戰(zhàn)術(shù)移動(dòng)自組網(wǎng)脆弱性分析與仿真

王 英，彭欽鵬，譚 歆，張平安

(1. 重慶郵電大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，重慶 400065；2. 移動(dòng)通信技術(shù)重慶市重點(diǎn)實(shí)驗(yàn)室, 重慶 400065)

0 引 言

戰(zhàn)術(shù)移動(dòng)自組網(wǎng)是一種無中心自組織多跳共享的無線網(wǎng)絡(luò)，具有無需搭建網(wǎng)絡(luò)基礎(chǔ)設(shè)備、網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)變化、部署區(qū)域位于作戰(zhàn)前沿等特點(diǎn)。戰(zhàn)術(shù)移動(dòng)自組網(wǎng)以MIL-STD-188-220系列協(xié)議(簡(jiǎn)稱220協(xié)議，根據(jù)頒布時(shí)間先后順序分為220A，220B，220C和220D)為代表，該協(xié)議作為綱領(lǐng)性文件規(guī)范了戰(zhàn)術(shù)移動(dòng)自組網(wǎng)的通訊體系標(biāo)準(zhǔn)[1]。

目前國內(nèi)外對(duì)戰(zhàn)術(shù)移動(dòng)自組網(wǎng)的脆弱性未做深入研究，現(xiàn)有的研究主要體現(xiàn)在220協(xié)議較底層的性能優(yōu)化上，并未對(duì)該協(xié)議各層漏洞進(jìn)行全面而系統(tǒng)的分析。文獻(xiàn)[2]對(duì)220C協(xié)議中3種可行的路由初始化算法進(jìn)行比較，分析并改進(jìn)了路由初始化算法。文獻(xiàn)[3]介紹了220協(xié)議鏈路層的網(wǎng)絡(luò)訪問延遲(network access delay, NAD)機(jī)制的運(yùn)算準(zhǔn)則，通過仿真對(duì)比分析出隨機(jī)網(wǎng)絡(luò)訪問延遲(random-NAD, R-NAD)與優(yōu)先網(wǎng)絡(luò)訪問延遲(priority-NAD, P-NAD)的性能差異。文獻(xiàn)[4]基于220協(xié)議提出了一種多跳廣播的確定性自適應(yīng)優(yōu)先級(jí)網(wǎng)絡(luò)訪問延遲(deterministic adaptable priority-NAD, DAP-NAD)算法，用于解決多跳廣播網(wǎng)絡(luò)中延遲過高的問題。對(duì)戰(zhàn)術(shù)移動(dòng)自組網(wǎng)脆弱性進(jìn)行分析與仿真具有重要的應(yīng)用價(jià)值，一方面防御方可針對(duì)網(wǎng)絡(luò)協(xié)議的漏洞完善該協(xié)議的防護(hù)機(jī)制，增強(qiáng)戰(zhàn)術(shù)移動(dòng)自組網(wǎng)的通信安全；另一方面管控方可識(shí)別協(xié)議的脆弱點(diǎn)并進(jìn)行精準(zhǔn)攻擊，有效降低戰(zhàn)術(shù)移動(dòng)自組網(wǎng)的攻擊成本。

針對(duì)上述問題，本文在戰(zhàn)術(shù)移動(dòng)自組網(wǎng)各層協(xié)議的脆弱性上進(jìn)行系統(tǒng)分析并提出具體的攻擊方案。首先從戰(zhàn)術(shù)移動(dòng)自組網(wǎng)的介質(zhì)訪問控制(mediaccess centrol,MAC)層、內(nèi)聯(lián)網(wǎng)層與傳輸層的協(xié)議特征出發(fā)，分析MAC層信道競(jìng)爭(zhēng)接入、路由拓?fù)涓潞蛡鬏斂刂茀f(xié)議(transmission control protccol,TCP)3次握手的機(jī)制下存在的安全隱患，在NS3網(wǎng)絡(luò)仿真平臺(tái)中建立不同層級(jí)的攻擊模型，最后對(duì)比攻擊前各種網(wǎng)絡(luò)性能指標(biāo)衡量攻擊效果。仿真結(jié)果表明，本文所提出的攻擊技術(shù)方案都能有效降低戰(zhàn)術(shù)移動(dòng)自組網(wǎng)的網(wǎng)絡(luò)性能。

1 戰(zhàn)術(shù)移動(dòng)自組網(wǎng)結(jié)構(gòu)

戰(zhàn)術(shù)移動(dòng)自組網(wǎng)呈現(xiàn)3層結(jié)構(gòu)如圖1。大量的3級(jí)戰(zhàn)術(shù)電臺(tái)通過互聯(lián)網(wǎng)控制器INC(internet controller)實(shí)現(xiàn)排級(jí)網(wǎng)絡(luò)內(nèi)互聯(lián)互通，2級(jí)戰(zhàn)術(shù)電臺(tái)負(fù)責(zé)管理組網(wǎng)間的通訊，某些2級(jí)戰(zhàn)術(shù)電臺(tái)和3級(jí)戰(zhàn)術(shù)電臺(tái)通過戰(zhàn)術(shù)網(wǎng)關(guān)實(shí)現(xiàn)與1級(jí)戰(zhàn)術(shù)電臺(tái)的信息交互。

圖1 戰(zhàn)術(shù)移動(dòng)自組網(wǎng)結(jié)構(gòu)Fig.1 Architecture of tactical Ad Hoc mobile network

1級(jí)戰(zhàn)術(shù)電臺(tái)作為軍師級(jí)的指揮中心和控制中心是整個(gè)戰(zhàn)術(shù)移動(dòng)自組網(wǎng)體系結(jié)構(gòu)中最重要的目標(biāo)；2級(jí)戰(zhàn)術(shù)電臺(tái)普遍使用在戰(zhàn)斗車輛之間的數(shù)據(jù)通信, 是戰(zhàn)術(shù)移動(dòng)自組網(wǎng)中的骨干網(wǎng)絡(luò)；3級(jí)戰(zhàn)術(shù)電臺(tái)為作戰(zhàn)部隊(duì)提供可靠的保密數(shù)據(jù)通信和語音通信，并可裝備于師和獨(dú)立設(shè)備，直至坦克、戰(zhàn)車、直升機(jī)等[5]。

2 戰(zhàn)術(shù)移動(dòng)自組網(wǎng)脆弱性分析

戰(zhàn)術(shù)移動(dòng)自組網(wǎng)在IP層以下使用MIL-STD-188-220D協(xié)議，物理層的加密技術(shù)由MIL-STD-188-110A協(xié)議實(shí)現(xiàn)，應(yīng)用層的加密技術(shù)由MIL-STD-2045-47001協(xié)議實(shí)現(xiàn)。本文重點(diǎn)從MAC層、內(nèi)聯(lián)網(wǎng)層和傳輸層上對(duì)戰(zhàn)術(shù)移動(dòng)自組網(wǎng)進(jìn)行脆弱性分析，并針對(duì)協(xié)議缺陷提出可行的攻擊方案。

2.1 MAC層信道接入脆弱性分析

戰(zhàn)術(shù)移動(dòng)自組網(wǎng)MAC層采用時(shí)分復(fù)用技術(shù)，同時(shí)220D協(xié)議規(guī)定MAC層使用嚴(yán)密細(xì)致的網(wǎng)絡(luò)時(shí)間模型。該網(wǎng)絡(luò)時(shí)間模型中所有戰(zhàn)術(shù)通訊電臺(tái)都具備4個(gè)網(wǎng)絡(luò)接入控制功能：網(wǎng)絡(luò)繁忙檢測(cè)(network busy sensing, NBC)、響應(yīng)保持延遲(response hold delay, RHD)、超時(shí)期限(timeout period, TP)和網(wǎng)絡(luò)訪問延遲，以確保多個(gè)電臺(tái)在網(wǎng)絡(luò)中以公平的方式競(jìng)爭(zhēng)信道資源。

若不考慮電臺(tái)與數(shù)據(jù)幀的優(yōu)先級(jí)，每一次網(wǎng)絡(luò)接入都可以使用與上次延遲接入不同的退避時(shí)間，其計(jì)算公式為

TR=F×tNBDT

(1)

(1)式中：tNBDT為網(wǎng)絡(luò)忙檢測(cè)時(shí)間(220D協(xié)議中規(guī)定為一個(gè)時(shí)隙長度)；F為NAD的時(shí)隙數(shù)(即網(wǎng)絡(luò)檢測(cè)時(shí)間的個(gè)數(shù)),其計(jì)算值為

(2)

(2)式中，NS為子網(wǎng)中的電臺(tái)數(shù)。根據(jù)網(wǎng)絡(luò)時(shí)間模型，戰(zhàn)術(shù)移動(dòng)自組網(wǎng)MAC網(wǎng)絡(luò)訪問控制的流程如圖2。

圖2 220D協(xié)議MAC層網(wǎng)絡(luò)訪問控制流程Fig.2 220D protocol MAC layer network access control flow

如果戰(zhàn)術(shù)通訊電臺(tái)有數(shù)據(jù)待發(fā)送，先監(jiān)聽信道的閑忙情況，如果信道繁忙，則電臺(tái)將一直監(jiān)聽信道直到空閑為止。若NAD時(shí)隙到來，且緩沖器內(nèi)無數(shù)據(jù)待發(fā)送時(shí)，則發(fā)送數(shù)據(jù)，并根據(jù)數(shù)據(jù)幀是否需要確認(rèn)設(shè)置不同的TP定時(shí)器。如果接收電臺(tái)需要對(duì)發(fā)送電臺(tái)的數(shù)據(jù)幀確認(rèn)，且發(fā)送電臺(tái)在TP時(shí)間內(nèi)沒有收到相應(yīng)的確認(rèn)幀，則認(rèn)定發(fā)送失??；反之認(rèn)定發(fā)送成功。接收電臺(tái)完成對(duì)數(shù)據(jù)的接收后，同時(shí)需設(shè)置TP定時(shí)器阻止其他電臺(tái)發(fā)送數(shù)據(jù)幀。如果接收的幀需要確認(rèn)，則接收電臺(tái)在RHD時(shí)間后發(fā)送確認(rèn)幀，最后所有電臺(tái)等待TP時(shí)間結(jié)束后重新計(jì)算新的NAD時(shí)隙。

管控方的偽電臺(tái)在每次網(wǎng)絡(luò)接入時(shí)，可將NAD時(shí)隙數(shù)F修改為一個(gè)較小的固定值，同時(shí)以較快的頻率向網(wǎng)絡(luò)中注入大量攻擊數(shù)據(jù)包，不公平地占用信道資源，大幅提高偽電臺(tái)接入信道成功的概率，從而達(dá)到長時(shí)間持續(xù)搶占通信信道的目的，最終影響其他正常電臺(tái)接入信道，甚至導(dǎo)致MAC層傳輸機(jī)制癱瘓。

2.2 內(nèi)聯(lián)網(wǎng)層路由脆弱性分析

戰(zhàn)術(shù)移動(dòng)自組網(wǎng)的內(nèi)聯(lián)網(wǎng)層采用源定向?qū)ぶ返姆绞絺鞑シ纸M數(shù)據(jù)，其路由算法是基于距離矢量的源電臺(tái)路由選擇算法。內(nèi)聯(lián)網(wǎng)中的每個(gè)電臺(tái)維護(hù)著一張本電臺(tái)到其他電臺(tái)的距離矢量路由表，該表中記錄了從源電臺(tái)到目的電臺(tái)的最短距離，并通過戰(zhàn)術(shù)移動(dòng)自組網(wǎng)上層業(yè)務(wù)流的事件觸發(fā)拓?fù)涓乱跃S護(hù)路由表。

圖3展示了內(nèi)聯(lián)網(wǎng)層路由拓?fù)涓碌倪^程，當(dāng)電臺(tái)收到上層數(shù)據(jù)包時(shí)先判斷該數(shù)據(jù)包是否為上層業(yè)務(wù)數(shù)據(jù)，如果來自上層則當(dāng)前電臺(tái)為源電臺(tái)，需解析出目的地址并查詢路由緩存中是否存在到達(dá)目的電臺(tái)的源定向路由，若存在還需檢查當(dāng)前緩存中是否有相同的路徑，如果存在則先發(fā)送緩存中的數(shù)據(jù)，如果緩存中不存在該條路徑則將源定向路由路徑封裝至內(nèi)聯(lián)網(wǎng)層頭部隨后遞交至下層。而如果該數(shù)據(jù)包是來自下層的路由信息包時(shí)，需解析源定向路由中的當(dāng)前電臺(tái)是否為目的電臺(tái)，若當(dāng)前電臺(tái)時(shí)中繼電臺(tái)則尋找下一跳地址進(jìn)行路由轉(zhuǎn)發(fā)，若當(dāng)前電臺(tái)為目的電臺(tái)時(shí)直接遞交至上層即可，若都不是表示當(dāng)前為錯(cuò)誤信息，需丟棄該包。

圖3 內(nèi)聯(lián)網(wǎng)層路由拓?fù)涓铝鞒虉DFig.3 Intranet routing topology update flow chart of 220D protocol

針對(duì)220D協(xié)議內(nèi)聯(lián)網(wǎng)層路由機(jī)制的安全缺陷，管控方可實(shí)施基于內(nèi)聯(lián)網(wǎng)層的黑洞攻擊。有研究表明，黑洞攻擊是移動(dòng)自組網(wǎng)中最受威脅的路由攻擊之一[6]。傳統(tǒng)的黑洞攻擊屬于主動(dòng)式攻擊，偽電臺(tái)通過偽造一條到達(dá)目的電臺(tái)最短且最新的路由響應(yīng)報(bào)文獲取源電臺(tái)的信任，在截取到正常業(yè)務(wù)流后將其任意丟棄。由于220D協(xié)議內(nèi)聯(lián)網(wǎng)層的源定向路由機(jī)制不是通過主動(dòng)發(fā)起路由請(qǐng)求來獲取到達(dá)目的電臺(tái)的路由，而是通過相鄰電臺(tái)之間更新拓?fù)涞姆绞酱_認(rèn)電臺(tái)之間的通連關(guān)系，故傳統(tǒng)的黑洞攻擊方案不能對(duì)戰(zhàn)術(shù)移動(dòng)自組網(wǎng)實(shí)施有效攻擊。下面在對(duì)內(nèi)聯(lián)網(wǎng)層黑洞攻擊進(jìn)行仿真建模時(shí)，根據(jù)220D的源定向路由特性設(shè)計(jì)具體的攻擊方案。

2.3 傳輸層脆弱性分析

戰(zhàn)術(shù)移動(dòng)自組網(wǎng)傳輸層使用基于C/S架構(gòu)的TCP/UDP協(xié)議，傳輸層作為上層協(xié)議負(fù)責(zé)總體的數(shù)據(jù)傳輸和數(shù)據(jù)控制，同時(shí)為內(nèi)聯(lián)網(wǎng)層提供可靠的目的站點(diǎn)信息。圖4展示了戰(zhàn)術(shù)移動(dòng)自組網(wǎng)傳輸層處理數(shù)據(jù)的流程，傳輸層在收到應(yīng)用進(jìn)程傳遞下來的原始通信數(shù)據(jù)后，可根據(jù)實(shí)際需求選擇面向連接且可靠傳輸?shù)腡CP協(xié)議或無連接的UDP協(xié)議。UDP協(xié)議不提供可靠傳輸且可靠性由應(yīng)用層保證，直接將原始數(shù)據(jù)封裝成UDP報(bào)文傳輸；而TCP協(xié)議一般要經(jīng)歷傳輸連接建立，數(shù)據(jù)傳送和連接釋放3個(gè)階段實(shí)現(xiàn)一次完整的服務(wù)過程。

圖4 戰(zhàn)術(shù)移動(dòng)自組網(wǎng)傳輸層數(shù)據(jù)處理流程圖Fig.4 Data processing flow chart for transport layer of tactical mobile Ad Hoc network

戰(zhàn)術(shù)移動(dòng)自組網(wǎng)傳輸層的TCP半連接隊(duì)列機(jī)制在一定程度上為該協(xié)議造成弊端，半連接隊(duì)列機(jī)制為TCP-SYN攻擊(也稱半連接隊(duì)列攻擊)提供了可能[7]。偽電臺(tái)可在短時(shí)間內(nèi)向某正常電臺(tái)發(fā)送大量同步序列編號(hào)(synchronize sequence numbers,SYN)請(qǐng)求，造成SYN泛洪。這些SYN請(qǐng)求數(shù)量大于半連接隊(duì)列大小，偽電臺(tái)收到對(duì)這些SYN請(qǐng)求的回復(fù)后將全部丟棄，使得正常電臺(tái)永遠(yuǎn)無法收到最后一次ACK確認(rèn)，因而在短期內(nèi)無法清空半連接隊(duì)列[8]。如果此時(shí)攻擊者連續(xù)不間斷地發(fā)送具有一定危害性的數(shù)據(jù)，將造成十分嚴(yán)重的后果。

在下文TCP-SYN攻擊的仿真實(shí)驗(yàn)中，NS3仿真器的TCP源代碼模塊并未實(shí)現(xiàn)TCP半連接隊(duì)列功能，導(dǎo)致它不會(huì)限制當(dāng)前SYN連接數(shù)量。目的電臺(tái)在收到源電臺(tái)的SYN請(qǐng)求報(bào)文后沒有開辟額外資源來存放SYN連接請(qǐng)求信息，而是立即向客戶端響應(yīng)一個(gè)SYN+ACK報(bào)文，這樣任何一條TCP業(yè)務(wù)流通過三次握手階段均可建立完整的數(shù)據(jù)傳輸。因此，僅使用NS3集成的TCP代碼模塊無法達(dá)到攻擊效果，需結(jié)合攻擊原理對(duì)部分代碼進(jìn)行擴(kuò)充與改良。

3 戰(zhàn)術(shù)移動(dòng)自組網(wǎng)攻擊建模與仿真

基于戰(zhàn)術(shù)移動(dòng)自組網(wǎng)MAC層、內(nèi)聯(lián)網(wǎng)層和傳輸層協(xié)議的脆弱性分析，本文在NS3網(wǎng)絡(luò)模擬器下搭建戰(zhàn)術(shù)電臺(tái)通訊環(huán)境，并對(duì)各層攻擊場(chǎng)景建模。3類戰(zhàn)術(shù)電臺(tái)在MAC層使用220D協(xié)議的時(shí)間網(wǎng)絡(luò)模型公平地競(jìng)爭(zhēng)信道資源，在內(nèi)聯(lián)網(wǎng)層使用220D協(xié)議的源定向路由機(jī)制進(jìn)行路由尋址，在傳輸層使用TCP/UDP協(xié)議進(jìn)行數(shù)據(jù)通信。最后通過選取重要的網(wǎng)絡(luò)性能分析指標(biāo)衡量攻擊效果，如網(wǎng)絡(luò)的吞吐量與丟包率。對(duì)比攻擊前這些指標(biāo)的變化，仿真結(jié)果表明，對(duì)戰(zhàn)術(shù)移動(dòng)自組網(wǎng)各層的攻擊是有效的。

3.1 NS3仿真環(huán)境

本文仿真實(shí)驗(yàn)采用的硬件配置是一臺(tái)Intel(R)Core(TM)i5-8400處理器，16 GB DDR4內(nèi)存，1TB硬盤的PC機(jī)。軟件配置是Ubuntu 16.04操作系統(tǒng)，在Eclipse編譯環(huán)境中使用NS3模擬器(3.26版本)對(duì)具體網(wǎng)絡(luò)環(huán)境進(jìn)行搭建。

NS3是一個(gè)開源的離散事件網(wǎng)絡(luò)模擬器，其主要運(yùn)行平臺(tái)為GUN/Linux，NS3結(jié)合了NS2，YANS等項(xiàng)目支持，并使用全新的基于Python的編譯系統(tǒng)，支持更多的網(wǎng)絡(luò)協(xié)議且易于用戶擴(kuò)展[9]。模擬器主要由源代碼、腳本和數(shù)據(jù)追蹤模塊組成，其中NS3源代碼和腳本文件由C++語言編寫，并可選用Python語言擴(kuò)展腳本文件。

3.2 各層攻擊場(chǎng)景建模

3.2.1 MAC層搶占信道式攻擊建模

基于220D協(xié)議MAC層的隨機(jī)網(wǎng)絡(luò)接入延遲NAD的公平競(jìng)爭(zhēng)資源原理，戰(zhàn)術(shù)管控方可在作戰(zhàn)環(huán)境中隨機(jī)布置偽電臺(tái)，這些偽電臺(tái)和正常通信的電臺(tái)共享一個(gè)信道資源。偽電臺(tái)通過修改NAD時(shí)隙數(shù)F值的同時(shí)以不同的攻擊頻率向當(dāng)前信道中發(fā)送攻擊數(shù)據(jù)包來實(shí)現(xiàn)搶占信道式攻擊。

本文提出一種220D協(xié)議MAC層搶占信道式攻擊算法，當(dāng)電臺(tái)接入戰(zhàn)術(shù)無線共享信道時(shí)首先判斷是否為偽電臺(tái)，偽電臺(tái)修改NAD時(shí)隙數(shù)F值至一個(gè)固定較小值并設(shè)置攻擊頻率，向網(wǎng)絡(luò)中注入一定數(shù)量的攻擊數(shù)據(jù)包，以增強(qiáng)對(duì)信道的搶占程度。正常電臺(tái)不斷檢測(cè)出信道為繁忙狀態(tài)，同時(shí)在產(chǎn)生的隨機(jī)爭(zhēng)用窗口后設(shè)置定時(shí)器，定時(shí)器清零后才可傳輸數(shù)據(jù)。當(dāng)偽電臺(tái)的F值足夠小，攻擊頻率足夠大時(shí)，正常電臺(tái)基本檢測(cè)不到信道為空閑狀態(tài)，導(dǎo)致合法數(shù)據(jù)無法經(jīng)過220D協(xié)議MAC層分配到有效帶寬，最終衰減通信性能。本文220D協(xié)議MAC層搶占信道式攻擊的算法如下。

220D協(xié)議MAC層搶占信道式攻擊的算法

輸入：全網(wǎng)初始化n個(gè)電臺(tái)。

輸出：網(wǎng)絡(luò)的平均吞吐量與丟包率。

1: fori=1 tondo

2: if 當(dāng)前電臺(tái)i為偽電臺(tái) then

3: 修改F值及攻擊頻率

4: end if

5: while 當(dāng)前信道繁忙 do

6: 電臺(tái)監(jiān)聽信道

7: end while

8: 經(jīng)過一個(gè)NAD時(shí)隙后產(chǎn)生隨機(jī)的爭(zhēng)用窗口TR

9: while 數(shù)據(jù)傳輸未結(jié)束 do

10: while 計(jì)時(shí)器T≠0 do

11:T=T-1

12: end while

13: if當(dāng)前電臺(tái)i為偽電臺(tái) then

14: 偽電臺(tái)非法搶占信道資源

15: 其他電臺(tái)監(jiān)聽信道

16: while 無法分配信道資源 do

17: 電臺(tái)等待并監(jiān)聽信道

18: end while

19: else

20: 正常電臺(tái)占用信道資源

21: 正常電臺(tái)傳輸數(shù)據(jù)

22: end if

23: end while

24: end for

25: 計(jì)算當(dāng)前網(wǎng)絡(luò)的平均吞吐量和丟包率

仿真中為了突出偽電臺(tái)的攻擊行為與特征，以衡量攻擊效果，本文的仿真模型限定了電臺(tái)擺放、規(guī)模、性能參數(shù)。所有電臺(tái)都處于相對(duì)穩(wěn)定的環(huán)境中，即在未發(fā)生信道擁塞的情況下，合法電臺(tái)在進(jìn)行數(shù)據(jù)通信過程中都不會(huì)主動(dòng)丟包；偽電臺(tái)數(shù)量遠(yuǎn)小于正常電臺(tái)數(shù)量，這也符合實(shí)際戰(zhàn)場(chǎng)環(huán)境；其次，戰(zhàn)術(shù)移動(dòng)自組網(wǎng)物理層的加密、解密技術(shù)由MIL-STD-188-110A協(xié)議實(shí)現(xiàn)，仿真中為了體現(xiàn)偽電臺(tái)在220D協(xié)議時(shí)間網(wǎng)絡(luò)模型上發(fā)起攻擊，故假設(shè)偽電臺(tái)發(fā)送的攻擊數(shù)據(jù)包已透過對(duì)方網(wǎng)絡(luò)的物理層解密到達(dá)MAC層；最后仿真場(chǎng)景的區(qū)域遠(yuǎn)大于單個(gè)電臺(tái)的通信范圍。

在MAC搶占信道式攻擊中，偽電臺(tái)攻擊范圍有限，一個(gè)偽電臺(tái)無法攻擊某個(gè)簇下的全部合法電臺(tái)。其次，不同簇內(nèi)的合法電臺(tái)在進(jìn)行正常數(shù)據(jù)通信時(shí)的狀態(tài)和性能基本一致，故仿真中只選取了其中某一個(gè)簇作為分析對(duì)象。表1為MAC搶占信道式攻擊的仿真參數(shù)配置，圖5為簇內(nèi)電臺(tái)的隨機(jī)位置擺放圖，其中，0～24號(hào)為合法電臺(tái)；25～30號(hào)為偽電臺(tái)。每次仿真中25個(gè)合法電臺(tái)的位置都是隨機(jī)生成的，6個(gè)偽電臺(tái)的位置也隨機(jī)分布在同一簇中。

表1 仿真參數(shù)配置1

圖5 MAC層搶占信道式攻擊中簇內(nèi)電臺(tái)隨機(jī)位置擺放圖Fig.5 Random position distribution diagram of intra-clusterunder MAC layer occupying channel attack

根據(jù)(2)式可計(jì)算出簇內(nèi)25個(gè)合法電臺(tái)通信時(shí)的NAD時(shí)隙數(shù)最大約為19，故偽電臺(tái)F值的配置為1～19。由于每次仿真中合法電臺(tái)和偽電臺(tái)的位置分布都是隨機(jī)的，而偽電臺(tái)的攻擊范圍也是有限的，偽電臺(tái)在不同攻擊參數(shù)下進(jìn)行攻擊時(shí)，需多次改變所有電臺(tái)的擺放位置。

3.2.2 內(nèi)聯(lián)網(wǎng)層攻擊建模

傳統(tǒng)的黑洞攻擊主要針對(duì)采用反應(yīng)式路由協(xié)議[10]的移動(dòng)自組網(wǎng)，如DSR協(xié)議、AODV協(xié)議及ABR協(xié)議等。主要實(shí)現(xiàn)方法是在源電臺(tái)發(fā)起路由請(qǐng)求時(shí)偽造一條通過攻擊電臺(tái)且到達(dá)目的電臺(tái)的最短跳數(shù)路由響應(yīng)報(bào)文，最終截取源電臺(tái)的合法數(shù)據(jù)流進(jìn)行丟棄。但這種方法不適用于220D協(xié)議內(nèi)聯(lián)網(wǎng)采用拓?fù)涓碌脑炊ㄏ蚵酚蓹C(jī)制，本文針對(duì)戰(zhàn)術(shù)移動(dòng)自組網(wǎng)提出適用于內(nèi)聯(lián)網(wǎng)層的黑洞攻擊方案。

本文提出一種220D協(xié)議內(nèi)聯(lián)網(wǎng)層黑洞攻擊算法，令偽電臺(tái)均勻分布在戰(zhàn)術(shù)網(wǎng)絡(luò)環(huán)境中，并對(duì)攻擊范圍內(nèi)的合法電臺(tái)進(jìn)行監(jiān)聽，尋找待攻擊的源電臺(tái)。一旦源電臺(tái)被上層事件觸發(fā)進(jìn)行拓?fù)涓?，偽電臺(tái)則接收源電臺(tái)的拓?fù)涓掳?，并從中解析出目的電臺(tái)的IP地址。若源電臺(tái)的路由緩存中存在到達(dá)目的電臺(tái)的路由，此時(shí)偽電臺(tái)會(huì)主動(dòng)觸發(fā)拓?fù)涓缕仁乖措娕_(tái)改變其路由表，該拓?fù)涓抡?qǐng)求包中包含源電臺(tái)到所有電臺(tái)的最短路徑。當(dāng)偽電臺(tái)提取出目的電臺(tái)IP后，偽電臺(tái)查詢自身的路由表中是否存在到達(dá)目的電臺(tái)的有效路由，若存在有效路由，偽電臺(tái)則將自身IP地址添加到路由中，最終截取從源電臺(tái)發(fā)送的合法數(shù)據(jù)包進(jìn)行選擇性丟棄；反之偽電臺(tái)則丟棄源電臺(tái)的拓?fù)涓掳?，重新等待拓?fù)涓轮敝翆ふ业侥康碾娕_(tái)的有效路由。本文220D協(xié)議內(nèi)聯(lián)網(wǎng)層黑洞攻擊的算法如下。

220D協(xié)議內(nèi)聯(lián)網(wǎng)層黑洞攻擊的算法

輸入：初始化n個(gè)偽電臺(tái)。

輸出：網(wǎng)絡(luò)的平均吞吐量與丟包率。

1: while 上層事件未觸發(fā)拓?fù)涓?do

2: 偽電臺(tái)監(jiān)聽源電臺(tái)

3:end while

4: while 源電臺(tái)未更新路由表 do

5: 偽電臺(tái)主動(dòng)觸發(fā)拓?fù)涓?/p>

6: end while

7: 偽電臺(tái)捕獲源電臺(tái)的拓?fù)涓掳?/p>

8: 解析目的電臺(tái)IP地址

9: 偽電臺(tái)查詢路由表

10: if 路由表中不存在到達(dá)目的電臺(tái)的路由 then

11: 等待拓?fù)涓?/p>

12: else

13: 偽電臺(tái)修改到達(dá)目的電臺(tái)路由路徑

14: 電臺(tái)轉(zhuǎn)發(fā)路由信息包

15: 源電臺(tái)選擇經(jīng)偽電臺(tái)修改后的最短路徑

16: 源電臺(tái)建立完整的路由

17: 偽電臺(tái)選擇性丟棄合法數(shù)據(jù)包

18: end if

19: 計(jì)算當(dāng)前網(wǎng)絡(luò)的平均吞吐量和丟包率

仿真中為了體現(xiàn)偽電臺(tái)的攻擊特性，合法電臺(tái)和偽電臺(tái)的規(guī)模與擺放屬性參照本文220D協(xié)議MAC層搶占信道式攻擊的仿真模型如圖6，仿真參數(shù)配置見表1。仿真中同樣選取某個(gè)簇內(nèi)的3級(jí)戰(zhàn)術(shù)電臺(tái)作為研究對(duì)象，簇內(nèi)25個(gè)合法電臺(tái)和6個(gè)偽電臺(tái)的位置隨機(jī)分布在680 m×680 m的戰(zhàn)術(shù)仿真區(qū)域內(nèi)。簇內(nèi)25個(gè)合法電臺(tái)共配置了10條CBR業(yè)務(wù)流，均使用220D協(xié)議源定向路由機(jī)制。6個(gè)偽電臺(tái)在實(shí)施內(nèi)聯(lián)網(wǎng)層黑洞攻擊時(shí)的選擇性丟包率為0%～100%，當(dāng)合法業(yè)務(wù)流經(jīng)過偽電臺(tái)時(shí)戰(zhàn)術(shù)管控方可根據(jù)不同的攻擊策略以一定的丟包率將數(shù)據(jù)包進(jìn)行選擇性丟棄。

圖6 內(nèi)聯(lián)網(wǎng)層搶黑洞攻擊簇內(nèi)電臺(tái)隨機(jī)位置擺放圖Fig.6 Random position distribution diagram of intra-clusterunderIntranet layer blackhole attack

圖6中編號(hào)為0～24號(hào)為合法電臺(tái)，編號(hào)為25～30號(hào)為偽電臺(tái)。在此仿真場(chǎng)景下，10條CBR業(yè)務(wù)流的源電臺(tái)、目的電臺(tái)以及源定向路由路徑的仿真結(jié)果如表2?？梢钥吹?，10條CBR業(yè)務(wù)流的平均路由跳數(shù)為4跳，多數(shù)路徑均包含了偽電臺(tái)，部分路徑?jīng)]有涵蓋偽電臺(tái)，這些路徑的源電臺(tái)和目的電臺(tái)都能在一跳范圍內(nèi)通信。由于220D協(xié)議內(nèi)聯(lián)網(wǎng)層源定向路由機(jī)制基于最短路徑優(yōu)先原則，這些業(yè)務(wù)流不會(huì)受偽電臺(tái)影響。

表2 內(nèi)聯(lián)網(wǎng)層黑洞攻擊仿真結(jié)果中實(shí)際業(yè)務(wù)流流向Tab.2 Simulation result of actual traffic flow underIntranet blackhole attack

3.2.3 TCP-SYN攻擊建模

在戰(zhàn)術(shù)移動(dòng)自組網(wǎng)TCP-SYN泛洪攻擊的仿真中，NS3模擬器封裝的部分源代碼在源電臺(tái)發(fā)起SYN請(qǐng)求時(shí)未提供半連接隊(duì)列接口，導(dǎo)致仿真中的服務(wù)器電臺(tái)不能限制TCP連接請(qǐng)求數(shù)目。本文在此基礎(chǔ)上擴(kuò)展了SYN連接請(qǐng)求功能，仿真中使用C++ STL模板庫提供的set數(shù)據(jù)結(jié)構(gòu)建立了一個(gè)TCP半連接隊(duì)列，set數(shù)據(jù)結(jié)構(gòu)作為一種關(guān)聯(lián)式容器存儲(chǔ)同一類型的數(shù)據(jù)，其內(nèi)部采用高效的平衡檢索二叉樹可對(duì)大量數(shù)據(jù)實(shí)現(xiàn)快速插入、刪除與查找等操作。

本文提出一種基于NS3擴(kuò)展的TCP-SYN泛洪攻擊算法，所有電臺(tái)在發(fā)起TCP連接請(qǐng)求后，將自身的套接字信息存放至本文構(gòu)建的半連接隊(duì)列中，半連接隊(duì)列的容量根據(jù)實(shí)際電臺(tái)處理信息的能力配置，本文默認(rèn)設(shè)置為128。同時(shí)攻擊電臺(tái)以一定的攻擊頻率創(chuàng)建大量SYN攻擊流，每條SYN攻擊流的序號(hào)且不重復(fù)。當(dāng)攻擊頻率較大時(shí)，SYN攻擊流會(huì)迅速占滿半連接隊(duì)列的空閑資源，此時(shí)目的電臺(tái)將拒絕接收新的SYN請(qǐng)求包，TCP連接無法建立成功，否則處理正常的3次握手進(jìn)程。本文基于NS3擴(kuò)展的TCP-SYN泛洪攻擊的算法如下。

基于NS3擴(kuò)展的TCP-SYN泛洪攻擊的算法

輸入：全網(wǎng)初始化n個(gè)電臺(tái)。

輸出：合法電臺(tái)建立TCP連接平均成功概率。

1: 構(gòu)建半連接隊(duì)列std::setsyn_queue

2: MaxSizesun_queue=128

3: 源電臺(tái)將IP與port綁定至當(dāng)前socket

4: 實(shí)例化Ipv4EndPoint類對(duì)象存儲(chǔ)電臺(tái)信息

5: if 當(dāng)前源電臺(tái)為偽電臺(tái) then

6: 偽電臺(tái)實(shí)例化不同的Ipv4EndPoint對(duì)象

7: 偽電臺(tái)創(chuàng)建SYN攻擊流

8: else

9: 正常源電臺(tái)構(gòu)造SYN請(qǐng)求包

10: end if

11: TCP狀態(tài)位設(shè)置為SYN_SENT

12: 目的電臺(tái)接收SYN請(qǐng)求包

13: if Ipv4EndPoint.size()>Maxsizesyn_queuethen

14: 目的電臺(tái)拒絕接收SYN請(qǐng)求包

15: else

16: 目的電臺(tái)提取源電臺(tái)的Ipv4EndPoint對(duì)象，入隊(duì)syn_queue

17: 目的電臺(tái)響應(yīng)當(dāng)前SYN請(qǐng)求包

18: TCP狀態(tài)位設(shè)置為SYN_RCVD

19: 源電臺(tái)接收SYN響應(yīng)包

20: while SYN響應(yīng)包中Ipv4EndPoint非法 do

21: 源電臺(tái)丟棄當(dāng)前SYN響應(yīng)包

22: if SYN響應(yīng)計(jì)時(shí)器超時(shí) then

23: 目的電臺(tái)重傳SYN響應(yīng)包

24: end if

25: end while

26: 源電臺(tái)向目的電臺(tái)發(fā)送ACK確認(rèn)包

27: syn_queue出隊(duì)當(dāng)前Ipv4EndPoint對(duì)象

28: TCP狀態(tài)位設(shè)置為ESTABLISHED

29: TCP連接建立成功

30: end if

31: 計(jì)算合法電臺(tái)建立TCP連接平均成功概率

圖7為TCP-SYN泛洪攻擊仿真電臺(tái)擺放圖，仿真參數(shù)配置如表3。仿真中同樣選取某個(gè)簇內(nèi)的三級(jí)戰(zhàn)術(shù)電臺(tái)作為研究對(duì)象，簇內(nèi)9個(gè)合法電臺(tái)和3個(gè)偽電臺(tái)的位置固定分布在200 m×200 m的戰(zhàn)術(shù)仿真區(qū)域內(nèi)。編號(hào)為0～8的合法源電臺(tái)向編號(hào)為4的目的電臺(tái)在0～5 s的仿真時(shí)間內(nèi)隨機(jī)發(fā)起TCP連接，同時(shí)編號(hào)為9～11的偽電臺(tái)分布在目的電臺(tái)周圍，每個(gè)偽電臺(tái)對(duì)編號(hào)為4的目的電臺(tái)均發(fā)起50條SYN攻擊流，從而在短時(shí)間內(nèi)迅速占滿半連接隊(duì)列。TCP協(xié)議規(guī)定，超時(shí)重傳定時(shí)器(retransmission time out timer，RTO timer)如果因?yàn)榈却齋YN請(qǐng)求報(bào)文的ACK而超時(shí)，若實(shí)現(xiàn)上使用的RTO值小于3 s，這個(gè)RTO定時(shí)器必須被重新初始化為3 s。RTO值隨著SYN包的ACK重傳失敗次數(shù)層二進(jìn)制指數(shù)遞增，直到超過最大重傳次數(shù)后關(guān)閉本次TCP連接，并釋放套接字資源。偽電臺(tái)通過泛洪瞬間占滿半連接隊(duì)列后，由于攻擊流的SYN請(qǐng)求包在5次重傳時(shí)間(仿真中約為93 s)內(nèi)無法清除，因而編號(hào)為4號(hào)目的電臺(tái)無法將響應(yīng)合法源電臺(tái)的TCP服務(wù)請(qǐng)求，最終實(shí)現(xiàn)攻擊效果。

圖7 TCP-SYN泛洪攻擊仿真中電臺(tái)擺放圖Fig.7 Radio position diagram of TCP-SYN flooding attack

表3 仿真參數(shù)配置2Tab.3 Simulator parameter configuration No.2

3.3 仿真結(jié)果分析

圖8和圖9展示了在戰(zhàn)術(shù)移動(dòng)自組網(wǎng)MAC層實(shí)施搶占信道式攻擊的仿真結(jié)果。仿真中偽電臺(tái)通過改變攻擊頻率來增強(qiáng)對(duì)信道資源的搶占能力，同時(shí)分別在4種不同的NAD時(shí)隙數(shù)F值為19，9，4和1下觀測(cè)攻擊效果，最終選取合法電臺(tái)的平均UDP吞吐量和平均丟包率指標(biāo)作為網(wǎng)絡(luò)性能評(píng)估依據(jù)。

圖8 MAC層搶占信道式攻擊中合法電臺(tái)吞吐量變化圖Fig.8 Changes of throughput of normal devices under MAC layer occupying channel attack

圖9 MAC層搶占信道式攻擊中合法電臺(tái)丟包率變化圖Fig.9 Changes of packet loss rate of normal devices under MAC layer occupying channel attack

通過仿真結(jié)果可知，當(dāng)偽電臺(tái)沒有發(fā)起攻擊時(shí)，整個(gè)網(wǎng)絡(luò)中合法電臺(tái)的平均UDP吞吐量約為6.1 kbit/s，平均丟包率約為0%。緩慢增大偽電臺(tái)攻擊頻率至1packets/s附近時(shí)，合法電臺(tái)的UDP吞吐量并未明顯下降，此時(shí)偽電臺(tái)不同的F值對(duì)網(wǎng)絡(luò)中吞吐量和丟包率影響甚小，這是由于偽電臺(tái)攻擊頻率不夠大時(shí)，戰(zhàn)術(shù)無線信道并未產(chǎn)生擁塞，信道利用率不高，即使偽電臺(tái)以一個(gè)較小且固定的NAD時(shí)隙數(shù)F值攻擊戰(zhàn)術(shù)無線信道在短時(shí)間內(nèi)對(duì)合法電臺(tái)的隨機(jī)網(wǎng)絡(luò)接入延遲機(jī)制造成很大影響。

繼續(xù)增大偽電臺(tái)的攻擊頻率，偽電臺(tái)向網(wǎng)絡(luò)中注入大量攻擊包，此時(shí)合法電臺(tái)的平均UDP吞吐量明顯下降，平均丟包率明顯上升，而偽電臺(tái)不同的F值下網(wǎng)絡(luò)性能出現(xiàn)明顯差異。在同一攻擊頻率下，偽電臺(tái)的F值越小，合法電臺(tái)的平均UDP吞吐量越小，丟包情況越嚴(yán)重。這種情況下，戰(zhàn)術(shù)無線信道通訊容量已達(dá)飽和，信道資源大量被偽電臺(tái)搶占，信道產(chǎn)生嚴(yán)重?fù)砣?，而NAD時(shí)隙數(shù)F值決定了偽電臺(tái)在接入信道時(shí)退避時(shí)間的長短。F值越小，偽電臺(tái)退避時(shí)間越短，競(jìng)爭(zhēng)越激烈。圖9中，偽電臺(tái)攻擊頻率達(dá)到30 packets/s時(shí)，F(xiàn)值為19的平均丟包率趨近62%，F(xiàn)值為9的平均丟包率趨近73%，F(xiàn)值為4的平均丟包率趨近85%，而F值為1的平均丟包率甚至趨近96%，合法電臺(tái)基本不能接入戰(zhàn)術(shù)移動(dòng)自組網(wǎng)MAC層。

MAC搶占信道式攻擊中偽電臺(tái)的數(shù)量與合法電臺(tái)的平均丟包率之間的關(guān)系如圖10，仿真場(chǎng)景中最多布置了6個(gè)偽電臺(tái)，不同偽電臺(tái)隨機(jī)布置在簇內(nèi)，并固定它們的F值為1，通過改變攻擊頻率和偽電臺(tái)的數(shù)量得出仿真結(jié)果。當(dāng)簇內(nèi)放置1個(gè)偽電臺(tái)時(shí)，此時(shí)偽電臺(tái)的攻擊范圍有限，只會(huì)影響簇內(nèi)部分合法電臺(tái)，且當(dāng)一個(gè)偽電臺(tái)在攻擊頻率較小時(shí)信道競(jìng)爭(zhēng)并不激烈，在攻擊頻率為8 packet/s以下時(shí)簇內(nèi)合法電臺(tái)并未產(chǎn)生丟包，隨后緩慢增大攻擊頻率，簇內(nèi)合法電臺(tái)開始產(chǎn)生丟包，丟包率最大趨近13%。當(dāng)增大偽電臺(tái)數(shù)量后，偽電臺(tái)的攻擊范圍隨之變大，簇內(nèi)合法電臺(tái)開始丟包所需的攻擊頻率越小，丟包率趨近的值也越大。

圖10 MAC層搶占信道式攻擊中偽電臺(tái)數(shù)量與丟包率變化Fig.10 Changes between number of attacker and packets of loss under MAC layer occupying channel attack

圖11和圖12呈現(xiàn)了戰(zhàn)術(shù)移動(dòng)自組網(wǎng)內(nèi)聯(lián)網(wǎng)層黑洞攻擊的仿真結(jié)果。此類仿真場(chǎng)景中，簇內(nèi)合法電臺(tái)和偽電臺(tái)的位置都是隨機(jī)擺放的，并選取正常電臺(tái)UDP業(yè)務(wù)流的平均吞吐量和平均丟包率指標(biāo)作為衡量攻擊效果的主要依據(jù)。

圖11 內(nèi)聯(lián)網(wǎng)層黑洞攻擊中合法電臺(tái)吞吐量的變化Fig.11 Changes of throughput of normal devices under Intranet blackhole attack

圖12 內(nèi)聯(lián)網(wǎng)層黑洞攻擊中合法電臺(tái)丟包率的變化Fig.12 Changes of packet loss rate of normal devicesunder MAC layer occupying channel attack

當(dāng)偽電臺(tái)數(shù)量為0時(shí)，正常電臺(tái)的平均吞吐量約為1.52 kbit/s，未產(chǎn)生丟包。偽電臺(tái)數(shù)量為3時(shí)，正常電臺(tái)的平均吞吐量隨著偽電臺(tái)丟包的增加而平緩減小。設(shè)置偽電臺(tái)丟包率為100%時(shí)，正常電臺(tái)的平均吞吐量下降到約0.61 kbit/s，相比于沒有實(shí)施黑洞攻擊的網(wǎng)絡(luò)性能衰減了一半。凡是經(jīng)過偽電臺(tái)的正常數(shù)據(jù)包都被全部丟棄，吞吐量并未衰減至零，這是由于3個(gè)偽電臺(tái)的攻擊范圍有限，并不能影響到網(wǎng)絡(luò)中所有正常的數(shù)據(jù)傳輸。在6個(gè)偽電臺(tái)全部丟棄正常數(shù)據(jù)包時(shí)，網(wǎng)絡(luò)中的丟包率上升到80%左右，攻擊效果明顯比只有3個(gè)偽電臺(tái)好。因而在實(shí)施戰(zhàn)術(shù)移動(dòng)自組網(wǎng)的黑洞攻擊時(shí)，偽電臺(tái)數(shù)量越多且丟包率越大時(shí)，對(duì)整個(gè)網(wǎng)絡(luò)的性能影響越大。

TCP-SYN泛洪攻擊仿真結(jié)果如圖13，在TCP-SYN泛洪攻擊仿真中，改變偽電臺(tái)的攻擊頻率使得偽電臺(tái)占滿TCP半連接隊(duì)列的時(shí)間不同，一旦TCP半連接隊(duì)列占滿，正常電臺(tái)新的TCP連接請(qǐng)求將被拒絕。仿真的正常TCP業(yè)務(wù)流在0～5 s隨機(jī)發(fā)起TCP連接，針對(duì)每種攻擊頻率，仿真都隨機(jī)選取了若干個(gè)不同TCP連接時(shí)間，通過測(cè)量偽電臺(tái)在不同攻擊頻率下正常TCP業(yè)務(wù)流的平均連接建立成功的概率來衡量泛洪效果。

圖13 TCP-SYN泛洪攻擊仿真結(jié)果Fig.13 Simulation result for TCP-SYN flooding attack

偽電臺(tái)攻擊頻率為20 packets/s時(shí)，由于TCP半連接隊(duì)列大小為128，隊(duì)滿時(shí)間最少需要6.4 s，而此時(shí)正常TCP業(yè)務(wù)流發(fā)起連接請(qǐng)求的時(shí)間小于TCP半連接隊(duì)列的隊(duì)滿時(shí)間，因此，正常TCP連接請(qǐng)求可被目的電臺(tái)響應(yīng)。繼續(xù)增大偽電臺(tái)的攻擊頻率，TCP半連接隊(duì)列的隊(duì)滿時(shí)間也相應(yīng)變短，正常TCP連接建立成功的概率急劇下降。當(dāng)攻擊頻率達(dá)到250 packets/s時(shí)，此時(shí)TCP半連接隊(duì)列的隊(duì)滿時(shí)間為0.5 s左右，正常TCP連接成功概率趨近于零，攻擊效果最好。

4 結(jié)束語

本文對(duì)戰(zhàn)術(shù)移動(dòng)自組網(wǎng)220D協(xié)議的脆弱性分層討論并提出了具體的攻擊方案。針對(duì)傳統(tǒng)的黑洞攻擊不適用于220D協(xié)議的源定向路由機(jī)制，利用偽電臺(tái)主動(dòng)觸發(fā)拓?fù)涓屡c修改路由的方式新開發(fā)出一種內(nèi)聯(lián)網(wǎng)層黑洞攻擊方法；為在戰(zhàn)術(shù)移動(dòng)自組網(wǎng)傳輸層實(shí)現(xiàn)TCP-SYN泛洪攻擊，本文對(duì)NS3底層源代碼進(jìn)行拓展，重構(gòu)半連接隊(duì)列機(jī)制達(dá)到攻擊效果。仿真結(jié)果表明，對(duì)比于攻擊前指標(biāo)的變化，對(duì)各層實(shí)施的攻擊技術(shù)都使網(wǎng)絡(luò)性能產(chǎn)生了明顯衰減。下一步研究的重點(diǎn)是對(duì)戰(zhàn)術(shù)移動(dòng)自組網(wǎng)各層協(xié)議漏洞提出相應(yīng)的防護(hù)策略，增強(qiáng)戰(zhàn)術(shù)移動(dòng)自組網(wǎng)的通信安全。