CN102036247B - 无线网络中单节点入侵式攻击的防御方法 - Google Patents
无线网络中单节点入侵式攻击的防御方法 Download PDFInfo
- Publication number
- CN102036247B CN102036247B CN201010567234.6A CN201010567234A CN102036247B CN 102036247 B CN102036247 B CN 102036247B CN 201010567234 A CN201010567234 A CN 201010567234A CN 102036247 B CN102036247 B CN 102036247B
- Authority
- CN
- China
- Prior art keywords
- node
- access
- threshold value
- mac
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明为无线网络中单节点入侵式攻击的防御方法,在接入点AP绑定公平MAC协议,当有多个节点申请接入AP的信道时,在其MAC建立对应的子队列,记录对应节点的接入次数。对接入过多的节点予以惩罚,以使申请接入AP的各节点享有公平使用AP信道的权力。具体为:I、在接入点AP建立向其发送RTS的各节点的子队列,并给各节点缓存相等的初始阈值。II、MAC算法:当节点ni的缓存内的RTS达到其阈值,则AP对ni回复CTS,并将ni缓存清空。III、当ni连续两次接入AP,ni的阈值翻倍,对ni惩罚,当ni连续翻倍超过3次,清空所有地址存储空间。本方法可使接入点有效防御恶意节点的DoS攻击,使各节点享有公平的信道使用权;实现简单,只对AP绑定,具有良好的可行性。
Description
(一)技术领域
本发明涉及无线网络对入侵式攻击的防御技术,具体为无线网络中单节点入侵式攻击的防御方法。
(二)背景技术
有线局域网在MAC层(Media Access Control,即介质访问控制层)的标准协议是CSMA/CD,即载波侦听多点接入/冲突检测。但由于无线产品的适配器不易检测信道是否存在冲突,因此IEEE802.11全新定义了一种新的协议,即载波侦听多点接入/冲突避免(CSMA/CA)协议。一方面,载波侦听查看介质是否空闲;另一方面,通过随机的时间等待,使信号冲突发生的概率减到最小,当介质被侦听到空闲时,则优先发送。不仅如此,为了使系统更加稳固,IEEE802.11还提供了带确认帧ACK的CSMA/CA协议。
UDP协议(User Datagram Protocol,即用户数据报协议)是一个无连接协议,传输数据之前源端和终端不建立连接。在发送端,UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制;在接收端。UDP把每个消息段放在队列中,应用程序每次从队列中读一个消息段。由于传输数据不建立连接,因此也就不需要维护连接状态,包括收发状态等。
UDP和TCP协议(Transmission Control Protocol即传输控制协议)的主要区别是两者在如何实现信息的可靠传递方面不同。TCP协议中包含了专门的传递保证机制,当数据接收方收到发送方传来的信息时,会自动向发送方发出确认消息;发送方只有在接收到该确认消息之后才继续传送其它信息,否则将一直等待直到收到确认信息为止。UDP协议与TCP不同,它不提供数据传送的保证机制。如果在从发送方到接收方的传递过程中出现数据报的丢失,协议本身并不能做出任何检测或提示。因此,通常人们把UDP协议称为不可靠的传输协议。
基于UDP和TCP协议以上的区别,攻击者往往只需要使用UDP协议并一直高速发送数据包便可对某个单节点形成攻击,最终使得该节点无法对其他合法节点提供服务。这就是无线网络中常出现的向某个接入点AP(access point)发送大量的垃圾数据包并同时占用网络信道而形成的DoS攻击(Denial Of Service,拒绝服务)。目前尚未见到对这种入侵式攻击的有效又简便的防御方法。
(三)发明内容
本发明的目的是提出一种无线网络中单节点入侵式攻击的防御方法,在接入点处绑定公平MAC协议,即公平介质访问控制层协议,动态地调节各节点的接入次数,以达到各节点享有公平使用信道的权力,保护正常通信流的正常通信。
本发明无线网络中单节点入侵式攻击的防御方法设计方案如下:在节点AP绑定公平MAC协议,当有多个节点n0、n1、n2……nn申请接入AP的信道时,在AP的MAC层建立对应的虚拟子队列n0、n1、n2……nn,分别记录对应节点的接入次数。对接入过多的节点予以惩罚,以使申请接入AP的各节点享有公平使用AP信道的权力。
具体步骤如下:
I、在接入点AP绑定公平MAC协议,当节点ni向接入点AP发送RTS控制帧(Request to Send请求发送数据帧)预约接入点AP的信道时,首先判断本接入点AP的MAC层是否有该数据帧源节点ni的信息,如果有,则将本次的节点ni发送的RTS控制帧缓存到其对应的虚拟子队列;如果没有,则在MAC层建立ni对应的虚拟子队列,记录节点ni的信息并缓存其要接入的RTS控制帧。如此,在接入点AP的MAC层建立向接入点AP发送RTS控制帧的n0、n1、n2……nn节点对应的虚拟子队列,并给每个节点的缓存空间初始阈值。阈值为某一节点所发送RTS控制帧的次数,各节点的初始阈值相等。
II、接入点AP对向其发送RTS控制帧的节点所建的虚拟子队列采用动态队列管理机制,当请求接入AP的节点数超过一个时,进入公平MAC算法。MAC算法如下:当其中的ni节点所对应的缓存区内存储的RTS控制帧达到或超过其对应的阈值Y,则AP对ni节点回复CTS控制帧(Clear to Send允许发送数据帧),允许ni接入AP信道发送数据,同时将ni的缓存区的RTS控制帧清空。若ni节点所对应的缓存区内存储的RTS控制帧未达到其对应的阈值,则不进行任何操作。
III、当ni节点连续两次接入AP,ni对应的缓存空间的阈值翻倍,由Y增大为2Y,间接地降低其接入AP信道的概率。若ni节点再继续接入AP,ni对应的缓存空间的阈值再次翻倍,由2Y增大为4Y。如果ni节点还是继续接入AP,ni对应的缓存空间的阈值又一次翻倍,由4Y增大为8Y。即对ni节点予以惩罚,使之不能独占AP的信道,而让其它各节点享有公平使用信道的权力,保护正常通信流的正常通信。若在ni接入期间有其它节点插进接入,即ni不是连续接入,则ni的阈值恢复为初始阈值。当ni节点的阈值要再一次翻倍,连续翻倍将超过3次,即确定这一时间段内只有ni节点在使用信道,清空所有的地址存储列表及其对应的缓存队列。这样当AP接收到下一个节点的RTS控制帧时,重新建立对应的地址列表。再接收到的RTS控制帧可能来自连续翻三倍阈值的节点,也可能是来自其他节点。
所述在接入点绑定公平MAC协议,即将本防御方法的公平MAC协议直接植入主机的底层,替代原有的MAC协议。
由于无线网络中数据传送的时候,均要通过中转节点传送,所以本法惩罚的只是直接接入AP的节点,即默认接入AP的节点中转的也是该节点发送来的数据。
本发明无线网络中单节点入侵式攻击的防御方法的优点为:1、当恶意节点利用无线网的漏洞(隐终端),使用的未做任何修改协议发送大量UDP垃圾数据包、对两跳以上的其它节点的TCP数据流发动攻击时,本方法可使接入点AP有效地防御恶意节点霸占AP的网络信道而构成DoS攻击,动态地调节各节点的接入次数,使各节点享有公平的信道使用权;2、本方法的公平MAC协议,实现简单,且只对AP绑定,具有良好的可行性。
(四)附图说明
图1为本无线网络中单节点入侵式攻击的防御方法实施例的流程框图;
图2为恶意节点发动攻击的位置示意图;
图3为UDP流对TCP流发动攻击的实验拓扑网络结构;
图4为图3的实验中在正常干扰流下,使用本法前后接入点n0的TCP数据流的吞吐量曲线对比图;
图5为图3的实验中在连续或断续的恶意攻击下,使用本法前后接入点n0的TCP数据流的吞吐量曲线对比图。
(五)具体实施方式
以下结合附图说明本无线网络中单节点入侵式攻击的防御方法实施例。
利用无线网络通信协议的漏洞(隐终端),普通节点只需移动到一定位置后持续发送数据包,便可以对两跳或者是两跳以上的通信流形成一定的攻击。如图2所示,节点n2的干扰半径为R,接入点n0的接收半径为r,处于节点n2的干扰范围之外、接入点n0的接收的范围之内(即图2中的斜线区域)的普通节点n3可以成为恶意节点,向接入点n0发送大量的UDP垃圾数据包,对n2向n0发送的两跳TCP数据流或其它节点向n0发送的两跳以上的TCP数据流发动攻击。
图3所示为模拟数据入侵攻击的实验拓扑结构。通过NS2仿真软件对本例防御方法的公平MAC算法进行仿真。在节点n3采用不同的发包时间来模拟干扰流和恶意流,其中干扰流发包时间设置为200ms,空闲时间设置为300ms;恶意节点n3使用指数(Exponential)流量产生器向n0发送UDP数据流,发包时间设置为500ms,空闲时间设置为1ms。速率设置为1Mb/s,路由协议为AODV。节点n2、n1正常通信流采用TCP协议向n0发送数据。
接入点n0使用本防御方法,其具体步骤如图1所示,即如下:
I、在接入点n0绑定公平MAC协议,接入点n0接收节点n1、n3向接入点n0发送的预约信道的RTS控制帧,首先判断本接入点n0的MAC层是否有该数据帧源节点的信息,如果有,则将本次的发送的RTS控制帧送入其对应的虚拟子队列;如果没有,则在MAC层建立对应的虚拟子队列,记录该节点的信息并缓存其要求接入的RTS控制帧。这样在接入点n0的MAC层建立了n1、n3节点对应的虚拟子队列,并给每个节点的缓存空间相同的初始阈值。
II、接入点n0对向其发送RTS控制帧的节点所建的虚拟子队列采用动态队列管理机制,请求接入n0的节点数有2个,采用MAC算法如图1所示。当其中的某个节点(如n1)所对应的缓存区内存储的RTS控制帧达到其对应的阈值Y,则n0对该节点回复CTS控制帧,允许其接入信道发送数据,同时将其对应的缓存区的RTS控制帧清空。若没有达到对应的阈值,则不进行任何操作。
III、当n3节点连续两次接入n0,n3对应的缓存空间的阈值翻倍,由Y增大为2Y,间接地降低其接入n0信道的概率。n3节点再连续两次接入n0,n3对应的缓存空间的阈值再次翻倍,由2Y增大为4Y。n3节点还是继续接入n0,n3对应的缓存空间的阈值又一次翻倍,由4Y增大为8Y。若在n3接入期间有n1插进接入,则n3的阈值则变为初始阈值。当n3节点的阈值要再一次翻倍,连续翻倍将超过了3次,即确定这一时间段内只有n3节点在使用信道,清空所有的地址存储列表及其对应的缓存队列。这样当n0接收到下一个n3或n1节点的RTS控制帧时,重新建立对应的地址存储列表,不再执行公平MAC算法。保护正常通信流的正常通信。
当n1节点发送恶意攻击数据流时,处理情况与n3相同。
节点n2是通过n1转接进入n0的,故n0将n1转接的节点n2的数据流也视为n1发出的数据流,对n1执行公平MAC算法。
图4中纵坐标为吞吐量,单位为千比特/秒(kbps);横坐标为时间,单位为秒(s);细虚线表示UDP正常干扰数据流的加入,粗虚线表示使用本法的TCP数据流的吞吐量,粗实线表示未用本法的TCP数据流的吞吐量。图4的A、B为干扰流持续加入的情况。图4A中未用本法时n0处的TCP数据流的吞吐量在干扰流加入后下降至原吞吐量约1/2,正常通信受到影响;而图4B中使用本法后n0处的TCP数据流的吞吐量在干扰流加入后只稍有下降,仍能正常通信。图4的C、D为干扰流断续加入的情况。图4C中未用本法时n0处的TCP数据流的吞吐量在干扰流加入后缓慢下降,在干扰流停止后,TCP数据流的吞吐量回升,但干扰流再次加入后TCP数据流的吞吐量又稍降,基本可正常通信;而图4D中使用本法后n0处的TCP数据流的吞吐量在干扰流加入后只稍有下降,此后UDP数据流的停止和加入,对TCP数据流的吞吐量影响不明显,保证了正常通信。由本实验可以看到本发明的方法可使接入点n0在干扰流下正常通信。
图5中纵坐标横坐标与图4相同;x-x-线表示UDP恶意攻击数据流的加入,粗虚线表示使用本法的TCP数据流的吞吐量,粗实线表示未用本法的TCP数据流的吞吐量。图5的E、F为恶意的UDP数据流持续加入的情况。图5E中未用本法时n0处的TCP数据流的吞吐量在UDP数据流加入后迅速下降为零,无法正常通信;而图5F中使用本法后n0处的TCP数据流的吞吐量在UDP数据流加入后只稍有下降,仍能正常通信。图5的G、H为恶意的UDP数据流断续加入的情况。图5G中未用本法时n0处的TCP数据流的吞吐量在UDP数据流加入后迅速下降为零,在UDP数据流停止后,TCP数据流的吞吐量迅速回升,但UDP数据流再次加入后TCP数据流的吞吐量又降为零,无法正常通信;而图5H中使用本法后n0处的TCP数据流的吞吐量在UDP数据流加入后只稍有下降,此后UDP数据流的停止和加入,对TCP数据流的吞吐值影响不明显,保证了正常通信。由本实验可以看到本发明的方法可使接入点n0有效地防御恶意节点霸占AP的网络信道、防御DoS攻击,动态地调节各节点的接入次数,使各节点享有公平的信道使用权,保证正常通信。
上述实施例,仅为对本发明的目的、技术方案和有益效果进一步详细说明的具体个例,本发明并非限定于此。凡在本发明的公开的范围之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (3)
1.无线网络中单节点入侵式攻击的防御方法,其特征在于:
在接入点AP绑定公平MAC协议,当有多个节点n0、n1、n2……nn申请接入AP的信道时,在AP的MAC层建立对应的虚拟子队列n0、n1、n2……nn,分别记录对应节点的接入次数;对接入过多的节点予以惩罚;
具体步骤如下:
Ⅰ、在接入点AP绑定公平MAC协议,当节点ni向接入点AP发送RTS控制帧预约接入点AP的信道时,首先判断本接入点AP的MAC层是否有数据帧源节点ni的信息,如果有,则将本次的ni发送的RTS控制帧缓存到其对应的虚拟子队列;如果没有,则在MAC层建立ni对应的虚拟子队列,记录节点ni的信息并缓存其要求接入的RTS控制帧;如此,在接入点AP的MAC层建立向接入点AP发送RTS控制帧的n0、n1、n2……nn节点对应的虚拟子队列,并给每个节点的缓存空间初始阈值;阈值为某一节点所发送RTS控制帧的次数,各节点的初始阈值相等;
Ⅱ、接入点AP对向其发送RTS控制帧的节点所建的虚拟子队列采用动态队列管理机制,当请求接入AP的节点数超过一个时,进入公平MAC算法;MAC算法如下:当其中的ni节点所对应的缓存区内存储的RTS控制帧达到或超过其对应的阈值Y,则AP对ni节点回复CTS控制帧,允许ni接入AP信道发送数据,同时将ni的缓存区的RTS控制帧清空;若ni节点所对应的缓存区内存储的RTS控制帧未达到其对应的阈值Y,则不进行任何操作;
Ⅲ、当ni节点连续两次接入AP,ni对应的缓存空间的阈值翻倍,由Y增大为2Y,间接地降低其接入AP信道的概率;若ni节点再继续接入AP,ni对应的缓存空间的阈值再次翻倍,由2Y增大为4Y;如果ni节点还是继续接入AP,ni对应的缓存空间的阈值又一次翻倍,由4Y增大为8Y;当ni节点的阈值将再一次翻倍,连续翻倍将超过3次,即确定这一时间段内只有ni节点在使用信道,清空所有的地址存储列表及对应的缓存队列。
2.根据权利要求1所述的无线网络中单节点入侵式攻击的防御方法,其特征在于:
所述步骤Ⅲ中,若在ni接入期间有其它节点插进接入,则ni的阈值则恢复为初始阈值。
3.根据权利要求1或2所述的无线网络中单节点入侵式攻击的防御方法,其特征在于:
所述在接入点AP绑定公平MAC协议即将本防御方法的公平MAC协议直接植入主机的底层,替代原有的MAC协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010567234.6A CN102036247B (zh) | 2010-11-29 | 2010-11-29 | 无线网络中单节点入侵式攻击的防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010567234.6A CN102036247B (zh) | 2010-11-29 | 2010-11-29 | 无线网络中单节点入侵式攻击的防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102036247A CN102036247A (zh) | 2011-04-27 |
| CN102036247B true CN102036247B (zh) | 2013-01-02 |
Family
ID=43888410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010567234.6A Expired - Fee Related CN102036247B (zh) | 2010-11-29 | 2010-11-29 | 无线网络中单节点入侵式攻击的防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102036247B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106790299B (zh) * | 2017-03-20 | 2020-06-23 | 京信通信系统(中国)有限公司 | 一种在无线接入点ap上应用的无线攻击防御方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004012063A2 (en) * | 2002-07-30 | 2004-02-05 | Asgard Holding, Llc | Intrusion detection system |
| CN101013976A (zh) * | 2007-02-05 | 2007-08-08 | 南京邮电大学 | 无线传感器网络的混合入侵检测方法 |
| CN101094094A (zh) * | 2006-06-23 | 2007-12-26 | 中兴通讯股份有限公司 | 一种实现宽带远端接入服务器mac地址防欺骗的方法 |
| CN101098288A (zh) * | 2006-06-30 | 2008-01-02 | 中兴通讯股份有限公司 | 在接入模式下实现业务服务器地址防欺骗的方法 |
| CN101098296A (zh) * | 2006-06-30 | 2008-01-02 | 西门子(中国)有限公司 | 控制无线信道访问竞争的方法及装置 |
-
2010
- 2010-11-29 CN CN201010567234.6A patent/CN102036247B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004012063A2 (en) * | 2002-07-30 | 2004-02-05 | Asgard Holding, Llc | Intrusion detection system |
| CN101094094A (zh) * | 2006-06-23 | 2007-12-26 | 中兴通讯股份有限公司 | 一种实现宽带远端接入服务器mac地址防欺骗的方法 |
| CN101098288A (zh) * | 2006-06-30 | 2008-01-02 | 中兴通讯股份有限公司 | 在接入模式下实现业务服务器地址防欺骗的方法 |
| CN101098296A (zh) * | 2006-06-30 | 2008-01-02 | 西门子(中国)有限公司 | 控制无线信道访问竞争的方法及装置 |
| CN101013976A (zh) * | 2007-02-05 | 2007-08-08 | 南京邮电大学 | 无线传感器网络的混合入侵检测方法 |
Non-Patent Citations (4)
| Title |
|---|
| 冯柳平 等.基于数据链路层的无线入侵检测.《桂林电子工业学院学报》.2005,第25卷(第3期), |
| 吉文华 等.防DoS攻击算法的分析和实现.《计算机应用》.2003,第23卷(第6期), |
| 基于数据链路层的无线入侵检测;冯柳平 等;《桂林电子工业学院学报》;20050630;第25卷(第3期);第33-36页 * |
| 防DoS攻击算法的分析和实现;吉文华 等;《计算机应用》;20030630;第23卷(第6期);第90-91页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102036247A (zh) | 2011-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Amadeo et al. | Content-centric networking: is that a solution for upcoming vehicular networks? | |
| Gupta et al. | Denial of service attacks at the MAC layer in wireless ad hoc networks | |
| Wood et al. | SIGF: a family of configurable, secure routing protocols for wireless sensor networks | |
| JP6598771B2 (ja) | データ・ネットワークにおける分散データ送信 | |
| CN103501209B (zh) | 一种异构多网协同传输的单业务分流方法和设备 | |
| Zou et al. | A relay-aided media access (RAMA) protocol in multirate wireless networks | |
| CN102036247B (zh) | 无线网络中单节点入侵式攻击的防御方法 | |
| Yen et al. | Single gossiping with directional flooding routing protocol in wireless sensor networks | |
| Guang et al. | Vulnerabilities of ad hoc network routing protocols to MAC misbehavior | |
| Guang et al. | DREAM: A system for detection and reaction against MAC layer misbehavior in ad hoc networks | |
| Mamun-Or-Rashid et al. | Reliable event detection and congestion avoidance in wireless sensor networks | |
| Huang et al. | Rate matching: a new approach to hidden terminal problem in ad hoc networks | |
| Joshi et al. | Efficient content authentication in ad hoc networks-mitigating DDoS attacks [J] | |
| CN116437493B (zh) | 海上自组网的数据退避发送方法、装置、设备及存储介质 | |
| Schoch et al. | On the security of context‐adaptive information dissemination | |
| Botezatu et al. | Adaptive Power Control in 802.11 Wireless Mesh Networks | |
| Raj Kumar et al. | A Special Acknowledgement based Routing for Mesh Network. | |
| Bari et al. | FDF: Fragment based Data Forwarding in NDN based UWSN | |
| Biaz et al. | OTLR: Opportunistic transmission with loss recovery for WLANs | |
| Chin et al. | Contention resolution algorithm for MAC protocol in wireless ad-hoc networks | |
| Esiefarienrhe et al. | Node-Based QoS-Aware Security Framework for Sinkhole Attacks in Mobile Ad-Hoc Networks. Telecom 2022, 3, 407–432 | |
| Guang et al. | MAC layer misbehavior in ad hoc networks | |
| You et al. | A multi-channel MAC using no dedicated control channels for wireless mesh networks | |
| Lei et al. | A weighted fairness guarantee scheme based on node cooperation for multimedia WLAN mesh networks | |
| Vahedi et al. | Design a multi-path routing algorithm in ad hoc networks in order to improve fault tolerance |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130102 Termination date: 20191129 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |