. He can also disguise a legitimate user to establish a connection with a genuine base station.
The LTE architecture may create some new problems in the authentication procedures for switching.
Because of the introduction of a simple base station, HeNB, there are several different mobility scenarios in LTE networks when a UE moves from an eNB/HeNB to a new HeNB/eNB.
There is no privacy protection in EPS AKA .
There are many instances that lead to IMSI disclosure.
For example, when a UE registers on the network for the first time, or the current MME cannot be contacted, or the IMSI cannot be obtained due to a possible synchronization failure while roaming to the new MME, the current MME or new MME requests the IMSI of the UE, and thus the UE must transmit the IMSI in plaintext.
Disclosure of the IMSI can lead to serious security problems, going as far as texting interception.
Once the IMSI is obtained, an attacker can get the subscriber, location, and even conversation information, and then disguise the real UE and launch other attacks, such as DoS attacks, to destroy the network.
Example of different attacks:
C-RNTI-based tracking.
Since the C-RNTI in the L1 control signal can be read, an attacker can find out if the UE continues to use C-RNTI.
He can find out whether the UE using the C-RNTI is still in the same cell or not, and can also associate the C-RNTI and the corresponding messages if they are not encrypted.
Using the same CRNTI within the same cell, provides information about the presence of the UE to an attacker.
If he can map the signaling to services where the user ID is visible, he can map the identity at the cellular level to the identity at the user's service level. During the handover process, a new CRNTI is assigned to the UE using the handover command.
This means that an attacker can associate the new C-RNTI in the Handover Command message and the old C-RNTI in the L1 control signal, unless the C-RNTI assignment itself is privacy-protected. This allows UEs to be tracked across multiple cells.
Message identification based on small differences in message lengths is not an obvious attack, and it is difficult and maybe even impossible💧 . Nevertheless, I decided to mention it 🙃🧩
Attack on false buffer status report 🍩
The buffer state report is used as input to the packet scheduling, load balancing, and tolerance management algorithms.
An attacker can modify the behavior of these algorithms by sending false buffer state reports on behalf of another normal UE.
Although the impact of this threat depends on the implementation algorithms, several possible attacks can be illustrated.
The first attack is to steal bandwidth by changing the packet scheduling behavior.
Using the C-RNTI of another UE, the attacker can send buffer status reports on behalf of other UEs. This can make the network believe that the other UEs have nothing to transmit (buffers are empty). As a result, the packet scheduling algorithm in eNB does not allocate/allocate less resources to these other UEs, but allocates more resources to the malicious UE .
The second attack is to change the behavior of load balancing/access control algorithms in eNBs.
On behalf of real UEs, the attacker claims that they have more data in their sending buffers than is actually buffered in them.
Multiple such buffer status reports from various UEs, lead the network to believe that there is a load on that cell.
Consequently, new incoming UEs cannot be accepted by this cell.
These types of attacks are difficult to detect , they reduce the throughput/capacity of the system.
The attack may even be considered more harmful than jamming, since it requires less energy to perform. 💥
But in practice, it is difficult for a malicious UE(or a malicious user) to execute such an attack.
When a UE communicates with the eNB serving it, a fake buffer report will collide with a packet from a normal UE.
But, as discussed above, an attacker can inject a fake buffer report when the UE enters a long DRX period. This report would not cause any conflict with the control signal from the normal UE.
Another example of a different attack⚡️
If the user plane (RLC, PDCP) or control plane (RRC, NAS) packet sequence numbers are continuous before and after handover, an attacker can guess the mapping between old and new C-RNTIs based on the continuity of packet sequence numbers.
The more bits used for the sequence number on the radio channel, the higher the probability of an enogo.
This is especially true for EUTRAN and similar high bandwidth networks since the sequence number must be longer for ARQ to work properly.
This type of UE tracking is also applicable to state transitions between idle and active, as long as the sequence numbers are kept continuous of course.
A radio link attacker can track UEs based on continuous sequence numbers of packets in packet streams.
This attack seems particularly interesting for E-UTRAN because UEs will be active for long periods of time.
It is also expected that UEs will receive more packets from the network in E-UTRAN than in UTRAN, for example.
This was just a theoretical part of the ss7 series to give you an idea about the attacks and how they work. In the future I will describe more practical applications.
For more details about the attacks, defense architecture, and more, read the articles attached below: