Hi,
sorry, aber eine Firewall für einen RACH (Random Access Channel in
GSM) kann es gar nicht geben: der Random Access Burst ist die erste
Meldung eines GSM-Endgerätes, die geschickt wird um eine Verbindung
(Registrierung, Aufbau eines Gesprächs, SMS, Notruf...) zu
verschicken. Der einzige Inhalt dieser RACH-Preamble ist eine
3-bit-Zufallszahl.
An dieser Stelle gibt es also noch keine Chance zu erkennen, ob es
sich um eine DOS-Attacke handelt oder einen regulären Teilnehmer.
Längere Datensätze können noch gar nicht übertragen werden, da noch
zB. kein Timing Advance ausgehandelt wurde. So kann in diesem frühen
Stadium des Gesprächsaufbaus auch noch gar nicht unterschieden
werden, ob es sich unter Umständen um einen zu priorisierenden Notruf
handeln würde oder nicht.. Dazu müsste der erste RACH-Burst erst auf
dem AGCH (Access Grant Channel) beantwortet werden - erst danach gibt
es so etwas wie eine Service Indication. Dadurch, dass jeder einzelne
RACH-Burst wegen der möglichen Kollision mit anderen Teilnehmern mit
einer neuen Zufallszahl generiert wird, ist das Zurückverfolgen auf
ein einzelnes Endgerät in einem so frühen Stadium unmöglich.
Übrigens ist die Erkenntnis ne alte Wurst.... nur halt interessant,
das mal jemand ein Stückchen Skript geschrieben hat um das ganze zu
automatisieren. Den gleichen Effekt des Überlaufes kann man übrigens
wieder groß angelegt am 31.12. ab ca. 23:59 beobachten... technisch
ist das auch nur eine Flutung mit RACH-Preamles, wenn alle Leute die
Prost-Neujahr-SMS verschickten wollen.
PN
sorry, aber eine Firewall für einen RACH (Random Access Channel in
GSM) kann es gar nicht geben: der Random Access Burst ist die erste
Meldung eines GSM-Endgerätes, die geschickt wird um eine Verbindung
(Registrierung, Aufbau eines Gesprächs, SMS, Notruf...) zu
verschicken. Der einzige Inhalt dieser RACH-Preamble ist eine
3-bit-Zufallszahl.
An dieser Stelle gibt es also noch keine Chance zu erkennen, ob es
sich um eine DOS-Attacke handelt oder einen regulären Teilnehmer.
Längere Datensätze können noch gar nicht übertragen werden, da noch
zB. kein Timing Advance ausgehandelt wurde. So kann in diesem frühen
Stadium des Gesprächsaufbaus auch noch gar nicht unterschieden
werden, ob es sich unter Umständen um einen zu priorisierenden Notruf
handeln würde oder nicht.. Dazu müsste der erste RACH-Burst erst auf
dem AGCH (Access Grant Channel) beantwortet werden - erst danach gibt
es so etwas wie eine Service Indication. Dadurch, dass jeder einzelne
RACH-Burst wegen der möglichen Kollision mit anderen Teilnehmern mit
einer neuen Zufallszahl generiert wird, ist das Zurückverfolgen auf
ein einzelnes Endgerät in einem so frühen Stadium unmöglich.
Übrigens ist die Erkenntnis ne alte Wurst.... nur halt interessant,
das mal jemand ein Stückchen Skript geschrieben hat um das ganze zu
automatisieren. Den gleichen Effekt des Überlaufes kann man übrigens
wieder groß angelegt am 31.12. ab ca. 23:59 beobachten... technisch
ist das auch nur eine Flutung mit RACH-Preamles, wenn alle Leute die
Prost-Neujahr-SMS verschickten wollen.
PN