home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / miscpub1 / sxs.tj2

< prev

next >

Wrap

Text File  |  1992-09-26  |  13KB  |  295 lines

---

1. The LOD/H technical Journal: File #3 of 10
2.  
3.  
4.                          STEP BY STEP SWITCHING NOTES
5.  
6.                               BY PHANTOM PHREAKER
7.  
8.                       WRITTEN FOR LOD/H TECHNICAL JOURNAL
9.  
10.  
11.     The following research was done on a class 5 Step By Step switching 
12. system.
13. Items mentioned in this article are not guaranteed to work with your 
14. particular
15. office.  The following interesting topics about Step By Step switching are 
16. for
17. informational and educational purposes only. This article is aimed at people
18. who wish to learn more about telephone switching systems.
19.  
20.     I realize step-by-step switching is dwindling every day, with many
21. electromechanical SxS offices being replaced with newer electronic/digital
22. switches and Remote Switching Systems (RSS's). However, rural areas of the 
23. U.S.
24. still use Step, so if you are ever in an area served by a SxS CO you may be
25. able to use this information.
26.  
27.  
28.     1:ANI Failure/ONI
29.  
30.     To understand this technique, you must understand how ANI functions in 
31. the
32. Step-by-Step switching system. Your CO sends ANI, with your number, in MF or 
33. DP
34. to receivers that collect the ANI information and store it, along with the
35. called number, on the appropriate form of AMA tape. ANI outpulsing in MF can
36. use either LAMA (Local Automatic Message Accounting) or CAMA (Centralized
37. Automatic Message Accounting). ANI sent in DP type signalling can also be 
38. used,
39. but is rare. DP vs MF trunk signalling is similar to the difference between
40. DTMF and pulse dialing, except on a trunk. DP signalling sends all 
41. information
42. in short bursts of 2600Hz tones.
43.  
44.     Causing ANIF's/ONI is an easy task in SxS (and some versions of Xbar),
45. because the customer's link to the CO will allow the customer to input MF 
46. tones
47. to influence a calls completion. This can be done by dialing a long distance
48. number and listening to the clicks that follow. After the first click when 
49. you
50. are done dialing, you will hear a few more. They will be timed very close to
51. one another, and the last click occurs right before the called telephone 
52. rings.
53. The number and speed of the clicks probably varies. Basically what these 
54. clicks
55. are is the Toll Office that serves your CO setting up a route for your call. 
56. In
57. order to abuse this knowledge, you need access to a MF source, whether it be 
58. a
59. blue box, a computer with a good sound chip, tape recording, etc. Right 
60. before
61. you hear the series of clicks, send one of the following sequences in MF:
62.  
63. KP+1 (Repeatedly) For Automatic Number Identification Failure (ANIF)
64.  
65. -or-
66.  
67. KP+2 (Repeatedly) For Operator Number Identification (ONI)
68.  
69. (Note:these will not work if your CO uses DP signalling.)
70.  
71. Play these tones into the phone at a sufficient volume so that they 'drown 
72. out'
73. the series of clicks. Do not send an ST signal, as you are not actually 
74. dialing
75. on a trunk. You must send these MF sequences quickly for this method to work
76. correctly. After you have played your 'routing' a few times, you will hear a
77. TSPS operator intercept your call and ask for the number you are calling 
78. FROM.
79. When an ANIF is recognized, the call is cut through to a TSPS site that 
80. serves
81. your area. Now, you can give the operator any number in your exchange and she
82. will enter the billing information manually, and put the call through. The 
83. toll
84. charges will appear on the customer who owns the number you gave. You can 
85. also
86. accomplish a similar feat by merely flashing the switchook during the series 
87. of
88. clicks. This will send DC pulses that scramble the ANI outpulsing and cause
89. your call to be sent to a TSPS operator before the dialed number. Be sure to
90. stop sending the MF 'routing' after the operator attaches or she may know 
91. that
92. something's up. Use this method sparingly and with caution. It would also be 
93. a
94. good idea not to use the same number for billing more than one time. Don't 
95. use
96. this method in excess, because a toll office report will list the number of 
97. ANI
98. failures for a specific time period. The ONI method works better because it 
99. is
100. assumed ONI is needed to identify a caller's DN upon a multi-party line. Too
101. many ANI failures will generate a report upon a security/maintenance TTY, so 
102. if
103. you plan on using this method, use the ONI method instead of just ANI 
104. Failure.
105. The basic idea behind the ANIF is to scramble your ANI information by using 
106. MF
107. (or the switchhook) to send your LD call to a TSPS operator for Operator 
108. Number
109. Identification (ONI) due to ANI Failure. The idea behind the ONI method is 
110. that
111. you are fooling the switch into thinking you are calling from a multi-party
112. line and ONI is needed to identify your DN.
113.  
114.  
115.     2:Test numbers
116.  
117.     Some other interesting things in the Step By Step system can be found by
118. dialing test numbers. Test numbers in SxS switching systems are usually 
119. hidden
120. in the XX99 area, as opposed to 99XX, which is common for other types of
121. switching systems. These types of numbers are possibly physical limitations 
122. of
123. a SxS switch, and thus a milliwatt tone or other test numbers will be placed
124. there, because a normal DN can't be assigned such a number. However, these 
125. XX99
126. numbers are usually listed in COSMOS as test numbers. Another interesting 
127. note
128. about XX99 numbers is that they seem (at least in some offices) to be on the
129. same circuit. (That is, if one person calls an XX99 number and receives a 
130. test
131. tone, and another person calls any other XX99 number in that same prefix, the
132. second caller will receive a busy signal).
133.  
134.     Here we must examine the last four digits of a telephone number in 
135. detail.
136.  
137.  
138. XXXX=WXYZ             W=Thousands digit
139.                       X=Hundreds digit
140.                       Y=Tens digit
141.                       Z=Units digit
142.  
143.  
144.     Dialing your prefix followed by an XX99 may result in a busy signal test
145. number, a network overflow (reorder), milliwatt tones, or other type of error
146. messages encountered when dialing.
147.  
148.     Not every XX99 number is a test number, but many are. Try looking for 
149. these
150. in a known Step by Step office.
151.  
152.     The numbers that return a busy signal are the ones that incoming callers
153. are connected to when the Sleeve lead of the called Directory Number is in a
154. voltage present state, which means the line is in use or off-hook. More about
155. this in the next topic.
156.  
157.  
158.     3:Busy signal conferencing
159.  
160.     Another interesting feature of the Step-By-Step system is the way busy
161. tones (60 IPM) are generated. In ESS and DMS central offices, busy signals 
162. that
163. are sent by the terminating switch are computer generated and sound very even
164. and clear with no signal irregularity. In SxS, all calls to a particular DN 
165. are
166. sent to the same busy signal termination number, which can be reached most of
167. the time by a POTS number. These busy tones are not computer generated and 
168. the
169. voice path is not cut-off.
170.  
171.     You can take advantage of this and possibly have a 'busy signal 
172. conference'.
173. This can be achieved by having several people dial the same busy DN that is
174. served by a Step office, or by dialing an always-busy termination number. 
175. When
176. you are connected to the busy signal, you will also be able to hear anyone 
177. else
178. who has dialed the same busy number. Connection quality is very poor however,
179. so this is not a good way to communicate.
180.     As an added bonus, answering supervision is not returned on busy numbers,
181. and thus the call will be toll-free for all parties involved. However, you 
182. must
183. be using AT&T as your inter-LATA carrier if the call to the busy number is an
184. inter-LATA call for you. So if your IC is US Sprint, you must first dial the
185. AT&T Carrier Access Code (10ATT) before the busy number. If your IC doesn't
186. detect answer supervision, and begins billing immediately or after a certain
187. amount of time, then you will be billed for the length of the call.
188.  
189.  
190.     4:Temporarily 'freezing' a line
191.  
192.     A SxS switching system that operates on the direct control principle is
193. controlled directly by what the subscriber dials. Jamming a line on SxS to
194. prevent service is possible by simply flashing the switchook a number of 
195. times.
196. Or you may find after several aborted dialing attempts, the line will freeze
197. until it is reset, either manually or by some time-out mechanism. Usually the
198. time the line is out of action is only a few minutes. The line will return a
199. busy signal to all callers, and the subscriber who has a 'dead' phone will 
200. not
201. even hear sidetone. This happens when one of the elements in the switch train
202. gets jammed. The switch train consists of the linefinder, which sends a dial
203. tone to the subscriber who lifted his telephone, and places voltage on the S
204. (Sleeve) lead as to mark that given DN as busy. Next in the switch train are
205. the selectors. The selectors are what receive the digits you dial and move
206. accordingly. The last step in the switch train is the connector. The 
207. connector
208. is what connects calls that are intraoffice, and sends calls to a Toll office
209. when necessary. Other types of devices can be used in the switch train, such 
210. as
211. Digit Absorbing Selectors, where needed.
212.  
213.     5:Toll/Operator assisted dialing
214.  
215.     You may be able to dial 1/0+ numbers with your prefix included in some
216. areas. You can dial any call that you could normally reach by dialing 1+ or 
217. 0+.
218. For example, to dial an operator-assisted call to a number in Chicago, you
219. could dial NXX+0312+555+1000 where NXX is your prefix, and you would receive
220. the usual TSPS bong tone, and the number you dialed, 312+555+1000, would show
221. up on the TSPS consoles LED readout board. You can also use a 1 in place of 
222. the
223. 0 in the above example to put the call through as a normal toll call.
224.  
225.     This method does not bypass any type of billing, so don't get your hopes
226. up high.
227.  
228.     The reason this works is twofold. The first reason is that the 
229. thousandths
230. digit in many SxS offices determines the type of call. A 0 or a 1 in place of
231. another number (which would represent a local call) is handled accordingly. 
232. The
233. other reason is due to a Digit Absorbing Selector that can be installed in 
234. some
235. SxS offices to 'absorb' the prefix on intraoffice calls when it is not needed
236. to process the call. A DAS can absorb either two or three digits, depending
237. on whether the CO needs any prefix digit(s) for intraoffice call completion.
238.  
239.     6:Hunting prefixes
240.  
241.     SxS switches may also translate an improperly dialed local call and send
242. it to the right area over interoffice trunks. Take for instance, you need to
243. make a local call to 492-1000. You could dial 292-1000 and reach the exact
244. same number, provided that there is no 292 prefix within your local calling
245. area. However, only the first digit of a prefix may be modified or the call
246. will not go through correctly unless you happen to have dialed a valid local
247. prefix. You also cannot use a 1 or a 0 in place of the first prefix digit,
248. because the switch would interpret that as either dialing a toll or an 
249. operator
250. assisted call.
251.  
252.  
253.     7:Trunks
254.  
255.     Step by Step switching system incoming and outgoing trunks are very 
256. likely
257. to use In-band supervisory signalling. This means you could possibly use
258. numbers served by a SxS CO to blue box off of. But, some older step areas may
259. not use MF signalling, but DP signalling. DP signalling uses short bursts of
260. 2600Hz to transfer information as opposed to Multi-Frequency tones. In DP
261. signalling, there are no KP or ST equivalents. Boxing may be accomplished 
262. from
263. DP trunks by sending short bursts of 2600Hz (2 bursts would be the digit 2).
264. Acceptable pulse rates are 7.5 to 12 pulses per second, but the normal rate 
265. is
266. 10 pulses per second. A pulse consists of an 'on hook' (2600Hz) tone and an
267. off-hook (no tone). So, at 10 pulses per second, a digit might be .04 seconds
268. of tone and .06 seconds of silence. DP is rarely used today, but some
269. direct-control Step offices still use it. Common Control Step offices are 
270. much
271. more likely to use MF trunk signalling.
272.  
273.  
274.     As said at the start of this file, some of the things mentioned here may
275. have no practical use, but are being exposed to the public and to those who 
276. did
277. not know about any one of the procedures mentioned here previously.
278.  
279.  
280.                         References and acknowledgements
281.  
282. ===============================================================================
283.      Basic Telephone Switching Systems-By David Talley, Hayden publishers
284.                No. 1 AMARC-Bell System Technical Journal
285.   Mark Tabas for information about CAMA and DP, The Marauder, and Doom 
286. Prophet.
287.  
288. ===============================================================================
289.  
290.  
291.   
292. (> DOWNLOADED FROM P-80 SYSTEMS.....
293.  
294. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
295.