4 拒绝服务攻击防御策略
最初,拒绝服务攻击是针对计算机网络系统的,随着通信技术的发展,现在已经有针对所有通信系统的发展趋势。由于UWB是一种开放的分布式网络,没有中央控制,所以基于UWB的物联网在运营过程中受到拒绝服务攻击的概率就大大增加。
4.1 UWB拒绝服务攻击原理
拒绝服务是指网络信息系统由于某种原因遭到不同程度的破坏,使得系统资源的可用性降低甚至不可用,从而导致不能为授权用户提供正常的服务。拒绝服务通常是由配置错误、软件弱点、资源毁坏、资源耗尽和资源过载等因素引起的。其基本原理是利用工具软件,集中在某一时间段内向目标机发送大量的垃圾信息,或是发送超过系统接收范围的信息,使对方出现网络堵塞、负载过重等状况,造成目标系统拒绝服务。由于在实际的网络中,由于网络规模和速度的限制,攻击者往往难以在短时间内发送过多的请求,因而多采用分布式拒绝服务攻击的方式。在这种类攻击中,为提高攻击的成功率,攻击者需要控制大量的被入侵主机。为此攻击者一般会采用一些远程控制软件,以便在自己的客户端操纵整个攻击过程,如图2所示。
图2 UWB拒绝服务攻击流程
需要注意的是,在利用入侵主机继续进行扫描和攻击过程中,采用分布式拒绝服务的客户端通常采用IP欺骗技术,以逃避追查。
4.2 UWB网络中拒绝服务攻击类型
在UWB网络中,拒绝服务攻击主要有两种类型:MAC层攻击和网络层攻击。
在MAC层实施的拒绝服务攻击,实施这类攻击主要有两种方法,一是拥塞UWB网络中的目标节点设备使用的无线UWB信道,致使UWB网络中的目标节点设备不可用;二是将UWB网络中的目标节点设备作为网桥,让其不停地中继转发无效的数据帧,以耗尽UWB网络中的目标节点设备的可用资源。
在UWB网络层实施的攻击也称为UWB路由攻击,其主要攻击方法措施有:
UWB网络的多个节点通过与UWB网络中的被攻击目标节点设备建立大量的无效TCP连接来消耗目标节点设备的TCP资源,致使正常的连接不能进入,从而降低甚至耗尽系统的资源;
UWB网络的多个节点同时向UWB网络中的目标节点设备发送大量的伪造的路由更新数据包,致使目标节点设备忙于频繁的无效路由更新,以此恶化系统的性能;
通过IP地址欺骗技术,攻击节点通过向路由器的广播地址发送虚假信息,使得路由器所在网络上的每台设备向UWB网络中的目标节点设备回应该讯息,从而降低系统的性能;
修改IP数据包头部的TTL域,使得数据包无法到达UWB网络中的目标节点设备。
4.3 UWB网络中拒绝服务攻击防御措施
针对UWB网络中基于数据报文的拒绝服务攻击,可以采用路由路径删除措施来防止UWB洪水拒绝服务攻击。
当攻击者发动基于数据报文的UWB洪水攻击行为时,发送大量攻击数据报文至所有UWB网络中的节点。作为邻居节点和沿途节点是难以判别攻击行为的,因为节点无法判断数据报文的用途。但作为数据报文的目标节点,就比较容易判定了。当目标节点发现收到的报文都是无用的时候,它就可以认定源节点为攻击者。目标节点可通过路径删除的方法来阻止基于数据报文的UWB洪水攻击行为。
具体实施步骤是:当UWB网络中的目标节点发现源节点是攻击者时,由目标节点生成一个路由请求(RRER)报文,该报文中标明目标节点不可达,目标节点将这个RRER报文发送到攻击者。当RRER到达攻击者时,它就会认为这条路由己经中断,从而将这条路由从本节点路由表中删除,这样它就无法继续发送攻击报文了。如果它还要发送,就必须重新建立路由。此时,目标节点已经识别该节点为攻击者,对它发送的RREQ报文不回答RREP,这样就无法重新建立路由。通过这种方式,只要被攻击过的节点都会拒绝与攻击者建立路由。如果攻击者不断发动基于数据报文的UWB拒绝服务攻击,拒绝与其建立路由的节点就会越来越多,最终所有节点都拒绝与其建立路由,攻击者就会被隔绝于UWB网络,从而阻止了基于数据报文的UWB拒绝服务攻击。
5 结语
随着物联网应用领域的不断拓展,对于物联网末端感知信息的需求会不断增加,在物联网末端的信息感知网络中应用UWB技术具有越来越重要的意义。当前对于UWB应用过程中的信息安全机制虽然有一定的研究,但是基本处于初级阶段,还需要针对物联网的运营环境和面临的新型信息安全威胁进行更加深入的研究,以满足物联网产业日新月异的发展需要。