[发明专利]无线网络中信道抢占攻击的防范方法

说明书

技术领域

本发明涉及无线网络安全领域，具体是利用IEEE802.11协议本身存在的漏洞来实现无线网络信道抢占攻击的防范方法。

背景技术

随着无线网络的广泛应用，无线网络中节点不遵守协议规定，恶意抢占信道的现象引起了研究人员的关注。由于无线网络协议的弹性设计和高度可配置性使无线网络适配器容易被程序控制。一些自私节点对软、硬件进行篡改，如：修改无线接口或网络参数等，以达到在信道竞争或节省资源方面占据优势的目的，更有恶意节点通过对IEEE802.11协议作弊达到攻击目的。由于该协议内在的随机性和无线介质的不可靠性，很难对自私和偶然的行为进行区分，这给攻击节点的检测带来很大难度。

IEEE802.11协议中为了解决“隐藏终端”问题引入RTS/CTS机制，凡是收到RTS/CTS包的节点都会取出其中的时间域Duration，并用其来初始化和启动自己的NAV计时器。而在NAV计时结束之前，相应的节点都认为信道是出于忙碌状态的，因此都不会尝试嗅探物理信道。我们称这种技术叫做“虚拟嗅探技术”。

根据上面“虚拟嗅探技术”的原理，发现802.11协议的一个漏洞。那就是如果某一个节点利用RTS/CTS数据包谎称自己将要占用一定时间t的信道，于是能够侦听到RTS/CTS数据包的站点在接下来的这段时间t内，都不会去尝试侦听信道。这样一来，整个信道就会因为攻击节点的这一行为而被白白地浪费掉t时间。更进一步，如果说这个攻击节点是以比较高的频率来伪造并发出这样的RTS/CTS包，那么就会造成攻击节点一条范围内的网络信道永远被攻击节点占用。这等效于这片子网络达到瘫痪状态。

发明内容

为了解决由于RTS/CTS数据包伪造Duration域数值，本发明对IEEE802.11协议进行了规则补充，引入这样一种机制，使目标节点（Dest）在收到Data数据包后再次更新自己及其周围邻居节点的NAV为一个SIFS加一个ACK数据包；发送节点（Src）在收到ACK数据包后，立即更新自己及周围邻居节点NAV为0。这样信道就不会因为先前设置的NAV而被长时间闲置，从而避免伪造Duration域的RTS/CTS占用信道攻击。通过NS2仿真结果,该规则通过与路由层协议相互配合可以有效解决网络中恶意节点抢占信道的行为,很大程序上提高了网络性能。

本发明是通过如下技术方案实现的，本发明包括如下步骤：

步骤一，假设网络中存在攻击节点,向目标节点发送RTS数据包,且通过利用802.11协议存在的漏洞实施无线信道抢占攻击。目标节点收到RTS后,向攻击节点发送CTS数据包。

步骤二，攻击节点收到CTS数据包后,若其停止向目标节点发送需正常传输的数据Date数据包(即待传输的数据报文)时，目标节点会认为自己的CTS发送不成功，于是再次发送CTS给攻击节点。若如此循环当目标节点发送的CTS超过了某一数量时(此参数可根据实际网络环境进行配置)，目标节点会因为迟迟收不到Data数据包而认为自己到攻击节点的这段路由是无效的，于是发起路由维护操作，将这段路由从缓存的路由表中清除，之后攻击节点就失去了发送攻击数据包给目标节点的可用路由，效果相当于把攻击节点孤立起来。

步骤三，假设目标节点在收到攻击节点发出的Date数据包之后,发送一个特定的数据包。根据IEEE802.11协议规则,更新自己一跳范围内所有节点的NAV为一个SIFS加一个ACK数据包的传送时间。

步骤四，攻击节点在收到ACK数据包之后,发送一个特定的数据包。以此来再次更新自己一跳范围内所有节点的NAV为0。

与现有技术相比，本发明具有如下有益效果：

现有研究防御MAC层占用信道攻击大多集中在如何利用数理统计去发现攻击节点。但在资源有限的无线网络中，路由发现、路由维护等事件已经需要耗费节点很多的计算资源和网络资源（分布式的数理统计则会耗费节点更多的计算资源、而集权式的数理统计则会耗费更多的网络资源），这样一来即使网络中没有攻击节点，网络的性能也有可能受到影响。尤其在节点数量增多的时候，数理统计的强度也会随之增长。另一个不确定因素在数理统计本身，以数理统计为依据判断出来的攻击节点并不能保证100%准确，会有一定概率错杀网络中的正常节点，造成正常节点无法使用网络。