SDR-оборудование для пентестинга: выбор и практическое применение
Классические инструменты для тестов на проникновение останавливаются на цифровом уровне (L2/L3 модели OSI - Ethernet, IP, транспорт). Протоколы такие как 802.11, Bluetooth или сотовые сети имеют свой физический уровень, который обычные сетевые карты просто не открывают. SDR (Software Defined Radio, то есть программно-определяемое радио) меняет эту ситуацию: вместо оборудования, выделенного под один протокол, вы получаете широкополосный приёмник и полный контроль над обработкой сигнала. RF intelligence через широкополосный мониторинг с GNU Radio на оборудовании вроде HackRF Pro открывает поверхность атаки, которую SIEM никогда не залогирует. В этой статье вы найдёте критерии выбора SDR-оборудования, обзор конкретных устройств и практическое сравнение для RF-аудитов.
Содержание
Ключевые выводы
| Пункт | Подробности |
|---|---|
| Выбор оборудования по цели | Подберите SDR, анализируя диапазон частот, sample rate и совместимость с программным обеспечением. |
| SDR показывает больше, чем SIEM | Пентест с SDR позволяет обнаружить аномалии и атаки на уровне RF, невидимые в классических инструментах. |
| Реальные кейсы | Rayhunter обнаруживает cell-site simulator, анализируя QMDL из сотового модема, а HackRF Pro с GNU Radio позволяет аудитировать RF-протоколы (IoT 433/868 МГц, keyless entry). |
| Профессиональный workflow от спектра к атаке | Сначала постройте baseline RF-спектра - только потом переходите к активным попыткам атаки. |
Как выбрать SDR-оборудование для радиопентестинга
Выбор SDR-оборудования для пентестинга - это не только вопрос бюджета. Каждое устройство имеет разные параметры, которые напрямую влияют на то, что вы сможете наблюдать и тестировать в полевых условиях.
Поддерживаемый диапазон частот
Диапазон частот - это первый фильтр при выборе оборудования. Дешёвые приёмники на чипе RTL2832U обычно работают в диапазоне от 500 кГц до 1,7 ГГц, что охватывает большинство применений: FM, ADS-B, ISM-сигналы 433/868 МГц, GSM 900/1800. Устройства профессионального класса, такие как HackRF One или Pro, поддерживают диапазон от 1 МГц до 6 ГГц, что даёт доступ к сетям 5G sub-6GHz и многим промышленным протоколам. Полоса WiFi 5 ГГц находится в аппаратном пределе, но 20 MSPS bandwidth позволяет лишь фрагментарные снимки одного канала - для полной декодировки каналов 40/80/160 МГц нужен USRP B200-mini или более быстрый SDR (BladeRF 2.0, USRP X310).
Sample rate и разрешение
Sample rate (частота дискретизации) определяет полосу, которую можно наблюдать одновременно. RTL-SDR v3 и v4 достигают стабильных 2,4 MSPS (миллионов отсчётов в секунду), что даёт обзор около 2 МГц полосы. HackRF Pro семплирует до 20 MSPS, USRP B200-mini до 56 MSPS. На практике более высокий sample rate означает более широкий обзор спектра и меньший риск пропустить короткие передачи.
Поддержка open source фреймворков
Хорошее SDR-оборудование должно работать с экосистемой open source инструментов. Ключевые платформы:
GNU Radio: среда для построения цепочек обработки сигнала, поддерживает практически каждое популярное SDR-устройство
SDR# (SDRSharp): быстрый просмотр спектра, хорошая стартовая точка для RF-анализа
GQRX: кроссплатформенный приёмник с поддержкой GNU Radio
URH (Universal Radio Hacker): анализ и декодирование неизвестных радиопротоколов
Inspectrum: визуализация и анализ IQ-записей
Отсутствие драйверов или библиотеки в этих инструментах практически исключает устройство из профессионального пентестерского workflow.
Baseline детекции и наблюдение спектра
Ключевое отличие в радиопентестах состоит в том, что нужен не только приёмник, но и процесс перехода от наблюдения RF (спектр и IQ-данные) к тестовым условиям. Baseline детекции - это запись нормальной RF-активности в целевой среде: какие сигналы присутствуют, в каких полосах, с какой мощностью и в каком ритме. Отклонения от этой нормы указывают на аномалии, новые устройства или активные атаки.
Примерный процесс выглядит так: сначала вы сканируете широкую полосу и записываете IQ-данные в течение 15-30 минут в разное время суток. Затем анализируете спектр на предмет неизвестных сигналов и сравниваете их с базой протоколов. Только после установления baseline переходите к активным тестам: попыткам replay attack, фаззингу протоколов, тестам деаутентификации.
SDR-оборудование - это не только приёмник. Это инструмент построения RF-контекста, без которого активные тесты на проникновение в физическом слое - действие вслепую.
Различия между потребительскими и профессиональными устройствами
Потребительские устройства (RTL-SDR, дешёвые клоны HackRF) имеют более высокий фазовый шум, худшие входные фильтры и ограниченные возможности передачи. Профессиональные устройства (USRP, LimeSDR) предлагают более низкий уровень шума, заводскую калибровку и возможность работы как полноценный трансивер (передача и приём). Для большинства пассивных аудитов и анализа спектра достаточно оборудования потребительского уровня. Для активных тестов, фаззинга протоколов или эмуляции базовой станции нужно оборудование с более высокой динамикой и стабильностью частоты.
Популярные аппаратные платформы для RF-пентестинга отличаются не только ценой, но прежде всего диапазоном применения и качеством сигнала в требовательных полевых условиях.
Профи-совет: перед покупкой проверьте, есть ли у устройства активное сообщество на форуме rtl-sdr.com или GNU Radio Discourse. Отсутствие поддержки сообщества означает отсутствие готовых блоков обработки и помощи при проблемах с драйверами.
Топ-3 SDR-устройства, используемые пентестерами
SDR используется в радиопентестинге для анализа сигналов вне традиционных механизмов безопасности. Ниже три устройства, которые реально оказываются в пентестерских комплектах.
HackRF Pro/One с PortaPack H4M Mayhem
HackRF Pro - это текущий стандарт в RF-пентестинге (преемник HackRF One, который снят с производства). Рабочий диапазон от 100 кГц до 6 ГГц, с настройкой до 7,1 ГГц, что расширяет дальность по сравнению с предшественником (One начинался с 1 МГц). Sample rate 20 MSPS стандартно, до 40 MSPS в режиме oversampling. 8-bit IQ с доступным режимом 16-bit precision для требовательных измерений. Pro вводит встроенный TCXO (Temperature Compensated Crystal Oscillator) для существенно лучшей стабильности частоты, USB-C вместо micro-USB, выделенный порт SMA clock для синхронизации с внешним тактовым сигналом, а также улучшенное экранирование и больше RAM в FPGA. Режим работы остаётся half-duplex. Возможность передачи до примерно +10 dBm на низких частотах (ниже 30 МГц); в ГГц-диапазонах типичная мощность TX падает до 0..+5 dBm, выше 4 ГГц достигает отрицательных значений - при планировании активных тестов в диапазонах 2,4/5 ГГц нужно учесть внешний усилитель. Версия с PortaPack H4M Mayhem добавляет сенсорный экран и возможность работы без ноутбука, что важно в полевых тестах.
Преимущества:
Широкий диапазон частот, покрывающий большинство протоколов в корпоративной инфраструктуре
Полноценный трансивер: приём и передача в одном устройстве
Огромная база готовых модулей в GNU Radio и прошивке Mayhem
Активное сообщество и регулярные обновления ПО
Возможность автономной работы с PortaPack без дополнительного компьютера
Недостатки:
Sample rate 20 MSPS меньше, чем у USRP при широкополосном анализе
Более высокий фазовый шум по сравнению с устройствами класса USRP
Цена выше, чем RTL-SDR, хотя всё ещё доступная для индивидуальных пентестеров
Рекомендуемые сценарии: тесты ISM-протоколов, анализ систем keyless entry, тестирование IoT-инфраструктуры, мониторинг GSM, аудиты охранных систем.
RTL-SDR v4
RTL-SDR v4 - это лучшая точка входа в мир RF-пентестинга. Чип R828D с RTL2832U, диапазон от 500 кГц до 1,75 ГГц, sample rate до 3,2 MSPS (стабильно 2,4 MSPS). Версия v4 вводит улучшенный входной фильтр и лучшую термостабильность по сравнению с предыдущими поколениями.
Преимущества:
Очень низкая цена при хорошем качестве сигнала
Нативная поддержка в SDR#, GQRX, GNU Radio без дополнительной конфигурации
Достаточный диапазон для анализа GSM 900/1800, 433 МГц, ADS-B, FM
Малый размер, питание по USB
Недостатки:
Только приём, нет возможности передачи
Ограниченный диапазон частот: нет доступа к 2,4 ГГц WiFi и 5 ГГц
Более высокий уровень шума, чем у HackRF при слабых сигналах
Рекомендуемые сценарии: пассивный мониторинг RF-спектра, анализ сигналов 433/868 МГц, ADS-B, предварительный анализ среды перед активным тестом.
USRP B200-mini
USRP B200-mini - устройство профессионального класса от Ettus Research (National Instruments). Диапазон от 70 МГц до 6 ГГц, sample rate до 56 MSPS, полноценный трансивер с FPGA на борту. Цена существенно выше, но параметры оправдывают выбор при продвинутых аудитах.
Преимущества:
Высочайший sample rate в этой категории: 56 MSPS дают широкий обзор спектра
Низкий фазовый шум и высокая стабильность частоты с внешним тактовым сигналом
Нативная поддержка в GNU Radio через библиотеку UHD
Возможность работы как полноценная базовая станция GSM/LTE с подходящим ПО
Недостатки:
Высокая цена исключает его из бюджетных комплектов
Требует внешнего питания и ноутбука, нет автономной работы
Крутая кривая обучения по сравнению с RTL-SDR
Рекомендуемые сценарии: продвинутые аудиты сотовых сетей, эмуляция базовой станции, тесты протоколов, требующих высокого качества сигнала, научные исследования и продвинутые корпоративные пентесты.
Профи-совет: для большинства корпоративных аудитов хватит HackRF Pro. USRP стоит рассмотреть, когда scope теста охватывает сотовую инфраструктуру или нужна передача с точным контролем мощности и частоты.
Сравнение функций наиболее популярных SDR-устройств
SDR меняет подход к wireless-пентестингу: оператор видит сырое RF, проявляются временные артефакты, повреждённые кадры и слабые процедуры сопряжения. Таблица ниже сводит ключевые параметры трёх главных устройств.
| Параметр | RTL-SDR v4 | HackRF One + PortaPack H4M | USRP B200-mini |
|---|---|---|---|
| Диапазон частот | 500 кГц - 1,75 ГГц | 1 МГц - 6 ГГц | 70 МГц - 6 ГГц |
| Sample rate (макс) | 3,2 MSPS | 20 MSPS | 56 MSPS |
| Режим работы | Только приём | TX/RX | TX/RX |
| Автономная работа | Нет | Да (с PortaPack) | Нет |
| Поддержка GNU Radio | Да | Да | Да (UHD) |
| Ценовой уровень | Низкий | Средний | Высокий |
| Основное применение | Пассивный мониторинг | Универсальный пентестинг | Продвинутые аудиты |
Подбор оборудования под сценарий тестов
Выбор устройства должен следовать из scope аудита. Несколько ключевых советов:
Тесты RF L1 (физического) уровня: любое устройство достаточно для пассивного наблюдения; активные тесты требуют трансивера (HackRF или USRP)
Обнаружение аномалий спектра: RTL-SDR v4 с широким сканом достаточен для baseline-детекции в полосах до 1,75 ГГц
Тестирование уязвимостей keyless entry и охранных систем: HackRF One с PortaPack позволяет replay attack без ноутбука
Аудит сотовых сетей и обнаружение cell-site simulator: USRP или HackRF с открытым сотовым стеком (srsRAN, Osmocom OsmoBTS/OsmoBSC) для сканирования спектра; Rayhunter отдельно на мобильном хотспоте с модемом Qualcomm для анализа QMDL
Анализ ISM 433/868 МГц протоколов: RTL-SDR v4 с URH - достаточный инструмент
Также стоит учесть условия работы. Полевые тесты требуют автономности, поэтому HackRF с PortaPack H4M Mayhem имеет преимущество над USRP, подключённым к ноутбуку. В лаборатории или дата-центре USRP B200-mini даёт лучшее качество данных и более широкую полосу наблюдения.
При планировании пентестерского комплекта стоит также проверить дополнительные инструменты для RF-аудитов, которые дополняют SDR-оборудование в полном workflow аудита.
SDR в реальных аудитах: примеры применения
После сравнения параметров - время на конкретные практические сценарии. SDR открывает возможности, которых классические инструменты для пентестов IP-уровня просто не имеют.
Обнаружение downgrade-атак в сотовой сети
Одно из самых интересных применений - обнаружение cell-site simulator (IMSI catcher). Это устройства, которые выдают себя за базовую станцию сотовой сети и принуждают телефоны соединиться через более слабый протокол (например, с 4G на 2G), уязвимый к перехвату. Rayhunter от EFF - это open-source ПО, работающее самостоятельно на мобильных хотспотах с модемом Qualcomm (среди прочих Orbic Speed RC400L, TP-Link M7350) - парсит QMDL (Qualcomm Mobile Diagnostic Log) с чипсета модема и выявляет аномалии на уровне метаданных протокола LTE/2G: запросы на downgrade сети, IMSI requests без аутентификации и нетипичное поведение базовых станций.
В практике аудита: запускаете Rayhunter на совместимом хотспоте, носите устройство в проверяемой зоне несколько часов (или ставите стационарно) и анализируете сгенерированные отчёты на флаги. SDR (HackRF, USRP) в этом сценарии играет дополняющую роль - с подходящим ПО (srsRAN, Osmocom, IMSICatcher Detection в GNU Radio) сканирует сырой сотовый спектр и обнаруживает неавторизованные базовые станции по нетипичной мощности передачи, подозрительному ARFCN или несоответствию PLMN. Rayhunter и SDR - две комплементарные ветки, каждая со своим вектором детекции.
Анализ слабых процедур сопряжения IoT-устройств
Многие IoT-устройства используют простые радиопротоколы 433 или 868 МГц без шифрования или со слабой реализацией rolling code. SDR позволяет записать передачу сопряжения, проанализировать её в URH и идентифицировать паттерны, позволяющие replay attack или клонирование сигнала.
Широкополосный мониторинг спектра на аномалии
В аудитах промышленных сред (OT/ICS) SDR служит для картирования всего RF-спектра на объекте. Неизвестные сигналы могут указывать на неавторизованные радиоустройства, кейлоггеры с RF-передачей или прослушку. Baseline-детекция, записанная до аудита и сравненная с текущим состоянием спектра, выявит каждый новый источник эмиссии.
Шаги простого радиоаудита на SDR
Определите диапазон частот для мониторинга (например, от 400 МГц до 2,5 ГГц для типичной корпоративной среды)
Запишите baseline RF-спектра не менее 2 часов в нормальное рабочее время
Идентифицируйте все известные сигналы (WiFi, Bluetooth, DECT, охранные сигналы)
Задокументируйте неизвестные сигналы: частота, ширина полосы, ритм передачи
Проанализируйте неизвестные сигналы в URH или Inspectrum на структуру кадров
Проведите активные тесты на идентифицированных протоколах: replay, фаззинг, деаутентификация
Задокументируйте результаты и уязвимости в отчёте об аудите
SDR позволяет увидеть то, что SIEM пропускает: RF-активность на физическом уровне не генерирует логи приложений. Единственный способ её наблюдения - радиооборудование.
Стоит также помнить, что магазин с инструментами для пентестинга предлагает как SDR-оборудование, так и дополняющие аксессуары для полных аудиторских комплектов.
Неочевидные выводы: о чём не пишут учебники пентестера RF
Большинство материалов о SDR в пентестинге концентрируется на списке устройств и их спецификаций. Это полезно, но упускает самый важный элемент: workflow от наблюдения к атаке.
Слишком много пентестеров относятся к SDR исключительно как к приёмнику для просмотра спектра. Покупают RTL-SDR, открывают SDR# и смотрят на цветные столбики FFT. Это не RF-пентестинг. Это наблюдение. Настоящая ценность SDR появляется, когда вы начинаете видеть временные артефакты, повреждённые кадры и аномалии в процедурах сопряжения, указывающие на конкретные уязвимости.
Baseline-детекция RF-сигнала недооценена. На практике это самый эффективный метод фактического захвата поверхности атаки в среде клиента. Без baseline каждый неизвестный сигнал - просто диковинка. С baseline он становится потенциальным доказательством неавторизованного устройства или активной атаки. Клиенты, видящие отчёт с RF-картой среды и списком аномалий, понимают ценность радиоаудита значительно лучше, чем при классическом отчёте из тестов IP-уровня.
Что переоценено? Возможности передачи дешёвых клонов HackRF. Многие устройства, продаваемые как "HackRF-совместимые", имеют нестабильный осциллятор и высокий фазовый шум, что делает невозможными точные активные тесты. Для пассивного анализа их достаточно. Для replay attack и фаззинга протоколов лучше инвестировать в оригинальный HackRF Pro или RTL-SDR v4 от проверенного дистрибьютора.
Что недооценено? Комбинация RTL-SDR v4 с Baofeng UV-5R как сигнальным эталоном. Baofeng UV-5R 8W - дешёвый передатчик, позволяющий генерировать известный референсный сигнал для калибровки и тестирования дальности SDR-приёмника в поле. Простой, дешёвый и эффективный метод валидации сетапа перед аудитом.
Практическое правило: дешёвый SDR (RTL-SDR v4) хватит для 80% аудиторских задач: пассивного мониторинга, baseline-детекции, анализа ISM-протоколов, ADS-B, GSM. Переход на HackRF Pro оправдан, когда scope теста требует активных тестов или покрытия полос выше 1,75 ГГц. USRP B200-mini имеет смысл только при продвинутых аудитах сотовой инфраструктуры или исследованиях с лабораторной точностью.
Последнее наблюдение из практики: корпоративные клиенты всё чаще требуют учёта RF-уровня в scope аудита. Регуляции вроде NIS2 и растущее число атак через радиопротоколы (keyless entry, DECT, Zigbee) приводят к тому, что RF-пентестинг перестаёт быть нишей и становится стандартным элементом комплексных тестов безопасности.
Проверенные инструменты и SDR-оборудование для пентестинга
Если вы планируете построить или расширить комплект для RF-аудитов, стоит начать с проверенного оборудования у дистрибьютора с опытом в сегменте пентестинга. Sapsan предлагает полную линейку SDR-устройств: от RTL-SDR v4 через HackRF One с PortaPack H4M Mayhem до незаменимых для полевых работ аксессуаров.
Для полевых тестов пригодится зарядное устройство для SDR в поле, обеспечивающее питание комплекта во время длинных сессий мониторинга вне лаборатории. Дополнением к аудиторскому комплекту является детектор атак на Wi-Fi, автоматически обнаруживающий деаутентификационные атаки в беспроводной сети. Полное предложение пентестерского оборудования вы найдёте в магазине Sapsan с доставкой по всему миру и быстрой реализацией B2B и B2C-заказов. Загляните также в коллекцию SDR, доступную прямо в магазине.
Часто задаваемые вопросы
Какое SDR-устройство лучше всего подойдёт для базовых wireless-тестов?
Для базовых тестов лучше всего подходит RTL-SDR v4, обеспечивающий хорошее качество сигнала по низкой цене и широкую поддержку сообщества. Анализ RF-сигналов вне традиционных механизмов безопасности доступен уже на этом бюджетном устройстве.
Позволяет ли HackRF One обнаруживать атаки на сотовые сети?
Да. HackRF One и Pro с GNU Radio и специализированными модулями (например, srsRAN scanner, GSM-инструменты Osmocom, IMSICatcher detection blocks) позволяют мониторить сигнал в сотовых полосах и обнаруживать аномалии, характерные для cell-site simulator - нетипичной мощности передачи, подозрительные ARFCN, несоответствия PLMN. Дополняющим инструментом является Rayhunter, но он не использует SDR - работает самостоятельно на мобильном хотспоте с модемом Qualcomm и анализирует QMDL с чипсета модема, применяя эвристики, обнаруживающие запросы на downgrade сети.
Почему baseline-детекция RF-сигнала важна?
Baseline-детекция позволяет обнаружить нетипичное поведение и атаки на физическом уровне до их появления в логах приложений. Цепочка обработки FFT с HackRF Pro позволяет строить точный baseline RF-активности в проверяемой среде.
Может ли SDR заменить традиционные инструменты для пентестов Wi-Fi?
SDR дополняет классические инструменты, позволяя наблюдать сырые радиоявления, невидимые для обычных сетевых карт. Видимость сырого RF выявляет временные артефакты, повреждённые кадры и слабые процедуры сопряжения, которых не покажет ни один стандартный инструмент для пентестов Wi-Fi.