网络的洪峰攻击和防御

1、Ad hoc网络的洪峰攻击和防御摘要移动ad hoc网络能拒绝通过妥协节点或入侵者发起攻击的服务，在本文中，我们提出了一个 新的拒绝服务攻击及其在ad hoc网络的防御，新的拒绝服务攻击，被称为Ad hoc洪峰攻击（AHFA）， 是入侵者广播大量路由请求来用尽通信带宽和节点资源，使不能保持有效的沟通，分析 Ad hoc 洪峰攻击之后，我们开发洪峰攻击防护（FAP），是对Ad hoc洪峰攻击的一般防护，当入侵者过 量广播路由请求数据包，入侵者的近邻记录路由请求的速度一旦超过阈值，节点将拒绝来自入侵 者的任何未来的请求数据包，我们可以实现显示FAP的结果，可以有效防止Ad hoc洪峰攻击。关键词：

2、计算机网络 安全 移动Ad hoc网络 路由协议拒绝服务Ad hoc洪峰攻击1、介绍移动Ad hoc网络是由无线链路连接的移动节点的自治系统，它有几个显著特点，如动态拓扑， 带宽受限，可变容量的链路，能源受限的操作，有限的物理安全性。由于这些特点，移动Ad hoc 网络特别容易接受到拒绝通过妥协节点启动的服务的攻击。在本文中，我们提出了一种新的攻击，Ad hoc洪峰攻击，导致拒绝服务针对所有以前的ad hoc 网络路由协议，如DSR （动态源路由协议），AODV （按需距离矢量路由）。在这种攻击中，攻击 者或者广播大量路由请求数据包的节点1。不是在网络中，以便在拥塞链路中，为了对Ad hoc捍

3、卫 路由协议。对于网络攻击，我们开发了一个通用的安全组件，称为洪峰洪攻击防护（FAP），它可以应 用到AODV路由协议，使该协议抵挡扑面而来的攻击。我们在本文主要介绍的是Ad hoc洪峰攻击 （AH-FD），我们新的安全解决方案的开发和分析表明，它能够确保对Ad hoc洪峰攻击防护，并 且一般情况下可以使用该组件来抵制洪峰攻击。2、相关工作为了防止在互联网遇到SYN攻击，很多解决方案方法已被提出，它们大致可分为：防火墙和 路由器过滤，操作系统的改进，以及改进协议，防火墙已经被用来监视数据包的流量，并保护系 统免受恶意访问，作为对策，以洪峰攻击为例，Schuba等人提到，防火墙可以被配置为中继，

4、或 作为一个半透明网关，在RFC2267中，弗格森和Senie提出网络入口过滤，可以防止攻击者利用伪 造的源地址发起拒绝服务（DoS）攻击，Solaris/孙曾考虑实施多项操作系统版本来处理DoS攻击。 最终信息表明，根据Aura和Nikander描述的状态协议的弱点，和改变状态的协议为无状态，状态 协议对并发连接数的上限考虑，使用队列授予请求。因为这有限的空间已耗尽，没有可用于存储 连接状态信息的空间。新的连接被拒绝，为了解决这个问题，将状态信息存储在客户端上，而不 是在服务器上，上述解决方案的设计，是为了防止电线网络的SYN攻击。由于洪峰攻击的机制与 SYN攻击不同，他们也挡不住在移动ad

5、 hoc网络中的洪峰攻击，。3、Ac hoc洪峰攻击模型我们在这里介绍一种新的攻击。我们称之为Ad hoc洪峰攻击。它作为拒绝服务的有效攻击， 对所有目前提出的Ad hoc网络路由协议是有效的，包括被设计为的安全协议，特别是现有的按需 路由协议，如DSR，AODV，以及一些安全路由协议，如、日？，不能抵抗Ad hoc洪峰攻击，我们现在 描述的Ad hoc洪峰攻击对AODV协议的运行效果，如DSR协议是有效的。3.1、AODV路由协议概述在AODV中，路径发现完全是以上的需求。源节点需要将数据包发送到目的地，它广播RREQ （路 由请求）数据包到它的邻居，每个节点维护一个单调递增的序列号，以确保

6、无环路的路由，并在 高速缓存中取代陈旧的路由，该源节点包括目的地在RREQ包的已知的序列号中，该中间节点接收 RREQ，分组检查它的路由表条目，如果它拥有一个路由，在RREQ分组有更大的序列号的目的地， 它单播RREP （路由回复回复）数据包返回到它收到的RREQ分组的邻居，否则，它建立反向路径， 然后重新广播RREQ分组，被复制的节点接收到的RREQ数据包将被直接丢弃。该RREQ包被淹没在网 络中，最终它本身将到达目的地，或者可以提供一个新的路线到目的地，这将产生RREP包，由于 RREP报文将沿着反向路径到源节点传播，中间节点采用分布式更新自己的路由表，BellmamFord 算法上的序列

7、号额外的约束，并成立了推进PATK。AODV协议还包括路径维护机制来处理动态网络拓扑，链路故障可以通过周期性的信标或链路 层确认，如那些由802.11 MAC协议提供，并且被检测，一旦一个链接被打破，源节点将收到断链 通知，此时，未经请求的新鲜的序列号和RREP包会被传播到正在使用的这个链接。如果它仍然需要 一个路由到目的地，它可能会重新启动路径发现过程。3.2 Ad hoc洪峰攻击在整个网络中洪峰RREQ数据包会消耗大量的网络资源，为了减少拥堵的网络，AODV协议采用 一些方法，节点不能发起超过每秒RREQ-RATELIMIT RREQ消息，广播RREQ后，一个节点等待RREP， 如果路由没

8、有往返毫秒内接收，该节点可能会尝试再次通过广播RREQ给另一个发现的路由，最多 的重试次数在最大TTL值内，反复尝试使路由发现一个目标源节点，使用一个二进制指数退避，第 一次一个源节点广播RREQ，它等待的往返时间为一个RREP的接收时间，如果一个RREP在该时间内 收到，源节点再发送一个新的RREQ，当发送第二个RREQ后等待RREP，源节点必须使用二进制指数， 因此，等待RREP的时间等于第二个RRE Q往返时间的两倍，该RRE Q数据包广播递增环，以减少因充 斥整个网络的开销，数据包被淹没在小范围内（环），首先由起始的TTL （时间到现场）在IP报头 中定义后环传输时间，如果没有收到RR

9、EP，淹没区则是由一个固定的增大TTL值，该程序是重复 进行的，直到接收到RREQ，即发端的RREP，该航线已被发现。在Ad hoc洪峰攻击中，攻击节点违反上述规则用尽了网络资源，首先，如果他知道在网络中 的IP地址的范围，攻击者不能在网络中选择多个IP地址，因为没有节点可回答RREP数据包，这些 RREQ，在节点的路由表中的反向路由将被保存的时间更长，攻击者可以选择随机IP地址，如果 他无法知道IP地址的范围，攻击者试图发送过多RREQ。其次，攻击者先后发起这些海量的RREQ 消息是无效的IP地址，第二。攻击者在考虑RREQ_RATELIMIT将重新发送RREQ包时，无需等待RREP 或往返

10、时间。如果他使用这些IP地址，RREQ的TTL设置不会使用EXPAN丁环搜索方法，在洪峰袭击 时，整个网络完全充满着攻击者发送的RREQ包，在同一时间，通信带宽将被充斥的RREQ包耗尽和 节点的资源被耗尽。路由表的存储是有限的，如果RREQ分组在一个短的时间内来到该节点，路由 表中的节点的存储被用尽，使得节点不能接收新的RREQ分组，因此，合法的节点不能建立路径来 发送数据，图1示出的RRE Q攻击的实例，节点H是攻击者，它的洪峰RREQ分组都通过网络，使其他 节点不能与其他ECH构建路径。图1 Ad hoc洪峰攻击3.3 Ad hoc洪峰攻击和SYN攻击的比较在有线网络中，洪峰攻击，也被普遍

11、称为SYN攻击，攻击者以受害者的机器发送带有欺骗性 的源地址多TCP连接请求，每个请求都将导致目标主机以实例化的数据结构导出有限的资源池， 一旦目标主机的资源耗尽，没有更多的入站TCP连接可以建立，从而进一步否认合法访问，SYN 攻击的目标是用尽受害主机的资源。本文中的Ad hoc洪峰攻击是消耗和排弃全网的资源，它不攻 击某个节点，该SYN攻击是在传输层发起，Ad hoc洪峰攻击在网络层启动。SYN攻击利用在TCP / IP协议，其在维持陈克勤开放连接，当服务器接收到一个SYN请求时效 的湖南思瑞握手机制，它返回一个SYN/ ACK数据包到客户端，直到SYN/ACK数据包是由客户端应 答，连接

12、保持在半开状态的最多的TCP连接时间，这通常设置为75秒，该服务器在其系统内存有 一个backlog队列，维护所有半开连接，由于这些积压队列大小有限，一旦达到backlog队列的限 制，所有的连接请求都将被丢弃，如果一个SYN请求被欺骗，受害人服务器将永远不会收到最后 的ACK包，完成三次握手欺骗的SYN请求可以很容易耗尽服务器的受害者backlog队列，导致所有 传入的SYN请求被丢弃。TabJe 1 CoiitrRst betwwni SYN ftoodiiig attack and Ad hoc floodingNameSYN Inoding an ackAri line floodin

13、g attankAttack methodTCP eanneciion requests with spoofed IDFlnoding mass RREQ packetsVictimhostMobile ad htic nti worksProtocolrlemand routing protcjcnlProtocol layerTransport layerNetwork layerDenial of service in hostEfenial ofin the whole networks图2表1的两起袭击事件的共同目标是拒绝服务之间的比较，但它们是不同的，在攻击方法，受害者， 协议等

14、等。因此，SYN攻击是移动ad hoc网络一种新的攻击模式。4、防止ad hoc攻击的攻击在本节中，我们也描述了一组针对Ad hoc洪峰攻击一起的保卫机制：邻居抑制，该方法有效 地防止Ad hoc洪峰攻击。邻居抑制的方法是用来防止RREQ洪峰攻击，移动ad hoc网络的多跳无线网络通过其邻居节点 发送和接收数据包，如果周围的节点的所有邻居节点拒绝转发数据包，节点不能与移动 Ad hoc 网络的其他节点进行通信，实际上，该节点已被网络隔离，即使它仍然是在网络位置，图3示出 了移动ad hoc网络中的拓扑结构中，通过节点D，F的其它节点，节点H连通，G和I，如果邻居节 点D，F，G和I不肯从节点H

15、收到数据包，节点H不能发送任何数据包到其它节点。我们根据移动ad hoc网络的上述特点设计的邻居抑制方法，邻居抑制的主要思想是，如果速 度超过某个阈值，所有的邻居不会接收和从入侵者转发数据包，每个邻居的RREQ由入侵者的速度 计算，我们定义两个表中的每个节点：速率RRE Q和黑名单；速率RREQ的表记录RRE Q的速率，每一 个邻居节点起源，并且不记录RREQ转发的速率。节点ID包括所有邻居节点的ID，RREQ记录邻居节 点发起RREO。过程算法1。RREQ的算法1计算时间第一步：收到RREQ;第二步：如果RREQ转发，则退出；第三步：检查节点ID，查找谁发送RREQ在速率RREQ表；第四步：

16、找到节点ID和RREQ时间：二RREQ时间+ 1。计算的RREQ的速率，算法2运行一次每隔秒第二个算法计算时间如果RREQ时间阈值，那么就把节点小进入黑名单和RREQ的时间置为0;否则RREQ时间：=0;因为RREQ时设置为0，它可以代表利率，每一个邻居节点的起源。如果时间超过了阈值，我们可以做出一个判断，它是入侵者。当节点接收到一个数据包时，节点首先查找数据包的源ID，如果源ID是黑名单，节点直接丢 弃该数据包，如果源ID是不是在黑名单中，节点通过正常程序处置该数据包。该阈值是始发 的最大的RRE Q中一段时间，例如，如果攻击者发起RREQ的次数超过阈值，则该节点将不从攻 击者接收RRE。更

17、多，为了澄清，我们取节点H和它的邻居节点D，J，F，G。例如，在FIG1， 如果其中节点H的频率源于RREQ，超过阈值，节点F将从节点H否认RREQ包用途节点D，I，G 将拒绝RRE。包形成节点H，因此，Ad hoc洪峰攻击时，节点H的粘性是阻止它的邻居节点。图3要研究我们的洪峰攻击防范（FAP）的可行性，我们在一个网络模拟器实现的Ad hoc洪峰攻 击和洪峰攻击防御（FAP），并进行了一系列的实验，以评价其有效性，我们使用无线网络仿真 软件，它包括对无线ad-hoc网络基础设施，受欢迎的无线Ad-hoc路由协议（DSR，DSDV，AODV和 其他），和移动性场景和流量模式的产生的模拟。我们的

18、模拟是基于1000平米平坦的空间，散落着50个无线节点的无线传输范围，每个节点是 250米，信道容量为2 Mb /鞘，执行每个模拟仿真时间为900秒，每个节点在以4个包/秒的速率 传输数据包，随机路由节点模型被用作移动模型，最小速度为模拟为0米/秒，而最高速度为20 米/秒，所选择的暂停时间0秒，模拟的持续时间是900秒，有一个在场景中，如果有一个行为不 当的节点，应将其按同样的流动性模型中的其他节点移动。我们用以下指标来评估我们的洪峰攻击防御（FAP）的数据包交付率的表现：最初由应用层 CBR（连续比特率）的数据包的数量之间的比例和来源估计，最终目的地接收数据包的数量，分组 投递率是很重要的

19、，因为它描述了将被传输的协议，这反过来又影响到整个最大的网络可以支持 可见的损失率，该指标是完整的正确的路由协议。5.2模拟Ad hoc洪峰攻击的结果该系统的性能已在五个场景中观察到，第一种情况是，有没有在进攻移动ad hoc网络的节点， 为了仔细观察在移动ad hoc网络的性能的影响，我们假设攻击数据包的速率分别为10包/秒，20 包/秒，30包/秒，40包/秒，换句话说，入侵者分别以洪峰10,20,30,40包每秒的的速率传输，我 们计算的数据包传送速率为每100秒，在100秒模拟实验，相信我们可以TOTALIZE分组投递率从0 模拟到实验的100s.在200s，我们TOTALIZE分组投

20、递率从100s到200s，其余的可以依次类推，在 从0秒到300秒的攻击下，入侵者开始攻击在300秒，仿真结果如下。在图5中，我们观察到的数据包投递率下降，当入侵者洪峰攻击数据包在300秒时，没有攻击和大多数数据包到达目的节点，平均数据包投递率是97%，但是，从平均数据包投递率下降97% 至9.4%时，入侵者洪峰40包每秒，也就是说，大多数的数据包无法到达目标，这些数据包是由 于网络拥塞节点丢弃，这意味着Ad hoc洪峰攻击可能会导致拒绝整个网络的服务，有趣的是，网 络似乎有一些可恢复性，当攻击数据包的速率小于20包/秒，性能一段时间后好转，但是当攻击 报文的速率超过30包/秒，网络不能承受任

21、何攻击，更多的性能迅速下降。Flooding rate: 20 pkt/s5.3洪水攻击防御一 初该系统的性能已在四个方案中被观察到，同样，第一种情况是，有没有在移动ad hoc网络攻 击的节点。图5显示了网络的数据包投递率是96%，图6显示了攻击数据包每秒20以下的表现和洪峰攻击 防御，还有就是不为0s和300s之间的攻击数据包，入侵者启动Ad hoc洪峰攻击，从300s 900s 这段时间中，在600s时模拟，FAP中的节点生效，我们能观测到600秒以后服务的性能已经得到了 较好的改善，但改善并不明显，因为攻击的损伤小，在AODV协议。一个节点不应该每秒发起超过 10RRE Q的消息，因此

22、，在FAP的门槛设置15。图7显示了攻击数据包每秒30和洪峰攻击防御，当AODV协议集成了FAP，其性能的数据包投递 率也从50%升到80%，图7所示，在600S FAP生效，性能变得更好，分组投递率保持约80%，这 意味着通过识别攻击者，洪峰攻击防范有效地抵抗Ad hoc洪峰攻击，并从网络中隔离开来。Flooding rate: 50 pkt/s6、结论在本文中，我们描述了洪峰攻击，和抵抗ad hoc路由协议的强大的攻击，这种攻击可以让攻击者安装拒绝服务攻击对移动Ad hoc网络的所有按需路由协议，甚至安全按需路由协议，我们设 计了洪峰攻击防御（FAP）来抵御这种攻击，我们的业绩实现显示洪峰

23、攻击防范有效防御Ad hoc 洪峰攻击。Corson S，Macker J. Mobile Ad hoc networking(MANET): routing protocol performance issues and evaluation considerations . RFC 2501， 1999.David Johnson B， David Maltz A， Yih-Chun Hu. The dynamic source routing Protocol for mobile Ad hoc networks (DSR) . http： /www. iet(. org interne

24、t-drafts / draftietf-manet-dsr-09 . txt， 2003.Charles Perkins E， Elizabeth M Belding-royer，Samir Das R Ad hoc on-demand distance vector(AODv) muting，RFl2 3561， http：/ /www. ietf. org/rfc/rfc3561. txt， 2003.Schuba C，Krsul I，Kuhn M，et a1. Analysis of a denial of service attack on TCP roceedings of the

25、 1997 IEEE Symposium on Security and Privacy ， Oakland， USA， 1997: 208223.Ferguson P， genie D. Network ingress filtering: defeating denial of service attacks which employ IP source address spoofing . RFC 2267。1998.CIAC， H一02： SUN s TCP SYN Flooding Solutions， Information Bulletin， 1996.Aura T， Nikan

26、der P. Stateless connections. Proc. of1st International Con ference of Information and COrn 一munication Security(ICICS97) ， Lecture Notes in Computer Science 1334 ， 1997: 8797.Papadimitratos P， Haas Z. Secure routing for mobile ad hoc networks. Proceedings of the SCS communication Networks and Distributed Systems Modeling and Simulation Conference， San Antonio， TX， 2002： 2731.Hu Yichun, Adrian Perrig, David Johnson 13. Ar