黃曉輝，郭淵博，劉 偉

（解放軍信息工程大學 電子技術學院，河南 鄭州450001）

0 引 言

無線網狀網（wireless mesh network，WMN）是一種具有動態(tài)網絡拓撲、自組織和自配置特性的新型低投入、分布式公用寬帶網絡技術［1］。網絡中各節(jié)點自動建立拓撲連接，保持多種網絡網狀互連的連接狀態(tài)。802.11s是當前研究的主流 Mesh網絡協(xié)議。在IEEE 802.11sWMN中，定義了由大量相互連接的節(jié)點構成的擴展服務集（ESS），通過多跳的Mesh設備連接形成分布式的無線網狀架構，網絡中配置有網關節(jié)點接入Internet［2］。這種自適應和多跳的特性，大大減小了網絡維護的開銷，也增加了網絡節(jié)點受到的攻擊的危險性。偽裝節(jié)點攻擊就是其中十分危險的攻擊方式［3］。在 WMN中，入侵者通過偵聽、嗅探合法節(jié)點的MAC地址、Mesh profile等信息，修改自己的配置，將自己偽裝成合法Mesh節(jié)點，引誘用戶站點接入以捕獲網絡密鑰和登錄口令，即可繞過網絡的訪問控制機制接入骨干網絡。這是一種主動攻擊，一旦這些偽裝節(jié)點設置在一些關鍵區(qū)域，攻擊者就可以控制用戶節(jié)點、斷開網絡連接甚至危害路由安全，造成嚴重的網絡安全事故或是發(fā)動中間人攻擊［4］，尤其是在數據鏈路層利用偽造的大量管理幀迷惑用戶，致使用戶無法接入網絡最終形成大范圍的DoS攻擊［5－6］。而且偽裝后的節(jié)點對網絡來說是不被查覺的。因此偽裝節(jié)點檢測對無線Mesh網的安全有著很重要的意義。目前對節(jié)點的安全檢測主要還停留在無線局域網環(huán)境下對無線欺騙攻擊［7］進行檢測，且技術已經相對成熟，但由于Mesh網自身的多跳特性，對節(jié)點的安全要求要比一般無線網絡高的多，因此本文通過研究與實踐，對Mesh網中的偽裝節(jié)點攻擊模型進行了討論，并提出了相應的檢測方法，最后通過實驗驗證了方法的可行性。

1 相關工作

針對偽裝節(jié)點攻擊，目前應用較多的是基于序列號異常跳變的檢測方法，主要應用于無線局域網的MAC地址欺騙攻擊，但這種方法是不能直接在無線Mesh網中運用的，而針對WMN中的偽裝節(jié)點攻擊檢測還很少涉及。在文獻 ［8］中，作者提出了利用鄰居節(jié)點檢測機制對WMN網絡拓撲改變的反饋信息結合網關節(jié)點訪問控制列表進行偽裝節(jié)點的檢測，這種方法無法對不接入骨干網絡的偽裝節(jié)點進行檢測，存在檢測 “盲區(qū)”。文獻 ［9］和文獻 ［10］使用基于幀序列號的跟蹤技術來檢測偽裝攻擊的方法，通過發(fā)現幀序列號遞增關系出現碰撞或異常跳變，來確認攻擊的發(fā)生。但由于重傳機制和WMN中數據傳輸的多跳特性會造成各種延遲和丟包，序列號會頻繁出現正常的跳變，誤報率很高。文獻 ［11］提出利用網絡設備的各種硬件特征和射頻信號發(fā)射模式等一些在軟件層面無法修改的特征作為設備的指紋，以區(qū)分出攻擊者。而在文獻 ［12］和文獻 ［13］中，作者就通過時間戳來計算合法網絡設備的本地時鐘偏差作為無線設備的指紋來區(qū)別不同的無線設備。時鐘特征也是設備的物理屬性，，即使專門定制的設備也無法與原設備完全相同，因此從理論上說這種方法是最可靠的檢測方法，但是要發(fā)現這些特征需要非常精密的測量分析儀器，高昂的造價限制了這種方法的普遍應用，同時實際測量時誤差的存在也使其誤報率很高，而且目前已經證明此方法所計算出的偏差根本不足以區(qū)分不同的設備。文獻 ［14］和文獻 ［15］提出了基于信號強度分析的檢測方法，這種檢測方法通過傅立葉變換將數據變換到頻域，再通過觀察接收信號強度值的分布規(guī)律因攻擊節(jié)點信號的干擾而出現異常的高頻部分，判斷攻擊者的存在，利用信號強度值隨距離的變化還可實現定位功能。然而由于Mesh網中無線信號過于密集，導致信號間發(fā)生干擾和衰減在所難免，極易發(fā)生誤判。因此在Mesh網中效果很差，檢測效果很不理想。

因此，從誤報率、漏報率和實現難度各方面考慮，目前還沒有針對WMN的有效的偽裝節(jié)點檢測方法，本文基于此問題提出了新的檢測機制并通過實驗與其他方法進行了分析與比較，驗證了本方法的可行性和優(yōu)越性。

2 WMN中偽裝節(jié)點攻擊模型

由于WMN網狀互連的特殊結構，針對WMN的偽裝節(jié)點攻擊也出現了兩種特有的場景：一是攻擊者通過偵聽等方式獲取合法MAP1的接入認證信息后，偽裝成MAP1，在MP3和MP4的區(qū)域接入網絡；另一種就是攻擊者偽裝成合法節(jié)點MAP1后，與MAP1在同一區(qū)域運行。如圖1、2所示。

在圖1場景下，攻擊者具有和MAP1相同的MAC地址、BSSID和SSID，攻擊者已經獲取了接入網絡所需要的網絡密鑰等認證信息，鄰居節(jié)點MP3和MAP4對攻擊者進行接入認證后，攻擊者將成為合法用戶接入網絡，參與信息中轉和終端接入，然而此時攻擊節(jié)點的鄰居節(jié)點已經發(fā)生變化，對于鄰居節(jié)點來說，當有新的節(jié)點接入時，必然要進行認證，這樣的攻擊可以通過設置鄰居節(jié)點和網關節(jié)點訪問控制列表的方法就可以輕易的檢測到。

在圖2場景下，攻擊者具有與MAP1一樣的鄰居節(jié)點。攻擊者不僅可以進行被動的消息偵聽，還可以偽造斷開連接請求，斷開真實MAP1與主網絡的連接，再自己接入網絡，接管MAP1的基本服務集，進而發(fā)動主動的數據丟棄或選擇轉發(fā)，甚至進行更加嚴重的DoS攻擊，造成網絡連接的中斷甚至是整個區(qū)域網絡的隔離。

3 偽裝節(jié)點檢測機制

我們的基本檢測思想是采用基于異常的檢測方法，利用手持式移動終端，在無線Mesh網中動態(tài)的移動，捕獲節(jié)點附近的無線傳輸數據包，并根據802.11s協(xié)議對數據包進行協(xié)議解析，分析出節(jié)點的靜態(tài)和動態(tài)特性，從而發(fā)現偽裝節(jié)點存在時出現的不合理網絡數據現象。

3.1 異地區(qū)接入偽裝節(jié)點攻擊檢測

由于移動節(jié)點以任意速度和任意方式在網中移動會帶來拓撲結構的變化，加之無線信道間的相互干擾因素、天氣地形等的影響，節(jié)點間通過無線信道形成的網絡拓撲結構隨時都會發(fā)生變化，因此針對異地接入的偽裝節(jié)點，我們采用基于終端節(jié)點和網關節(jié)點訪問控制機制相結合的方法進行非授權可疑節(jié)點檢測，過程如下：

（1）作為網關節(jié)點必然要對接入的網絡節(jié)點進行認證，因此我們在網關節(jié)點上以綁定MAC地址、SSID、IP地址和鄰居節(jié)點信息的方式存儲所有合法節(jié)點信息。其中鄰居節(jié)點信息為MAC地址和IP地址，綁定信息表如表1所示。

表1 節(jié)點信息格式

（2）利用智能終端進行射頻信號監(jiān)聽，捕獲802.11數據包，獲取區(qū)域內正在運行的網絡節(jié)點信息和鄰居節(jié)點信息。

（3）智能終端通過網絡向網關節(jié)點發(fā)送請求，獲取合法節(jié)點信息表，并與捕獲到的節(jié)點信息進行比對，一旦發(fā)現與表中信息不符合的違規(guī)節(jié)點即可發(fā)出威脅警報。

3.2 同地區(qū)接入偽裝節(jié)點檢測

對同地區(qū)接入的偽裝節(jié)點，我們根據來自同一MAC地址的信標幀的序列號與發(fā)送時間遞增關系的破壞判斷攻擊者的存在。

無線Mesh網中的各個節(jié)點需要定期發(fā)送信標幀來維持動態(tài)的拓撲連接關系，更新路由信息。理想情況下它發(fā)送的信標幀的序列號和發(fā)送時間是呈遞增關系的，且間隔分別為1和beacon interval，只有當設備重啟或是序列號到達4095后，序列號才回跳到0。當偽裝MAP存在時，攻擊者的發(fā)送序列或發(fā)送時間必然會與合法MP發(fā)生碰撞，造成信標幀序列號與發(fā)送時間之間遞增關系的改變。因此我們可以通過檢測來自同一MAC地址的信標幀序列號和發(fā)送時間之間一對一遞增關系的改變來判斷偽裝節(jié)點的存在。信標幀的發(fā)送時間通過Beacon Timing字段獲取，它是由MP主時鐘產生的同步時間信息。無論MP是否同步，它都要維持一個TSF計時器，它的值就是發(fā)送時間，也就是beacon幀到達物理層開始傳輸的時間。

3.2.1 檢測算法描述

算法描述如下：

定義1（N，t，T），作為新接收到的信標幀信息，N為序列號，t＝Self Beacon Timing為發(fā)送時間，T為beacon interval值；

定義2三元組鏈表P＝（pi｜i＞＝0），作為幀記錄。其中pi＝（Ni，ti，Ti），表示第i個元組的序列號Ni、時間信息ti以及發(fā)送下一幀的時間間隔Ti；

定義3二元組鏈表Q＝（Qj｜j＞＝0），存儲P中的跳變記錄。其中Qj＝（n，k），表示P中發(fā)生跳變的位置n和跳變的值k，k大于1；

過程如下：

步驟1：初始化P、Q，將P、Q清零。

步驟2：接收新的（N，t，T），若（N ＞Nmax＆＆t＞＝tmax＋Tmax）為真，轉步驟3。若（N ＜Nmax＆＆t＜tmax）為真，轉步驟4。若（N ＜3 ＆＆t＞＝tmax＋T）為真，設備可能發(fā)生重啟或序列號發(fā)生回跳，轉步驟1；否則轉步驟5；

步驟3：序列號與時間戮都大于最后一個元組，直接加入鏈表：Pmax＋1＝（N ，t，T），max＝max＋1；若產生跳變，修改跳變記錄，轉步驟2，否則直接轉步驟2；

步驟4：若Q！＝null，鏈表中存在跳變，且存在n，使得（Nn＋1＞N ＞ Nn＆＆Nn＋1＞t＞＝tn＋Tn），在跳變處加入鏈表，并修改該位置跳變記錄，轉步驟2；否則轉步驟5；

步驟5：違反序列號與時間戮的一對一遞增關系，發(fā)出攻擊警報；

4 測試與性能分析

要驗證方法的可行性，關鍵是要有建立可信的Mesh網測試環(huán)境，并運用本文所提出的方法開發(fā)移動終端檢測設備。由于無線Mesh網絡還處于研究和試驗階段，并沒有普及推廣，甚至大部分科研單位還沒有真實的實驗測試環(huán)境，因此很多實驗還是通過OPNET 10.5A進行模擬仿真來完成的。然而本文的實驗需要智能終端對網絡數據進行捕獲進而分析出偽裝節(jié)點的存在，因此本文在簡易的Mesh網絡環(huán)境下，對局部數個節(jié)點進行了攻擊實驗測試，試驗測試環(huán)境包括：

WH－2530X－DAG無線 Mesh AP 8臺：其中一臺作為網關節(jié)點，其它作為合法MAP進行mesh連接，另設一臺作為偽裝節(jié)點，可以進行相應的配置，偽裝成其它節(jié)點；

WinCE操作系統(tǒng)下PDA一臺：作為檢測終端，進行主動探測與射頻信號監(jiān)聽。我們通過NDIS中間層驅動，捕空間中的無線網絡傳輸數據，并對數據包進行了協(xié)議解析，提取802.11s數據包的相關參數，進行分析檢測。

4.1 異地區(qū)接入偽裝攻擊檢測試驗測試

如圖1中所示，攻擊節(jié)點偽裝成MAP1在另一區(qū)域試圖接入網絡。我們的檢測終端發(fā)現MAP1發(fā)送的數據后，首先獲知節(jié)點配置信息及其鄰居節(jié)點，偽裝節(jié)點信息見表2。

檢測終端再通過網絡與網關節(jié)點進行交互獲取MAP1的節(jié)點信息，如表3所示。

經過對比后很明顯，鄰居節(jié)點不對，檢測終端成功的發(fā)出警報，告知網絡當前要接入的MAP1為偽裝的攻擊節(jié)點。

合同條款一般應具備八個要素：當事人的名稱或者姓名和住所（必須是全稱）；標的；數量；質量標準；價款或者報酬；履行期限、地點和方式；違約責任；解決爭議的方法。除以上條款外視具體合同而設置應有的條款。

表2 偽裝節(jié)點信息

表3 節(jié)點MAP1信息

4.2 同地區(qū)接入偽裝攻擊檢測試驗測試

如圖2所示的同地區(qū)接入的偽裝節(jié)點攻擊場景，偽裝節(jié)點與MAP1在同一鄰居節(jié)點區(qū)域內接入網絡，我們使用不同的方法進行了誤報和漏報測試以及性能分析，測試結果如下：

4.2.1 誤報率測試

我們在只有MAP1開啟的情況下，設置各種復雜環(huán)境造成幀的亂序或是跳變以及信號強度的異常變化，形成疑似于出現攻擊者的假象并將檢測終端置于節(jié)點附近進行測試，檢測數據分布如圖3所示。

圖3 單一節(jié)點數據分布

（1）序列號回跳測試：圖中橫坐標單位為1個beacon interval，從相對時刻0開始，在時刻150時，序列號到達4095回跳至0，從250至550時間段內，我們了重啟MAP，檢測終端都沒有產生誤報。

（2）丟包使序列跳變：將監(jiān)聽終端移出再移進MAP信號覆蓋范圍，出現了數據包丟失造成的序列跳變，但這種跳變并沒有違反序列號與時間的一對一遞增關系，系統(tǒng)沒有發(fā)出警報；

（3）延遲造成幀亂序到達：由于傳送時間及路徑的影響，致使某些幀沒有按照序列號的順序到達，按算法將其插入鏈表后，也沒有違反序列號與時間之間的關系，所以也沒有發(fā)生誤報；

我們以信號發(fā)射強度的強弱為參考變量，與使用文獻10和13中方法所開發(fā)的系統(tǒng)進行了檢測效果比較，檢測誤報情況化如圖4所示。

圖4 不同方法誤報率測試對比

開啟偽裝成合法Mesh節(jié)點的偽裝節(jié)點，并置于合法節(jié)點附近，設置不同的時鐘與合法MAP1同時工作，將檢測終端置于兩者之間，若終端沒有發(fā)出警報，即為漏報。檢測數據分布如圖5所示。

圖5 偽裝節(jié)點存在時數據分布

（1）相近（不同）的時鐘，不同（相近）的序列：如圖5所示，黑色線條為攻擊者的幀序列分布，紅色為合法節(jié)點的幀序列分布，系統(tǒng)檢測到發(fā)送時間與序列號遞增關系的破壞，在相同的時間段內出現了不同的序列號；

（2）滯后（超前）的時鐘，滯后（超前）的序列：如圖5所示，在起始階段，終端由于沒有檢測到時間或是序列號的碰撞，因此并沒有發(fā)出警報，隨著檢測時間延長，最終檢測到序列號出現了碰撞，導致發(fā)送時間與序列號遞增關系的破壞；

我們與文獻10和15中的方法進行了性能比較，檢測漏報情況隨發(fā)射信號強度變化如圖6所示。

實驗證明，新的設計方法和文獻10－15中的方法相比不僅檢測標準明確，誤報率和漏報率都大大降低，而且該方法易于實現，算法復雜度低，受信號強度影響最小。

5 結束語

本文通過分析WMN中偽裝節(jié)點攻擊的特點，闡述了WMN中偽裝節(jié)點異地區(qū)接入和同地區(qū)接入的兩種攻擊場景，設計了WMN中偽裝節(jié)點的檢測方法，并通過實驗驗證該方法的可行性，得出結論：本文提出的方法可以及時的發(fā)現偽裝節(jié)點攻擊，且不會因亂序或正常丟包產生誤報，與常見的幾種方法相比，大大降低了誤報率，有效地提高了檢測效率和檢測精度。但是，由于Mesh網試驗測試平臺的不完善以及實驗環(huán)境的簡陋，本文提出的方法還沒有對大范圍內的網絡節(jié)點進行全面深入的檢測試驗，并且由于自身性能的有限，還無法對檢測到的攻擊做出有效的響應，因此今后在檢測的時效性和防御措施方面還有待進一步的研究。

圖6 不同方法漏報率測試對比

［1］ZHANG Y，LUO J，HU H.Wireless mesh networking architectures protocols and standards ［M］.Auer Bach Publications，Taylor ＆Francis Group，First Edition，NY，2006.

［2］Bruno R，Conti M，Gregori E.Mesh networks：Commodity multi－h(huán)op ad－h(huán)oc networks［J］.IEEE Communications Magazine，2005，43（3）：123－131.

［3］Santhanam L，Nandiraju N，Agrawal P.Distributed self－policing architecture fostering node cooperation in wireless Mesh networks ［G］.LNCS 4217：The Proc of the Personal Wireless Communication，2006：147－158.

［4］FU Yingfang，ZHANG Xing，ZHANG Ting.Research on wormhole attacks in wireless Mesh networks ［J］.Journal on Communications，2011，32（1）：59－65（in Chinese）.［付 穎芳，張興，張婷.無線Mesh網絡中jhb的蟲洞攻擊檢測研究［J］.通信學報，2011，32（1）：59－65.］

［5］KHAN S，LOO K－k，NAEEM T，et al.Denial of service attacks and challenges in broadband wireless network ［J］.International Journal of Computer Science and Network Security，2008，8（7）：1－6.

［6］Santhanam L，Nandiraju D，Agrawal D P.Active cache based defense against DoS attacks in wireless Mesh network ［C］.2nd IEEE International Symposium on Wireless Pervasive Computing，2007.

［7］SI Jifeng，WANG Meiqin，CAO Baoxiang.Detecting wireless lan MAC address spoofing attack ［J］.Computer Technology And Development，2006，L6（2）：232－234（in Chinese）. ［司紀鋒，王美琴，曹寶香，無線局域網MAC地址欺騙攻擊的檢測 ［J］.計算機技術與發(fā)展，2006，L6（2）：232－234.］

［8］Shafiullah KHAN，Noor MAST，Kok Keong Loo1.Cloned access point detection and prevention mechanism in IEEE 802.11 wireless Mesh networks ［J］.Journal of Information Assurance and Security，2008，3（4）：257－262.

［9］MANO C，BLAICH A，LETAL Q Ripps.Rogue identifying packet payload slice detecting unauthorized wireless hosts through network traffic conditioning ［J］.ACM Transactions on Information and System Security，2008，11（2）：doi＞10.1145/1330332.1330334.

［10］GUO F，CKER CHIUEH T.Sequence number－based MAC address spoof detection［C］.Seattle，WA，USA：Proceedings of the 8th International Symposium on Recent Advances in Intrusion Detection，2005.

［11］Marechal N，Pierrot J B，Gorce J M.Fine synchronization for wireless sensor networks using gossip averaging algorithms［C］.IEEE International Conference on Communications，2008：4963－4967.

［12］Franklin J，Mccoy D，Tabriz P.Passive data link layer 802.11wireless device driver fingerprinting ［C］.Berkeley，CA，USA：Proceedings of the 15th conference on USENIX Security Symposium，2006：12－16.

［13］Faria D B，Cheriton D R.Detecting identity－based attacks in wireless networks using signal fingerprints ［C］.Proceedings of WiSe’06：ACM Workshop on Wireless Security，2006：43－52.

［14］CHEN Y，Trappe W，Martin R P.Detecting and localizing wireless spoofing attacks ［C］.Proceedings of the 4th Annual IEEE Conference on Sensor Mesh and Ad Hoc Communications and Networks，2007.

［15］Kucuksille E U，Tuncay Yigit，Ali Gunes.A system for the detection and reporting of wireless modem signals ［J］.Scientific Research and Essays，2010，5（11）：1346－1350.