专利名称:无线网络中单节点入侵式攻击的防御方法
技术领域:
本发明涉及无线网络对入侵式攻击的防御技术,具体为无线网络中单节点入侵式 攻击的防御方法。背景技术:
有线局域网在MAC层(Media Access Control,即介质访问控制层)的标准协议 是CSMA/CD,即载波侦听多点接入/冲突检测。但由于无线产品的适配器不易检测信道是 否存在冲突,因此IEEE802. 11全新定义了一种新的协议,即载波侦听多点接入/冲突避免 (CSMA/CA)协议。一方面,载波侦听查看介质是否空闲;另一方面,通过随机的时间等待,使 信号冲突发生的概率减到最小,当介质被侦听到空闲时,则优先发送。不仅如此,为了使系 统更加稳固,IEEE802. 11还提供了带确认帧ACK的CSMA/CA协议。
UDP协议(User Datagram Protocol,即用户数据报协议)是一个无连接协议,传 输数据之前源端和终端不建立连接。在发送端,UDP传送数据的速度仅仅是受应用程序生成 数据的速度、计算机的能力和传输带宽的限制;在接收端。UDP把每个消息段放在队列中, 应用程序每次从队列中读一个消息段。由于传输数据不建立连接,因此也就不需要维护连 接状态,包括收发状态等。
UDP和TCP协议(Transmission Control Protocol即传输控制协议)的主要区别 是两者在如何实现信息的可靠传递方面不同。TCP协议中包含了专门的传递保证机制,当数 据接收方收到发送方传来的信息时,会自动向发送方发出确认消息;发送方只有在接收到 该确认消息之后才继续传送其它信息,否则将一直等待直到收到确认信息为止。UDP协议 与TCP不同,它不提供数据传送的保证机制。如果在从发送方到接收方的传递过程中出现 数据报的丢失,协议本身并不能做出任何检测或提示。因此,通常人们把UDP协议称为不 可靠的传输协议。
基于UDP和TCP协议以上的区别,攻击者往往只需要使用UDP协议并一直高速发 送数据包便可对某个单节点形成攻击,最终使得该节点无法对其他合法节点提供服务。这 就是无线网络中常出现的向某个接入点APbccesspoint)发送大量的垃圾数据包并同时 占用网络信道而形成的DoS攻击(Denial Of krvice,拒绝服务)。目前尚未见到对这种 入侵式攻击的有效又简便的防御方法。
发明内容
本发明的目的是提出一种无线网络中单节点入侵式攻击的防御方法,在接入点处 绑定公平MAC协议,即公平介质访问控制层协议,动态地调节各节点的接入次数,以达到各 节点享有公平使用信道的权力,保护正常通信流的正常通信。
本发明无线网络中单节点入侵式攻击的防御方法设计方案如下在节点AP绑定 公平MAC协议,当有多个节点n0、nl、n2……ηη申请接入AP的信道时,在AP的MAC层建立 对应的虚拟子队列n0、nl、n2……rm,分别记录对应节点的接入次数。对接入过多的节点予以惩罚,以使申请接入AP的各节点享有公平使用AP信道的权力。
具体步骤如下
I、在接入点AP绑定公平MAC协议,当节点ni向接入点AP发送RTS控制帧 (Request to knd请求发送数据帧)预约接入点AP的信道时,首先判断本接入点AP的MAC 层是否有该数据帧源节点ni的信息,如果有,则将本次的节点ni发送的RTS控制帧缓存到 其对应的虚拟子队列;如果没有,则在MAC层建立ni对应的虚拟子队列,记录节点ni的信 息并缓存其要接入的RTS控制帧。如此,在接入点AP的MAC层建立向接入点AP发送RTS 控制帧的n0、nl、n2……rm节点对应的虚拟子队列,并给每个节点的缓存空间初始阈值。阈 值为某一节点所发送RTS控制帧的次数,各节点的初始阈值相等。
II、接入点AP对向其发送RTS控制帧的节点所建的虚拟子队列采用动态队列管理 机制,当请求接入AP的节点数超过一个时,进入公平MAC算法。MAC算法如下当其中的ni 节点所对应的缓存区内存储的RTS控制帧达到或超过其对应的阈值Y,则AP对ni节点回 复CTS控制帧(Clear to knd允许发送数据帧),允许ni接入AP信道发送数据,同时将 ni的缓存区的RTS控制帧清空。若ni节点所对应的缓存区内存储的RTS控制帧未达到其 对应的阈值,则不进行任何操作。
III、当ni节点连续两次接入AP,ni对应的缓存空间的阈值翻倍,由Y增大为2Y, 间接地降低其接入AP信道的概率。若ni节点再继续接入AP,ni对应的缓存空间的阈值再 次翻倍,由2Y增大为4Y。如果ni节点还是继续接入AP,ni对应的缓存空间的阈值又一次 翻倍,由4Y增大为8Y。即对ni节点予以惩罚,使之不能独占AP的信道,而让其它各节点 享有公平使用信道的权力,保护正常通信流的正常通信。若在ni接入期间有其它节点插进 接入,即ni不是连续接入,则ni的阈值恢复为初始阈值。当ni节点的阈值要再一次翻倍, 连续翻倍将超过3次,即确定这一时间段内只有ni节点在使用信道,清空所有的地址存储 列表及其对应的缓存队列。这样当AP接收到下一个节点的RTS控制帧时,重新建立对应的 地址列表。再接收到的RTS控制帧可能来自连续翻三倍阈值的节点,也可能是来自其他节 点ο
所述在接入点绑定公平MAC协议,即将本防御方法的公平MAC协议直接植入主机 的底层,替代原有的MAC协议。
由于无线网络中数据传送的时候,均要通过中转节点传送,所以本法惩罚的只是 直接接入AP的节点,即默认接入AP的节点中转的也是该节点发送来的数据。
本发明无线网络中单节点入侵式攻击的防御方法的优点为1、当恶意节点利用无 线网的漏洞(隐终端),使用的未做任何修改协议发送大量UDP垃圾数据包、对两跳以上的 其它节点的TCP数据流发动攻击时,本方法可使接入点AP有效地防御恶意节点霸占AP的 网络信道而构成DoS攻击,动态地调节各节点的接入次数,使各节点享有公平的信道使用 权;2、本方法的公平MAC协议,实现简单,且只对AP绑定,具有良好的可行性。
图1为本无线网络中单节点入侵式攻击的防御方法实施例的流程框图2为恶意节点发动攻击的位置示意图3为UDP流对TCP流发动攻击的实验拓扑网络结构;4
图4为图3的实验中在正常干扰流下,使用本法前后接入点nO的TCP数据流的吞 吐量曲线对比图5为图3的实验中在连续或断续的恶意攻击下,使用本法前后接入点nO的TCP 数据流的吞吐量曲线对比图。
具体实施方式
以下结合
本无线网络中单节点入侵式攻击的防御方法实施例。
利用无线网络通信协议的漏洞(隐终端),普通节点只需移动到一定位置后持续 发送数据包,便可以对两跳或者是两跳以上的通信流形成一定的攻击。如图2所示,节点n2 的干扰半径为R,接入点nO的接收半径为r,处于节点n2的干扰范围之外、接入点nO的接 收的范围之内(即图2中的斜线区域)的普通节点π3可以成为恶意节点,向接入点nO发 送大量的UDP垃圾数据包,对π2向nO发送的两跳TCP数据流或其它节点向nO发送的两跳 以上的TCP数据流发动攻击。
图3所示为模拟数据入侵攻击的实验拓扑结构。通过NS2仿真软件对本例防 御方法的公平MAC算法进行仿真。在节点π3采用不同的发包时间来模拟干扰流和恶意 流,其中干扰流发包时间设置为200ms,空闲时间设置为300ms ;恶意节点n3使用指数 (Exponential)流量产生器向nO发送UDP数据流,发包时间设置为500ms,空闲时间设置为 Ims0速率设置为IMb/s,路由协议为A0DV。节点n2、nl正常通信流采用TCP协议向nO发 送数据。
接入点nO使用本防御方法,其具体步骤如图1所示,即如下
I、在接入点nO绑定公平MAC协议,接入点nO接收节点nl、n3向接入点nO发送 的预约信道的RTS控制帧,首先判断本接入点nO的MAC层是否有该数据帧源节点的信息, 如果有,则将本次的发送的RTS控制帧送入其对应的虚拟子队列;如果没有,则在MAC层建 立对应的虚拟子队列,记录该节点的信息并缓存其要求接入的RTS控制帧。这样在接入点 nO的MAC层建立了 nl、n3节点对应的虚拟子队列,并给每个节点的缓存空间相同的初始阈 值。
II、接入点nO对向其发送RTS控制帧的节点所建的虚拟子队列采用动态队列管 理机制,请求接入nO的节点数有2个,采用MAC算法如图1所示。当其中的某个节点(如 nl)所对应的缓存区内存储的RTS控制帧达到其对应的阈值Y,则nO对该节点回复CTS控 制帧,允许其接入信道发送数据,同时将其对应的缓存区的RTS控制帧清空。若没有达到对 应的阈值,则不进行任何操作。
III、当n3节点连续两次接入η0,η3对应的缓存空间的阈值翻倍,由Y增大为2Υ, 间接地降低其接入nO信道的概率。n3节点再连续两次接入η0,η3对应的缓存空间的阈值 再次翻倍,由2Υ增大为4Υ。η3节点还是继续接入ηΟ,η3对应的缓存空间的阈值又一次翻 倍,由4Υ增大为8Υ。若在π3接入期间有nl插进接入,则η3的阈值则变为初始阈值。当 η3节点的阈值要再一次翻倍,连续翻倍将超过了 3次,即确定这一时间段内只有π3节点在 使用信道,清空所有的地址存储列表及其对应的缓存队列。这样当nO接收到下一个η3或 nl节点的RTS控制帧时,重新建立对应的地址存储列表,不再执行公平MAC算法。保护正常 通信流的正常通信。
当nl节点发送恶意攻击数据流时,处理情况与n3相同。
节点η2是通过nl转接进入nO的,故nO将nl转接的节点n2的数据流也视为nl 发出的数据流,对nl执行公平MAC算法。
图4中纵坐标为吞吐量,单位为千比特/秒(libps);横坐标为时间,单位为秒(S); 细虚线表示UDP正常干扰数据流的加入,粗虚线表示使用本法的TCP数据流的吞吐量,粗实 线表示未用本法的TCP数据流的吞吐量。图4的A、B为干扰流持续加入的情况。图4A中 未用本法时nO处的TCP数据流的吞吐量在干扰流加入后下降至原吞吐量约1/2,正常通信 受到影响;而图4B中使用本法后nO处的TCP数据流的吞吐量在干扰流加入后只稍有下降, 仍能正常通信。图4的C、D为干扰流断续加入的情况。图4C中未用本法时nO处的TCP数 据流的吞吐量在干扰流加入后缓慢下降,在干扰流停止后,TCP数据流的吞吐量回升,但干 扰流再次加入后TCP数据流的吞吐量又稍降,基本可正常通信;而图4D中使用本法后nO处 的TCP数据流的吞吐量在干扰流加入后只稍有下降,此后UDP数据流的停止和加入,对TCP 数据流的吞吐量影响不明显,保证了正常通信。由本实验可以看到本发明的方法可使接入 点nO在干扰流下正常通信。
图5中纵坐标横坐标与图4相同;X-X-线表示UDP恶意攻击数据流的加入,粗虚 线表示使用本法的TCP数据流的吞吐量,粗实线表示未用本法的TCP数据流的吞吐量。图5 的E、F为恶意的UDP数据流持续加入的情况。图5E中未用本法时nO处的TCP数据流的吞 吐量在UDP数据流加入后迅速下降为零,无法正常通信;而图5F中使用本法后nO处的TCP 数据流的吞吐量在UDP数据流加入后只稍有下降,仍能正常通信。图5的G、H为恶意的UDP 数据流断续加入的情况。图5G中未用本法时nO处的TCP数据流的吞吐量在UDP数据流加 入后迅速下降为零,在UDP数据流停止后,TCP数据流的吞吐量迅速回升,但UDP数据流再 次加入后TCP数据流的吞吐量又降为零,无法正常通信;而图5H中使用本法后nO处的TCP 数据流的吞吐量在UDP数据流加入后只稍有下降,此后UDP数据流的停止和加入,对TCP数 据流的吞吐值影响不明显,保证了正常通信。由本实验可以看到本发明的方法可使接入点 nO有效地防御恶意节点霸占AP的网络信道、防御DoS攻击,动态地调节各节点的接入次数, 使各节点享有公平的信道使用权,保证正常通信。
上述实施例,仅为对本发明的目的、技术方案和有益效果进一步详细说明的具体 个例,本发明并非限定于此。凡在本发明的公开的范围之内所做的任何修改、等同替换、改 进等,均包含在本发明的保护范围之内。
权利要求
1.无线网络中单节点入侵式攻击的防御方法,其特征在于在接入点AP绑定公平MAC协议,当有多个节点no、nl、n2……rm申请接入AP的信道 时,在AP的MAC层建立对应的虚拟子队列nO、nl、n2……nn,分别记录对应节点的接入次 数;对接入过多的节点予以惩罚。
2.根据权利要求1所述的无线网络中单节点入侵式攻击的防御方法,其特征在于具体 步骤如下I、在接入点AP绑定公平MAC协议,当节点ni向接入点AP发送RTS控制帧预约接入 点AP的信道时,首先判断本接入点AP的MAC层是否有该数据帧源节点ni的信息,如果有, 则将本次的ni发送的RTS控制帧缓存到其对应的虚拟子队列;如果没有,则在MAC层建立 ni对应的虚拟子队列,记录节点ni的信息并缓存其要求接入的RTS控制帧;如此,在接入 点AP的MAC层建立向接入点AP发送RTS控制帧的n0、nl、n2……rm节点对应的虚拟子队 列,并给每个节点的缓存空间初始阈值;阈值为某一节点所发送RTS控制帧的次数,各节点 的初始阈值相等;II、接入点AP对向其发送RTS控制帧的节点所建的虚拟子队列采用动态队列管理机 制,当请求接入AP的节点数超过一个时,进入公平MAC算法;MAC算法如下当其中的ni节 点所对应的缓存区内存储的RTS控制帧达到或超过其对应的阈值Y,则AP对ni节点回复 CTS控制帧,允许ni接入AP信道发送数据,同时将ni的缓存区的RTS控制帧清空;若ni节 点所对应的缓存区内存储的RTS控制帧未达到其对应的阈值Y,则不进行任何操作;III、当ni节点连续两次接入AP,ni对应的缓存空间的阈值翻倍,由Y增大为2Y,间接 地降低其接入AP信道的概率;若ni节点再继续接入AP,ni对应的缓存空间的阈值再次翻 倍,由2Y增大为4Y ;如果ni节点还是继续接入AP,ni对应的缓存空间的阈值又一次翻倍, 由4Y增大为8Y ;当ni节点的阈值将再一次翻倍,连续翻倍将超过3次,即确定这一时间段 内只有ni节点在使用信道,清空所有的地址存储列表及对应的缓存队列。
3.根据权利要求2所述的无线网络中单节点入侵式攻击的防御方法,其特征在于所述步骤III中,若在ni接入期间有其它节点插进接入,则ni的阈值则恢复为初始阈值。
4.根据权利要求1至3中任一项所述的无线网络中单节点入侵式攻击的防御方法,其 特征在于所述在接入点AP绑定公平MAC协议即将本防御方法的公平MAC协议直接植入主机的 底层,替代原有的MAC协议。
全文摘要
本发明为无线网络中单节点入侵式攻击的防御方法,在接入点AP绑定公平MAC协议,当有多个节点申请接入AP的信道时,在其MAC建立对应的子队列,记录对应节点的接入次数。对接入过多的节点予以惩罚,以使申请接入AP的各节点享有公平使用AP信道的权力。具体为I、在接入点AP建立向其发送RTS的各节点的子队列,并给各节点缓存相等的初始阈值。II、MAC算法当节点ni的缓存内的RTS达到其阈值,则AP对ni回复CTS,并将ni缓存清空。III、当ni连续两次接入AP,ni的阈值翻倍,对ni惩罚,当ni连续翻倍超过3次,清空所有地址存储空间。本方法可使接入点有效防御恶意节点的DoS攻击,使各节点享有公平的信道使用权;实现简单,只对AP绑定,具有良好的可行性。
文档编号H04W12/12GK102036247SQ20101056723
公开日2011年4月27日 申请日期2010年11月29日 优先权日2010年11月29日
发明者叶进, 李伶强 申请人:桂林电子科技大学