利用虫洞原理抵御黑洞攻击的方法_刘伟

0引言

移动Ad hoc 网络无论是在民用和国防方面都存在巨大的应用空间，它具有有线网络无可替代的优势[1-2]。目前主要有3种路由协议应用于Ad hoc 网络，它们是DSDV 协议、DSR 协议和AODV 协议。DSDV 协议需要经常性的广播路由更新，而且随着网络规模的增长该协议呈现O (n 2)的增长趋势，因此该协议并不适合大规模的网络。DSR 协议是动态源路由协议，该协议占用的内存开销比较大，而且不支持广播。因此，AODV 协议是目前应用最广泛的协议，但也是最容易受到黑洞攻击和灰洞攻击的路由协议。

本文将针对AODV 协议提出一种防御黑洞的方法，该方法对于灰洞攻击也由一定的检测作用。

1

研究现状

1.1

黑洞

黑洞有两个特征：①即使没有到目的节点的路由信息，黑

洞节点也会声称自己具备该路由信息，目的是为了干扰正常的数据传输；②当收到其它节点传来的数据分组时，黑洞节点会全部丢弃该分组。“黑洞”也由此而得名。黑洞攻击有两种方式，单个节点的黑洞攻击和多个节点配合的黑洞攻击。

针对单个节点的攻击，Hongmei Deng 、Li 和D.Agarwal 在

他们的文章中[3]提出了一种解决方案。在该方案中，当源节点受到中间节点(IN )发回的RREP 分组后，会向IN 的下一跳节点(NHN )发送FurtherRequest (Freq )分组询问以下问题：①NHN 是否有到IN 节点的路由；②NHN 是否有到目的节点的路由，如果NHN 均正确回答以上问题则说明IN 返回的路由信息有效，下一步开始传输数据，否则认为发现了黑洞节点。该方式缺点在于每次路由发起需要相当于两次RREQ 过程(一次RREQ 一次Freq )，使得控制信息开销过大。而且不能抵御多点协同的黑洞攻击。

针对多点协同的黑洞攻击，Huirong Fu 和他的工作组提出了一种解决方案[4]，他们在每个节点引入了一种叫做数据路由信息表(DRI )的数据结构，用于分别记录从各个节点发起和通过该节点的数据记录，当源节点收到中间节点发回的RREP 分组时，也会向该中间节点的NHN 节点发起FReq 分组询问，询问包括中间节点的DRI ；NHN 节点的下一跳以及NHN 下一跳的DRI 信息，通过这种递推的方式发现多点配合的黑洞攻击。该协议确实有效，但其缺点也很明显，控制分组的开销太大，而且每个节点还需要维护额外的DRI 数据结构。Zdravko Ka-rakehayov 在他的文章中提出了一种叫做REWARD 的方法[5]，算法中引入了MISS 和SAMBA 两种控制分组，对于单个节点的黑洞攻击，每个节点在发送分组时除了要向他的邻居节点发送外还要向邻居节点的下一跳发送，对于多个节点的协同

收稿日期：2006-11-30E-mail ：sd_liuwei@https://www.360docs.net/doc/cf4887576.html,

作者简介：刘伟(1981－)，男，山东济南人，硕士研究生，研究方向为无线传感器网络的路由层安全；柴乔林(1956－)，男，山东青岛人，教授，研究方向为计算机网络。

利用虫洞原理抵御黑洞攻击的方法

刘

伟，柴乔林

(山东大学计算机科学技术学院，山东济南250061)

摘

要：移动Ad hoc 网络(MANETs )在民用设施和国防事业方面得到广泛应用。动态变化的拓扑结构是Ad hoc 网络的一大特征，也正是这种动态性使得Ad hoc 网络特别容易受到安全方面的攻击。重点讨论在AODV 协议下的黑洞攻击和灰洞攻击，并根据攻击的特点，提出了一种利用虫洞原理防御的策略。

关键词：AODV 协议;黑洞攻击;灰洞攻击;虫洞攻击;OMNET++仿真中图法分类号：TP393

文献标识码：A

文章编号：1000-7024(2007)20-4888-03

Prevention of black-hole attacks using worm-holes theories

LIU Wei,

CHAI Qiao-lin

(College of Computer Science and Technology,Shandong University,Jinan 250061,China )

Abstract ：Mobile Ad hoc networks (MANETs )are extensively used in military and civilian application.Dynamic topology is an important characteristic of MANETs.This dynamic nature of the topology of the network has made it vulnerable to security attacks.The black hole attack and the gray hole attack on the networks running under the AODV protocol are discussed.A method for prevention from the black hole attacks are proposed.

Key words ：AODV protocol;black holes;gray holes;worm holes;OMNET++simulation

2007年10月计算机工程与设计

Oct.2007

第28卷第20期Vol.28

No.20

Computer Engineering and Design

攻击，节点会同时向他的下两跳和上两跳发送信息，该方法虽然可以有效地检测到黑洞攻击，但是路由开销太大，尤其是跨越前后两跳时，其能量消耗随着网络规模的扩大成指数级增长，所以不利于实施。此外还有一些其它的解决方案[6]，但都不是很利于实施。

1.2灰洞

灰洞是一种比黑洞更加危险的攻击方式，关于灰洞的定义方式有很多，灰洞节点的行为表现介于正常节点和黑洞节点之间，按其攻击方式大体分为3类：节点选择型灰洞攻击，分组类型选择型灰洞攻击和时间选择型灰洞攻击3类[6]。灰洞攻击之所以更加危险是因为它比黑洞更加难以检测，Pankaj Goyal和Kumar Kapil提出了一种防御方式[7]，他们为每个节点引入了Rate Monitoring Table和Packet-drop Monitoring Table两个表，路由时根据这些表项所记录的该节点的平时表现情况做出路由抉择。

1.3存在的问题

无论是黑洞攻击还是灰洞攻击，重点是检测，即如何发现某条路由的异常表现，尤其是随着节点的逐步智能化，恶意节点可能会在RREQ过程和数据传输过程表现出不同的特征，如在RREQ过程中表现为正常节点，而在真正的数据传输过程中才表现出异常行为，这就会使得很多防御方式显得无能为力。如文献[3]中所提的方式。此外，跟多的方法是基于某节点过去表现的经验来判断该节点本次传输会不会有异常表现，如文献[4]和文献[7]，这种假设对于一般性的数据传输影响不大，但是对于敏感数据的传输是不合适的。产生这种问题的关键是节点的路由请求和数据传输是两个完全不同的过程，节点在这两个过程中可能会表现不一致，因此，需要有一种能把这两个不同的过程融为一体的方法，由此想到了虫洞。

2虫洞思想

虫洞思想来源于虫洞攻击，虫洞攻击是指一个攻击节点收到分组后，将分组打包封装并以隧道的形式发送给网络中的另一个攻击节点，该攻击节点再将分组解包后投入到网络中。因为分组的隧道传输是透明的，因此，通过隧道返回的RREP分组会比通过正常的单跳无线传输返回的RREP分组具有更短的跳数值[8-10]。

虫洞攻击启示我们，可以将RREQ分组封装到正常的数据分组当中，并随数据分组一起传输去，目的节点收到封装的分组后产生一个RREP分组，再通过隧道的方式传回到源节点端，通过随机的插入控制分组，源节点实现了对整条路径的监测。该方式与已有算法相比较的优点是节点无需设置额外的数据结构，路由开销小，分组传送率高并可以有效地、实时动态的检测数据传输进程。具体实施方式如下介绍。

3实现方法

当某节点收到中间节点传回的RREP分组时，并不马上给目的节点发送数据信息，而是进入一个初始化过程，该节点会再一次给目的节点发送一个RREQ分组，但是该分组是以数据分组的形式封装后传送给目的节点的(即隧道方式)，因此，在中间节点看来传送的就是数据分组。当目的节点收到该分组后经路由层解包后会发现是RREQ分组，此时目的节点会给源节点回复一个RREP分组，该分组可以以数据分组的形式封装，也可以不封装，因为黑洞节点一般只对RREQ分组和数据分组起作用。当源节点收到目的节点产生的RREP 分组后便相当于进行了一次正确的数据传输过程，因此可判断该路径上不存在黑洞节点，初始化过程由此结束，此后便可进行正常的数据传输，如图1所示。

如果源节点没有收到目的节点发回的RREP分组，则说明该路径上存在黑洞节点。此时系统进入检查阶段。

假设S是源节点，D是目标节点，B是发其RREP分组的中间节点，在初始化过程中S没有收到D传回的RREP分组，根据黑洞攻击的性质可以肯定地是黑洞节点一定不会是发起RREP分组的中间节点以前的节点，因为如果之前的节点中存在黑洞节点，比如A节点是黑洞节点，那么A节点就会发起RREP分组了而不会等到B节点发起。此时，S节点会向B节点的下一跳节点，即C节点发送RREQ分组，该分组同样被数据分组封装，C节点收到后会返回RREP分组给S节点，同时

图1数据传输全过程

(c)向目的地址发送数据分组封装的RREQ分组

D A T A

(R R E

Q)

D A T

A

(R R E Q

)

(

R

R

E

Q

)

D

A

T

A

D

A

T

A

(

R

R

E

Q

)

D

G

H

B

J

I

E

D A T A

(R R E P

)

J

F

E

A

R R E Q R R E Q

R

R

E

Q

R R E Q R R E

Q

R R E

Q

R R

E Q

R

R

E

Q

(b)收到回复的RREP分组

D

G

H

返回C 的下一跳节点信息，如果S 节点也成功收到了C 回送的RREP 分组，则说明B 节点不是黑洞节点，然后再向C 的下一跳节点发送RREQ 分组以检测C 节点的行为。通过这种递推的方式最终可以确定黑洞节点的位置。

对于时间选择型灰洞攻击而言，一次正确的初始化过程并不能保证该路径上一定不存在灰洞节点，但是可以通过在数据传输过程中随机的选择插入时间点以达到全程监控的目的，从而在一定程度上有效的检测时间选择型的灰洞攻击。

4

仿真实验

4.1

实验环境

本协议仿真工具使用OMNet++3.0，仿真采用自由空间模

型，网络覆盖面积500×500m 2，节点数目设置为30个，数据传输率为250kb ，出错率为0。各节点地位平等，随机分布于矩形区域中。每个节点设定一个静止时间，在静止时间结束后，从二维空间中随机选择一个方向，以maxSpeed 与minSpeed 之间的速度随机移动，在30个节点中随机产生了4个黑洞节点，黑洞节点比例为13.3%，正常节点使用本文中介绍的方式传输数据，总的仿真时间是300s 。仿真初始化环境如图2所示。

4.2实验目标

本实验中随机产生的4个黑洞节点分别是mobileHost [5]、

mobileHost [7]、mobileHost [8]、mobileHost [29]，4个节点均匀的分布在图2区域中，他们的ID 号分别是32、44、50、176。4个节点在仿真时间内进行黑洞攻击，实验目标是其余正常节点通过使用本文介绍的方法正确的识别出黑洞节点，并对本方法所产生的控制包进行统计比较如下。

4.3

实验结果分析

(1)首先对本方法的有效性进行分析，结果如图3所示。

图3是按照各节点发现恶意节点的先后顺序输出的，横

坐标是时间，纵坐标是恶意节点Id 号，从图3中可以看出试验中的4个黑洞节点均在160s 的运行时间内被发现，而且没有出现误判现象。需要特别说明的是，由于节点随机移动和数据传输方向的原因，并不是每个节点都会受到黑洞节点的攻击，因此，并不是每个节点都能全部识别4个黑洞节点，但只要是该节点在传输数据过程中受到黑洞攻击，运用本文介绍

的方法必然能识别黑洞节点。

图4是该方法有效性的另一个实验结果，图中红线代表在运行AODV 协议下，黑洞节点Host [8]收到的所有分组(包括数据分组和控制分组，其中绝大多数是黑洞吸收的数据分组)，图中绿线代表采用分方法后黑洞节点Host [8]所收到的所有分组(其中全部是控制分组)，从上图可以看出，采用本方法后黑洞节点收到的分组数量明显减少，而且都是一些必要的控制分组。通过以上分析证明本文介绍的方法是有效的。

(2)对本方法的可行性进行分析，结果如图5所示。

图5反映了运用本文介绍的方法和使用正常的AODV 协议所产生的控制分组的数量对比。红线代表运行本文介绍的方法，绿线代表运行AODV 协议，由以上结果可以看出运行本文的方法会产生比AODV 协议多45%的控制分组，这是因为该方法需要额外的RREP 分组(这也跟黑洞节点的数量有关，黑洞越多需要的控制分组自然也越多)。但本方法规定只有中间节点产生RREP 应答时才需要追加RREP 确认分组，这大大减少了控制分组的数量。通过以上分析表明尽管需要付出一些的代价，但本文介绍的方法确是可行的

5结束语

该方法与已有的方法相比有实现简单、无需额外数据结

构、系统代价小和分组传送率高等优点，通过实验证明，本方法对于抵御单点黑洞攻击和多点配合的黑洞攻击均有效。通过随机的重复初始化过程，对于时间选择型的灰洞攻击有一定的检测作用。

图2网络分布mobileHost [23]

mobileHost [2]

mobileHost [4

]

mobileHost [13

]

图3

有效性实验效果

图4

有效性实验效果

图5

可行性实验效果

mobileHost [15]

mobileHost [12

]

(下转第4894页)

路由器内对流进行转发与排队处理，实现PHB 。3NS2模拟实现

为了能够在NS2中实现通过控制DSCP 值，实现动态带宽的控制，我们使用Nortel Network 实现的区分服务[7-8]。如图5所示，S1、S2是发送数据流的源节点，D1、D2是接收数据流的目的节点；E1、E2是边界路由器；CR 是核心路由器。S1,E1、S2,E1、E2,D1、E2,D2之间链路为5Mb ，延时5ms ，拥塞避免和分组丢弃策略是DropTail 。E1，E2与Core 之间为5Mb ，延时5ms ，策略是dsRED 。

S1,e1之间的链路的policy 类型为TSW2CM ，CIR=500kbps ，采用UDP 流。

S2,e2之间的链路的policy 类型为TSW3CM ，CIR=500kbps ，PIR=1Mbps ，采用类FTP 的TCP 流。

实验分组流量统计如图6所示。

依据T1和T2时刻流量统计情况分析，由于S2到D1流量不断突然加大，系统将该流DSCP 值从原来的DSCP=15降

为DSCP=16，路由器转换则分配较低的PHB ，实现动态带宽的分配。验证结果表明：通过QOS 控制，较好的对异常流减少分配资源，减少对正常服务的影响。

4结束语

本文介绍了一种NeTraMet 和QoS 相结合的主动防御机

制，实现对蠕虫和DDOS 的检测、防御，并在NS2中验证此机制的可行性和正确性。当然，文中给出蠕虫和DDOS 检测算法没有作算法分析；QoS 防御机制着眼于更早的对网络异常行为的快速反映，而没有像其它防御方法将异常流直接阻断，不过，另外采取阻断措施还是易于实现的。

参考文献:

[1]金华敏,庄一嵘.网络异常流量监测技术在电信IP 网的应用[J ].通信世界,2005(19):28-29.

[2]Nevil https://www.360docs.net/doc/cf4887576.html,raMet &NeMaC reference manual v4.3[EB/OL ].https://www.360docs.net/doc/cf4887576.html,/net/NeTraMet.

[3]文伟平,卿斯汉,蒋建春,等.网络蠕虫研究与进展[J ].软件学报,2004,15(8):1208-1219.

[4]

Q1Lab3.The SQL slammer worm incident [EB/OL ].https://www.360docs.net/doc/cf4887576.html,/resources/documents/q1_slammer_whitepa-per.pdf.[5]郑辉.Internet 蠕虫研究[D ].天津:南开大学,2003.

[6]Srinivas Vegesna.IP 服务质量[M ].北京:人民邮电出版社,2001:15-28.

[7]

Peter Pieda,Jeremy Ethridge,Mandeep Baines,et al.A network simulator differentiated services implementation [EB/OL ].http://www-sop.inria.fr/mistral/personnel/Eitan.Altman/COURS-NS/DOC/DSnortel.pdf.[8]

The network simulator:Building ns [EB/OL ].https://www.360docs.net/doc/cf4887576.html,/nsnam/ns/ns-build.html.

图5

模拟实现结构

E1

CR

E2

D2

D1

S1

S2

参考文献:

[1]

Hubaux Jean-Pierre,Levente Butty'an,Srdjan Capkun.The Quest for security in mobile Ad Hoc networks [C ].Long Beach,CA,USA:Proceedings of ACM Symposium on Mobile Ad Hoc Net-working and Computing,2001:146-155.[2]

Mark Corner,Brian Noble.Zero-interaction authentication [C ].Proceedings of the Eighth Annual International Conference on Mobile Computing and Networking,2002:1-11.[3]

Deng Hongmei,Li Wei,Dharma P Agrawal.Routing security in wireless Ad Hoc network [J ].IEEE Communications Magzine,2002,40(10):70-74.[4]

Sanjay Ramaswamy,Fu Huirong,Manohar Sreekantaradhya,et al.Prevention of cooperative black hole attack in wireless Ad Hoc networks [C ].Vegas,Nevada,USA:International Conference on Wireless Networks,2003.[5]

Zdravko https://www.360docs.net/doc/cf4887576.html,ing reward to detect team black-hole

attacks in wireless sensor networks [EB/OL ].http://www.sics.se/realwsn05/proceedings.html,2005.

[6]

Yau Po-Wah,Chris J Mitchell.A secure routing protocol for mo-bile Ad Hoc networks [J ].International Conference on Mobile Ad-hoc and Sensor Networks (MSN ),2005(12):13-15.[7]Pankaj Goyal,Kumar Kapil.Prevention from gray hole attacks in MANETS [EB/OL ].http://www.cse.iitk.ac.in/users/cs634/www/Html/projects_04.html.

[8]Hu Yih-Chun,Adrian Perrig,David B Jojnson.Wormhole attacks in wireless networks [EB/OL ]https://www.360docs.net/doc/cf4887576.html,/~ad-rian/projects/wormhole-jsac.pdf.

[9]Wang Weichao,Bharat Bhargava.Visualization of wormholes in sensor networks [C ].New York,NY:Proceedings of ACM Work-shop on Wireless Security,2004.

[10]Hu Lingxuan,David https://www.360docs.net/doc/cf4887576.html,ing directional antennas to prevent

wormhole attacks [C ].Proceedings of Symposium on Network and Distributed Systems Security,2004.

(上接第4890页

)