战术移动自组网脆弱性分析与仿真

王 英，彭钦鹏，谭 歆，张平安

(1. 重庆邮电大学 计算机科学与技术学院，重庆 400065；2. 移动通信技术重庆市重点实验室, 重庆 400065)

0 引 言

战术移动自组网是一种无中心自组织多跳共享的无线网络，具有无需搭建网络基础设备、网络的拓扑结构动态变化、部署区域位于作战前沿等特点。战术移动自组网以MIL-STD-188-220系列协议(简称220协议，根据颁布时间先后顺序分为220A，220B，220C和220D)为代表，该协议作为纲领性文件规范了战术移动自组网的通讯体系标准[1]。

目前国内外对战术移动自组网的脆弱性未做深入研究，现有的研究主要体现在220协议较底层的性能优化上，并未对该协议各层漏洞进行全面而系统的分析。文献[2]对220C协议中3种可行的路由初始化算法进行比较，分析并改进了路由初始化算法。文献[3]介绍了220协议链路层的网络访问延迟(network access delay, NAD)机制的运算准则，通过仿真对比分析出随机网络访问延迟(random-NAD, R-NAD)与优先网络访问延迟(priority-NAD, P-NAD)的性能差异。文献[4]基于220协议提出了一种多跳广播的确定性自适应优先级网络访问延迟(deterministic adaptable priority-NAD, DAP-NAD)算法，用于解决多跳广播网络中延迟过高的问题。对战术移动自组网脆弱性进行分析与仿真具有重要的应用价值，一方面防御方可针对网络协议的漏洞完善该协议的防护机制，增强战术移动自组网的通信安全；另一方面管控方可识别协议的脆弱点并进行精准攻击，有效降低战术移动自组网的攻击成本。

针对上述问题，本文在战术移动自组网各层协议的脆弱性上进行系统分析并提出具体的攻击方案。首先从战术移动自组网的介质访问控制(mediaccess centrol,MAC)层、内联网层与传输层的协议特征出发，分析MAC层信道竞争接入、路由拓扑更新和传输控制协议(transmission control protccol,TCP)3次握手的机制下存在的安全隐患，在NS3网络仿真平台中建立不同层级的攻击模型，最后对比攻击前各种网络性能指标衡量攻击效果。仿真结果表明，本文所提出的攻击技术方案都能有效降低战术移动自组网的网络性能。

1 战术移动自组网结构

战术移动自组网呈现3层结构如图1。大量的3级战术电台通过互联网控制器INC(internet controller)实现排级网络内互联互通，2级战术电台负责管理组网间的通讯，某些2级战术电台和3级战术电台通过战术网关实现与1级战术电台的信息交互。

图1 战术移动自组网结构Fig.1 Architecture of tactical Ad Hoc mobile network

1级战术电台作为军师级的指挥中心和控制中心是整个战术移动自组网体系结构中最重要的目标；2级战术电台普遍使用在战斗车辆之间的数据通信, 是战术移动自组网中的骨干网络；3级战术电台为作战部队提供可靠的保密数据通信和语音通信，并可装备于师和独立设备，直至坦克、战车、直升机等[5]。

2 战术移动自组网脆弱性分析

战术移动自组网在IP层以下使用MIL-STD-188-220D协议，物理层的加密技术由MIL-STD-188-110A协议实现，应用层的加密技术由MIL-STD-2045-47001协议实现。本文重点从MAC层、内联网层和传输层上对战术移动自组网进行脆弱性分析，并针对协议缺陷提出可行的攻击方案。

2.1 MAC层信道接入脆弱性分析

战术移动自组网MAC层采用时分复用技术，同时220D协议规定MAC层使用严密细致的网络时间模型。该网络时间模型中所有战术通讯电台都具备4个网络接入控制功能：网络繁忙检测(network busy sensing, NBC)、响应保持延迟(response hold delay, RHD)、超时期限(timeout period, TP)和网络访问延迟，以确保多个电台在网络中以公平的方式竞争信道资源。

若不考虑电台与数据帧的优先级，每一次网络接入都可以使用与上次延迟接入不同的退避时间，其计算公式为

TR=F×tNBDT

(1)

(1)式中：tNBDT为网络忙检测时间(220D协议中规定为一个时隙长度)；F为NAD的时隙数(即网络检测时间的个数),其计算值为

(2)

(2)式中，NS为子网中的电台数。根据网络时间模型，战术移动自组网MAC网络访问控制的流程如图2。

图2 220D协议MAC层网络访问控制流程Fig.2 220D protocol MAC layer network access control flow

如果战术通讯电台有数据待发送，先监听信道的闲忙情况，如果信道繁忙，则电台将一直监听信道直到空闲为止。若NAD时隙到来，且缓冲器内无数据待发送时，则发送数据，并根据数据帧是否需要确认设置不同的TP定时器。如果接收电台需要对发送电台的数据帧确认，且发送电台在TP时间内没有收到相应的确认帧，则认定发送失败；反之认定发送成功。接收电台完成对数据的接收后，同时需设置TP定时器阻止其他电台发送数据帧。如果接收的帧需要确认，则接收电台在RHD时间后发送确认帧，最后所有电台等待TP时间结束后重新计算新的NAD时隙。

管控方的伪电台在每次网络接入时，可将NAD时隙数F修改为一个较小的固定值，同时以较快的频率向网络中注入大量攻击数据包，不公平地占用信道资源，大幅提高伪电台接入信道成功的概率，从而达到长时间持续抢占通信信道的目的，最终影响其他正常电台接入信道，甚至导致MAC层传输机制瘫痪。

2.2 内联网层路由脆弱性分析

战术移动自组网的内联网层采用源定向寻址的方式传播分组数据，其路由算法是基于距离矢量的源电台路由选择算法。内联网中的每个电台维护着一张本电台到其他电台的距离矢量路由表，该表中记录了从源电台到目的电台的最短距离，并通过战术移动自组网上层业务流的事件触发拓扑更新以维护路由表。

图3展示了内联网层路由拓扑更新的过程，当电台收到上层数据包时先判断该数据包是否为上层业务数据，如果来自上层则当前电台为源电台，需解析出目的地址并查询路由缓存中是否存在到达目的电台的源定向路由，若存在还需检查当前缓存中是否有相同的路径，如果存在则先发送缓存中的数据，如果缓存中不存在该条路径则将源定向路由路径封装至内联网层头部随后递交至下层。而如果该数据包是来自下层的路由信息包时，需解析源定向路由中的当前电台是否为目的电台，若当前电台时中继电台则寻找下一跳地址进行路由转发，若当前电台为目的电台时直接递交至上层即可，若都不是表示当前为错误信息，需丢弃该包。

图3 内联网层路由拓扑更新流程图Fig.3 Intranet routing topology update flow chart of 220D protocol

针对220D协议内联网层路由机制的安全缺陷，管控方可实施基于内联网层的黑洞攻击。有研究表明，黑洞攻击是移动自组网中最受威胁的路由攻击之一[6]。传统的黑洞攻击属于主动式攻击，伪电台通过伪造一条到达目的电台最短且最新的路由响应报文获取源电台的信任，在截取到正常业务流后将其任意丢弃。由于220D协议内联网层的源定向路由机制不是通过主动发起路由请求来获取到达目的电台的路由，而是通过相邻电台之间更新拓扑的方式确认电台之间的通连关系，故传统的黑洞攻击方案不能对战术移动自组网实施有效攻击。下面在对内联网层黑洞攻击进行仿真建模时，根据220D的源定向路由特性设计具体的攻击方案。

2.3 传输层脆弱性分析

战术移动自组网传输层使用基于C/S架构的TCP/UDP协议，传输层作为上层协议负责总体的数据传输和数据控制，同时为内联网层提供可靠的目的站点信息。图4展示了战术移动自组网传输层处理数据的流程，传输层在收到应用进程传递下来的原始通信数据后，可根据实际需求选择面向连接且可靠传输的TCP协议或无连接的UDP协议。UDP协议不提供可靠传输且可靠性由应用层保证，直接将原始数据封装成UDP报文传输；而TCP协议一般要经历传输连接建立，数据传送和连接释放3个阶段实现一次完整的服务过程。

图4 战术移动自组网传输层数据处理流程图Fig.4 Data processing flow chart for transport layer of tactical mobile Ad Hoc network

战术移动自组网传输层的TCP半连接队列机制在一定程度上为该协议造成弊端，半连接队列机制为TCP-SYN攻击(也称半连接队列攻击)提供了可能[7]。伪电台可在短时间内向某正常电台发送大量同步序列编号(synchronize sequence numbers,SYN)请求，造成SYN泛洪。这些SYN请求数量大于半连接队列大小，伪电台收到对这些SYN请求的回复后将全部丢弃，使得正常电台永远无法收到最后一次ACK确认，因而在短期内无法清空半连接队列[8]。如果此时攻击者连续不间断地发送具有一定危害性的数据，将造成十分严重的后果。

在下文TCP-SYN攻击的仿真实验中，NS3仿真器的TCP源代码模块并未实现TCP半连接队列功能，导致它不会限制当前SYN连接数量。目的电台在收到源电台的SYN请求报文后没有开辟额外资源来存放SYN连接请求信息，而是立即向客户端响应一个SYN+ACK报文，这样任何一条TCP业务流通过三次握手阶段均可建立完整的数据传输。因此，仅使用NS3集成的TCP代码模块无法达到攻击效果，需结合攻击原理对部分代码进行扩充与改良。

3 战术移动自组网攻击建模与仿真

基于战术移动自组网MAC层、内联网层和传输层协议的脆弱性分析，本文在NS3网络模拟器下搭建战术电台通讯环境，并对各层攻击场景建模。3类战术电台在MAC层使用220D协议的时间网络模型公平地竞争信道资源，在内联网层使用220D协议的源定向路由机制进行路由寻址，在传输层使用TCP/UDP协议进行数据通信。最后通过选取重要的网络性能分析指标衡量攻击效果，如网络的吞吐量与丢包率。对比攻击前这些指标的变化，仿真结果表明，对战术移动自组网各层的攻击是有效的。

3.1 NS3仿真环境

本文仿真实验采用的硬件配置是一台Intel(R)Core(TM)i5-8400处理器，16 GB DDR4内存，1TB硬盘的PC机。软件配置是Ubuntu 16.04操作系统，在Eclipse编译环境中使用NS3模拟器(3.26版本)对具体网络环境进行搭建。

NS3是一个开源的离散事件网络模拟器，其主要运行平台为GUN/Linux，NS3结合了NS2，YANS等项目支持，并使用全新的基于Python的编译系统，支持更多的网络协议且易于用户扩展[9]。模拟器主要由源代码、脚本和数据追踪模块组成，其中NS3源代码和脚本文件由C++语言编写，并可选用Python语言扩展脚本文件。

3.2 各层攻击场景建模

3.2.1 MAC层抢占信道式攻击建模

基于220D协议MAC层的随机网络接入延迟NAD的公平竞争资源原理，战术管控方可在作战环境中随机布置伪电台，这些伪电台和正常通信的电台共享一个信道资源。伪电台通过修改NAD时隙数F值的同时以不同的攻击频率向当前信道中发送攻击数据包来实现抢占信道式攻击。

本文提出一种220D协议MAC层抢占信道式攻击算法，当电台接入战术无线共享信道时首先判断是否为伪电台，伪电台修改NAD时隙数F值至一个固定较小值并设置攻击频率，向网络中注入一定数量的攻击数据包，以增强对信道的抢占程度。正常电台不断检测出信道为繁忙状态，同时在产生的随机争用窗口后设置定时器，定时器清零后才可传输数据。当伪电台的F值足够小，攻击频率足够大时，正常电台基本检测不到信道为空闲状态，导致合法数据无法经过220D协议MAC层分配到有效带宽，最终衰减通信性能。本文220D协议MAC层抢占信道式攻击的算法如下。

220D协议MAC层抢占信道式攻击的算法

输入：全网初始化n个电台。

输出：网络的平均吞吐量与丢包率。

1: fori=1 tondo

2: if 当前电台i为伪电台 then

3: 修改F值及攻击频率

4: end if

5: while 当前信道繁忙 do

6: 电台监听信道

7: end while

8: 经过一个NAD时隙后产生随机的争用窗口TR

9: while 数据传输未结束 do

10: while 计时器T≠0 do

11:T=T-1

12: end while

13: if当前电台i为伪电台 then

14: 伪电台非法抢占信道资源

15: 其他电台监听信道

16: while 无法分配信道资源 do

17: 电台等待并监听信道

18: end while

19: else

20: 正常电台占用信道资源

21: 正常电台传输数据

22: end if

23: end while

24: end for

25: 计算当前网络的平均吞吐量和丢包率

仿真中为了突出伪电台的攻击行为与特征，以衡量攻击效果，本文的仿真模型限定了电台摆放、规模、性能参数。所有电台都处于相对稳定的环境中，即在未发生信道拥塞的情况下，合法电台在进行数据通信过程中都不会主动丢包；伪电台数量远小于正常电台数量，这也符合实际战场环境；其次，战术移动自组网物理层的加密、解密技术由MIL-STD-188-110A协议实现，仿真中为了体现伪电台在220D协议时间网络模型上发起攻击，故假设伪电台发送的攻击数据包已透过对方网络的物理层解密到达MAC层；最后仿真场景的区域远大于单个电台的通信范围。

在MAC抢占信道式攻击中，伪电台攻击范围有限，一个伪电台无法攻击某个簇下的全部合法电台。其次，不同簇内的合法电台在进行正常数据通信时的状态和性能基本一致，故仿真中只选取了其中某一个簇作为分析对象。表1为MAC抢占信道式攻击的仿真参数配置，图5为簇内电台的随机位置摆放图，其中，0～24号为合法电台；25～30号为伪电台。每次仿真中25个合法电台的位置都是随机生成的，6个伪电台的位置也随机分布在同一簇中。

表1 仿真参数配置1

图5 MAC层抢占信道式攻击中簇内电台随机位置摆放图Fig.5 Random position distribution diagram of intra-clusterunder MAC layer occupying channel attack

根据(2)式可计算出簇内25个合法电台通信时的NAD时隙数最大约为19，故伪电台F值的配置为1～19。由于每次仿真中合法电台和伪电台的位置分布都是随机的，而伪电台的攻击范围也是有限的，伪电台在不同攻击参数下进行攻击时，需多次改变所有电台的摆放位置。

3.2.2 内联网层攻击建模

传统的黑洞攻击主要针对采用反应式路由协议[10]的移动自组网，如DSR协议、AODV协议及ABR协议等。主要实现方法是在源电台发起路由请求时伪造一条通过攻击电台且到达目的电台的最短跳数路由响应报文，最终截取源电台的合法数据流进行丢弃。但这种方法不适用于220D协议内联网采用拓扑更新的源定向路由机制，本文针对战术移动自组网提出适用于内联网层的黑洞攻击方案。

本文提出一种220D协议内联网层黑洞攻击算法，令伪电台均匀分布在战术网络环境中，并对攻击范围内的合法电台进行监听，寻找待攻击的源电台。一旦源电台被上层事件触发进行拓扑更新，伪电台则接收源电台的拓扑更新包，并从中解析出目的电台的IP地址。若源电台的路由缓存中存在到达目的电台的路由，此时伪电台会主动触发拓扑更新迫使源电台改变其路由表，该拓扑更新请求包中包含源电台到所有电台的最短路径。当伪电台提取出目的电台IP后，伪电台查询自身的路由表中是否存在到达目的电台的有效路由，若存在有效路由，伪电台则将自身IP地址添加到路由中，最终截取从源电台发送的合法数据包进行选择性丢弃；反之伪电台则丢弃源电台的拓扑更新包，重新等待拓扑更新直至寻找到目的电台的有效路由。本文220D协议内联网层黑洞攻击的算法如下。

220D协议内联网层黑洞攻击的算法

输入：初始化n个伪电台。

输出：网络的平均吞吐量与丢包率。

1: while 上层事件未触发拓扑更新 do

2: 伪电台监听源电台

3:end while

4: while 源电台未更新路由表 do

5: 伪电台主动触发拓扑更新

6: end while

7: 伪电台捕获源电台的拓扑更新包

8: 解析目的电台IP地址

9: 伪电台查询路由表

10: if 路由表中不存在到达目的电台的路由 then

11: 等待拓扑更新

12: else

13: 伪电台修改到达目的电台路由路径

14: 电台转发路由信息包

15: 源电台选择经伪电台修改后的最短路径

16: 源电台建立完整的路由

17: 伪电台选择性丢弃合法数据包

18: end if

19: 计算当前网络的平均吞吐量和丢包率

仿真中为了体现伪电台的攻击特性，合法电台和伪电台的规模与摆放属性参照本文220D协议MAC层抢占信道式攻击的仿真模型如图6，仿真参数配置见表1。仿真中同样选取某个簇内的3级战术电台作为研究对象，簇内25个合法电台和6个伪电台的位置随机分布在680 m×680 m的战术仿真区域内。簇内25个合法电台共配置了10条CBR业务流，均使用220D协议源定向路由机制。6个伪电台在实施内联网层黑洞攻击时的选择性丢包率为0%～100%，当合法业务流经过伪电台时战术管控方可根据不同的攻击策略以一定的丢包率将数据包进行选择性丢弃。

图6 内联网层抢黑洞攻击簇内电台随机位置摆放图Fig.6 Random position distribution diagram of intra-clusterunderIntranet layer blackhole attack

图6中编号为0～24号为合法电台，编号为25～30号为伪电台。在此仿真场景下，10条CBR业务流的源电台、目的电台以及源定向路由路径的仿真结果如表2。可以看到，10条CBR业务流的平均路由跳数为4跳，多数路径均包含了伪电台，部分路径没有涵盖伪电台，这些路径的源电台和目的电台都能在一跳范围内通信。由于220D协议内联网层源定向路由机制基于最短路径优先原则，这些业务流不会受伪电台影响。

表2 内联网层黑洞攻击仿真结果中实际业务流流向Tab.2 Simulation result of actual traffic flow underIntranet blackhole attack

3.2.3 TCP-SYN攻击建模

在战术移动自组网TCP-SYN泛洪攻击的仿真中，NS3模拟器封装的部分源代码在源电台发起SYN请求时未提供半连接队列接口，导致仿真中的服务器电台不能限制TCP连接请求数目。本文在此基础上扩展了SYN连接请求功能，仿真中使用C++ STL模板库提供的set数据结构建立了一个TCP半连接队列，set数据结构作为一种关联式容器存储同一类型的数据，其内部采用高效的平衡检索二叉树可对大量数据实现快速插入、删除与查找等操作。

本文提出一种基于NS3扩展的TCP-SYN泛洪攻击算法，所有电台在发起TCP连接请求后，将自身的套接字信息存放至本文构建的半连接队列中，半连接队列的容量根据实际电台处理信息的能力配置，本文默认设置为128。同时攻击电台以一定的攻击频率创建大量SYN攻击流，每条SYN攻击流的序号且不重复。当攻击频率较大时，SYN攻击流会迅速占满半连接队列的空闲资源，此时目的电台将拒绝接收新的SYN请求包，TCP连接无法建立成功，否则处理正常的3次握手进程。本文基于NS3扩展的TCP-SYN泛洪攻击的算法如下。

基于NS3扩展的TCP-SYN泛洪攻击的算法

输入：全网初始化n个电台。

输出：合法电台建立TCP连接平均成功概率。

1: 构建半连接队列std::setsyn_queue

2: MaxSizesun_queue=128

3: 源电台将IP与port绑定至当前socket

4: 实例化Ipv4EndPoint类对象存储电台信息

5: if 当前源电台为伪电台 then

6: 伪电台实例化不同的Ipv4EndPoint对象

7: 伪电台创建SYN攻击流

8: else

9: 正常源电台构造SYN请求包

10: end if

11: TCP状态位设置为SYN_SENT

12: 目的电台接收SYN请求包

13: if Ipv4EndPoint.size()>Maxsizesyn_queuethen

14: 目的电台拒绝接收SYN请求包

15: else

16: 目的电台提取源电台的Ipv4EndPoint对象，入队syn_queue

17: 目的电台响应当前SYN请求包

18: TCP状态位设置为SYN_RCVD

19: 源电台接收SYN响应包

20: while SYN响应包中Ipv4EndPoint非法 do

21: 源电台丢弃当前SYN响应包

22: if SYN响应计时器超时 then

23: 目的电台重传SYN响应包

24: end if

25: end while

26: 源电台向目的电台发送ACK确认包

27: syn_queue出队当前Ipv4EndPoint对象

28: TCP状态位设置为ESTABLISHED

29: TCP连接建立成功

30: end if

31: 计算合法电台建立TCP连接平均成功概率

图7为TCP-SYN泛洪攻击仿真电台摆放图，仿真参数配置如表3。仿真中同样选取某个簇内的三级战术电台作为研究对象，簇内9个合法电台和3个伪电台的位置固定分布在200 m×200 m的战术仿真区域内。编号为0～8的合法源电台向编号为4的目的电台在0～5 s的仿真时间内随机发起TCP连接，同时编号为9～11的伪电台分布在目的电台周围，每个伪电台对编号为4的目的电台均发起50条SYN攻击流，从而在短时间内迅速占满半连接队列。TCP协议规定，超时重传定时器(retransmission time out timer，RTO timer)如果因为等待SYN请求报文的ACK而超时，若实现上使用的RTO值小于3 s，这个RTO定时器必须被重新初始化为3 s。RTO值随着SYN包的ACK重传失败次数层二进制指数递增，直到超过最大重传次数后关闭本次TCP连接，并释放套接字资源。伪电台通过泛洪瞬间占满半连接队列后，由于攻击流的SYN请求包在5次重传时间(仿真中约为93 s)内无法清除，因而编号为4号目的电台无法将响应合法源电台的TCP服务请求，最终实现攻击效果。

图7 TCP-SYN泛洪攻击仿真中电台摆放图Fig.7 Radio position diagram of TCP-SYN flooding attack

表3 仿真参数配置2Tab.3 Simulator parameter configuration No.2

3.3 仿真结果分析

图8和图9展示了在战术移动自组网MAC层实施抢占信道式攻击的仿真结果。仿真中伪电台通过改变攻击频率来增强对信道资源的抢占能力，同时分别在4种不同的NAD时隙数F值为19，9，4和1下观测攻击效果，最终选取合法电台的平均UDP吞吐量和平均丢包率指标作为网络性能评估依据。

图8 MAC层抢占信道式攻击中合法电台吞吐量变化图Fig.8 Changes of throughput of normal devices under MAC layer occupying channel attack

图9 MAC层抢占信道式攻击中合法电台丢包率变化图Fig.9 Changes of packet loss rate of normal devices under MAC layer occupying channel attack

通过仿真结果可知，当伪电台没有发起攻击时，整个网络中合法电台的平均UDP吞吐量约为6.1 kbit/s，平均丢包率约为0%。缓慢增大伪电台攻击频率至1packets/s附近时，合法电台的UDP吞吐量并未明显下降，此时伪电台不同的F值对网络中吞吐量和丢包率影响甚小，这是由于伪电台攻击频率不够大时，战术无线信道并未产生拥塞，信道利用率不高，即使伪电台以一个较小且固定的NAD时隙数F值攻击战术无线信道在短时间内对合法电台的随机网络接入延迟机制造成很大影响。

继续增大伪电台的攻击频率，伪电台向网络中注入大量攻击包，此时合法电台的平均UDP吞吐量明显下降，平均丢包率明显上升，而伪电台不同的F值下网络性能出现明显差异。在同一攻击频率下，伪电台的F值越小，合法电台的平均UDP吞吐量越小，丢包情况越严重。这种情况下，战术无线信道通讯容量已达饱和，信道资源大量被伪电台抢占，信道产生严重拥塞，而NAD时隙数F值决定了伪电台在接入信道时退避时间的长短。F值越小，伪电台退避时间越短，竞争越激烈。图9中，伪电台攻击频率达到30 packets/s时，F值为19的平均丢包率趋近62%，F值为9的平均丢包率趋近73%，F值为4的平均丢包率趋近85%，而F值为1的平均丢包率甚至趋近96%，合法电台基本不能接入战术移动自组网MAC层。

MAC抢占信道式攻击中伪电台的数量与合法电台的平均丢包率之间的关系如图10，仿真场景中最多布置了6个伪电台，不同伪电台随机布置在簇内，并固定它们的F值为1，通过改变攻击频率和伪电台的数量得出仿真结果。当簇内放置1个伪电台时，此时伪电台的攻击范围有限，只会影响簇内部分合法电台，且当一个伪电台在攻击频率较小时信道竞争并不激烈，在攻击频率为8 packet/s以下时簇内合法电台并未产生丢包，随后缓慢增大攻击频率，簇内合法电台开始产生丢包，丢包率最大趋近13%。当增大伪电台数量后，伪电台的攻击范围随之变大，簇内合法电台开始丢包所需的攻击频率越小，丢包率趋近的值也越大。

图10 MAC层抢占信道式攻击中伪电台数量与丢包率变化Fig.10 Changes between number of attacker and packets of loss under MAC layer occupying channel attack

图11和图12呈现了战术移动自组网内联网层黑洞攻击的仿真结果。此类仿真场景中，簇内合法电台和伪电台的位置都是随机摆放的，并选取正常电台UDP业务流的平均吞吐量和平均丢包率指标作为衡量攻击效果的主要依据。

图11 内联网层黑洞攻击中合法电台吞吐量的变化Fig.11 Changes of throughput of normal devices under Intranet blackhole attack

图12 内联网层黑洞攻击中合法电台丢包率的变化Fig.12 Changes of packet loss rate of normal devicesunder MAC layer occupying channel attack

当伪电台数量为0时，正常电台的平均吞吐量约为1.52 kbit/s，未产生丢包。伪电台数量为3时，正常电台的平均吞吐量随着伪电台丢包的增加而平缓减小。设置伪电台丢包率为100%时，正常电台的平均吞吐量下降到约0.61 kbit/s，相比于没有实施黑洞攻击的网络性能衰减了一半。凡是经过伪电台的正常数据包都被全部丢弃，吞吐量并未衰减至零，这是由于3个伪电台的攻击范围有限，并不能影响到网络中所有正常的数据传输。在6个伪电台全部丢弃正常数据包时，网络中的丢包率上升到80%左右，攻击效果明显比只有3个伪电台好。因而在实施战术移动自组网的黑洞攻击时，伪电台数量越多且丢包率越大时，对整个网络的性能影响越大。

TCP-SYN泛洪攻击仿真结果如图13，在TCP-SYN泛洪攻击仿真中，改变伪电台的攻击频率使得伪电台占满TCP半连接队列的时间不同，一旦TCP半连接队列占满，正常电台新的TCP连接请求将被拒绝。仿真的正常TCP业务流在0～5 s随机发起TCP连接，针对每种攻击频率，仿真都随机选取了若干个不同TCP连接时间，通过测量伪电台在不同攻击频率下正常TCP业务流的平均连接建立成功的概率来衡量泛洪效果。

图13 TCP-SYN泛洪攻击仿真结果Fig.13 Simulation result for TCP-SYN flooding attack

伪电台攻击频率为20 packets/s时，由于TCP半连接队列大小为128，队满时间最少需要6.4 s，而此时正常TCP业务流发起连接请求的时间小于TCP半连接队列的队满时间，因此，正常TCP连接请求可被目的电台响应。继续增大伪电台的攻击频率，TCP半连接队列的队满时间也相应变短，正常TCP连接建立成功的概率急剧下降。当攻击频率达到250 packets/s时，此时TCP半连接队列的队满时间为0.5 s左右，正常TCP连接成功概率趋近于零，攻击效果最好。

4 结束语

本文对战术移动自组网220D协议的脆弱性分层讨论并提出了具体的攻击方案。针对传统的黑洞攻击不适用于220D协议的源定向路由机制，利用伪电台主动触发拓扑更新与修改路由的方式新开发出一种内联网层黑洞攻击方法；为在战术移动自组网传输层实现TCP-SYN泛洪攻击，本文对NS3底层源代码进行拓展，重构半连接队列机制达到攻击效果。仿真结果表明，对比于攻击前指标的变化，对各层实施的攻击技术都使网络性能产生了明显衰减。下一步研究的重点是对战术移动自组网各层协议漏洞提出相应的防护策略，增强战术移动自组网的通信安全。