Ad Hoc网络洪泛攻击防御的研究
2008-03-20
作者:李邵梅,刘 强,陈鸿昶,刘力雄
摘 要: 针对移动Ad Hoc网络反应式路由的洪泛攻击,分析了现有的抵御洪泛攻击的FAP方案的安全漏洞,提出了一种简单易行的CSR方案,并与FAP方案进行了对比。
关键词: 移动Ad Hoc网络 反应式路由 洪泛攻击 FAP方案
移动Ad Hoc网络是一种新型的移动多跳无线网络,它不依赖于任何固定的基础设施和管理中心,而是通过传输范围有限的移动节点间的相互协作和自我组织来保持网络连接并实现数据的传递。Ad Hoc网络中路由的特殊性使其成为Ad Hoc网络中的重要问题,一直是该领域的研究热点。目前,较为成熟且已在Ad Hoc网络中广为使用的路由协议" title="路由协议">路由协议有优化链路" title="链路">链路状态路由算法OLSR(Optimized Link State Routing Protocol)、动态源路由DSR(Dynamic Source Routing)、按需距离矢量路由AODV (Ad Hoc On-Demand Distance Vector Routing)等。同时,随着各类攻击的出现,基于安全的Ad Hoc路由协议也相继产生[1~4]。
洪泛攻击是新近提出的一种针对Ad Hoc网络中反应式路由的攻击类型,分为RREQ报文和数据报文攻击两种。它通过在网络中引发拒绝服务,能够对现有的所有反应式路由进行攻击。Ping Yi等人首次提出了这种攻击的模型[5],同时给出了抵御这种攻击的洪泛攻击预防FAP(Flooding Attack Prevention)方案。
针对FAP方案的不足,本文提出了通信状态记录CSR(Communication Status Record)方案。该方案中各节点通过实时记录与其相关联的节点及链路的状态,从而可以有效地辨别非法节点,避免为非法节点转发报文,达到抵御洪泛攻击的效果。
1 背景知识
1.1 反应式路由简介
反应式路由协议又称为按需路由协议,是一种当需要发送数据时才查找路由的路由算法。在这种路由协议中,节点不需要维护及时、准确的路由信息,当需要向目的节点发送报文时,源节点才在网络中发起路由查找过程,找到相应的路由。常用的反应式路由协议有DSR、AODV等。与先验式路由协议相比,反应式路由协议的开销较小,应用更广泛。
以AODV路由协议为例,RREQ报文的传播路径如图1所示。图中当节点A要发起与节点B的通信时,A先在网络中洪泛路由请求RREQ(Route Request)寻路报文。实箭头方向为RREQ洪泛的方向,目的节点收到RREQ报文后,不再转发。
中间节点接收RREQ报文后进行转发,同时在自身的路由表" title="路由表">路由表中增加一个表项,用来记录从本节点到源节点的反向路径。反向路径示意图如图2所示。虚箭头方向为各节点建立的朝源节点的反向链路。
目的节点接收到RREQ报文后,不再转发该RREQ报文,并回送路由应答RREP(Route Reply)报文。RREP报文沿RREQ报文到达的反方向,依次到达转发RREQ报文的各中间节点,中间节点沿自身路由表中保存的反向路径,向源节点转发RREP报文。数据报文传输路径如图3所示。实箭头方向为目的节点发送RREP的链路,源节点沿虚箭头方向向目的节点发送数据包。在此后的通信中,源节点沿RREP报文的反方向向目的节点发送数据报文。
链路不通的消息由路由错误RRER(Route Error)传播。
每个RREQ 报文在网络中存活的时间由报文中的TTL值控制,RREQ报文每次经过一个节点,其TTL值减少1,TTL值为0的RREQ报文视为失效报文并被丢弃。
每个路由都采用序号标记,以此来指示路由的新旧。
1.2 洪泛攻击对反应式路由的影响
洪泛攻击分为RREQ报文洪泛攻击和数据报文洪泛攻击。
在RREQ报文洪泛攻击中,入侵节点选择大量不在此网络中的IP地址作为目的地址,连续发送大量的TTL值极大的RREQ报文。因目的地址不在本地网络,没有节点能够发送RREP报文响应,这些RREQ报文就会在整个网络中循环传播。一方面,网络中到处充斥的RREQ报文会占用网络通信带宽,阻碍正常通信;另一方面,各节点的反向路由表很快就会被耗尽,无法为正常的通信提供服务。
在数据报文洪泛攻击中,入侵节点首先和网络中的所有节点建立通信链路,然后沿所建的路径给所有节点发送大量的无用报文。这些泛滥的数据报文将会堵塞网络,耗尽网络中节点间的通信带宽。目的节点将会忙于接收入侵节点的无用报文而无法正常工作。
移动Ad Hoc网络中的节点资源极其有限,这两种攻击方式都旨在占用网络中的通信带宽,消耗网络中节点的大量资源,使合法节点之间无法正常通信。特别当入侵节点联合使用RREQ洪泛攻击和报文洪泛攻击时,很快就会置网络于瘫痪状态。
2 FAP方案
2.1 FAP方案的原理
文献[5]中采用邻居抑制的方法来抵御RREQ报文洪泛攻击。网络中的节点为其所转发的每个RREQ报文附加一个优先级。每个RREQ报文的优先级与发送它的节点发送的RREQ报文的频度成反比。
当某节点的RREQ报文队列中有很多RREQ报文要转发时,它转发这些RREQ报文的顺序由它们的优先级来决定,优先级高的先被转发。同时,如果某个节点发送的RREQ报文过多,以至于超过特定的门限时,其邻居节点就会拒绝为它转发RREQ报文,从而达到防范RREQ报文洪泛的目的。
FAP方案中采用Path Cutoff(切断路径)的方法来抵御数据报文洪泛攻击。目的节点发现对方是入侵节点后,发送RRER报文,指明入侵节点的IP地址不可达,以此切断正在通信的链路,阻止入侵节点继续发送无用报文。另外,当入侵节点再发RREQ报文企图与其他节点建立连接时,因为所有节点已接收到了RRER报文,所以不会有节点向入侵节点发送RREP报文回应,从而使入侵节点无法与合法节点建立通信链路,实施数据报文洪泛攻击。
2.2 FAP方案的分析
(1)比较各个RREQ报文优先级决定转发顺序的策略只在网络通信量大时有效。优先级是由各节点发送RREQ报文的频度决定的,而计算频度的过程较为复杂,加重了各节点的负担,不适合Ad Hoc网络中节点资源极其有限的特点。
(2)FAP方案中对数据报文攻击采取了发现攻击后再进行防御的被动方式。如果多个入侵节点同时与网络中的多" title="的多">的多个节点建立了连接,则会发送大量的无用报文,实施该策略的代价是很大的,并且可能无法阻止产生的恶劣后果。
(3)如果网络中有两个或两个以上的入侵节点,则任意两个入侵节点之间建立链路,发送大量的无用报文,占用网络资源,由于合法节点不能判知洪泛攻击的存在,所以FAP方案无法对此进行防御。
3 CSR方案
本文主要关注节点间的双向通信模式。假设每个节点都有一个MAC到IP地址的惟一映射。源节点与目的节点之间使用安全认证" title="安全认证">安全认证机制,比如它们可以通过交换密钥或初始化时发放证书等方法验证双方的合法性,确保只有合法的通信节点才能通过安全通信认证。但是中间节点不必参与这一通信建立的安全认证过程。
3.1 CSR方案的实现
在FAP方案的基础上,本文提出CSR方案,在每个合法节点上建立一张CSR表,CSR表结构如图4所示。记录节点转发的RREQ报文并保存当前建立连接的合法通信路由。
3.2 RREQ数目表项的维护
当节点A向节点B发送报文时,先洪泛RREQ报文。每个收到RREQ报文的节点在自身的CSR中加一个表项,把其中的源地址、目的地址置为报文中相应的项,同时把新增表项的RREQ数目一项置为1。以后每收到一条从A到B的,且序号相同的RREQ报文,就把RREQ值加1。网络中的所有节点对收到的RREQ报文进行类似的统计。例如节点A发出的RREQ报文经由节点T和Q到达B,节点T和Q分别在各自的CSR中增加表项如图5所示。
3.3 合法性标记表项的维护
目的节点B收到来自A的RREQ报文(可能多个)后,按最先到达或路径最短等原则,选择一条路由(如A-T-Q-B),在自身的CSR中加入相应的表项。之后发送RREP报文,报文里包含源地址A,目的地址B和序列号s,并按照B-Q-T-A的路径回送给A。在RREP到达Q和T时,Q和T验证B的合法性。若为合法节点,它们分别把自身CSR中相应项的合法性标记置为1;若为非法节点,则丢弃该RREP报文。例如,收到B的RREP报文后,Q和T修改其上的CSR中相应的表项如图6所示,B 上的该表项同此项。
节点在设某一表项(如从A到B,序列号为S)的合法标记为1时,首先检测CSR表,找到所有从A到B的表项,把它们的序列号与S进行比较,如果存在序列号大于S的表项,且其合法标记为1,则CSR把序列号为S的这一项删除。如果其他从A到B的表项的序列号都小于S,则CSR把这一项的合法标记置为1,并把从A到B,序列号小于S的表项都删除。
3.4 CSR表项的删除
当两个合法节点之间的通信完成以后,由源节点发送RANC(Rout Anouncement)通知报文,告诉链路中用到的中间节点。中间节点收到RANC报文后,自动把CSR中相应的表项删除。
如果节点A和B的通信未结束就中断原有链路,则采用新链路进行通信。由于源节点不发送RANC报文,原先链路的中间节点在新链路中若未被采用,其保留的节点A与B之间通信的表项就无法更新及删除。但是由于存在3.3节中的检测机制,在A和B之间建立新链路的过程中,由于新发送的RREQ的序列号是最近的,所以A与B之间原有的、不再使用的链路就会被自动删除,不会占用CSR表的资源。
4 CSR方案分析
4.1 CSR抵御洪泛攻击的原理
现在假设某节点的CSR中有n个表项,其源地址、目的地址和RREQ值分别为Si、Di、RVQi,0≤i
另外,当有报文到某合法节点要求进行转发时,该合法节点首先查询自身的CSR,看表中是否有关于该报文里所涉及的源地址和目的地址的通信条目,如果有就查看其所对应的合法性标记。若合法性标记为1,判定该通路为合法链路,对数据报文进行转发,否则丢弃。
由于入侵节点不能通过安全认证,无法与合法节点建立路由。其邻居节点的CSR中没有入侵节点对应的路由表项,所以不会为其转发报文,从而达到了抵御数据报文洪泛攻击的目的。
4.2 CSR方案的正确性分析
(1)各节点利用CSR表中的RREQ数目表项来记录相邻节点发送的RREQ报文数,采用定期统计CSR表中每个节点的RREQ数目值的方式可以有效及时地判定是否有节点发起RREQ报文攻击。
(2)CSR方案通过各节点实时登记正在通信的合法链路的方式,从根源上杜绝了合法节点为入侵节点转发数据报文的可能。
4.3 CSR方案与FAP方案的对比
(1)CSR方案解决了FAP方案无法解决的多个入侵节点配合攻击的问题。
(2)CSR方案的算法简单,其动态建立和动态删除机制不会给移动Ad Hoc网络中的节点引入太大的工作量。
(3)CSR方案计算简单有效,用于通信量较均衡的、安全系数不高的网络,如对于多台移动主机临时组建的会议局域网,有更高的有效性和准确度。
本文针对用于反应式路由中的洪泛攻击,提出了一种简单的CSR方案。该方案以很小的代价就能有效地抵御这种攻击,克服了FAP方案的漏洞,且计算量小,用于通信量较均衡、安全系数不高的局域网时,有较大的优势。
参考文献
1 Hu Y C,Johnson D B,Perring A.Secure efficient distance vector routing in mobile wireless Ad Hoc networks.In:Fourth IEEE workshop on mobile computing systems and applica-tions,2002
2 Papadimitratos P,Haas Z J.Secure routing for mobile Ad Hoc networks.In:SCS communication networks and distributed systems modeling and simulation conference,2002
3 Perring A,Szewczyk R,Wen V et.al.Security protocols for sense network.In:Seventh annual ACM international confer-ence on mobile computing and networks,2001
4 Zapata M G,Asokan N.Securing Ad Hoc routing protocols.In:Proceedings of the ACM workshop on wireless security, 2002
5 Yi P,Dai Z L,Zhong Y P et al.Resisting flooding attacks in Ad Hoc networks.In:Proceedings of international confer-ence on information technology:coding and computing,2005