home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / phreak / sysinfo / r2.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  12.7 KB  |  302 lines
  1.  
  2.  
  3.            &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
  4.            &                                                  & 
  5.            &   SIGNALLING SYSTEMS & THE BLUE BOX REVAMPED     &
  6.            &                                                  &
  7.            &                       By                         &
  8.            &                                                  &
  9.            &                  Lazlo 20/07/92                  &
  10.            &                                                  &
  11.            &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
  12.  
  13. NOTE: This file is for informational purposes only and in no way is
  14.       any toll-fraud suggested by the author.
  15.  
  16. INTRODUCTION
  17. ============
  18.  
  19. I will in this file discuss some of the international trunk-signalling systems
  20. used and methods to box over them. The main reason for writing this article
  21. is the downfall of US boxing due to:
  22.  
  23.  
  24.  *  2400 & 2600 detectors on trunks
  25.  *  CCIS
  26.  *  Snooping on subscribers who place several (lengthy) calls to 800 numbers
  27.  
  28.  
  29. Detection could simply by avoided by boxing off another country (on a tollfree
  30. line of course) and then calling globally using a signalling system other than
  31. the ones used in the states.
  32.  
  33. I have also included an in-depth review of the R2.
  34.  
  35.  
  36. USAGE
  37. =====
  38.  
  39. The signalling systems used widely today are: CCIS, CCITT 4, R1, R2 and SOCOTEL.
  40. CCITT 4 can be found mainly in African and South American countries and is very
  41. seldom worth boxing off due to the long routing needed and the poor quality
  42. acheived. R1 and R2 is still very popular in Europe and the US and is really
  43. worth boxing with, especially R2, which offers a multitude of options yet
  44. uncovered for the enthusiastic phreak. The only system listed here that I
  45. haven't boxed off myself is SOCOTEL, which, according to my knowledge is used 
  46. somewhere in Europe (who knows where).
  47.     Using R1 to box off Europe (or any other country) from the US is not
  48. recommended. US trunks are maybe not used to route the call, but the fraud
  49. detectors do not know this and sooner or later you *will* be in trouble.
  50. Using systems like R2 from the US is a good idea, since no detector in the
  51. US is looking for R2 tones, and boxing off 800 numbers that offer Country
  52. Direct services should not seem suspicous.
  53.  
  54.  
  55. The CCITT R1 system
  56. ===================
  57.  
  58.  
  59. -----------------------------------------------------
  60. Freq.     700   900   1100   1300   1500   1700  [Hz]
  61. -----------------------------------------------------
  62. Digit
  63.   1        x     x
  64.   2        x           x
  65.   3              x     x
  66.   4        x                  x
  67.   5              x            x
  68.   6                    x      x
  69.   7        x                         x
  70.   8              x                   x
  71.   9                    x             x
  72.   0                           x      x
  73.  11        x                                x
  74.  12              x                          x
  75.  KP                    x                    x
  76. KP2                           x             x
  77.  ST                                  x      x
  78. -----------------------------------------------------
  79.  
  80. 50/50ms timing can be used with all digits, even 20/20 is possible on some
  81. systems if you want fast dialing.
  82.  
  83. One problem with R1 is trunk seizure. The normal procedure would be sending
  84. 2400/2600, waiting a while, then blowing 2400, and the trunk would be seized.
  85. This is very unlikely to work, though. Even more so is sending 2400 or
  86. 2600 directly. The telco equipment is nowadays very exact with timing and 
  87. the only way to find it out is by testing. Usually the 2400/2600 (hangup tone)
  88. should be sent for at least 80ms and no more than 200ms, if 200 ms is not
  89. enough, you probably aren't on r1. A way to find out the timing is to send
  90. 2400/2600 starting with 200ms, then decreasing the timing with 1ms steps.
  91. With 200ms, the trunk is likely to hang up when you send the hangup tone. 
  92. Find the timing that hangs up, but leaves you on the trunk (this can be heard
  93. by a wink), then keep the 2400/2600 timing that way and adjust the delays
  94. and the 2400 timing. Timings suggested for AT&T + MCI trunks are as follows:
  95.  
  96. 2400/2600 delay     2400    delay     [ms]
  97. ------------------------------------------
  98.    137     100       137    1200
  99.    100     100       100    100
  100.    140     400       140    1200
  101.    120     100       60     300
  102.    150     0         150    150
  103.  
  104. The delay before KP or KP2 is sent may/may not be important and must sometimes
  105. be very accurate. this can be adjusted by ear. If the line hangs up before you
  106. start dialing, then make the last delay shorter. 
  107.  
  108. NOTE:Not all trunks work with the same timing, and sometimes when dialing 
  109. the same number you are routed another way. This is a problem, but if you have
  110. a trained boxing-ear, you can learn to separate trunks from each other.
  111.  
  112.  
  113. The KP2 is used for international dialing.
  114.  
  115. KP2-CC-0/1-NPA-PREF-SUF-ST
  116.  
  117. Where 0 = Connect by cable
  118.       1 = Connect by satellite
  119.  
  120. Thus, a call to the US via cable would appear like:
  121.  
  122. KP2-1-0-NPA-PREF-SUFF-ST
  123.  
  124.  
  125.  
  126. SOCOTEL
  127. =======
  128.  
  129. This system is identical to R1, except for that the line signals are
  130. out of band, and are hard to produce on the foneline.
  131.  
  132. Hangup is 3850 and is sent with 50ms pulses.
  133.  
  134. Dial timing is the same as is for r1 (50/50)
  135.  
  136.  
  137. CCITT R2
  138. --------
  139.  
  140. This is probably the most complicated signalling system (with the exception of
  141. Common Channel Signalling systems) and offers a very wide range of 
  142. possibilities for phreaking. One of the problems with R2 is that it is more
  143. or less based around PCM, and on such systems all the line signalling info
  144. (the important tones such as seize and hangup) is sent over a different 
  145. timeslot (PCM uses a timesharing method for sending voice/signals) and
  146. is then difficult to control. On some R2 systems the PCM method is not
  147. implemented at all and this is the one I will discuss in detail. The 
  148. supervisory tone (3825Hz) can normally also be a mess to send over the lines.
  149. There have been test numbers for telco personnel that connects to a trunk,
  150. but this does not help much, since the seize signal must be sent before
  151. dialing anyway and is, as I said before, a mess to get through.
  152.     The R2 uses special signalling methods not seen elsewhere, e.g
  153. there is a separate set of backward tones that the receiving CO sends back
  154. between each digit. I have, merely for the sake of accuracy, included these.
  155. The backward signals may seem unnecessary but there might be some room for
  156. phreaking with them too. Another feature of R2 is that no specific timing
  157. exists. Every digit should be sent until the receiving CO responds with 
  158. another Backward digit, which could in turn have some other meaning. A 
  159. specification for R2 is that it should handle 6/7 signals per second, this 
  160. is quite slow, though, and usually much faster speed can be acheived than
  161. with for instance R1.
  162.     On R2, register signals are two frequencies from a group of 6 
  163. separated by 120Hz. Line signals are all 3825Hz and vary in pulsing length.
  164. Register signals are not only split in Backward/Forward groups, but also
  165. in groups I/II on forw. signals and A/B on backward signals. Group I is 
  166. mainly normal dialing digits while group II signals are messages that specify
  167. Subscriber types etc. I have tried to include as much as I know about the
  168. messages, if anyone has got more info on this or anything else in this 
  169. phile, please contact me.
  170.  
  171.  
  172.  
  173.  
  174.                       R2 Register signals
  175.  
  176. ------------------------------------------------------------
  177. Forward   1380    1500    1620    1740    1860    1980  [Hz]
  178. ------------------------------------------------------------
  179. Backward  1140    1020    900     780     660     540   [Hz]
  180. ------------------------------------------------------------
  181. Digit
  182.   1        x       x
  183.   2        x               x
  184.   3                x       x
  185.   4        x                       x
  186.   5                x               x
  187.   6                        x       x
  188.   7        x                               x
  189.   8                x                       x
  190.   9                        x               x
  191.   10                               x       x
  192.   11       x                                       x
  193.   12               x                               x
  194.   13                       x                       x
  195.   14                               x               x 
  196.   15                                       x       x
  197. -----------------------------------------------------------
  198.  
  199. These are translated as:
  200.  
  201.  
  202. -----------------------------------------------------------                    
  203.                     Forward Signals
  204. -----------------------------------------------------------
  205. Digit         Group I               Group II
  206. -----------------------------------------------------------
  207.   1             1                   Normal subscriber
  208.   2             2                   Priviledged subscriber
  209.   3             3                   Test subscriber 
  210.   4             4                   Payfone 
  211.   5             5                   Operator
  212.   6             6                      ?
  213.   7             7                   Normal subscriber
  214.   8             8                      ?
  215.   9             9                   Priviledged subscriber
  216.  10            10                   Operator
  217.  11            KP2E                 Forwarded call
  218.  12            KP2                  Reserved
  219.  13            Reserved             Reserved
  220.  14            Reserved             Reserved
  221.  15            ST                   Reserved
  222. ----------------------------------------------------------
  223.  
  224.  
  225. -----------------------------------------------------------------------------
  226.                         Backward signals
  227. -----------------------------------------------------------------------------
  228. Digit         Group A                       Group B
  229. -----------------------------------------------------------------------------
  230.   1           Send next digit (x+1)         Sub.vacant, call tracing (BAD) 
  231.   2           Send previous digit (x-1)     Send guide tone
  232.   3           Receive group B signals       Subscriber busy       
  233.   4           National net failure          Net Failure
  234.   5           Specify subscriber type       Disconnected number
  235.   6           Connect voicechannel          Subscriber vacant - Sup
  236.   7           Send (x-2)                    Subscriber vacant - Non-Sup
  237.   8           Send (x-3)                    Subscriber malfunction
  238.   9              ?                                ?
  239.  10           Reserved                      The number has changed
  240. -----------------------------------------------------------------------------
  241.  
  242.  
  243.  
  244.                   R2 Line signals, non-PCM (3825Hz)
  245.  
  246.  
  247. ---------------------------------------------------------------
  248.  Signal                           Direction        Duration[ms]
  249. ---------------------------------------------------------------
  250.  Seizing                            -->               50 or 150
  251.  Seizing ACK (wink)                 <--               50 (or longer)
  252.  Answer                             <--               150
  253.  Metering (count)                   <--               100
  254.  Clear back                         <--               600
  255.  Clear Forward                      -->               1500
  256. ---------------------------------------------------------------
  257.  
  258. The backward signals are used to ask the calling CO questions while
  259. dialing. This may cause problems since you may not know when to send
  260. digits and when to send info, especially signals like send x-2 may
  261. cause headaches. One way to find this out is usually by testing
  262. different orders. Usually the subscriber type question is only sent when
  263. making national calls and is asked after all the digits have been sent.
  264. On intl. calls the subscriber type is asked after the CC (like on R1).
  265. The thing is that the Telco knows these things and are trying their best to
  266. make life hard for boxers by programming their equipment to send questions
  267. at unexpected times.
  268.  
  269. A boxed call may take place as follows:
  270.  
  271. Dial number 555-1212
  272.  
  273.  CO1                   CO2
  274. ---------------------------
  275.  Clear Forward ->
  276.  Seize         ->
  277.            <- Seizing ACK
  278.  
  279.  I-5 ->
  280.                      <-A-1 (send next digit)
  281.  I-5 ->             
  282.                      <-A-1
  283.  I-5 ->              
  284.                      <-A-1
  285.  I-1 ->               
  286.                      <-A-1
  287.  I-2 ->               
  288.                      <-A-1
  289.  I-1 ->          
  290.                      <-A-1
  291.  I-2 ->               
  292.                      <-A-5 or A-3 (specify subscriber)
  293.  II-5 -> (operator)
  294.                      <-B-6 (no ST needed on local calls)
  295. ----------------------------
  296.  
  297. Any1 with more info on this, please contact me.
  298.                                                 
  299. <End of File>
  300.  
  301.  
  302.