台湾海军无线电通信分析

    本文仅限用于技术分享

  

    频率为14360KHz 短波LSB的录制信号中，发现了一个有趣的信号。经过使用俄罗斯著名的信号分析软件进行分析，该信号经过3次握手建立逻辑链路，通过188-110A调制解调器进行半双工数据传输，使用ARQ消息返回确认实现可靠的数据通信，每个188-110段持续15秒，ACK确认延迟为1500毫秒，往返时间为19.8秒。

    链接建立过程中，有时会使用特殊的AMD消息来触发188-110A数据传输，但其他类型的文件会在没有这些先前命令的情况下发送。除了普通的ALE 呼叫和探测之外，电台还经常交换AMD字符串，推测可能是基于字典的通信。

一、协议分析 

 

    去除188-110A 的解析后出现的数据链路协议具有127字节或1016位的特征的数据包长度，是DATRON公司开发的专有数据链路协议名为DatronLINK，为短波电子邮件系统的一部分。数据流由两种不同类型的数据包组成；注意前两个发射帧和第4个（第3个是“特殊”发射帧）的数据包数量之间存在1:2的比例，尽管它们具有相同的符号率和相同的持续时间：原因是前两个发射帧被调制在300bps下，以下具有双倍速率调制 (600bps)，然后允许8个数据包位置。

    为了解其格式和内容，对比特流的分析和对数据链路协议进行一些逆向。从前两个发射帧开始

 第1字节：该字段的值始终为0x01，可能表示数据包的类型（数据或ARQ）

 第2字节：源/目的 地址字段。不同的信号强度和衰落模式表明，当段 1 由主叫发送时，段2由被叫节点发送，因此字段内容的交替是根据目标和源之间的地址切换。无法推断是源地址还是目标地址。由于它的长度，最多寻址255个节点，也就是说最多只能有255个终端。

第3字节: 不知道这个字段的意思，我只能看到最右边的四位表示为dtg分别在段 1,2,3 和 4 中的值是 1,2,3 所以它可以引用数字来自上层应用程序的数据报。

第4-5字节 ：Sequence Number字段是一个16位的字段，指的是来自上层应用的数据报中数据段所占据的位置，其值以升序来表示。

第6字节：数据包编号（或数据包索引) 字段是数据包在发射帧中的序号位置，以降序表示，数据包编号 = 0 表示数据包占据发射帧中的最后位置。我认为通过按降序对数据包进行编号，接收节点将知道当前发射帧由多少个数据包组成。

第7-121字节：数据段字段。如果数据段的长度小于 115 字节（因为它包括数据报的最后一个数据字节），则将一系列空数据字节（值为零）附加到数据段以将其长度扩展到 115。

第122-125字节：32 位循环冗余校验(CRC)
第126字节：该字段的值始终为 0x80，作为第一个字段，但顺序相反

第127字节 ：（见第二个）地址字段。如上所述，该字段在流量沿两个方向流动的分段 1,2 中不断交替。如果两个字段之一是源地址，另一个是目标地址。

假设只发送 2 个数据包（序列号 0,1），发送器用已经存在于当前发射帧中的重复数据包填充剩余数据包位置，接收节点将检查接收到的每个数据包的序列号有没有错误，并使用序列号来识别和丢弃重复的数据包。

    鉴于它们的双倍数据速率（600bps），段 3,4 允许每个发射帧有 8 个数据包位置，除了仅包含两个数据包的第 3 个发射帧。但是必须注意，数据速率仅在第 3 段发生变化（从300bps 到600bps），因此发送器很可能使用“特殊”的俩包发射帧来测试新模式的可行性。这也意味着数据链路程序控制着188-110调制解调器。

与发射帧1,2 中发生的情况相反，第二个字段（源/目的地址）的内容不会改变，因为这些发射帧是由同一个节点发送的。“Sequence Number”和“Packet Number”字段不需要进一步注释，它们的功能在发射帧3,4中很清楚。

如上所述，发送器添加重复数据包以填充发射帧允许的所有数据包位置（即 600bps 段中的 8 个可用位置）

也就是说，数据链路协议的格式和内容应该如下：

二、ARQ分析

       分析一下接收方实际接收到的方式是很有必要的：这可以通过分析用于在接收方和接收方之间传输确认的ARQ数据包来确认发送节点。ARQ 数据包的结构长度为 45 字节，对应360位或120个8-PSK 三位符号，因此当以2400 波特的符号速率调制时，每个ARQ数据包需要50毫秒的传输时间（空中数据包持续时间为1700 毫秒）。

ARQ数据包的格式和内容可以通过将四个解调流连接起来推导出来，虽然不知道结构，但仍然可以识别和描述一些字段：

type：可能是将该PDU标识为ACK PDU 的“协议字段”
源/目的地址：两个字段，每个字段由发送和接收节点的 8 位地址组成
dtg：标识正在确认的数据报；选择性致谢：以ACK位掩码的形式，其中包含一个ACK位，用于可以在发射帧中接收的每个数据包（32 位 = 32发射帧，在单个188-110 段中以2400 bps 发送）。每个位表示“dtg”数据报的对应包（即对应的数据段）是否被正确接收；ACK=1表示成功接收；NAK =0表示未成功接收。实际上，四个选择性确认字段中 1 的数量与对应的四个发射帧（即：4、4、2、8）中发送的数据包数量相匹配。
CRC：32位循环冗余校验

字段：源/目的地址、dtg 和ACK bit-mask 之间存在的关系如下图所示：

3.消息分析

    

    从比特流来寻找有意义的东西，我发现必须以相反的顺序读取数据段，类似于电脑的大小端：ZLIB 头0x78DA和文件名自动出现。

发射帧1、2 中的压缩数据段由文件SADLW59957835.TXS和SJJES122502203.TXS 组成：文件名包含传输中涉及的节点的 ALE 呼号，后跟一个 8或者9 位数字，该数字以及扩展名“.TXS”。在解压之后，文件的内容为 F59678430.MSG size？ 和 C 59678430.MSG  

根据当前分析，数据传输的前两个发射帧始终遵循相同的范例，推测这是一种简单的协商，例如“准备发送消息ID”，然后是“准备接收消息的ID ”，这样接收节点知道将在随后的发射帧中发送什么。

正如假设的一样，在发射帧 3、4 内发送的重组数据段由 ZLIB 压缩文件59678430.MSG 组成。一旦解压缩，消息的标题和正文会提供有趣的见解和信息。

消息 ID标头

<001001d85407$ffb3b020$0100007f@s0v7n0>报告主机域/名称s0v7n0：这是创建被观察消息的主机，From和To标题“DatronLINK - SADLW”<[email protected]>和“DatronLINK - SJJES”<[email protected]> 表明是使用的 HF 电子邮件应用程序DatronLINK，该程序由 Datron 开发的功能强大的应用程序，旨在自动发送消息和通过无线电链接传输文件 (1)，很可能电子邮件域 radio.mail 是应用程序提供的默认名称。该域显然不适合出站消息，因此网关功能必须由应用程序提供。 

References标头< 1E084D883DFC47E2A5AA8429E352B4D7@RT7000PC1 > 表示该消息是对前一个（或转发的）的回复，也由“--- Original Message ---”字符串的存在表示。请注意主机域/名称RT7000PC1，它表示PC1主机，几乎可以肯定是连接在Datron RT7000电台上。

主题：header = ?big5?B?UmU6ILGhuOogwuC1b8SlvtSrSKTl?= 

根据 RFC 2047 MIME，字符串必须解析为：=? <charset> ? <encoding> ? <coded text> ?=

where:
charset = big5
encoding = B (BASE64)
coded text = UmU6ILGhuOogwuC1b8SlvtSrSKTl

big5，也表示在charset属性中，是台湾、香港、澳门地区用于繁体的汉字编码方式汉字，使用CyberChef工具和谷歌翻译简单处理了编码文本“UmU6ILGhuOogwuC1b8SlvtSrSKTl”：

第一步，从Base64 转换
UmU6ILGhuOogwuC1b8SlvtSrSKTl  →  Re: ±¡¸ê ÂàµoÄ¥¾Ô«H¤å
 
第二步，解码到big5

Re: ±¡¸ê µoÄ¥¾Ô«H¤å  →  Re: 情资转向舰战信文

终于看到惊喜了。

X-Mailer标头显示用户运行的是基于Windows的 PC 和 Microsoft Outlook Express，构建版本为 6.00.2800.1106，date: and sent: headers Wed, 20 Apr 20 00:10:33 +0800 和Tuesday, April 19, 2022 11:53 PM表示消息传输发生在当地时间晚上，即使发送方和接收方计算机可能具有不同的设置。UTC 为+0800 和字符集Big5对于确定位置范围有非常大的帮助，主题：”原始消息”的标题和正文包含难以理解的 ASCII 字符，按照 big5 字符集的规定，这些字符必须用汉字编码：

如上，将中文字符串： 
情資 轉發艦戰信文收悉請回覆級職姓名及QSL
FM 532 值機員 電信士官長 李春賢
 
翻译成简体中文是：

情报信息 转发舰战信文收悉请回复级职姓名及QSL
FM 532 值机员 电信士官长 李春贤

大概意思是：情报信息转发舰战函收到，请回复军衔名称和QSL（QSL在无线电术语中是通联的意思）
FM 532 值机员 电信士官长 李春贤

因为“军舰”一词，让人联想到“海军”电子邮件流量；FM 532出现在父消息的签名中，可能是军舰的编号，而李春贤应该是消息发送者的名字。

四、谁在使用

    接着做了一些简单的社工，寻找收集到的信息关键词之间的关系，最终结果都指向了台湾海军。以下是来自“台湾国防部”和“台湾海军技术学校”的两份文件，确认台湾海军使用了Datron RT7000系统，并且根据公开信息来看，台湾军队中拥有近200台的该设备，网络媒体曾曝光军队中该系统的检测数据造假丑闻。

    并没有查到关于李春贤的具体信息，根据消息来判断应该是通信士官长的军衔。FM 532也一样，因为它可能是操作员代码或者是军舰的编号，如果是军舰编号的话，台湾海军的磐石号快速战斗补给舰的编号刚好是532，当然这只是猜测。

5. 总结

    台湾海军使用 Datron RT7000电台和“DatronLINK” 系统进行短波电子邮件通信或者是训练教学。军用标准188-110A和188-141A分别用作短波波形和2G链路建立。电子邮件消息使用基于127字节长度数据包和ZLIB压缩的Datron专有ARQ数据链路协议进行转发，用户数据字节以向后顺序发送。这些设备使用5个字母的呼号，有时缩短为3个，都以相同的字母开头。使用的电子邮件程序与Outlook Express 兼容并在基于Windows的电脑上运行。

    

    感谢俄罗斯作者开发的伟大信号分析软件，到目前为止感觉是最好用的未知信号分析工具，充分发挥了俄罗斯人数学强的优势，可惜的是从朋友那里听说作者已经去世多年，在此表示惋惜。

原文始发于微信公众号（卫星黑客）：台湾海军无线电通信分析