RU2818276C1 - Способ противодействия атакам злоумышленников, направленным на прослушивание пейджинговых сообщений, передаваемых абонентским устройствам беспроводной сети связи - Google Patents
Способ противодействия атакам злоумышленников, направленным на прослушивание пейджинговых сообщений, передаваемых абонентским устройствам беспроводной сети связи Download PDFInfo
- Publication number
- RU2818276C1 RU2818276C1 RU2023125773A RU2023125773A RU2818276C1 RU 2818276 C1 RU2818276 C1 RU 2818276C1 RU 2023125773 A RU2023125773 A RU 2023125773A RU 2023125773 A RU2023125773 A RU 2023125773A RU 2818276 C1 RU2818276 C1 RU 2818276C1
- Authority
- RU
- Russia
- Prior art keywords
- paging
- base station
- subscriber device
- wireless communication
- message
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000004891 communication Methods 0.000 title claims abstract description 18
- 230000005540 biological transmission Effects 0.000 claims abstract description 11
- 239000000872 buffer Substances 0.000 claims abstract description 3
- 230000002596 correlated effect Effects 0.000 claims description 2
- 230000000694 effects Effects 0.000 abstract description 2
- 239000000126 substance Substances 0.000 abstract 1
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Abstract
Изобретение относится к области информационной безопасности в беспроводных сетях связи. Техническим результатом является повышение эффективности противодействия атакам злоумышленника, основанным на прослушивании пейджинговых сообщений абонентским устройством в сетях беспроводной связи. Способ противодействия атакам злоумышленников, направленным на прослушивание пейджинговых сообщений, передаваемых абонентским устройствам беспроводной сети связи, характеризуется тем, что при поступлении на базовую станцию от узла управления ММЕ пейджингового сообщения для передачи его абонентскому устройству базовая станция буферизует сообщение для последующей отправки пейджингового сообщения в пейджинговый цикл, номер которого кратен числу N, где N - целое натуральное число, при этом N≥2, при этом базовая станция определяет число N с помощью генератора чисел. 3 з.п. ф-лы.
Description
Изобретение относится к области информационной безопасности в беспроводных сетях связи [H04W 4/00, H04W 12/00, H04W 12/02, H04W 12/12, H04W 12/121, H04W 12/122, H04W 12/128, H04W 12/30, H04W 12/40, H04W 12/60, H04W 12/61, H04W 12/63, H04W 12/64, H04W 12/80, H04W 60/00, H04W 60/04].
Известны различные возможные атаки на абонентские устройства сотовой связи, которые осуществляют злоумышленники с различными целями, например, такие как, получение различных сведений (личных данных, данных о местоположении, используемые Интернет-ресурсы и т.д.), передаваемых абонентскими устройствами, вызов сбоев связи (ухудшение связи, уменьшение скорости связи, ограничение оказываемых услуг) и т.д.
Одна из опаснейших атак, широко описанная в открытых источниках, направлена на идентификацию местоположения абонентского устройства (а значит и с большой долей вероятности и самого владельца) в определенном районе. Для установления местоположения абонентского устройства чаще всего злоумышленники используют приемные устройства для «прослушивания» каналов передачи пейджинговых сообщений. Такое прослушивание возможно, так как физический и MAC-уровни (в частности, LTE и NR) передаются в виде обычного текста. «Прослушивание» осуществляется с помощью приемников со специальным программным обеспечением. Например, может использоваться приемник USRP B 210 с программным обеспечением на базе openLTE. Прослушивая служебные сообщения от базовых станций (как уже было сказано, сообщения MAC-уровня проходят без шифрования), можно узнать много служебной информации (например, временные интервалы, частоты, предназначенные для передачи того или иного абонентского устройства, также время задержки для конкретного абонентского устройства передачи - ТА). В беспроводной связи значение параметра временной задержки (TA) соответствует продолжительности времени, которое требуется сигналу для прохождения от абонентского устройства до базовой станции. Например, GSM использует технологию TDMA в радиоинтерфейсе для разделения одной частоты между несколькими пользователями, назначая последовательные временные интервалы отдельным пользователям, использующим одну частоту. Каждый пользователь осуществляет передачу периодически в течение менее одной восьмой времени в пределах одного из восьми временных интервалов. Поскольку пользователи находятся на разном расстоянии от базовой станции, а радиоволны распространяются с конечной скоростью, то точное время прибытия в слот может использоваться базовой станцией для определения расстояния до абонентского устройства. Время, в течение которого абонентскому устройству разрешено передавать пакет трафика в пределах временного интервала, должно быть скорректировано соответствующим образом, чтобы предотвратить конфликты с соседними пользователями. Timing Advance (TA) - это переменная, управляющая временной синхронизацией абонентского устройства с базовой станцией.
В протоколах беспроводной связи, в том числе и в LTE и NR, предусмотрено, что абонентское устройство в состоянии RRC_idle («спящий режим») не ведет обмен сообщениями с базовыми станциями, только время от времени «прослушивает» служебные сообщения от базовой станции, предполагая, что абонентское устройство может получить вызов (СМС-сообщение, звонок, сообщение в мессенджере, в социальной сети, обновление приложений и др.). Необходимо дополнить, что именно в режиме «RRC_idle» абонентские устройства проводят подавляющее количество времени.
Служебные сообщения для конкретного абонентского устройства с целью его перевода в активное состояние для получения информации от базовой станции носят название «paging». При этом периоды, когда абонентскому устройству необходимо «просыпаться» и «прослушивать» радиоэфир носят названия «пейджинговые оказии». В зависимости от настроек абонентского устройства может осуществлять такое «прослушивание» через 32, 64, 128 или 256 кадров (длительность кадра в LTE составляет 10 мсек, в NR длительность кадра варьируется), при этом номер конкретного субкадра для прослушивания, вычисляется исходя из его временного (TMSI) или постоянного (IMSI) идентификатора.
При получении пейджингового сообщения, абонентское устройство переходит из спящего режима RRC_idle в активный режим RRC_connected. Также в активный режим с соединением RRC_connected устройство будет переходить и в случае, если передача будет осуществляться по какому-нибудь уникальному расписанию.
Одна из подобных атак, основанная на прослушивании служебной информации и, в частности, пейджинга, описана в нескольких источниках. Так в статье Altaf Shaik, Ravishankar Borgaonkar, N. Asokan, Valtteri Niemi, and Jean-Pierre Seifert. Practical Attacks Against Privacy and Availability in 4G/LTE Mobile Communication Systems. arXiv:1510.07563 [cs], August 2017. arXiv: 1510.07563, указано, что «прослушивая» исключительно пейджинговые сообщения, злоумышленник может определить местонахождение жертвы с точностью от 20-30 км до 2-3 км (если базовой станцией используется интеллектуальный пейджинг).
Пейджинговая оказия может совпадать сразу для нескольких абонентских устройств, поэтому абонентское устройство выйдет в активный режим для получения информации только если «увидит» пейджинговое сообщение в своей пейджинговой оказии со своим TMSI (в некоторых случаях используется постоянный идентификатор IMSI).
Злоумышленники для сопоставления конкретного телефонного номера или аккаунта в социальных сетях и мессенджеров используют так называемую полуактивную атаку [Katharina Kohls, David Rupprecht, Thorsten Holz, and Christina Pöpper. Lost traffic encryption: fingerprinting LTE/4G traffic on laye two. In Proceedings of the 12th Confer- ence on Security and Privacy in Wireless and Mobile Networks, pages 249-260, Miami Florida, May 2019]. Смысл ее заключается в том, что злоумышленник совершает действия для получения абонентским устройством пейджингового сообщения (такое действие может быть звонком и/или сообщением, в том числе в социальных сетях и мессенджерах и др.) и при этом контролирует приход пейджинговых сообщений от базовой станции в конкретном районе (с помощью прослушивания служебных сообщений по линии вниз - downlink, для этого используется приемник со специальным программным обеспечением). Сопоставляя время совершения этого действия и время отправки пейджингового сообщения от базовой станции абоненту (очевидно, что отправка пейджингового сообщения происходит с некоторой задержкой, которая зависит от настроек конкретной ТА/базовой станции), злоумышленник может определить местонахождение (подтвердить местоположение) конкретного абонентского устройства в локальном районе и, кроме того, определить его идентификатор TMSI, который может оставаться неизменным до нескольких суток, а в некоторых случаях и постоянный идентификатор IMSI. При перехвате параметра ТА абонентского устройства злоумышленник может определить местоположение абонентского устройство с очень высокой точностью (до несколько сотен и даже десятков метров).
Параметр ТА создан мобильными операторами прежде всего для того, чтобы абонентское устройство могло синхронизироваться с базовой станцией. TA содержит два блока информации: первый блок содержит информацию о расстоянии от абонентского устройства до обслуживающей базовой станции, второй блок - время передачи UE по восходящей линии связи, при этом параметр ТА передается с привязкой к идентификатору TMSI на уровне МАС, что также не предполагает его шифрование.
Очевидно, что локализация абонентского устройства (подтверждение присутствия в определенном локальном районе) может нанести существенный вред интересам владельца данного устройства. Так, например, злоумышленник может отслеживать прибытие жертвы в определенный район с целью совершения в отношении него более тяжких преступлений (кража, угон личного транспорта и даже покушение на его жизнь), а также существенно ограничивает права владельца абонентского устройства на частную жизнь.
Для решения вышеуказанных проблем информационной безопасности в телекоммуникационных сетях беспроводной связи, используются различные способы.
Так, из уровня техники известен патент RU 2427103 C2 «СКРЫТИЕ ВРЕМЕННЫХ ОПОЗНАВАТЕЛЕЙ ПОЛЬЗОВАТЕЛЬСКОЙ АППАРАТУРЫ» [опубл. 20.08.2011], для реализации которого заявлено устройство для передачи сообщения со скрытым временным идентификатором к пользовательской аппаратуре, содержащее процессор, сконфигурированный для преобразования первого идентификатора (ID), назначенного пользовательской аппаратуре (UE), чтобы получить второй ID для UE, формирования выходного сообщения, направляемого в UE, на основании входного сообщения и второго ID, и посылки выходного сообщения через общий канал, совместно используемый упомянутым UE и другими UE, при этом процессор сконфигурирован для маскирования, по меньшей мере, части входного сообщения с помощью второго ID, чтобы сгенерировать выходное сообщение; и память, соединенную с процессором, а способ, в котором для передачи сообщения со скрытым временным идентификатором к пользовательской аппаратуре, содержит этапы, на которых преобразуют первый идентификатор (ID), назначенный пользовательской аппаратуре (UE), чтобы получить второй ID для UE, формируют выходное сообщение, направляемое в UE, на основании входного сообщения и второго ID, при этом маскируют, по меньшей мере, часть входного сообщения с помощью второго ID, чтобы сгенерировать выходное сообщение; и посылают выходное сообщение через общий канал, совместно используемый упомянутым UE и другими UE.
Также известен патент US20200178065A1 [опубл. 01.03.2022], в котором заявлен способ обнаружения и реагирования на атаки пейджингового канала, включающий в себя следующие этапы:
мониторинг с помощью процессора беспроводного устройства общего пейджингового канала во время пейджинговой оказии в цикле прерывистого приема (DRX) для обнаружения первого международного идентификатора мобильного абонента (IMSI) на основе полученного пейджингового сообщения в пейджинговой оказии;
продолжение мониторинга процессором процедуры пейджинга на основе выбранного IMSI в последующих радио подкадрах пейджингового кадра после приема первого пейджингового сообщения;
продолжение мониторинга процессором процедуры пейджинга на основе выбранного IMSI в одном или нескольких радио подкадрах в одном или нескольких последующих радио кадрах в пределах цикла DRX;
продолжение мониторинга процессором процедуры пейджинга на основе выбранного IMSI в одном или нескольких последующих циклах DRX;
определение на основе мониторинга того, получают ли один или несколько подкадров, которые не являются пейджинговыми оказиями, пейджинговое сообщение на основе выбранного IMSI, что может являться идентификатором действий злоумышленника;
беспроводное устройство способно принять меры по защите от описываемой атаки злоумышленника (например, готово предотвратить подключение пользователя к ВБС злоумышленника) в ответ на зарегистрированные аномальные данные.
Основной технической проблемой аналога и прототипа является необходимость включения дополнительного устройства для реализации описанных в аналоге и прототипе способов реагирования на атаки пейджингового канала, что повышает стоимость оборудования, усложняет процедуру предоставления связи, снижает надежность базовой станции. Другим недостатком является возможность обхода злоумышленником приведенных способов. Это достигается тем, что если злоумышленник знает настройки пейджинговых сообщений параметра ТА базовой станции, которые у одного оператора связи в одном ТА одинаковы, для чего злоумышленник может предварительно подключиться к базовой станции своим абонентским устройством для уточнения пейджинговых настроек, то значение временного идентификатора абонентского устройства (TMSI) для злоумышленника не будет иметь значения. Например, злоумышленник, предварительно подкючаясь к базовой станции, узнает, что, например, по настройкам пейджинговый цикл (paging cycle) составляет для данной базовой станции 128 rf, каждый радиофрейм составляет 10 мсек, следовательно, абонентское устройство будет включаться на получение пейджингового сообщения каждые 1,28 сек. Осуществив несколько действий для отправки пейджинговых сообщений конкретному абонентскому устройству (СМС/звонок/мессенджеры/соц.сети и т.д.) и сопоставив время совершения действия и непосредственно отправки пейджинговых сообщений, злоумышленник получит подтверждение нахождения абонентского устройства в локальном районе, так как пейджинговая оказия у одного абонентского устройства будет одинакова, то задержка между совершением действия для отправки пейджинговых сообщений и непосредственно отправкой пейджингового сообщения БС будет одинаковой.
Задача изобретения состоит в устранении недостатков аналога и прототипа.
Техническим результатом изобретения является повышение эффективности противодействия атакам злоумышленника, основанных на прослушивании пейджинговых сообщений абонентским устройством в сетях беспроводной связи.
Указанный технический результат достигается за счет того, что способ противодействия атакам злоумышленников, направленным на прослушивание пейджинговых сообщений, передаваемых абонентским устройствам беспроводной сети связи, характеризующийся тем, что при поступлении на базовую станцию от узла управления ММЕ пейджингового сообщения для передачи его абонентскому устройству, базовая станция отправляет упомянутое пейджинговое сообщение абонентскому устройству в N-кратный пейджинговый цикл, где N - целое натуральное число, при этом N≥2.
В частности, число N определяют с помощью генератора чисел.
В частности, число N устанавливают в виде значения, коррелированного со значением идентификатора абонентского устройства, для которого предназначено пейджинговое сообщение.
В частности, число N устанавливают по времени или дате получения пейджингового сообщения для передачи его абонентскому устройству.
В частности, способ осуществляется в отношении только определенных абонентских устройств на основе его идентификатора
Осуществление изобретения
Областью применения изобретения является любой вид беспроводной связи (GSM, UMTS, LTE, NR). В настоящем изобретении под абонентским устройством понимается устройство, обеспечивающее связь по одному или нескольким протоколам мобильной связи, например, мобильный телефон, планшет, модем, КПК, ноутбук и т.д.
Из уровня техники под интерфейсом S1 понимается интерфейс, связывающий подсистему базовых станций E-UTRAN и узел управления мобильностью MME. По данному интерфейсу передаются данные управления.
Узел управления мобильностью MME (Mobility Management Entity) - это ключевой контролирующий модуль для сети доступа LTE. Он отвечает за процедуры обеспечения мобильности, хэндовера, слежения и пейджинга абонентского устройства, участвует в процессах активации/дезактивации сетевых ресурсов и так же отвечает за выбор обслуживающего шлюза сети SGW для абонентского устройства при начальном подключении и при хэндовере внутри LTE со сменой узла ядра сети CN (Core Network).
Сущность технического решения заключается в том, что при получении от узла управления ММЕ пейджингового сообщения по интерфейсу S1, базовая станция буферизует сообщения для последующей отправки пейджингового сообщения не в ближайший пейджинговый цикл, а в N-кратный ему пейджинговый цикл, где N - целое натуральное число. Кратность необходима для того, чтобы абонентское устройство могло прослушивать предназначенные для него пейджинговые сообщения в кратную пейджинговую оказию. При этом, для обмана злоумышленника, кратность пейджингового цикла (пейджинговой оказии) может выбираться случайным образом в установленном диапазоне, например, при выборе границы диапазона в значении 5, пейджинговая оказия может иметь место быть в одном из кратных пейджинговых циклов: от 2 до 5. Также кратность пейджингового цикла может устанавливаться в зависимости от времени или даты получения базовой станцией пейджингового сообщения для передачи его абонентскому устройству. Например, пейджингового сообщение поступило на третьей секунде, или шестой минуте, или в семь часов, или одиннадцатого числа, тогда кратность, т.е. N, соответственно, может быть равна 3, 6, 7 или 11. Для формирования кратности пейджингового цикла в базовой станции может быть предусмотрен генератор чисел, в котором задают настройки его работы.
В другом варианте реализации кратность пейджингового цикла (число N) может определяться например по значению идентификатора абонентского устройства (TMSI и/или IMSI), например, пусть временный идентификатор TMSI заканчивается на 3, тогда кратность будет установлена числу 3. Таким образом, злоумышленник не сможет сопоставить время отправки информационных сообщений и время прихода пейджинговой оказии (от базовой станции к абонентскому устройству) и, соответственно, не сможет подтвердить нахождение абонентского устройства в определенной локации. Кроме того, злоумышленник не сможет скоррелировать время прихода пейджингового сообщения от его идентификатора.
Такой способ противодействия атакам злоумышленников, направленным на прослушивание пейджинговых сообщений, передаваемых абонентским устройствам беспроводной сети связи обладает высокой эффективностью за счет передачи пейджингового сообщения абонентскому устройству базовой станцией не в ближайший пейджинговый цикл, а в N-кратный пейджинговый цикл, что исключает локализацию злоумышленником абонентского устройства по данным параметра ТА базовой станции и времени отправки пейджинговых сообщений, а также осуществление подобных атак для проведении которых злоумышленник прослушивает пейджинговые сообщения.
Кроме того, способ может осуществляться не в отношении всех абонентских устройств, обслуживаемых базовой станцией, а только в отношении конкретных устройств (на основе его идентификатора).
Реализация патента показана для сетей LTE, что не исключает применения данного способа для повышения информационной безопасности других поколений сетей беспроводной связи, таких как, например, NR.
Claims (4)
1. Способ противодействия атакам злоумышленников, направленным на прослушивание пейджинговых сообщений, передаваемых абонентским устройствам беспроводной сети связи, характеризующийся тем, что при поступлении на базовую станцию от узла управления ММЕ пейджингового сообщения для передачи его абонентскому устройству базовая станция буферизует сообщение для последующей отправки пейджингового сообщения в пейджинговый цикл, номер которого кратен числу N, где N - целое натуральное число, при этом N≥2, при этом базовая станция определяет число N с помощью генератора чисел.
2. Способ по п.1, отличающийся тем, что число N устанавливают в виде значения, коррелированного со значением идентификатора абонентского устройства, для которого предназначено пейджинговое сообщение.
3. Способ по п.1, отличающийся тем, что число N устанавливают по времени или дате получения пейджингового сообщения для передачи его абонентскому устройству.
4. Способ по п.1, отличающийся тем, что он осуществляется в отношении только определенных абонентских устройств на основе его идентификатора.
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2818276C1 true RU2818276C1 (ru) | 2024-04-27 |
Family
ID=
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008155739A2 (en) * | 2007-06-19 | 2008-12-24 | Nokia Corporation | Apparatus, method and computer program product providing idle mode discontinuous reception |
| RU2427103C2 (ru) * | 2006-02-10 | 2011-08-20 | Квэлкомм Инкорпорейтед | Скрытие временных опознавателей пользовательской аппаратуры |
| CN110536290A (zh) * | 2018-05-24 | 2019-12-03 | 华为技术有限公司 | 一种寻呼处理方法及装置 |
| US20200178065A1 (en) * | 2018-11-30 | 2020-06-04 | Qualcomm Incorporated | Methods and Systems for Detecting and Responding to Paging Channel Attacks |
| WO2021180209A1 (zh) * | 2020-03-12 | 2021-09-16 | 华为技术有限公司 | 传输寻呼信息的方法和通信装置 |
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2427103C2 (ru) * | 2006-02-10 | 2011-08-20 | Квэлкомм Инкорпорейтед | Скрытие временных опознавателей пользовательской аппаратуры |
| WO2008155739A2 (en) * | 2007-06-19 | 2008-12-24 | Nokia Corporation | Apparatus, method and computer program product providing idle mode discontinuous reception |
| CN110536290A (zh) * | 2018-05-24 | 2019-12-03 | 华为技术有限公司 | 一种寻呼处理方法及装置 |
| US20200178065A1 (en) * | 2018-11-30 | 2020-06-04 | Qualcomm Incorporated | Methods and Systems for Detecting and Responding to Paging Channel Attacks |
| WO2021180209A1 (zh) * | 2020-03-12 | 2021-09-16 | 华为技术有限公司 | 传输寻呼信息的方法和通信装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9788196B2 (en) | Systems and methods for identifying rogue base stations | |
| Yang et al. | Hiding in plain signal: Physical signal overshadowing attack on {LTE} | |
| WO2020145005A1 (en) | Source base station, ue, method in wireless communication system | |
| US20120300655A1 (en) | Method of receiving and transmitting message in a mobile communication system using a mtc device and apparatus for the same | |
| US10165455B2 (en) | Coordination for PBCH | |
| CN113316949A (zh) | 信息保护以检测假基站 | |
| Song et al. | Fake bts attacks of gsm system on software radio platform | |
| WO2015018353A1 (zh) | 一种寻呼方法、寻呼消息获取方法及基站、终端 | |
| CN114556990B (zh) | 在核心网络中的网络功能处的系统信息保护 | |
| US20140204924A1 (en) | Method and apparatus of performing a discovery procedure | |
| JP2020511903A (ja) | 指示情報送信方法および装置 | |
| Fei et al. | Lte is vulnerable: Implementing identity spoofing and denial-of-service attacks in lte networks | |
| US9313718B2 (en) | Method and apparatus for cooperative discovery and in proximity-based service | |
| WO2022060059A1 (en) | Method and apparatus for transmitting and receiving paging in a wireless communication system | |
| Zhang et al. | Distributive throughput optimization for massive random access of M2M communications in LTE networks | |
| CN101478788B (zh) | 侦听寻呼的方法与系统 | |
| Ludant et al. | Unprotected 4G/5G Control Procedures at Low Layers Considered Dangerous | |
| WO2019227869A1 (en) | System and method for obtaining time synchronization | |
| RU2818276C1 (ru) | Способ противодействия атакам злоумышленников, направленным на прослушивание пейджинговых сообщений, передаваемых абонентским устройствам беспроводной сети связи | |
| Wu et al. | Identifying security and privacy vulnerabilities in 4g lte and iot communications networks | |
| CN1765146A (zh) | 用于保护不受射频干扰的方法和设备 | |
| US11405787B2 (en) | Physical signal overshadowing attack method for LTE broadcast message and the system thereof | |
| TW202008743A (zh) | 隨機接入的方法、設備及電腦儲存媒介 | |
| EP4272476A1 (en) | Enhanced mechanism for detecting fake base station attacks | |
| Kim et al. | Long-term evolution vulnerability focusing on system information block messages |