摘 要:地域通信网中各节点之间的正常通信是保障作战胜利的关键,由于地域通信网中各节点间的连接多采用无线链路,可以使用流量攻击的方法对链路进行攻击,使各节点通信中断。在分析流量控制和拥塞控制的基础上,结合OPNET仿真软件建立网络模型,通过仿真研究验证了流量攻击法可以有效地使地域通信网通信中断,达到攻击的目的。
关键词:地域通信网; 流量攻击; OPNET仿真软件; 流量控制; 拥塞控制
中图分类号:TP393 文献标识码:A
文章编号:1004-373X(2010)09-0018-03
Simulation of Traffic Attack in Area Communication Network
XIE Li-jing
(Telecommunication Engineering Institute, Air Force Engineering University, Xi’an 710077, China)
Abstract: The normal communication between all the nodes in the field communication network is the key to ensure the war′s victory. Due to the wireless links is used among each node of the field communication network, the traffic attack method can be used to attack the wireless links, the way which results in communication interruption. By the analysis of flow control and congestion control, the network model was established in combination with OPNET simulation software. The simulation verifies that the traffic attack method can effectively interrupt the field communication network to achieve the purpose of the attack.
Keywords: field communication network; traffic attack; OPNET simulation software; flow control; congestion control
野战地域通信网[1-2]对抗一直是通信对抗[3]领域研究的热点和难点,鉴于地域通信网主要采用无线链路进行数据的传输交换,因此可采用流量攻击的方法[4-5]来探讨如何进行对抗。
1 流量控制和拥塞控制
在通信网络中,网络节点包括信息缓冲区、节点处理机、链路容量等资源。在某段时间内,如果对网络中某一资源的需求超过了该资源所能提供的可用部分,那么这一资源在该段时间内会产生拥塞。可以将这一条件写为:
∑对资源的需求>可用资源(1)
当发生拥塞时,只有少量的信息在网络中传输,而且拥塞仍会很快继续延伸,最终会导致死锁现象,这时信息就会停止传输。因此要有效地采取流量控制,避免传输报文的丢失,网络性能的下降。
网络负载与吞吐量之间的关系如图1所示。
图中横坐标表示网络负载,代表单位时间内输入网络的分组数目,网络负载也称输入负载。纵坐标表示吞吐量,代表单位时间内从网络输出的分组数目。理想的流量控制网络,在吞吐量饱和之前,网络的吞吐量应等于网络负载。但当网络负载超过某一限度时,由于网络资源有限,吞吐量不再增长而是保持在水平线,即吞吐量达到饱和。在理想的流量控制下,网络的吞吐量仍然维持在其所能达到的最大值。但是,实际的网络并非如此,由图1中可以看出,随着网络负载的增大,网络吞吐量的增长速率逐渐减小。即在网络吞吐量还未达到饱和时,就已经有一部分的输入分组被丢弃了。更值得注意的是,当网络负载继续增大到某一数值时,网络的吞吐量将下降至零,网络已经无法工作,即网络瘫痪,出现死锁现象。
图1 网络负载与吞吐量关系图
为了避免上述情况的发生,适当地的进行流量控制,吞吐量可以一直随输入负载的增加而增长,虽然达不到理想的情况,但和无流量控制的情况相比,由图中可以看出,在有流量控制的情况下不会出现拥塞现象,更不会出现死锁现象。但是,为使网络能够在高输入负载时能够安全运行,就必须在输入负载较小时,有流量控制的吞吐量比无流量控制时的吞吐量要小,因为流量控制需要一定的开销。
2 拥塞的成因
若网络中有许多资源同时产生拥塞,网络的性能就会明显变差。整个网络的吞吐量将随输入负荷的增大而下降。
简单的增加一些资源,例如增大缓冲区的存储空间,提高链路的速率,提高节点计算机的运算速度,不但不能解决拥塞问题,可能会使网络的性能变得更坏。因为当节点缓冲区的容量太小时,由于无空间暂存会使得到达该节点的分组不得不丢弃。现假设将该节点缓冲区的容量扩展到非常大,于是到达的分组就会在缓冲区的队列中排队,不受任何限制。由于输出链路的容量和处理机的速度并没有提高,因此队列中的绝大多数分组的排队等待时间会很长,出现超时重传的现象,一个重复的分组又重新进入队列,导致了到达目的地的所有链路负载增加。可见,单独扩大缓冲区的存储空间同样会造成网络资源的严重浪费,并不能解决网络拥塞的问题。因此,改变其中的某个方面并不能解决问题,往往只是把问题转移到了系统的其他方面。只有当系统的各部分之间达到了某个平衡的状态,才能避免拥塞现象的发生,否则将无法从根本上解决拥塞的发生。
而且处理机速度太低,或链路带宽不够也会导致拥塞,当一个节点向某个特定的接收节点发送的报文超过了接收节点处理或者转发报文的能力时,也会导致拥塞[3]。
3 流量控制的功能
为了解决网络拥塞控制,采取流量控制的方法,其总目标是网络中有效地、动态地分配网络资源(包括信道和节点交换机中的处理机、缓冲区)。具体来说主要功能有:
(1) 防止网络因过载而引起吞吐量下降和时延增加;
(2) 避免死锁;
(3) 在互相竞争的各用户之间公平的分配资源。
4 流量攻击的实现
对地域通信网的流量攻击[6-7]的实现首先要对地域通信网络进行信息侦查,获取网络结构、节点情况以及通信信息等相关信息,然后对侦查到的信息进行分析,进而对通信链路进行攻击,来破坏敌方的通信链路和节点,目的是使系统负载不断增加、吞吐量下降,使系统超负荷工作,降低系统的效率,使系统死锁,导致网络崩溃无法正常工作。实现流量攻击需要以下三个阶段来完成,如图2所示。
图2 流量攻击示意图
第一阶段:信息侦查。
针对无线网络采用侦查接收机加上解调设备,截获无线信道上的信息,采用对于全频段截获和对卫星信道截获,通常能够截获网络中大部分的通信链路上的信息,再加上其他如测向等侦查手段,可以了解更多的网络信息,如链路或者是节点的分布情况。
第二阶段:信息分析。
分析所截获到的信息内容PDU,对于加密的信息,对协议控制符进行分析,控制符的作用是各节点的通信程序为了转发等所需要的信息,一般来说端到端的通信不用加密,所以可以分析PDU中的IP地址,目的地址和路由等信息。通过分析PDU,了解通信的协议实体的源地址和目的地址以及他们的身份,及其有关信息的性质。
第三阶段:流量攻击。
流量攻击的方法主要有伪造连接初始化、更改报文流和拒绝报文服务。伪造连接初始化可以用伪造身份的方法来企图建立连接;更改报文流可以对PDU进行多方面的攻击,修改PDU中的协议控制信息,使PDU被送到错误的目的端来破坏它的真实性;可以修改PDU的部分数据来破坏它的完整性;可以删除或者修改PDU中协议控制部分的序号来破坏它的有序性,使对方无法收到正确的报文信息;拒绝报文服务是指攻击者删除通过某一连接的所有PDU,或者延迟一方或两方的所有PDU。在短时间内向敌接收方发出大量的服务请求,使其为这些服务分配大量的资源,进而使得敌接收方资源耗尽。地域通信网往往进行链路加密和端到端加密来保证其身份的安全,并且防止信息被解析。即使如此,也可采用信息复制的方法不断地反复转发信息,使敌接收方的节点资源耗尽,造成网络拥塞,使敌方地域通信系统瘫痪。
5 基于OPNET的仿真研究
在OPNET[8]上创建需要的网络模型,节点模型以及进程模型[9]。根据地域通信网的移动性,在OPNET上模拟一个移动的网络,网络模型和关键节点Dest节点模型如图3,图4所示。
图3 流量攻击方法的网络模型
图4 节点Dest的节点模型
通过对关键节点Dest的两个统计量的分析,论证基于流量攻击法的效果,如图5,图6所示。
图5 节点Dest Traffic Received
图6 节点Dest Queue Size
从图5可以看出节点Dest所能接收包的数量的最大值为100,如果到达该节点的包数超过该值,此节点将
不再有能力处理之后到达的包,将其丢弃,这样正常的通信双方就受到了攻击方的破环,造成了双方不能正常通信,在作战环境下对于接收即时战况信息是致命的,可导致通信中断。
从图6可以看出在仿真的时间内前50 s Dest节点接收数据的情况是正常的,而后由于攻击方的干扰其接收数据量大增,增加节点Dest的负荷,使其缓冲区满,无法正常工作,达到瓦解双方正常通信的目的。
6 结 语
本仿真仅考虑了针对一个关键节点进行流量的攻击来考察该攻击方法的效果,从以上几副图中可以明显地看到,对关键节点采用流量攻击的方法可以使得节点间通信的及时性失效,导致不能正常通信,因此采用该方法可以使敌方的通信中断,造成敌方的整体战斗力下降。如果同时对地域通信网中的多个关键节点同时实施流量攻击,将会产生更加明显的攻击效果,可以在很短的时间内使敌方网络无法正常通信陷入瘫痪状态,达到摧毁敌方地域通信网的目的[10-11]。
参考文献
[1]LINSKY A B. System control for the mobile subscriber equipment(MSE) tactical communication network[J]. IEEE, 1998, 70: 163-166.
[2]BIAGINI William, MASCIARI Michael. Efficient use of SATCOM resources in MSE networks(DAMA for MSE)[J]. IEEE, 1993, 3: 768-773.
[3]肖军模,周海刚.网络信息对抗[M].北京:机械工业出版社,2005.
[4]吕久明,吕翠英,张玉.对野战地域通信网无线传输的干扰[J].航天电子对抗,2003(1):44-46.
[5]柯宏发,郝光宇,葛海龙,等.地域通信网的干扰技术研究[J].电子对抗技术,2004,19(3):40-42.
[6]薛丽敏,赵俊阁,华鸣.网络对抗战研究[J].舰船电子工程,2007,27(5):121-124.
[7]谢希仁.计算机网络[M].北京:电子工业出版社,2003.
[8]陈敏.OPNET网络仿真[M].北京:清华大学出版社,2004.
[9]楼浩英,刘乃安,周国超,等.MSE系统对抗中最佳干扰参数的仿真研究[J].现代电子技术,2003,26(23):104-106.
[10]韩春久.通信对抗战术的发展趋势[J].电子对抗技术,2003,18(1):10-12.
[11]朱熠鹏,黄艳.地域通信网——我军战术通信网的发展方向[J].军事通信技术,1998,19(4):12-18.