关键字 |
| 拒绝服务、自组网、传感器网络、攻击,旋转木马攻击,路由。 |
介绍 |
| 特别的无线传感器网络(网络)承诺raisingnew应用在即将到来的未来,如连续连接,无处不在的随需应变的计算力量,immediately-deployable军事交流和先遣队。这样的网络已经监测环境条件、工厂性能和军事部署几个应用程序。由于他们的特殊组织,无线自组网是一种特别容易受到拒绝服务(DoS)攻击,和大量的研究来提高生存能力。虽然这些计划可以防止网络攻击的短期可用性,他们不解决攻击影响长期可用性——最稳定的拒绝服务攻击是完全耗尽节点的电池。这是一个资源耗竭攻击的发生,以电池为资源的关注。 |
| 在本文中,我们考虑如何路由协议,设计仍然是安全的,它缺乏免受这些攻击,我们称之为吸血鬼的攻击,因为他们从网络节点消耗生命。这些攻击不同于减少了质量(RoQ) Denail服务(DoS),基础设施和路由攻击时请勿打扰直接可用性,但有些工作完全断开网络。虽然有些个人的攻击是简单,资源枯竭和讨论了放电攻击以前,以前的工作大多局限于其他协议栈的层次,例如介质访问控制(MAC)或应用程序层,和我们的讨论几乎没有讨论,也没有完整的分析或缓解,routinglayer疲惫攻击来源。 |
| 吸血鬼攻击并不特定于协议的,他们不依赖于特定路由协议的设计属性或实现的缺点,而是利用常见的属性如链路状态协议类,源路由、地理距离向量,信标路由。这些攻击也不依赖大量的网络海量数据,但有些试图尽可能少的数据传输实现最大的能源消耗,防止利率限制的解决方案。因为吸血鬼利用protocol-compliant消息,这些攻击是非常复杂的检测和预防。 |
| [2]的作者使用平均剩余电池的整个网络,计算通过添加两个字段RREQ数据包报头的按需路由算法)平均残余节点的电池能量ii)的路径的跳数RREQ数据包通过。根据他们的重传时间正比于剩余电池能量方程。这些节点拥有更多的电池能量比一般的能量将被选中,因为它的重传时间将会更少。小跳数选择阶段的大多数节点具有相同的传输时间。单个节点的电池被认为是一个度量来延长网络寿命[3]。作者使用一个优化函数认为自然的数据包,数据包大小和节点之间的距离,啤酒花和传输时间也为优化考虑。 |
| 在[4]对遗传算法的初始种群已经计算的多播组,一组路径从源到目的地的寿命计算每条路径。一生的路径作为适应度函数。适应度函数将选择最高的染色体有最高的一生。交叉和变异运算符用于提升的选择。在[5]作者改进AODV协议通过实现一个平衡的能源消费观念路由发现过程。RREQ消息时将转发节点有足够的能量传输消息否则消息将被丢弃。这种情况将检查与阈值是动态变化的。它允许一个节点在路由通信的使用电池拒绝以延长网络寿命。 |
| 在[6]的作者修改AODV的路由表添加功率因数。只有活跃节点可以参加溃败选择和剩余的节点可以闲置。计算节点的生命周期和传播你好数据包。[7]中作者考虑单个节点的电池能量的数量和啤酒花,随着大量的啤酒花将有助于减少传动功率的范围。路由发现的做法一样在按需路由算法。包已经达到目的地后,目的地将等待时间δt和收集所有的数据包。又一次δt它调用优化函数选择路径和发送RREP。优化函数使用单个节点的电池能量;如果节点在低能量水平然后优化函数不会使用该节点。 |
概述 |
| 在本文的其余部分,我们提出一系列日益破坏吸血鬼袭击,计算一些示例协议的脆弱性,并提出如何提高韧性。在源路由协议中,我们说明恶意数据包源可以通过网络能够指定路径远超过最优,进一步浪费精力在中间节点转发数据包根据包括源路线。 |
| 在路由过程中,转发决策由每个节点独立(而不是指定的源),我们建议如何使用定向天线和虫洞攻击数据包分发给几个远程网络位置,迫使数据包处理节点通常不会接收数据包,从而增加网络范围的能量消耗。最后,我们说明敌人可以目标不仅数据包转发,而且路由和拓扑发现阶段——如果发现消息淹没了,敌人可以对单个包的成本,在网络中的每个节点消耗能量。在我们的第一次进攻,敌人组成包故意引入路由迴圈。我们叫它旋转木马攻击,因为它发送数据包在如图1所示(一个)。它目标源路由协议通过利用有限的身份验证消息头的转发节点,允许单个数据包不断导线相同的节点集。 |
| 在我们第二次攻击,也针对源路由,敌人构造人为长路线,可能遍历网络中每个节点。我们描述这段攻击,因为它包路径长度增加,导致处理数据包的节点是独立的对手之间的沿着最短路径跳数和包的目的地。 |
相关工作 |
| 水母袭击:这种类型的攻击是用于闭环如TCP流。水母袭击的关键力量是,它保持遵守所有控制平面和数据平面协议为了使检测和诊断昂贵和耗时。关键原则,水母攻击使用促进端到端拥塞控制目标。 |
| 黑洞攻击:这种类型的攻击是用于开环控制流。黑洞节点参与所有路由控制飞机操作。然而,一旦建立了路径,黑洞简单地放弃所有数据包。尽管拒绝转发数据不兼容的协议。 |
| 道路质量监控:他们设计和分析path-quality监控协议可靠时发出警报的丢包率和延迟超过一个阈值,即使敌人试图偏差监测结果通过选择性地拖延,删除,修改,注射或优先处理数据包。 |
有状态的协议和他们的攻击 |
| 一个有状态的协议是意识到自己的拓扑节点,转发决策,它的状态。它需要服务器来存储和记录事务,这样他们就可以被召回或恢复。两个重要类是链路状态和距离向量。链路状态的例子是OLSR DSDV距离矢量的例子。这些协议都是主动的,路线中的所有可及节点网络,最大限度地减少初始延迟。上下OLSR保持的记录的链接和洪水路由更新状态。DSDV也被称为分布式bellman或撕裂(路由信息协议)。每个节点维护一个路由表,其中包含所有可用的目的地,下一个节点到达目的地,啤酒花的数量到达目的地并定期表发送给所有邻居保持拓扑结构。这些协议都不容易旋转和拉伸的攻击。 |
| 事实上,任何时候对手无法显示完整路径,吸血鬼攻击的可能性会降低。两种类型的攻击状态协议是定向天线发现攻击和恶意攻击。定向天线攻击:吸血鬼几乎没有控制数据包的进步,但他们仍然浪费能源通过重启一个数据包在网络的各个部分。他们将存款的数据包在任意路径网络由于这种能量被消耗,O d网络直径(d), d / 2,也被认为是半虫洞攻击。 |
| 包皮带不能防止这种攻击,因为他们并不是为了防止恶意消息来源但只有中介。发现恶意攻击:也称为伪死记硬背的发现。AODV和安全域都容易受到这种攻击节点可以随时启动发现以来,不仅在拓扑变化。这种类型的攻击变得严重时节点声称长途路线已经改变了。这在开放的网络攻击是微不足道的。包皮带不能防止这种类型的攻击。这类似于路线扑在边界网关协议。 |
无状态的协议和他们的攻击 |
| 无状态的协议不需要服务器保留会话信息或状态关于每个通信伙伴多个请求的持续时间。通信协议,对疼请求作为一个独立的事务无关任何先前的请求的通信由独立对请求和响应。两种最常见的攻击类型是旋转木马的攻击(如图1所示。)和拉伸攻击如图(1. b)。它叫做伸展的攻击,因为它增加数据包路径长度,造成数据包处理由一个独立的节点数量之间的最短路径跳数的对手和包的目的地。另一方面,旋转木马发送数据包。它的目标源路由协议通过利用有限的验证消息头的转发节点,允许单个数据包重复遍历相同的一组节点。 |
协调和信标协议 |
| 两个例子的协调和协议是GPSR和BVR灯塔。这些协议使用物理坐标或距离信标路由。在GPSR数据包可能会遇到死胡同(即目标隔着一堵墙或阻塞)。包然后转移到目标路径可用路由时他们不考虑路径长度在当地的障碍。在BVR数据包路由到一个节点(灯塔)接近目标。使每个节点独立的转发决策因此吸血鬼袭击(排水节点生命)是有限的。 |
| 这些协议也可以定向天线攻击受害者链路状态和距离向量协议就像导致能量增加O (d)每条消息的因素,其中d是网络直径。当地的O (c)能量损失系数,其中c是啤酒花的障碍物的周长。 |
层次清晰的传感器网络路由协议 |
| 在本节中,我们表明,全新的方案由Parno安全传感器网络路由协议,陆,Gaustad, Perrig (“PLGP”从这里)可以修改证明地抵抗吸血鬼攻击数据包转发阶段。 |
| 的原始版本协议,虽然为安全设计,很容易受到吸血鬼攻击。PLGP由拓扑发现阶段,其次是一个数据包转发阶段,前者可以重复在一个固定的时间表,确保拓扑信息保持电流。(没有按需发现。)发现确定性将节点组织成一个树状,稍后会作为解决方案。当发现开始,每个节点都有一个有限的网络,节点只知道本身。发现他们的邻居节点使用本地广播,形式不断扩大的“社区”,停止在整个网络是一个集团。在整个过程中,建立一个树节点的邻居关系和组成员,稍后会用于寻址和路由。 |
| 最后发现,每个节点应该计算相同的地址和其他节点树。所有叶节点树中的物理节点的网络,和他们的虚拟地址对应于他们的立场在树上所有节点(见图6)。学习彼此的虚拟地址和加密密钥。最后一个地址树是可证实的网络收敛后,和所有转发决策可以独立消息来源的证实。 |
| 此外,假设每个合法网络节点都有一个独特的成员资格证书(分配在network deployment),节点试图加入多个组,在多个位置产生克隆的自己,或者欺骗在发现可以被识别并驱逐。 |
| 拓扑发现。发现开始有时限的期间每个节点广播一个证书必须宣布其存在的身份,包括它的公钥(从现在开始被称为节点ID),由一个可信的离线签名权威。每个节点作为自己的群体大小为1的开始,与虚拟地址0。节点谁听到广播的形式组织和他们的邻居。当两个人节点(每个初始地址0)形成一群大小两个,其中一个地址0,就变成了1。组将优先与最小的邻近的组织,这可能是一个单独的节点。我们可以把组织作为单个节点,使用安全多方计算与决策。像各个节点,每组将首先选择一组地址0,将选择0或1,当合并与另一个组。 |
| 每个小组成员假装地址自己的地址,如节点0 0变成0.0,组节点0组1变成1.0,等等。每次两个组织合并,每个节点的地址是加长了一点。含蓄的,这形成了一个二叉树的所有地址网络,节点地址作为叶的。请注意,这棵树不是一个虚拟坐标系统,作为唯一编码的信息树的邻居节点之间的关系。节点将请求加入最小的团体在他们的附近,一些组id,计算整个集团的合作作为一个确定性的函数成员个人id。当大集团合并,他们两个广播组id(和所有小组成员的id),并进行合并协议相同的两节点的情况。团体已经足够大,一些成员不是广播范围内的其他组织将通过网关节点,“通信范围内的两组。每个节点存储一个或多个节点的身份通过它听到宣布另一组的存在。该节点本身可能已经听到了二手信息,所以每个节点在一组最终将与其他组转发路径,如距离向量。每个节点的拓扑发现、学习其它节点的虚拟地址,公钥,和证书,因为每一个小组成员都知道其他小组成员的身份和网络收敛于一个组。 |
| 数据包转发。在转发阶段,所有由每个节点独立决策。当收到一个包,确定下一跳节点通过寻找最高有效位的地址不同于消息的发起者的地址(参见图6),因此每个转发事件(除了当一个数据包在一组移动以达到一个网关节点进入下一组)缩短了逻辑距离目的地,由于节点地址应该严格接近目的地。 |
性能分析 |
| 在BVR PLGP强加设置成本增加,但与包转发的开销。而路径拉伸增加1.5 - 2倍,消息传递成功不通过提高局部洪水:PLGP从来没有洪水,洪水而BVR必须5 - 10%的数据包根据网络规模和拓扑。PLGP还演示了更加公平比BVR路由负载分配和路径的多样性。自去年大大超过转发阶段应该设置,PLGP提供性能与BVR平均情况。 |
结论 |
| 在本文中,我们定义了吸血鬼的攻击,一种新的资源消耗攻击使用路由协议永久禁用特定无线传感器网络节点消耗的电池能量。这些攻击不依赖于特定的协议或实现,而是暴露弱点在许多流行的协议类。我们显示一些概念验证攻击代表现有的路由协议的例子使用少量的弱的对手,和测量他们的攻击成功30随机生成的拓扑节点。仿真结果表明,根据对手的位置,网络能量消耗在运输阶段增加50 - 1000%之间。理论最糟糕的能源使用能增加一个因素每包每个对手的O (N),其中N是网络的大小。我们提出防御一些forwarding-phase攻击和描述PLGPa,第一个传感器网络路由协议,证明地界限破坏吸血鬼的攻击验证数据包不断取得进展向目的地。我们没有提供一个完全令人满意的解决方案对吸血鬼袭击在拓扑发现阶段,但建议一些直觉损害限制可能与PLGPa进一步的修改。推导损伤范围和防御系统的拓扑发现、以及处理移动网络,是留给未来的工作。 |
数据乍一看 |
|
|
|
引用 |
- 尤金·Y。Vasserman尼古拉斯·霍珀吸血鬼攻击:从无线专用传感器networks.2011耗尽生命
- 穆法,jean - pierre Hubaux和爱德华·W。骑士的,Denail服务弹性特设网络,mobicom, 2004年。
- Gergely Acs Levente Buttyan,什Vajda,证明地安全在移动ad hoc网络路由需求来源,IEEE移动计算05年(2006),11路。
- 图光环,Dos-resistant认证客户端游戏,Internationalworkshop安全协议,2001年。
- 丹尼尔·伯恩斯坦和彼得·施瓦贝新AES软件速度记录,INDOCRYPT, 2008年。
- INSENS: Intrusion-tolerant路由的无线传感器网络、电脑通信29(2006),没有。2。
- 丹尼尔·14 C´edric Adjih托马斯·克劳森,和保罗·M¨uhlethaler, OLSR的先进的签名系统,SASN, 2004年。
- 约翰·r·赏钱女巫攻击,peer-topeer系统国际研讨会,2002。
- Lakshminarayanan萨勃拉曼尼亚计算,兰迪·h·卡茨Volker罗斯,斯科特Shenker,离子斯托伊卡可靠广播在未知fixedidentity网络,每年ACM SIGACT-SIGOPS研讨会于2005年分布式原理。
- Adrian Perrig Yih-Chun Hu和大卫·b·约翰逊,阿里阿德涅:特设网络的安全按需路由协议,MobiCom, 2002年
- 布莱恩Parno,马克·卢克,Evan Gaustad和Adrian Perrig安全sensornetwork路由:用全新的方法,CoNEXT, 2006年。
- 约翰·r·赏钱女巫攻击,在点对点系统国际研讨会,2002。
- 托马斯·h·克劳森和Philippe Jacquet链路状态路由协议优化(OLSR), 2003年。
- 查尔斯·e·帕金斯和普拉温•Bhagwat高度动态desination测序距离矢量路由(DSDV)移动电脑,会议通信体系结构、协议和应用程序,1994年
- 包皮带:wirelessad hoc网络防御虫洞攻击,信息通信,200年
- 罗德里戈•塞卡西尔维娅Ratnasamy,杰里·赵程t Ee,大卫·卡勒斯科特Shenker离子斯托伊卡,灯塔向量路由:可伸缩的点对点的路由在无线sensornets NSDI, 2005年
|
菜单
