home *** CD-ROM | disk | FTP | other *** search
/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Phreaking⁄Wardialers / Phreaking texts / SignalSys.txt < prev    next >
Text File  |  1999-01-28  |  12KB  |  292 lines
  1. <html>
  2. <body>
  3. <pre>
  4.  SIGNALLING SYSTEMS & THE BLUE BOX REVAMPED                                       
  5.                  
  6.  
  7. INTRODUCTION
  8. ============
  9.  
  10. I will in this file discuss some of the international trunk-signalling systems
  11. used and methods to box over them. The main reason for writing this article
  12. is the downfall of US boxing due to:
  13.  
  14.  
  15.  *  2400 & 2600 detectors on trunks
  16.  *  CCIS
  17.  *  Snooping on subscribers who place several (lengthy) calls to 800 numbers
  18.  
  19.  
  20. Detection could simply by avoided by boxing off another country (on a tollfree
  21. line of course) and then calling globally using a signalling system other than
  22. the ones used in the states.
  23.  
  24. I have also included an in-depth review of the R2.
  25.  
  26.  
  27. USAGE
  28. =====
  29.  
  30. The signalling systems used widely today are: CCIS, CCITT 4, R1, R2 and SOCOTEL.
  31. CCITT 4 can be found mainly in African and South American countries and is very
  32. seldom worth boxing off due to the long routing needed and the poor quality
  33. acheived. R1 and R2 is still very popular in Europe and the US and is really
  34. worth boxing with, especially R2, which offers a multitude of options yet
  35. uncovered for the enthusiastic phreak. The only system listed here that I
  36. haven't boxed off myself is SOCOTEL, which, according to my knowledge is used 
  37. somewhere in Europe (who knows where).
  38.     Using R1 to box off Europe (or any other country) from the US is not
  39. recommended. US trunks are maybe not used to route the call, but the fraud
  40. detectors do not know this and sooner or later you *will* be in trouble.
  41. Using systems like R2 from the US is a good idea, since no detector in the
  42. US is looking for R2 tones, and boxing off 800 numbers that offer Country
  43. Direct services should not seem suspicous.
  44.  
  45.  
  46. The CCITT R1 system
  47. ===================
  48.  
  49.  
  50. -----------------------------------------------------
  51. Freq.     700   900   1100   1300   1500   1700  [Hz]
  52. -----------------------------------------------------
  53. Digit
  54.   1        x     x
  55.   2        x           x
  56.   3              x     x
  57.   4        x                  x
  58.   5              x            x
  59.   6                    x      x
  60.   7        x                         x
  61.   8              x                   x
  62.   9                    x             x
  63.   0                           x      x
  64.  11        x                                x
  65.  12              x                          x
  66.  KP                    x                    x
  67. KP2                           x             x
  68.  ST                                  x      x
  69. -----------------------------------------------------
  70.  
  71. 50/50ms timing can be used with all digits, even 20/20 is possible on some
  72. systems if you want fast dialing.
  73.  
  74. One problem with R1 is trunk seizure. The normal procedure would be sending
  75. 2400/2600, waiting a while, then blowing 2400, and the trunk would be seized.
  76. This is very unlikely to work, though. Even more so is sending 2400 or
  77. 2600 directly. The telco equipment is nowadays very exact with timing and 
  78. the only way to find it out is by testing. Usually the 2400/2600 (hangup tone)
  79. should be sent for at least 80ms and no more than 200ms, if 200 ms is not
  80. enough, you probably aren't on r1. A way to find out the timing is to send
  81. 2400/2600 starting with 200ms, then decreasing the timing with 1ms steps.
  82. With 200ms, the trunk is likely to hang up when you send the hangup tone. 
  83. Find the timing that hangs up, but leaves you on the trunk (this can be heard
  84. by a wink), then keep the 2400/2600 timing that way and adjust the delays
  85. and the 2400 timing. Timings suggested for AT&T + MCI trunks are as follows:
  86.  
  87. 2400/2600 delay     2400    delay     [ms]
  88. ------------------------------------------
  89.    137     100       137    1200
  90.    100     100       100    100
  91.    140     400       140    1200
  92.    120     100       60     300
  93.    150     0         150    150
  94.  
  95. The delay before KP or KP2 is sent may/may not be important and must sometimes
  96. be very accurate. this can be adjusted by ear. If the line hangs up before you
  97. start dialing, then make the last delay shorter. 
  98.  
  99. NOTE:Not all trunks work with the same timing, and sometimes when dialing 
  100. the same number you are routed another way. This is a problem, but if you have
  101. a trained boxing-ear, you can learn to separate trunks from each other.
  102.  
  103.  
  104. The KP2 is used for international dialing.
  105.  
  106. KP2-CC-0/1-NPA-PREF-SUF-ST
  107.  
  108. Where 0 = Connect by cable
  109.       1 = Connect by satellite
  110.  
  111. Thus, a call to the US via cable would appear like:
  112.  
  113. KP2-1-0-NPA-PREF-SUFF-ST
  114.  
  115.  
  116.  
  117. SOCOTEL
  118. =======
  119.  
  120. This system is identical to R1, except for that the line signals are
  121. out of band, and are hard to produce on the foneline.
  122.  
  123. Hangup is 3850 and is sent with 50ms pulses.
  124.  
  125. Dial timing is the same as is for r1 (50/50)
  126.  
  127.  
  128. CCITT R2
  129. --------
  130.  
  131. This is probably the most complicated signalling system (with the exception of
  132. Common Channel Signalling systems) and offers a very wide range of 
  133. possibilities for phreaking. One of the problems with R2 is that it is more
  134. or less based around PCM, and on such systems all the line signalling info
  135. (the important tones such as seize and hangup) is sent over a different 
  136. timeslot (PCM uses a timesharing method for sending voice/signals) and
  137. is then difficult to control. On some R2 systems the PCM method is not
  138. implemented at all and this is the one I will discuss in detail. The 
  139. supervisory tone (3825Hz) can normally also be a mess to send over the lines.
  140. There have been test numbers for telco personnel that connects to a trunk,
  141. but this does not help much, since the seize signal must be sent before
  142. dialing anyway and is, as I said before, a mess to get through.
  143.     The R2 uses special signalling methods not seen elsewhere, e.g
  144. there is a separate set of backward tones that the receiving CO sends back
  145. between each digit. I have, merely for the sake of accuracy, included these.
  146. The backward signals may seem unnecessary but there might be some room for
  147. phreaking with them too. Another feature of R2 is that no specific timing
  148. exists. Every digit should be sent until the receiving CO responds with 
  149. another Backward digit, which could in turn have some other meaning. A 
  150. specification for R2 is that it should handle 6/7 signals per second, this 
  151. is quite slow, though, and usually much faster speed can be acheived than
  152. with for instance R1.
  153.     On R2, register signals are two frequencies from a group of 6 
  154. separated by 120Hz. Line signals are all 3825Hz and vary in pulsing length.
  155. Register signals are not only split in Backward/Forward groups, but also
  156. in groups I/II on forw. signals and A/B on backward signals. Group I is 
  157. mainly normal dialing digits while group II signals are messages that specify
  158. Subscriber types etc. I have tried to include as much as I know about the
  159. messages, if anyone has got more info on this or anything else in this 
  160. phile, please contact me.
  161.  
  162.  
  163.  
  164.  
  165.                       R2 Register signals
  166.  
  167. ------------------------------------------------------------
  168. Forward   1380    1500    1620    1740    1860    1980  [Hz]
  169. ------------------------------------------------------------
  170. Backward  1140    1020    900     780     660     540   [Hz]
  171. ------------------------------------------------------------
  172. Digit
  173.   1        x       x
  174.   2        x               x
  175.   3                x       x
  176.   4        x                       x
  177.   5                x               x
  178.   6                        x       x
  179.   7        x                               x
  180.   8                x                       x
  181.   9                        x               x
  182.   10                               x       x
  183.   11       x                                       x
  184.   12               x                               x
  185.   13                       x                       x
  186.   14                               x               x 
  187.   15                                       x       x
  188. -----------------------------------------------------------
  189.  
  190. These are translated as:
  191.  
  192.  
  193. -----------------------------------------------------------                    
  194.                     Forward Signals
  195. -----------------------------------------------------------
  196. Digit         Group I               Group II
  197. -----------------------------------------------------------
  198.   1             1                   Normal subscriber
  199.   2             2                   Priviledged subscriber
  200.   3             3                   Test subscriber 
  201.   4             4                   Payfone 
  202.   5             5                   Operator
  203.   6             6                      ?
  204.   7             7                   Normal subscriber
  205.   8             8                      ?
  206.   9             9                   Priviledged subscriber
  207.  10            10                   Operator
  208.  11            KP2E                 Forwarded call
  209.  12            KP2                  Reserved
  210.  13            Reserved             Reserved
  211.  14            Reserved             Reserved
  212.  15            ST                   Reserved
  213. ----------------------------------------------------------
  214.  
  215.  
  216. -----------------------------------------------------------------------------
  217.                         Backward signals
  218. -----------------------------------------------------------------------------
  219. Digit         Group A                       Group B
  220. -----------------------------------------------------------------------------
  221.   1           Send next digit (x+1)         Sub.vacant, call tracing (BAD) 
  222.   2           Send previous digit (x-1)     Send guide tone
  223.   3           Receive group B signals       Subscriber busy       
  224.   4           National net failure          Net Failure
  225.   5           Specify subscriber type       Disconnected number
  226.   6           Connect voicechannel          Subscriber vacant - Sup
  227.   7           Send (x-2)                    Subscriber vacant - Non-Sup
  228.   8           Send (x-3)                    Subscriber malfunction
  229.   9              ?                                ?
  230.  10           Reserved                      The number has changed
  231. -----------------------------------------------------------------------------
  232.  
  233.  
  234.  
  235.                   R2 Line signals, non-PCM (3825Hz)
  236.  
  237.  
  238. ---------------------------------------------------------------
  239.  Signal                           Direction        Duration[ms]
  240. ---------------------------------------------------------------
  241.  Seizing                            -->               50 or 150
  242.  Seizing ACK (wink)                 <--               50 (or longer)
  243.  Answer                             <--               150
  244.  Metering (count)                   <--               100
  245.  Clear back                         <--               600
  246.  Clear Forward                      -->               1500
  247. ---------------------------------------------------------------
  248.  
  249. The backward signals are used to ask the calling CO questions while
  250. dialing. This may cause problems since you may not know when to send
  251. digits and when to send info, especially signals like send x-2 may
  252. cause headaches. One way to find this out is usually by testing
  253. different orders. Usually the subscriber type question is only sent when
  254. making national calls and is asked after all the digits have been sent.
  255. On intl. calls the subscriber type is asked after the CC (like on R1).
  256. The thing is that the Telco knows these things and are trying their best to
  257. make life hard for boxers by programming their equipment to send questions
  258. at unexpected times.
  259.  
  260. A boxed call may take place as follows:
  261.  
  262. Dial number 555-1212
  263.  
  264.  CO1                   CO2
  265. ---------------------------
  266.  Clear Forward ->
  267.  Seize         ->
  268.            <- Seizing ACK
  269.  
  270.  I-5 ->
  271.                      <-A-1 (send next digit)
  272.  I-5 ->             
  273.                      <-A-1
  274.  I-5 ->              
  275.                      <-A-1
  276.  I-1 ->               
  277.                      <-A-1
  278.  I-2 ->               
  279.                      <-A-1
  280.  I-1 ->          
  281.                      <-A-1
  282.  I-2 ->               
  283.                      <-A-5 or A-3 (specify subscriber)
  284.  II-5 -> (operator)
  285.                      <-B-6 (no ST needed on local calls)
  286. ----------------------------
  287.                                                 
  288. </pre>
  289. </body>
  290. </html>
  291.       
  292.