一種基于802.11i的拒絕服務攻擊的解決方案

2012-11-09 11:52:48王佳佳

泰州職業(yè)技術學院學報 2012年4期

王佳佳

(泰州職業(yè)技術學院電子與信息工程系，江蘇泰州225300)

近幾年來，隨著無線電技術的不斷發(fā)展和無線電設備價格的不斷降低，無線局域網(WLAN)技術得到了迅猛的發(fā)展。1997年，美國電機電子工程師協(xié)會(IEEE)發(fā)布了802.11協(xié)議，這是在無線局域網領域內第一個國際上被認可的協(xié)議[1]。無線局域網是采用無線傳輸媒介的局域網，特點是成本低，靈活性、移動性強，吞吐量高，通信可靠。但是，這種發(fā)展使得基于IEEE802.11的局域網成為攻擊者關注的目標，事實上，無線局域網對于惡意的拒絕服務攻擊特別敏感。因此，本文將對無線局域網的安全性進行探討。

1 無線局域網的安全機制

802.11協(xié)議定義了兩種模式的網絡結構：基礎結構(infrastructure)模式和Ad-hoc模式。Infrastructure模式是一種整合有線與無線局域網架構的應用模式，配備無線網卡的移動設備必須通過AP來進行無線通訊，通過這種架構模式，即可實現(xiàn)網絡資源的共享。Ad-hoc模式是無線局域網設備提供的應用模式中的一種，在這種模式下，移動設備配備無線網卡即可通訊，而不需要再通過AP[2]。實際應用中，基礎結構模式的無線網絡的應用更為廣泛。本文所討論的網絡均工作在基礎結構模式下。在無線局域網最初產生的幾年中，人們想用有線等效私密性(WEP，Wried Equivalent Privacy)對在空中傳輸?shù)?02.11數(shù)據幀加密來保證網絡的安全，但很快就發(fā)現(xiàn)了其中的缺陷。2004年6月，IEEE正式通過了802.11i標準[3]，附加到標準中定義了新一代的安全保障的部分就稱為IEEE 802.11i。新加入的內容定義了一種新型的無線網絡，名為健壯安全網絡(RSN，Robust Security Network)。在RSN中，安全進行了嚴格的限制。RSN支持TKIP(Temporal Key Integrity Protocol，臨時密鑰完整性協(xié)議)和AES(Advanced Encryption Standard，先進加密標準)加密算法。

但是RSN也不是絕對安全的。802.11i獨特的設計也為其帶來了一些弱點。如：不認證攻擊[4](Deauthentication Attack)；針對基于Wi-Fi標準(IEEE定義的一個無線網絡通信的工業(yè)標準)的數(shù)據鏈路層拒絕服務攻擊[3]；載波偵聽攻擊；資源耗盡[5]。

2 系統(tǒng)結構

首先，為了減小不認證攻擊造成的影響，應當關閉管理幀的廣播功能。

本文采用了Agent技術來檢測DDoS攻擊，并作出及時地響應。文中Agent是一個智能實體，既能夠響應Client端的需求，又能夠保護移動節(jié)點免受黑客的攻擊[6]。一個在經濟上和效率上均可行的結構不必要對所有的移動設備都實施監(jiān)測，只需要對高帶寬、高計算量或者可能成為瓶頸的設備進行有效的保護。文中使用的Agent技術只對AP實施有效的保護，如圖1所示。因為通信過程中的能量消耗是移動節(jié)點能量損耗的主要方面，而無線局域網一個最重要的要求就是降低節(jié)點的能量消耗，所以需要一個能夠高效利用能量的通信來延長移動節(jié)點的生存時間。如果將Agent放置在移動節(jié)點與網絡服務器通信的路徑之外，則AP除了消耗與Network Servicer通信的能量還必須消耗與Agent通信的能量，增加了節(jié)點的能量消耗降低了節(jié)點的生存時間，是不可取的。如果將Agent放置在移動節(jié)點與Network Servicer通信的路徑當中且Agent與AP一一對應，則在經濟上提高了對系統(tǒng)的要求，也不可行。因此為了節(jié)約成本同時避免移動節(jié)點與A-gent通信時消耗額外的能量，本文將Agent放置在移動節(jié)點與網絡服務器通信的路徑當中，且將Agent作為AP的簇頭節(jié)點，Agent既能夠知道所有移動節(jié)點的通信情況，又能夠不額外損耗能量，同時還能夠與網絡服務器合作解決所在局域網的安全問題。

3 關鍵技術分析

本文中自信息I(xm)是指某個無線設備(Client端或者AP端)某一事件xm發(fā)生時所包含的信息量，當不同的事件發(fā)生時，其所包含的信息量不同，所以自信息I(xi)是一個隨機變量，它不能用來作為整個無線局域網的信息的度量。Shannon定義自信息的數(shù)學期望為信息熵，即某個無線設備的平均信息量：文中信息熵的物理含義可作如下解釋：信息熵表征了某無線設備整體的統(tǒng)計特征，是總體平均不確定性的度量。對于某一個特定的無線設備，其信息熵只有一個，不同的無線設備，因統(tǒng)計特性不同，其信息熵也不同。P(xm)是網絡未遭受攻擊時移動設備x的事件m發(fā)生時的概率，可由A-gent通過日常觀察得出P(xm)，進而計算出無線設備x的信息熵H(x)。

Agent工作流程如圖2所示。其中Hi為信息源端無線設備i當前的信息熵。紅名單、灰名單和黑名單也是表示信任關系的。紅名單是可信度較高的設備的集合，當其他設備遭受攻擊時，可以從紅名單中挑選候選設備；灰名單是疑似遭受攻擊或者疑似攻擊源的設備的集合，應重點監(jiān)控；黑名單是攻擊源或者受到嚴重攻擊的設備的集合，應從通信路徑中刪除并受到隔離。Nlinkj為目的端無線設備j當前連接的數(shù)量。

如果Hi超過了閾值，則移動設備i的信息量太多，并且已經影響其他移動設備的通信，此時應將該信息源加入黑名單不允許該信息源再次進行通信，如果該信息源想要再次通信，必須通過很強的認證。可以避免攻擊者以很高的頻率占有信道，通過以上判斷可以避免移動設備受到資源耗盡攻擊。當熵值檢測器檢測到熵值Hi低于正常水平，這意味著來自移動設備i的報文的概率增大，信息源有可能正在發(fā)起攻擊或受到攻擊，但是檢測報文不一定為非法報文，也可能是信息源端無線設備受到不認證攻擊后企圖重新連接，此時應加入灰名單。如果灰名單中已經存在該信息源的信息，則說明該設備已經以較高的頻率占有信道，并且影響到了其它設備的通信，不管什么原因都應立刻從灰名單中刪除并加入黑名單；如果灰名單中還沒有該設備的信息，則說明該設備開始以較高的頻率占有信道，該設備可能是攻擊源也可能是受到不認證攻擊的受害設備在連接斷開后企圖重新連接，為了不讓受害設備和攻擊源一起被隔離，該設備可以進行下一步通信但必須加入灰名單受到網絡管理員的監(jiān)控。如果被確認為攻擊源則加入黑名單，如果確認為受害設備則網絡管理員負責幫助該設備解除攻擊，通過以上判斷可以避免不認證攻擊。驗證了信息源的合法身份之后，在為信息源端與目的端設備建立通信路徑前，應清除一些長時間占用信道但不傳輸數(shù)據的移動設備，這樣可以避免通信雙方中的一方已經斷開連接而另一方仍然在等待傳輸數(shù)據的情況，因此可避免針對基于Wi-Fi標準的數(shù)據鏈路層拒絕服務攻擊。然后還要計算連接數(shù)是否大于信息目的端的最大連接數(shù)，為了防止接入站點太多導致AP資源枯竭必須將Nlinkj控制在一定范圍內，如果Nlinkj超過最大值則拒絕接收該數(shù)據包，可以避免攻擊者利用空閑信道不斷發(fā)送數(shù)據消耗AP的資源，以上判斷可避免載波偵聽攻擊。同時為了防止攻擊者擾亂信息目的端的時鐘，Agent還必須使得信息目的端與自己的時鐘同步(避免載波偵聽攻擊中攻擊設備修改受害設備的時鐘)，此時可以認為移動設備i在發(fā)送該數(shù)據包期間沒有受到拒絕服務攻擊，該設備在短時間內是可以信任的，再次查看灰名單，如果灰名單中沒有移動設備i的信息則將該地址添加進紅名單，否則不添加。最后Agent才將數(shù)據包解密并且發(fā)送到目的端。

網絡管理員全面監(jiān)控Agent工作過程，及時監(jiān)控灰名單成員，隔離黑名單成員。一旦發(fā)現(xiàn)黑名單成員有所增加立即從紅名單成員中挑選合適的AP作為候補成員（如圖3所示）。

4 實驗結果及評價

實驗平臺為PentiumⅣ1.8G，256MB RAM，操作系統(tǒng)為Red Hat Linux7．2，網絡仿真平臺是ns-22．26(network simulatorversion2．26)。實驗中，移動節(jié)點的個數(shù)設為20。

本實驗所檢測到的攻擊是以Agent已知有攻擊為前提的。我們一共進行了三次實驗，第一次是在網絡沒有遭受攻擊的情況下測試了網絡運行的分組傳遞率，第二次實驗是在網絡遭受以上攻擊的情況下測試了以上的指標，第三次實驗是在網絡遭受了攻擊之后使用了本文提到的方法后，又測試了網絡運行的分組傳遞率。實驗結果如下：

圖4是三次實驗中網絡性能的比較，其中——線條表示網絡各節(jié)點在遭受攻擊的情況下的分組傳遞率，……線條表示遭受攻擊并且使用了本文方法時網絡各節(jié)點的分組傳遞率，——線條表示正常情況時網絡節(jié)點的性能，總體說來效果比較明顯。

圖5表示的是網絡判斷的正確性，在錯誤的報告率不變的前提下，報告的正確率不斷上升。

從實驗可以看出本方法不更新移動設備，沒有增加移動設備的負載，且能夠解決以上四種攻擊比文獻[2]、[4]、[7]的方法更加易于實現(xiàn)，更加高效，具有良好的可行性。

5 結語

本文分析了無線局域網絡中可能出現(xiàn)的拒絕服務攻擊，并提出了一種解決方案，目的是為了無線網絡的安全問題得到更進一步的研究。本文使用了Agent技術，結構簡單且對移動設備沒有增加額外的負擔，在技術上和經濟上具有良好的可行性。

[1]金純,陳林星,楊吉云.IEEE 802.11無線局域網[M].北京:電子工業(yè)出版社,2004.

[2]Pradeep Kyasanu,NitinH.Vaidya.Detection and Handlingof MACLayer Misbehavior in Wireless Networks[EB/OL].(2011-07-20)[2012-07-13].http://wenku.baidu.com/view/b5029529cfc789eb172dc800.html.

[3]周正.無線局域網安全務實—WPA與802.11i[M].北京:人民郵電出版社,2006.

[4]John Bellardo,Stefan Stefan Savag,802.11 Denial-of-Service Attacks Real Vulnerabilitiesand Practical Solutions[EB/OL].(2011-11-26)[2012-07-13].hrrp://wenku,baidu.com/view/view/afcd37aedd3383c4bb4cd2b.html.

[5]夏新軍,俞能海,劉洋.WLAN環(huán)境下拒絕服務攻擊問題研究[J].計算機工程與應用2005,(25):129-132.

[6]Elhadi Shakshuki,Sajid Hussain,Abdur R.Matin,Abdul W.Matin.Routing agent for Wireless sensor network[EB/OL].(2012-05-31)[2012-07-13].http://www.docin.com/p-86157562.html.