在数据链路层（也就是网络协议的第二层）上对移动通信标准 LTE（Long-Term Evolution 也就是我们常说的 4G）的安全分析发现额三种新型攻击媒介，可以对这个协议进行不同方式攻击。

介绍两种被动攻击方式，分别是身份映射攻击和执行网站指纹识别的方法。另一方面，提出了一种叫做aLTEr的劫持密码的攻击，涉及的原理是因为 LTE 标准中的规范缺陷导致的，攻击者可以通过执行 DNS 欺骗来重定向网络连接。

1、攻击的后果

1.1、攻击的难度如何？

我们在实验室通过使用实验装置进行了测试攻击，是否成功取决于特殊的硬件设备以及受控制的环境。这个攻击在实际的 LTE 环境中不容易实现，通过一些工程上的努力，在实际环境也是可以利用的。

1.2、能做什么？

我们之前提出了三个单独的攻击：获取小区里用户的身份信息、了解用户访问哪些网站、执行重定向攻击劫持用户网络连接。

1.3、我会被攻击吗？

理论上有可能，但是不要期望过高，因为这个攻击成本和难度很高，所以一般对一些敏感人物会更加感兴趣（例如政治家、记者等）。

1.4、这个攻击谁应该知道？

在发布这个项目之前我们通知了相关的机构，如 GSM 协会（GSMA）、第三代计划合作伙伴（3GPP）和电信公司进行负责任的披露。

2、数据链路层（LTE）

LTE 是定义网络功能协议规范的一个复杂集合。通常有两种类型的流量，一种是控制流量一种是用户流量。控制流量对用户流量的发送和接收进行控制，而用户流量即为实际内容载荷。

LTE 规范的第二层即数据链路层位于物理信道上面，它只要维护用户和网络之间的无线信息传输。第二层的主要功能是控制多个用户如何访问网络资源、帮助纠正传输错误并且对传输的数据进行加密保护。

3、安全机制

LTE 为了提供安全传输使用了多种安全机制。当 Bob 的电话连接到网络时，它需要建立相互认证并导出共享密钥。相互认证的意思就是网络和电话可以分别验证合作伙伴的身份，这个通信过程中，派生密钥用于加密控制流量和用户流量。尽管存在这些安全机制，通过主动和被动攻击可以查看 Bob 访问了哪些网站，甚至可以将它重定向到一个虚假的网站。

4、被动攻击

什么是被动攻击？

在被动攻击中不会干扰网络的正常连接，只能通过窃听的手段获取流量中的数据。窃听者 Eve 通过在 Bob 附近部署一个嗅探设备来实现这一点。因此，她可以访问 Bob 发送给网络以及从网络接收到的所有信息。尽管数据链路层的数据都是经过加密保护的，攻击者仍然可以获得在通信过程中的元数据（例如：数据传输的时间和频率）。

5、网站指纹

数据链路层的元信息可以泄露关于单位时间数据消耗的信息。当 Bob 观看视频时的流量肯定比他访问简单的网站大。作为攻击的前奏，Eve 可以记录访问一些常见网站时的数据链路层的元信息特征（也就是网站指纹），在她窃听到一些元信息之后，根据网站指纹去匹配，有比较大的概率可以知道目标访问了哪个网站。

6、主动攻击：aLTEr

在主动攻击中，攻击者通过模拟合法的网络或用户设备向网络或设备发送信号。在我们的实验中，攻击者可以同时拦截并重放 Bob 和网络之间传输的所有数据。在 Bob 眼中，所有的访问都是正常的，不会有任何明显的异常。

7、用户数据重定向

LTE 是在数据链路层以上的层使用相互认证来防止 Bob 的手机连接到假的网络。攻击者可以转发高层的消息到不受保护的低层。用户数据重定向攻击的核心就是利用用户数据不受完整性保护。如果攻击者知道原始的明文，即使数据包是加密的，攻击者也可以修改数据包的内容。对于 DNS 数据包，我们知道原始 DNS 服务器的地址，攻击者可以通过添加特定的偏移量，将 DNS 重定向到攻击者可控制的 DNS 服务器。

更技术的说法：用户数据是以数学模式（AES-CTR）加密，其中加密算法用作密钥流生成器，密文是通过密钥流和明文进行 XOR 运算来计算。

8、DNS 欺骗

恶意的 DNS 服务器执行 DNS 欺骗，将正常的域名解析到恶意的 IP 地址。手机在访问一个网站的时候，实际访问的就是攻击者指定的恶意网站。DNS 欺骗是互联网上常见的攻击，在攻击者控制 DNS 服务器的下一跳即可发动攻击。跟用户数据重定向攻击相比，攻击者只需要靠近受害者即可执行此类攻击。