Ad Hoc网络下虫洞攻击的检测方法

摘要：随着Ad hoc网络的广泛应用，其固有的特性和安全漏洞带来了极大的安全隐患，其中虫洞攻击是Ad Hoc网络难以解决的攻击之一，本文首先阐述了虫洞攻击的原理，然后将虫洞攻击的2种模式进行了分析。后面介绍了现在已提出的检测虫洞攻击的多种方法，本文第3部分对这些方法的一些功能和局限（同时检测2种模式的虫洞攻击、定位恶意节点、需要额外的硬件设备等）进行了比较，对在什么环境使用什么检测方法提出观点，最后作者提出了如何解决虫洞攻击的思路。

关键词：移动自组网；虫洞攻击；安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044(2008)01-10ppp-0c

Detection Method of Wormhole Attacks in Ad Hoc Networks

ZHOU Long-Fei,WANG Qian-ping

(College of Computer Science and Technology,China University of Mining and Technology,Xuzhou 221008,China)

Abstract:With the development of applications on Ad Hoc network,its peculiarities and leaks on security bring serious threat to its security.Wormhole attack is one of difficulties of the Ad Hoc network,This paper expatiate the elements of the wormhole attack,and analyses the two sorts of wormhole attacks.Then,some relevant solutions of detecting wormhole attacks are introduced. The performance and limitation analysis of these methods(detecting two sorts of wormhole attacks at the same time, locating the malicious nodes, additional hardware requirement) is introduced in the section 4.In the last section,writer bring forward the self viewpoint of it.

Key words:Ad Hoc;Wormhole Attacks;Security

1 Ad Hoc网络下的虫洞攻击

Ad Hoc网络中虫洞（Wormhole）攻击是最难以检测与预防的.虫洞攻击，是一种针对Ad hoc 路由协议，特别是带防御性的路由协议的严重攻击，它是在两个串谋恶意结点间建立一条私有通道，攻击者在网络中的一个位置上记录数据包或位信息，通过此私有通道将窃取的信息传递到网络的另外一个位置。因为私有通道的距离一般大于单跳无线传输范围，所以通过私用通道传递的数据包比通过正常多跳路径传递的数据包早到达目标结点。如果虫洞攻击者故意传递部分数据包，如只传递控制信息数据包，或篡改数据包的内容，将造成数据包的丢失或破坏。同时因为虫洞能够造成比实际路径短的虚假路径，将会扰乱依靠结点间距离信息的路由机制，从而导致路由发现过程的失败。

例如，对于使用HELLO数据包来检测邻结点的周期性路由协议OLSR，如果攻击者通过私有通道将由结点A 发出的HELLO 数据包传递给结点B 附近的串谋攻击者，同样攻击者通过私有通道将结点B发出的HELLO 数据包传递给先前的攻击者，那么A 和B 将相信它们互为邻结点，这将导致当它们实际不是邻结点时，路由协议将不能找到正确的路径。

虫洞攻击可以根据恶意节点在网络中的位置分为显式攻击和隐式攻击，如图1

隐式攻击：虫洞节点转发时不改变数据包头，因此虫洞节点在网络中是隐身的，W1和W2仅仅是转发S发出的数据包到D，隐式虫洞攻击下S到D的路径为：

S A B D

显式攻击：这种虫洞节点不改变数据包的内容，但是它将自己的身份证明加载在包头，就像合法节点做的一样，因此，其它的节点知道虫洞节点的存在，但是他们不知道虫洞节点是恶意的，显式虫洞攻击下S到D的路径为：

SAW1W2BD

2 虫洞检测方法

虫洞非常难于检测，因为它用于传递信息的路径通常不是实际网络的一部分，同时它还特别危险，因为它们能够在不知道使用的协议或网络提供的服务的情况下进行破坏。许多研究者对此提出了许多的方案，本文下面将进行介绍：

2.1 基于地理位置

GEAR ( Geograp hic and Energy Aware Routing)是基于地理位置的路由协议[1]，利用GPS（Global Positioning System）或GNSS（Global Navigation Satellite Systems）等全球定位系统对无线节点的位置进行确定，并根据节点的具体坐标计算出节点间的相对距离，如果节点间的距离大于节点的传输距离，则可以断定存在恶意节点。另外在根据地理位置信息的基础上，另外还衍生出端到端的虫洞检测方法[2]

2.2 基于同步时钟

Yih-Chun Hu等人[3]提出了一种称为“数据包限制”（packet leashes）的机制,所有网络节点必须要具有严格同步的时钟。并采用一种有效的认证协议TIK 来检测并防御虫洞攻击目的节点。目的节点可以根据接收时间和发送时间检测数据包传输的距离是否太长。同样也可以在数据包内设置一个失效时间，超过这个时间，接受者应该收不到数据包。如果发现数据包传输距离过长或超过数据包中定义的实效时间，则认为存在虫洞。但此方案增加了计算与通信开销,也需要较大的存储空间。

2.3 基于监听与信赖

这种方法[4]首先设定网络节点天线都是全方向的，并支持混杂模式，这样源节点在发出数据包之后可以对邻居节点进行监听，也就是可以监听邻居节点转发数据包的时间，根据转发时间可以对邻居节点进行信任评估，在源节点发送数据包之前，根据邻居节点的信任值进行选择，如果邻居节点是虫洞攻击的恶意节点，那它转发数据包不可能被源节点监听到，也就是说恶意节点的信任值是最低的，从而不会被选择到，这样自然就孤立了恶意节点，也避免了虫洞攻击的危害。

2.4 RTT

Jane Zhen和Sampalli Srinivas[5]使用了一种称之为循环旅行时间（RTT）的方法来检测虫洞。A节点计算与节点B之间的RTT，通过发送一个信息给B，要求立刻回复。A，B间的RTT就是从A发送请求到接收到B的回复所经历的时间。每个节点都计算与邻居节点间的RTT，因为2个假冒邻居间的RTT必然大于真正邻居间的RTT。因此通过比较A和A的邻居间的RTT，A节点可以确定哪个邻居是假冒邻居。这种方法不需要额外的硬件并容易实现，但是对于显式虫洞攻击的检测是无效的。

[6]S.Capkun,L.Buttyan,and J. Hubaux. Sector: Secure Tracking of Node Encounters in MultiChop Wireless Networks.Proc.Of the ACM Workshop on Security of Ad Hoc and Sensor Networks( SASN 2003),2003,21-32.

[7]Lijun Qian,Ning Song,Xiangfang Li;Detecting and Locating Wormhole Attacks in Wireless Ad Hoc Networks through Statistical Analysis of Multi-pathIEEE Communications Society/WCNC,2005.

[8]Levente Buttyán, László Dóra, István Vajda: Statistical Wormhole Detection in Sensor Networks. Second European Workshop on Security and Privacy in Ad Hoc and Sensor Networks (ESAS 2005) Visegrád, Hungary, July 13-14, 2005: 128-141

[9]Lazos L, Poovendran R. SeRLoc: Secure range-independent localization for wireless sensor networks. In: Jakobsson M,Perrig A, eds. Proc. of the 2004 ACM Workshop on Wireless Security. New York: ACM Press, 2004,21-30.

[10]Hon Sun Chiu King-Shan Lui, DelPHI: Wormhole Detection Mechanism for Ad Hoc Wireless Networks, International Symposium on Wireless Pervasive Computing ISWPC,2006.

收稿日期：2008-02-15

基金项目：基金颁发部门，江苏省自然科学基金；项目名称，嵌入式无线传感网络在矿区数据采集中的应用研究（编号：BK-2006039），基金申请人，王潜平。

作者简介：周龙飞（1977-），男（汉），江苏徐州人，中国矿业大学计算机学院硕士生，研究方向为计算机网络安全；王潜平（1964-），男（汉），江苏徐州人，中国矿业大学计算机学院博士生导师，教授，研究方向为CSCW，数据库技术，无线传感器网络。