您可以使用可用的众多 IMSI 捕获器之一，但这会非常昂贵。如果您想要更“DIY”的方法，您最好使用软件定义的无线电卡并编写一些代码。

该OpenBTS的项目开发了一个软件定义的GSM基站，以及它们的硬件页面有一些链接到兼容的SDR设备。购买一个，然后通过他们的代码来实现您自己的软件定义的 IMSI 捕捉器（如果可能，发布代码）。

理论上可以修改 ISP 提供的 femtocell 设备，但是您需要花费很长时间对如何与 GSM 芯片进行逆向工程 - 没有公开可用的文档，您唯一需要使用的就是是处理毫微微蜂窝的二进制文件。

您有点想对小区信号进行现场调查，但更多地关注用户而不是基站。是的，这是可能的。有手机公司使用的商业产品。还有所谓的“黄貂鱼”——这就是你听说警察追踪手机、寻找特定设备的方式。类似的技术可用于绘制一个区域的使用情况。

您也可以通过转换毫微微蜂窝设备来做到这一点。一些手机供应商将这些出售给客户以弥补覆盖率低的问题。您可以搜索有关构建和使用现成技术进行修改的文章以进行站点调查。我最近还看到 Pwnie Express 的员工推出了一款适用于该领域的产品。

现在，请记住，这在技术上是可行的，但根据市政当局或其他法规，这可能不合法。例如，可能不允许在小区频谱中操作未经许可的设备（例如，美国的 FCC 规定）。法律问题超出了 SEC.SE 的范围

一种便宜的方法 - 但仅适用于 GSM：购买 RTL SDR 棒（约 15 欧元）并跟踪 GSM 流量。

在流量中，您会找到寻呼请求（GSM 04.08 第 7.1.1 节）。寻呼请求不时地从基站发送到相应小区中的所有 GSM 电话。电话由 IMSI 或 TMSI 标识。

您需要添加一些评估、统计和启发式方法（例如，TMSI 只是暂时的 - 并且会不时重复使用）。

您还可以评估“立即分配”数据包：这些数据包是从基站发送的，电话应该请求信道。如果你计算这些，你可以做一些统计，将手机中的手机数量与每小时左右的活动数量进行比较。缺点：此数据包中没有 IMSI 或 TMSI（相关是使用通过上行链路信道发送的一些流量完成的）。

如果您很幸运并找到了一个没有信道跳跃的小区，那么跟踪“CM 服务请求”也很容易。在这里，您可以获得有关正在进行的流量通道设置（例如 TCH / SACCH）的信息 - 甚至可以查看是否将发送 SMS 或开始语音呼叫。这些数据包包含 IMSI 或 TMSI。

此解决方案的优点是价格便宜，您需要的所有内容都未加密发送，易于构建且无需发送任何内容。这应该是合法的：您的 GSM 手机整天都在侦听这些数据包。