AdHoc网络中的虫洞攻击与检测方法研究.docVIP

AdHoc网络中的虫洞攻击与检测方法研究 　　摘 要： 虫洞攻击是一种针对移动自组织网络路由协议的攻击，一般是至少由两个节点进行合谋的协同攻击。攻击节点之间通过虫洞攻击能够大量吸引数据包，从而达到控制网络的目的。基于按需距离矢量路由协议，根据移动自组织网络中的虫洞攻击原理，采用NS2仿真平台，通过对按需距离矢量路由协议的修改，对虫洞攻击进行了仿真，并且分析了虫洞攻击对网络性能参数的影响。根据虫洞攻击特性，设计了三种攻击检测方法：地理位置定位、邻居信任检测以及邻居监听。将这三种方法在NS2中仿真，验证了其可行性。 　　关键词： 移动自组织网络； 按需距离矢量路由协议； NS2； 虫洞攻击 　　中图分类号：TP391.9 文献标志码：A 文章编号：1006-8228（2014）02-20-05 　　0 引言 　　移动Ad Hoc网络是没有中心实体的自组织网络，依靠节点间的相互协作，在复杂、移动的无线环境中自行成网，借助于多跳转发技术来弥补无线设备的有限传输距离，从而拓宽网络的覆盖范围，为用户提供各种业务服务。随着Ad Hoc网络的广泛应用，对其安全性的要求也越来越高，这使得无线Ad Hoc网络安全问题逐渐成为研究热点。移动Ad Hoc网络工作在一个节点共同协作的开放环境中，同时该网络节点间共享型链路容易被截获，具有通信缺乏身份认证保障、没有集中监控和管理机制、拓扑结构变化频繁和节点资源受限等特征。网络中因此存在很多安全漏洞，极易受到各种类型的攻击[1]。其中，虫洞攻击是一种针对移动Ad Hoc网络路由协议的高级攻击方式。这种攻击对网络造成了很大的危害，并且极难防御，一般的安全加密手段对其作用不大。绝大部分Ad Hoc路由协议没有针对虫洞攻击的安全机制，不能有效防御虫洞攻击。 　　1 移动Ad Hoc中的虫洞攻击 　　虫洞攻击是由两个合谋的恶意节点发起，彼此间建立一条私有“隧道”（“隧道”的距离一般远远大于合法节点的信号传输距离），攻击者在网络中的一个位置上记录数据包的信息，利用这条私有“隧道”将窃取的信息传递到网络的另外一个位置，造成数据包的泄露或破坏；同时因为私有“隧道”能够造成比实际路径更短的虚假路径，节点之间的路由选择都会被扰乱，攻击者就能够控制网络的路由。 　　虫洞攻击大体可以按照其表现形式分为两类：第一种是攻击节点不把自己的节点信息加入到路由中，即合法节点并不知道分组转发过程中有攻击节点的参与；第二种是合法节点能察觉到攻击节点转发分组，攻击节点把自己节点信息加入到路由表中，但是节点之间的行为是私密的。本文将第一种虫洞攻击称为隐式攻击，将第二种称为显式攻击，它们对路由的转发如图1所示[1]。 　　1.1 虫洞攻击的危害 　　虫洞如果只是通过“隧道”对分组进行了忠实的传输，对整个网络没有危害。但是由于虫洞攻击节点以及其“隧道”，吸引了大量的路由报文，相对于网络中的其他节点，攻击节点处于关键地位，如果进行恶意攻击则危害很大。 　　移动Ad Hoc网络协议发现节点的基础就是能够收到来自其他节点的路由分组。虫洞攻击正是利用了这个特征，接收节点报文进行攻击。 　　1.2 虫洞攻击的特殊性 　　虫洞攻击的特殊性在于其极易于发动和难于进行检测。 　　虫洞攻击易于发动。只需要两个合谋节点之间建立“隧道”，监听分组，传输分组，并且重放分组即可进行虫洞攻击。这一切在无线网络中极易于实现。并且在加密认证下也能发起攻击。 　　虫洞攻击难于检测。虫洞攻击节点在上层协议是不可见的，虫洞节点的表面的动作和正常节点相似，必须得在路由协议中进行研究才能发现虫洞攻击。 　　2 虫洞攻击的检测方法 　　目前有很多用于检测虫洞攻击的方法，本文主要实现了三种虫洞攻击检测方法的核心协议。 　　2.1 基于地理位置定位的检测方法 　　卡耐基大学有使用“数据包束缚”的方法检测出虫洞攻击[2]，其主要思想在于，在数据包中加入信息来控制数据包的传输范围，主要有“时间束缚”与“空间束缚”。本文主要使用的是空间束缚，节点在发送报文的时候，把自己的位置信息加入到报文之中，接受节点在接收到报文时通过计算自己和上一跳节点的距离来判断是不是在一跳距离之内，进而检测出虫洞攻击。还有一种类似的方法，是由Jane Zhen和Sampalli Srinivas[3]提出的一种称之为循环旅行时间（Round Trip Time，RTT）的方法来检测虫洞。A节点计算与B节点之间的RTT，通过发送一个信息给B，要求立刻回复。A，B间的RTT就是从A发送请求，到接收到B的回复所经历的时间。每个节点都计算与邻居节点间的RTT，因为两个假冒邻居间的RTT必然大于真正邻居间的RTT。因此通过比较A和A邻居间的RTT，A节点可以确定哪个邻居是假冒邻居。这种方法不需