物联网安全技术 第5章局域网相关技术及解决方案.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * UWB网络的多个节点通过与UWB网络中的被攻击目标节点设备建立大量的无效TCP连接来消耗目标节点设备的TCP资源，致使正常的连接不能进入，从而降低甚至耗尽系统的资源； UWB网络的多个节点同时向UWB网络中的目标节点设备发送大量的伪造的路由更新数据包，致使目标节点设备忙于频繁的无效路由更新，以此恶化系统的性能； 通过IP地址欺骗技术，攻击节点通过向路由器的广播地址发送虚假信息，使得路由器所在网络上的每台设备向UWB网络中的目标节点设备回应该讯息，从而降低系统的性能； 修改IP数据包头部的TTL域，使得数据包无法到达UWB网络中的目标节点设备。 3．UWB网络中拒绝服务攻击防御措施 针对UWB网络中基于数据报文的拒绝服务攻击，可以采用路由路径删除措施来防止UWB洪水拒绝服务攻击。 当攻击者发动基于数据报文的UWB洪水攻击行为时，发送大量攻击数据报文至所有UWB网络中的节点。作为邻居节点和沿途节点是难以判别攻击行为的，因为节点无法判断数据报文的用途。 但作为数据报文的目标节点，就比较容易判定了。当目标节点发现收到的报文都是无用的时候，它就可以认定源节点为攻击者。目标节点可通过路径删除的方法来阻止基于数据报文的UWB洪水攻击行为。 具体实施步骤是：当UWB网络中的目标节点发现源节点是攻击者时，由目标节点生成一个路由请求（RRER）报文，该报文中标明目标节点不可达，目标节点将这个RRER报文发送到攻击者。当RRER到达攻击者时，它就会认为这条路由已经中断，从而将这条路由从本节点路由表中删除，这样它就无法继续发送攻击报文了。如果它还要发送，就必须重新建立路由。此时，目标节点已经识别该节点为攻击者，对它发送的RREQ报文不回答RREP，这样就无法重新建立路由。通过这种方式，只要被攻击过的节点都会拒绝与攻击者建立路由。如果攻击者不断发动基于数据报文的UWB拒绝服务攻击，拒绝与其建立路由的节点就会越来越多，最终所有节点都拒绝与其建立路由，攻击者就会被隔绝于UWB网络，从而阻止了基于数据报文的UWB拒绝服务攻击。 5.6 基于WMN的物联网信息传输安全 5.6.1 WMN面临的信息安全威胁 5.6.2 基于WMN的物联网安全路由策略 WMN面临的信息安全威胁 在无线网状网（Wireless Mesh Network，WMN）中，由于Mesh客户端也具有路由的角色，Mesh节点可以根据路由信息创建、删除或者更新网络中路由路径。这个事实也是WMN和Ad Hoc网路由协议中的一个共同的重要弱点，因为恶意节点可以产生错误的路由信息改变路由的方向或者是简单地截断路由。另外，攻击者可以通过攻击路由协议来误导路由，从而导致网络的崩溃。 攻击路由协议的类型分为路由破坏攻击和资源消耗攻击两类，这两类都属于主动攻击的范畴。路由破坏攻击就是破坏合法路由控制信息的机密性和完整性，或者使得合法路由消息不能在正常的模式下传输，从而破坏网络通信；资源消耗攻击是恶意节点伪造非法的路由消息，达到消耗网络带宽、电池、节点计算能力等宝贵资源的目的，从而减少节点的寿命和增大节点处理路由消息的延迟。 1．路由破坏攻击 WMN路和Ad Hoc网络类似，由破坏攻击包括篡改、删除、伪造等手段，通过阻止路由建立、更改包传送方向、中断路由、破坏路由协议性能达到破坯网络通信的目的。路由破坏攻击可以分为以下几个方面。 1）篡改攻击 恶意节点对路由控制消息进行非法篡改，使得数据包的完整性遭到破坏，迫使数据包到达不了目的节点或者让目的节点得到错误的路由信息，导致两节点间无法正常通信，这种攻击对Mesh路由器和Mesh客户端有同样大的威胁。 （1）数据包信息篡改。通过对数据包中有效信息字段恶意插入、删除、修改，造成目的节点得到错误信息，从而无法与源节点正常通信。 （2）跳数篡改。特别是在按需路由协议中，恶意节点对需要转发的数据包中的跳数进行篡改，使得该数据包中的跳数值与实际传输的跳数不符造成路由性能降低。恶意节点还可以通过减小跳数值将自己插入到两个通信节点之间改变原来的路由路径，这样恶意节点可以对转发的数据包做任何恶意处理。 2）删除攻击 恶意节点声称自己有一条到目的地（如Mesh路由器）的路由，诱使源节点将数据发送到恶意节点，然后对需要转发的数据包有选择性