网络的洪峰攻击和防御

Ad hoc网络的洪峰攻击和防御

摘要

移动ad hoc网络能拒绝通过妥协节点或入侵者发起攻击的服务,在本文中，我们提出了一个新的拒绝服务攻击及其在ad hoc网络的防御,新的拒绝服务攻击，被称为Ad hoc洪峰攻击（AHFA），是入侵者广播大量路由请求来用尽通信带宽和节点资源，使不能保持有效的沟通，分析Ad hoc 洪峰攻击之后，我们开发洪峰攻击防护（FAP），是对Ad hoc洪峰攻击的一般防护，当入侵者过量广播路由请求数据包，入侵者的近邻记录路由请求的速度一旦超过阈值，节点将拒绝来自入侵者的任何未来的请求数据包，我们可以实现显示FAP的结果，可以有效防止Ad hoc洪峰攻击。

关键词：计算机网络安全移动Ad hoc网络路由协议拒绝服务 Ad hoc洪峰攻击

1、介绍

移动Ad hoc网络是由无线链路连接的移动节点的自治系统，它有几个显著特点，如动态拓扑，带宽受限，可变容量的链路，能源受限的操作，有限的物理安全性。由于这些特点，移动Ad hoc 网络特别容易接受到拒绝通过妥协节点启动的服务的攻击。

在本文中，我们提出了一种新的攻击，Ad hoc洪峰攻击，导致拒绝服务针对所有以前的ad hoc 网络路由协议，如DSR（动态源路由协议），AODV（按需距离矢量路由）。在这种攻击中，攻击者或者广播大量路由请求数据包的节点ID不是在网络中，以便在拥塞链路中，为了对Ad hoc捍卫路由协议。

对于网络攻击，我们开发了一个通用的安全组件，称为洪峰洪攻击防护（FAP），它可以应用到AODV路由协议，使该协议抵挡扑面而来的攻击。我们在本文主要介绍的是Ad hoc洪峰攻击（AH-FD），我们新的安全解决方案的开发和分析表明，它能够确保对Ad hoc洪峰攻击防护，并且一般情况下可以使用该组件来抵制洪峰攻击。

2、相关工作

为了防止在互联网遇到SYN攻击，很多解决方案方法已被提出，它们大致可分为：防火墙和路由器过滤，操作系统的改进，以及改进协议，防火墙已经被用来监视数据包的流量，并保护系统免受恶意访问，作为对策，以洪峰攻击为例，Schuba等人提到，防火墙可以被配置为中继，或作为一个半透明网关，在RFC2267中，弗格森和Senie提出网络入口过滤，可以防止攻击者利用伪造的源地址发起拒绝服务（DoS）攻击，Solaris/孙曾考虑实施多项操作系统版本来处理DoS攻击。最终信息表明，根据Aura和Nikander描述的状态协议的弱点，和改变状态的协议为无状态，状态协议对并发连接数的上限考虑，使用队列授予请求。因为这有限的空间已耗尽，没有可用于存储连接状态信息的空间。新的连接被拒绝，为了解决这个问题，将状态信息存储在客户端上，而不是在服务器上，上述解决方案的设计，是为了防止电线网络的SYN攻击。由于洪峰攻击的机制与SYN攻击不同,他们也挡不住在移动ad hoc网络中的洪峰攻击，。

3、Ac hoc洪峰攻击模型

我们在这里介绍一种新的攻击。我们称之为Ad hoc洪峰攻击。它作为拒绝服务的有效攻击，对所有目前提出的Ad hoc网络路由协议是有效的，包括被设计为的安全协议，特别是现有的按需路由协议，如DSR，AODV，以及一些安全路由协议，如SRP，不能抵抗Ad hoc洪峰攻击，我们现在描述的Ad hoc洪峰攻击对AODV协议的运行效果，如DSR协议是有效的。

3.1、AODV路由协议概述

由请求）数据包到它的邻居，每个节点维护一个单调递增的序列号，以确保无环路的路由，并在高速缓存中取代陈旧的路由，该源节点包括目的地在RREQ包的已知的序列号中，该中间节点接收RREQ，分组检查它的路由表条目，如果它拥有一个路由，在RREQ分组有更大的序列号的目的地，它单播RREP（路由回复回复）数据包返回到它收到的RREQ分组的邻居，否则，它建立反向路径，然后重新广播RREQ分组，被复制的节点接收到的RREQ数据包将被直接丢弃。该RREQ包被淹没在网络中，最终它本身将到达目的地，或者可以提供一个新的路线到目的地，这将产生RREP包，由于RREP报文将沿着反向路径到源节点传播，中间节点采用分布式更新自己的路由表，BellmamFord 算法上的序列号额外的约束，并成立了推进PATK。

AODV协议还包括路径维护机制来处理动态网络拓扑，链路故障可以通过周期性的信标或链路层确认，如那些由802.11 MAC协议提供，并且被检测，一旦一个链接被打破，源节点将收到断链通知,此时,未经请求的新鲜的序列号和RREP包会被传播到正在使用的这个链接。如果它仍然需要一个路由到目的地，它可能会重新启动路径发现过程。

3.2 Ad hoc洪峰攻击

在整个网络中洪峰RREQ数据包会消耗大量的网络资源，为了减少拥堵的网络，AODV协议采用一些方法，节点不能发起超过每秒RREQ-RATELIMIT RREQ消息，广播RREQ后，一个节点等待RREP，如果路由没有往返毫秒内接收，该节点可能会尝试再次通过广播RREQ给另一个发现的路由，最多的重试次数在最大TTL值内，反复尝试使路由发现一个目标源节点,使用一个二进制指数退避，第一次一个源节点广播RREQ，它等待的往返时间为一个RREP的接收时间，如果一个RREP在该时间内收到，源节点再发送一个新的RREQ，当发送第二个RREQ后等待RREP，源节点必须使用二进制指数，因此，等待RREP的时间等于第二个RREQ往返时间的两倍，该RREQ数据包广播递增环，以减少因充斥整个网络的开销，数据包被淹没在小范围内（环）,首先由起始的TTL（时间到现场）在IP报头中定义后环传输时间，如果没有收到RREP，淹没区则是由一个固定的增大TTL值，该程序是重复进行的，直到接收到RREQ，即发端的RREP，该航线已被发现。

在Ad hoc洪峰攻击中，攻击节点违反上述规则用尽了网络资源，首先，如果他知道在网络中的IP地址的范围，攻击者不能在网络中选择多个IP地址，因为没有节点可回答RREP数据包，这些RREQ ，在节点的路由表中的反向路由将被保存的时间更长，攻击者可以选择随机IP地址，如果他无法知道IP地址的范围，攻击者试图发送过多RREQ。其次，攻击者先后发起这些海量的RREQ 消息是无效的IP地址，第二。攻击者在考虑RREQ_RATELIMIT将重新发送RREQ包时，无需等待RREP 或往返时间。如果他使用这些IP地址，RREQ的TTL设置不会使用EXPAN丁环搜索方法，在洪峰袭击时，整个网络完全充满着攻击者发送的RREQ包，在同一时间,通信带宽将被充斥的RREQ包耗尽和节点的资源被耗尽。路由表的存储是有限的，如果RREQ分组在一个短的时间内来到该节点，路由表中的节点的存储被用尽，使得节点不能接收新的RREQ分组，因此，合法的节点不能建立路径来发送数据，图1示出的RREQ攻击的实例，节点H是攻击者，它的洪峰RREQ分组都通过网络，使其他节点不能与其他ECH构建路径。