2022年移动AdHoc网的典型网络攻击与防范 .pdf

第28卷第5期2007年5月微 计 算 机 应 用M ICROCOMP UTER APPL ICATIONSVol. 28 No. 5M ay . 2007移动Ad Hoc网的典型网络攻击与防范3宋建华1, 2洪 帆1何晓冰3(1华中科技大学计算机科学与技术学院武汉 4300742湖北大学数学与计算机科学学院武汉 4300623中国建设银行湖北省分行信息技术部武汉 430015 )摘 要:随着移动Ad Hoc网络(MANET )的应用越来越广泛,针对Ad Hoc网络的攻击也越来越多。探讨了移动Ad Hoc网中的典型网络层安全漏洞及可能的攻击,分析了各种解决方案的优缺点,为了移动Ad Hoc网络路由安全的进一步研究,提供了基础 。关键词:移动自组网 网络攻击 网络安全Typ ical NetworkA ttacks and D efenses in M ob ile Ad Hoc NetworksS ONG Jianhua1, 2, HONG Fan1, HE Xiaobing31College of Computer Science and Technology,Huazhong Universityof Science and Technology,W uhan, 430074, China,2School of M athmatics and Computer Science, Hubei University,Wuhan, 430062, China,3informati on technology department, China constrction bank Hubei B ranch,W uhan, 430015, China)Abstract:W ith the rapid and wide use of mobile Ad Hoc networks, more andmore attacks can be launched towards it.Some typicalnetwork attacks of Ad Hoc networks are addressed and some countermeasures of different attacks are analyzed .Keywords:Mobile Ad Hoc networks,network attacks,network security本文于2005 - 09 - 06收到。3基金项目:湖北省自然科学基金(2005ABA243 )。1 引言移动 Ad Hoc网络 (MANET )是一种无需固定基础设施就能相互通信的多个对等移动节点组成的集合。网络中各结点的地位平等,通过无线接口进行通信。Ad Hoc网络组网灵活、 快捷 ,不受有线网络的影响,可以应用在军事操作、 紧急搜索营救任务、 数据收集或传感器网、 以及即时课堂或会议等场合。但由于Ad Hoc网络没有明显的防御界限,没有足够物理保护,缺乏中心管理,使得 Ad Hoc网络面临着许多新的安全威胁。在移动自组网中攻击者可以攻击合法节点,使其成为补俘节点,也可以攻击网络,使各合法节点不能使用网络提供的服务。根据攻击产生的根源可分为外部攻击和内部攻击。外部攻击即是由网络中不合法的部分产生的攻击。内部攻击源于网络的内部,由于网络内部的节点实际上能够受到其自身安全机制的保护 ,因此内部攻击比外部攻击更具破坏性,检测更困难。攻击还可划分为主动攻击和被动攻击。被动攻击不对网络进行任何形式的干扰,其目的是窃取信息。主动攻击是主动的改变通信数据,增加网络的负担,破坏操作或使某些节点失去与其邻节点的联系而使它们不能有效地使用网络中的服务。在 Ad Hoc网络中 ,针对网络的攻击可以发生在任何一层上:在物理层和媒体接入层,攻击者可以通过名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 6 页 - - - - - - - - - 5期宋建华 等 :移动 Ad Hoc网的典型网络攻击与防范455无线干扰来扰乱物理通信信道;在网络层,攻击者可以破坏路由功能;在高层 ,攻击者可以攻击各种高层服务 。2 移动Ad Hoc网的典型网络层攻击在移动Ad Hoc网这种环境中,节点通常是移动的并且可能在任意时间从某个节点范围内或从整个网络消失 。由于节点无线覆盖范围的有限性,两个无法直接通信的节点可以借助其他节点进行分组转发,即多跳通信 。MANET 的这种自组性及多跳性使各节点不仅具有普通移动终端所具有的功能,而且具有报文转发和路由的能力。因此中间节点的通信比在固定网络中重要得多,也使攻击者干扰网络比传统的网络容易得多 。网络层存在的安全威胁包括:路由破坏攻击、 资源消耗攻击、 数据流量攻击等。由于路由信息是维护移动自组网络网络拓扑的主要手段,攻击节点经常发动各种路由破坏攻击:恶意插入路由包,产生路由环;广播虚假路由,使网络中某一区域内的节点把所有的包都传向攻击节点,然后攻击节点可以全部或部分抛弃,使其始终不能到达目的节点等。这些攻击可以引起严重的网络阻塞和信道争用,降低网络的可用性。由于MANET 中的节点只有有限资源,恶意节点可以向网络发送无用信息,消耗 CPU、 内存等重要资源,从而形成资源消耗攻击。再者 ,因为 MANET 中的节点具有移动性和多跳性,数据包可能由于路径的改变而丢失,攻击者可以利用这一点随意丢包,进行数据流量攻击,破坏网络 。网络层的这些攻击可以发生在路由的不同阶段 ,也可以针对不同的路由协议,还可以由多个恶意节点通过合谋达成。2. 1路由发现阶段移动 Ad Hoc网络各节点间通过多跳数据转发机制进行数据交换,而无线信道变化的不规则性,节点的移动 、 加入 、 退出等都会引起网络拓扑结构的动态变化,这使得可能需要经常建立各节点的路由。Ad Hoc通过启动一个路由发现过程来寻找有效路由。路由发现过程是由以下几个部分实现的:源节点发送一个初始路由请求包RREQ;每个节点(除了源节点以及有路由到目的节点的节点)收到此RREQ 后转发 ;收到此RREQ的响应节点以RREP消息进行响应;收到响应消息RREP的中间节点转发此RREP,直到源节点收到RREP,从而建立起路由,完成了路由发现过程。这个过程需要节点间的合作通信才能完成,而节点间的这些路由通信活动正是被利用和攻击的对象。攻击者可通过RREQ flooding、 修改路由控制消息、 伪造 RREP消息等操作破坏路由发现的各个部分,从而阻止正常路由信息的建立。(1) RREQ flooding。路由请求包RREQ一般都是通过泛洪广播方式进行的,这个过程会消耗较多网络资源 ,因此需要控制泛洪RREQ查找的频率与范围,减少对网络资源的消耗。攻击者可以利用这一点,大量 、 连续地发送RREQ报文 ,在整个网络中泛洪查找路由。这样整个网络就会充满RREQ报文 ,占用了大量无线通信带宽,导致网络拥塞,正常通信无法进行,网络性能严重下降,形成了RREQ flooding攻击 。由于这是利用路由协议本身的功能发动的攻击行为,即对于路由协议而言是正常的通信活动,而对网络性能有严重影响的活动,需要长时间观察才能得出结论,因此难于检测。(2)丢弃路由消息。转发路由消息需要消耗节点的资源,网络中的部分节点可能因资源能量和计算能量等缘故 ,不愿承担其他节点的转发任务,形成自私性攻击。恶意节点也只需要通过简单的丢弃路由消息就可以达到破坏路由通信的目的。如果网络中这种节点越来越多,网络性能将受到严重影响。(3)修改路由控制信息。修改路由控制信息攻击主要采用修改路径序列号、 修改路径长度以及修改源路由列表等手段。 修改路径序列号。AODV 和 DSDV 等路由协议依赖于目的节点的序列号来判断路由表中通往目的节点的路径的新旧程度。在 AODV 路由协议中,对一个路由请求包(RREQ)的有效应答(RREP)必须有比RREQ 更大的目的序列号。当某个节点向上游节点转发了第一个有效RREP应答后 ,后续的RREP如果没有比第一个RREP更大的序列号,后续的RREP应答将被丢弃;反之 ,将使用序列号更大的路径更新路由表。攻击者可以通过修改序列号将自己插入到通往目的节点的发送路径中,从而可以拦截发往目的节点的数据.并进行分析、 纂改或者丢弃。 修改路径长度。在如 AODV 等路由协议中,当源节点收到名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 6 页 - - - - - - - - - 456微 计 算 机 应 用2007年几个 RREP应答有相同的序列号时,将使用距离最短( hop数最少 )的路径 。这样 ,恶意节点可能向源节点声明自己到达目的节点的距离最近(实际上的路径可能距离最长) ,比如只有1个 hop,从而使自己成为通信中间节点的机会大大增加。反之 ,一些自私节点也可以将路径长度改为最大值,减少自己成为通信中间节点的机会 ,从而逃避为其他节点转发数据,减少能量消耗。 修改源路由。DSR路由协议使用源路由,在每个数据包头中包含了通往目的节点的完整路径(所经过的中间节点的全部列表)。由于目前的DSR协议没有引入安全措施确保源路由信息的完整性,恶意节点能够很容易地修改源路由从而发起DOS攻击 。(4) Rushing攻击 。反应式路由协议在路由发现阶段需要使用RREQ广播 。为了减少这种广播对带宽的消耗 ,AODV、 DSR等路由协议规定,当一个节点收到多个属于同一个路径发现过程的RREQ包时 ,只转发最先收到的请求包,而将后续到达的请求包丢弃。如果某个恶意节点能够使目的节点所有的邻居节点最先收到的RREQ包都经过该恶意节点,就能使目的节点忽略通过其他正确路径到达的路由请求,从而使源节点和目的节点的通信都通过该恶意节点。2. 2路由维护阶段AODV 以及 DSR等反应式路由协议使用路径维护来保证路径的连通性。当某个节点发现路径中下一跳不可达(即发生了连接中断)时 ,将向路径的上游节点返回指示连接断裂的RERR信息 。源节点收到错误报告后 ,将采取措施努力从错误中恢复,比如重新发起路径发现过程以寻找新的可用路径等。恶意节点可以通过伪造RERR消息破坏路径的可用性,增加源节点的路径建立消耗,降低网络性能。还可以攻击路由表或路由cache,发起 DOS攻击 。(1)路由表溢出攻击。移动设备的内存原本不充足,用于路由表的空间则更加有限。在 DSDV 等主动式路由协议中,网络节点要周期性的交换路由信息。恶意节点可以通过伪造大量的虚假路由信息,这些路由信息通往实际不存在的目的节点,从而使其他网络节点的路由表空间被这些虚假的路由信息占用,甚至溢出 ,使得那些真实的路由信息被丢弃。对于反应式路由协议,两个或多个恶意节点之间通过合谋,也可以发起这种攻击。(2)破坏路由Cache 。为了提高协议性能,有些协议如DSR路由协议引入了路由Cache的概念 。节点除了从自己转发的数据包头中获取路径信息之外,还能从被动接收监听到的数据包头中获取路径信息,并将这个路径信息存入本地路由Cache,以备将来使用。这样能够减少路由发现的开销,提高协议性能。但是也引入了新的安全漏洞。恶意节点可以通过向邻居广播通往某个节点的伪造路由信息,使其周围的邻居节点将这个路由信息存入路由Cache,形成错误路径。2. 3数据传输阶段在移动自组网模式中,由于各个节点的传输范围受到限制,所以每个节点既要收发自身数据,又要转发其他节点的数据。这样 ,数据在传输阶段会经过许多中间节点的转发。如果在网络中存在或加入恶意节点 ,数据的安全就没有保障,网络性能也会受到严重影响。(1)破坏数据包。在数据传输阶段,攻击者可以在收到需要转发的数据包后,肆意修改数据包的内容再进行转发 。或者是直接丢弃收到的数据包,不进行转发,形成丢包攻击。还可以按照一定的原则发起选择性丢包攻击。由于无线信道变化的不规则性,数据包的丢失可能是由于节点的移动或其他原因引起的,因此这种针对数据包进行破坏的恶意行为很难与正常行为区分开来,从而很难进行检测。(2)数据包flooding 。攻击者可以通过数据包flooding进行 DOS攻击 。攻击者利用事先建立的到网络中所有节点的路由,向所有节点倾泻大量无用的数据报文。使得被攻击节点忙于接收大量的攻击报文,消耗了大量的节点资源。同时还造成有限的无线通信带宽被占用,网络发生拥塞,其他节点之间的正常通信无法进行 。2. 4高级攻击攻击者如果将上述某些攻击组合起来,会形成一些高级的路由攻击。这些攻击将会对网络造成更大的伤害 。典型的高级攻击有黑洞攻击、 虫洞攻击等 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 6 页 - - - - - - - - - 5期宋建华 等 :移动 Ad Hoc网的典型网络攻击与防范457(1)黑洞或灰洞。攻击者广播路由信息,宣称自己到达网络中所有节点的距离最短或开销最低。这样收到此信息的节点都会将数据包发向该点,从而形成一个吸收数据的“ 黑洞 ”。攻击者如果偷偷地将数据包全部丢弃 ,就形成黑洞攻击;如果攻击者有选择的丢弃其中的一部分,如转发路由协议包而丢弃数据包,则形成灰洞攻击。(2)虫洞 。虫洞 (Wormhole)攻击是由两个恶意结点合谋进行的一种针对Ad Hoc路由协议的严重攻击。它是在两个串谋恶意结点间建立一条私有通道,攻击者在网络中的一个位置上记录数据包或位信息,通过此私有通道将窃取的信息传递到网络的另外一个位置。因为私有通道的距离一般大于单跳无线传输范围,所以通过私用通道传递的数据包比通过正常多跳路径传递的数据包早到达目标结点。如果利用此通道能转发所有包,则虫洞是有益无害的,因为它能够降低数据包到达目标结点的时间。但是 ,如果虫洞攻击者并不忠实地传递所有数据包,而是对数据流发起多种攻击,故意传递部分数据包,如只传递控制信息数据包,或窜改数据包的内容,将造成数据包的丢失或破坏。另外 ,虫洞还可以让两个实际相距很远的节点相信彼此是邻居,虫洞节点的存在使得无法建立两跳以上的路由。由于虫洞能够造成比实际路径短的虚假路径,将会扰乱依靠结点间距离信息的路由机制,从而导致路由发现过程的失败。虫洞非常难于检测,因为它用于传递信息的路径通常不是实际网络的一部分,同时它还特别危险,因为它们能够在不知道使用的协议或网络提供的服务的情况下进行破坏。(3) Sybil攻击 。MANET 中的恶意结点如果同时假扮几个结点的身份来破坏路由协议的可靠性,这种攻击被称为Sybil攻击 。因为 MANET 高度依靠结点间的通信,许多系统应用多种算法以保证数据尽快的从源节点传到目的节点,使攻击者没有时间破坏信息的完整性。如果同一个数据包被多条不同的路径传送,则其中一条路径中数据包的改变能够很容易地被检测出来,从而能够从网络中隔离出恶意结点。但是 ,如果一个恶意结点能够同时假扮几个结点的身份,上述方法的作用就会降低。攻击者能够利用多重身份改变所有传输路径上的同一数据包,使目标结点不能检测出干扰。在基于信任的路由环境中,假扮多种身份的恶意结点还可以大量传播关于其自身可信的虚假信息,以吸引更多的结点与它通信,造成路由信息的混乱,达到攻击的目的。3 现有的解决方案分析目前针对移动Ad Hoc网的网络安全问题已经进行了多方面的研究,这些研究主要分为以下几类:安全路由协议的设计、 密码机制的应用、 进行攻击检测等。针对一些典型的网络攻击也有了许多解决方案。Hu等提出的SE AD 2在基本路由协议DSDV 的基础上,各节点利用单向散列函数,以一个随机数作为初始输入 ,对每次的输出值连续作散列计算,产生的一系列输出值,如 h0, h1, h2, , hn称为该点的散列链。因此 ,散列链数值可递推验证。传送路由信息时,节点根据路由请求的序列号和网络直径,从散列链中反方选择一个数值(即按hn, hn - 1, ,h2, h1的顺序选择)附加在欲发送的路由包中。中间点选择携带较大序列号或相等序列号但距离度量较小的路由包,并对其中携带的链值加以验证,防止路由包被破坏。因为散列函数具有单向性,故恶意节点无法篡改认证值(也就不能增加路由包的序列号) ,同样不可减小度量值,最终抵制了路由信息被破坏和伪造的攻击。也可防止路由黑洞和路由重播。该协议的缺点是对于伪造相等序列号和度量值的恶意攻击不能有效抵制;而且 ,因为使用表驱动距离向量路由机制,必须选择合适的网络规模 ,否则会增大节点的开销。S AR 协议 3 用于保护路由发现过程,它使用类似于QoS路由算法的一种协议。当节点进行路由发现时首先要确定一定的路由准绳,那么不是属于该路由准绳子网的节点则无法对路由包进行加密、 解密或做出是否满足QoS指标的决定,只能抛弃 。该方法要求相同层次的节点要保持同步的加密、 解密密钥 . 这种方法对路由信息的传输(如完整性)提供了一定的保护。上述这些策略需要在路由协议中加入复杂的加解密算法和相应的协议,并且需要节点间具有很强的协作关系 。这显然不适用于一般商用性和自发性临时性的自组网。该类网络所面临的安全威胁比如大规模名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 6 页 - - - - - - - - - 458微 计 算 机 应 用2007年的协同攻击和需要达到的安全标准都比较低,采用上述几种策略的代价太高。Tseng 4 等人提出了基于规范的入侵检测方案。此方案利用分布在网络中的监测节点合作监视在AODV 路由查询过程中,被监视节点是否按照路由规范进行操作,如果发现不合规范就报警。该方案有较高的检测率和较低的误报率,但也占用了节点较多的计算资源。针对有些节点只是转发路由包而不转发数据包,而有些自私节点既不转发路由包,也不转发数据包这种自私性攻击方式,文献 5提出了一种基于DSR协议的反应式路由协议: CONFI DANT。该协议主要包含以下组件 :监测器 ,用于检测节点行为;声誉记录器,用于记录声誉信息;信任度管理器,用于控制发送、 接收警告信息的情况;路径管理器,使节点根据声誉记录情况对行为做出调整。该方法可以保证即使网络中存在一半的自私攻击节点也能取得较好的性能。对于路由发现过程中的RREQ flooding攻击 ,主要的解决方法: 进行地址过滤。如果节点知道网络中所有节点的IP地址 ,通过地址过滤丢弃那些目标地址不在网络中的RREQ包 ; 限制节点启动路由发现的次数 ; 设定RREQ的发送优先级。如果恶意节点发送了过多的RREQ 包 ,则降低对它的处理优先级 4 。这些方法的主要目的是减轻flooding攻击对网络造成的负面影响,而不能把恶意节点隔离。针对 AODV 中的黑洞问题,简单的改进策略是禁止中间节点应答RREQ包 。这种策略虽然增强了AODV 的安全性,但存在两个明显的缺陷:无论是在路由发现过程或者路由更新过程都将大大增加路由延时 ,特别是大型的网络;恶意节点也可以伪造目标节点的RREP。另外 ,可以采用基于对响应节点的下游邻居节点验证的方案,即当中间节点M 应答RREQ时必须在RREP中附加下一跳节点H的信息 ,源节点收到RREP后并不立即信任该路由,而是再向H发验证询问包。如果 H返回的验证反馈包中确认有到目的节点和到 M 的可用路由(源节点忽略来自包含节点M 的路径的返回的验证反馈包)源节点将信任M 的 RREP。否则抛弃RREP,同时向全网发送警告信息孤立M。这种解决方案能从某种程度上避免黑洞的形成,但还存在两个缺陷: 若应答节点M 是正常节点,且源节点和节点H 间仅存在包含M 的唯一路由,则源节点由于无法从另外的路由对节点H 进行验证 ,从而误认为M 是恶意节点; 若节点 M 和 H 均为恶意节点且相互配合 ,则源节点收到的查询结果也是虚假的。目前大部分路由协议都无法处理虫洞攻击,现有的解决方案也非常有限。有一种称为“ 数据包限制”( packet leashes ) 6 的机制 ,采用一种有效的认证协议TIK检测并防御虫洞攻击,即匹配每个数据包的时间戳和位置戳 ,以检测系统中是否有虫洞入侵。每个数据包被发送节点打上了非常精确的时间信息或几何位置信息的标签,目标节点将数据包到达的时间和位置信息与标签相比较,如果数据在不切实际的时间长度内传送了不切实际的距离,那么就认为网络中有虫洞。但此方案增加了计算与通信开销,也需要较大的存储空间 。另一种SECT OR机制 7 使用特殊的能接收单个二进制位的硬件收发器来计算通信双方的精确距离,接收节点可以据此确定所收的包是由合法路径传输而来还是由恶意节点通过隧道传输而来。由于此方案需要安装特殊的硬件设备,所以限制了它的使用范围。另外 ,采用定向天线的方法也可以进行安全动态的邻居检测,阻止恶意节点进行邻居欺骗。处理 Sybil攻击的方法是使用身份认证技术,可以使用惟一对称密钥,即通过此密钥每个节点能够证明其邻节点的身份,防止身份的假扮。此外 ,限制节点的邻节点的数量能够孤立部分被俘节点,因为每个节点只能与其信任的有限个节点通信,以减轻Sybil攻击带来的影响。4 结束语移动自组网是目前的一个重要研究领域,其网络安全问题也得到越来越多的重视。除了上述一些典型攻击以外,针对路由安全的威胁还有许多种,不可能有一种方案能有效地防御各种攻击,因为引入针对某种攻击的解决方案可能会引起网络中的另外一种安全漏洞。现在迫切需要针对MANET 中各种攻击的相对完善的安全解决方案。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 6 页 - - - - - - - - - 5期宋建华 等 :移动 Ad Hoc网的典型网络攻击与防范459参 考 文 献1 周晶,蒋泽军,徐帮海. Ad Hoc网络.微计算机应用, 2005, 26 (1) : 11132Hu Y - C, Johnson D B, Perrig A.SEAD:Secure Efficient D istance Vect or Routing for Mobile W ireless Ad Hoc Networks.In:Proc. of the 4 th IEEE Workshop on MobileComputing Syste m s & App licati ons, WMCSA,IEEE,Calicoon, NY,June 2002.3133S Yi,P Naldurg,R Kravets.Security - awareAd - Hoc routing for wireless networks. . Tech Rep:U IUCDCS - R - 2001 - 2241,Department of Computer Science, Universityof Illinois at U rbana - Champaign,August 2001.4Chin - Yang Tseng, PoornimaBalasubramanyam,Calvin Ko, Rattapon L imp rasittiporn,Jeff Rowe,and Karl Levitt.A Specifica2tion - Based Intrusion Detecti on System For AODV.In Proceedings of the 1stACM workshop on.Security of Ad Hoc and sensornetworks, ACM Press, 2003, 1251345Buchegger S,Boudec J Y L.Performance analysis of the CONF IDANT protocol.In: Proc.of the3 rdACMIntl.Sy mposium onMo2bile Ad Hoc Networking and Computing, 2002.2262366Yih - Chun Hu,AdrianPerrig,and David B.Johnson.PacketLeashes: A Defense againstWor mhole A ttacks in W ireless Ad HocNetworks.Proceedings of the Twenty - Second Annual Joint Conference of the IEEE Computer and Communicati ons Societies ( IN2FOCOM 2003) , Ap ril 2003, ( 3) : 1976 - 1986,IEEE,San Francisco,CA7S .Capkun, L.Buttyan,and J. Hubaux.Sector: Secure Tracking of Node Encounters in Multi- hopW ireless Networks.Proc.oftheACM Workshop on Security of Ad Hoc and Sensor Networks (SASN 2003) , 2003,2132作者简介宋建华,女,博士生,研究方向为信息安全、 网络安全 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 6 页 - - - - - - - - -