基于地域通信網流量攻擊方法的仿真研究

摘 要:地域通信網中各節點之間的正常通信是保障作戰勝利的關鍵，由于地域通信網中各節點間的連接多采用無線鏈路，可以使用流量攻擊的方法對鏈路進行攻擊，使各節點通信中斷。在分析流量控制和擁塞控制的基礎上，結合OPNET仿真軟件建立網絡模型，通過仿真研究驗證了流量攻擊法可以有效地使地域通信網通信中斷，達到攻擊的目的。

關鍵詞:地域通信網; 流量攻擊; OPNET仿真軟件; 流量控制; 擁塞控制

中圖分類號:TP393 文獻標識碼:A

文章編號:1004-373X(2010)09-0018-03

Simulation of Traffic Attack in Area Communication Network

XIE Li-jing

(Telecommunication Engineering Institute， Air Force Engineering University， Xi’an 710077， China)

Abstract: The normal communication between all the nodes in the field communication network is the key to ensure the war′s victory. Due to the wireless links is used among each node of the field communication network， the traffic attack method can be used to attack the wireless links， the way which results in communication interruption. By the analysis of flow control and congestion control， the network model was established in combination with OPNET simulation software. The simulation verifies that the traffic attack method can effectively interrupt the field communication network to achieve the purpose of the attack.

Keywords: field communication network; traffic attack; OPNET simulation software; flow control; congestion control

野戰地域通信網[1-2]對抗一直是通信對抗[3]領域研究的熱點和難點，鑒于地域通信網主要采用無線鏈路進行數據的傳輸交換，因此可采用流量攻擊的方法[4-5]來探討如何進行對抗。

1 流量控制和擁塞控制

在通信網絡中，網絡節點包括信息緩沖區、節點處理機、鏈路容量等資源。在某段時間內，如果對網絡中某一資源的需求超過了該資源所能提供的可用部分，那么這一資源在該段時間內會產生擁塞。可以將這一條件寫為:

∑對資源的需求>可用資源(1)

當發生擁塞時，只有少量的信息在網絡中傳輸，而且擁塞仍會很快繼續延伸，最終會導致死鎖現象，這時信息就會停止傳輸。因此要有效地采取流量控制，避免傳輸報文的丟失，網絡性能的下降。

網絡負載與吞吐量之間的關系如圖1所示。

圖中橫坐標表示網絡負載，代表單位時間內輸入網絡的分組數目，網絡負載也稱輸入負載。縱坐標表示吞吐量，代表單位時間內從網絡輸出的分組數目。理想的流量控制網絡，在吞吐量飽和之前，網絡的吞吐量應等于網絡負載。但當網絡負載超過某一限度時，由于網絡資源有限，吞吐量不再增長而是保持在水平線，即吞吐量達到飽和。在理想的流量控制下，網絡的吞吐量仍然維持在其所能達到的最大值。但是，實際的網絡并非如此，由圖1中可以看出，隨著網絡負載的增大，網絡吞吐量的增長速率逐漸減小。即在網絡吞吐量還未達到飽和時，就已經有一部分的輸入分組被丟棄了。更值得注意的是，當網絡負載繼續增大到某一數值時，網絡的吞吐量將下降至零，網絡已經無法工作，即網絡癱瘓，出現死鎖現象。

圖1 網絡負載與吞吐量關系圖

為了避免上述情況的發生，適當地的進行流量控制，吞吐量可以一直隨輸入負載的增加而增長，雖然達不到理想的情況，但和無流量控制的情況相比，由圖中可以看出，在有流量控制的情況下不會出現擁塞現象，更不會出現死鎖現象。但是，為使網絡能夠在高輸入負載時能夠安全運行，就必須在輸入負載較小時，有流量控制的吞吐量比無流量控制時的吞吐量要小，因為流量控制需要一定的開銷。

2 擁塞的成因

若網絡中有許多資源同時產生擁塞，網絡的性能就會明顯變差。整個網絡的吞吐量將隨輸入負荷的增大而下降。

簡單的增加一些資源，例如增大緩沖區的存儲空間，提高鏈路的速率，提高節點計算機的運算速度，不但不能解決擁塞問題，可能會使網絡的性能變得更壞。因為當節點緩沖區的容量太小時，由于無空間暫存會使得到達該節點的分組不得不丟棄。現假設將該節點緩沖區的容量擴展到非常大，于是到達的分組就會在緩沖區的隊列中排隊，不受任何限制。由于輸出鏈路的容量和處理機的速度并沒有提高，因此隊列中的絕大多數分組的排隊等待時間會很長，出現超時重傳的現象，一個重復的分組又重新進入隊列，導致了到達目的地的所有鏈路負載增加。可見，單獨擴大緩沖區的存儲空間同樣會造成網絡資源的嚴重浪費，并不能解決網絡擁塞的問題。因此，改變其中的某個方面并不能解決問題，往往只是把問題轉移到了系統的其他方面。只有當系統的各部分之間達到了某個平衡的狀態，才能避免擁塞現象的發生，否則將無法從根本上解決擁塞的發生。

而且處理機速度太低，或鏈路帶寬不夠也會導致擁塞，當一個節點向某個特定的接收節點發送的報文超過了接收節點處理或者轉發報文的能力時，也會導致擁塞[3]。

3 流量控制的功能

為了解決網絡擁塞控制，采取流量控制的方法，其總目標是網絡中有效地、動態地分配網絡資源(包括信道和節點交換機中的處理機、緩沖區)。具體來說主要功能有:

(1) 防止網絡因過載而引起吞吐量下降和時延增加;

(2) 避免死鎖;

(3) 在互相競爭的各用戶之間公平的分配資源。

4 流量攻擊的實現

對地域通信網的流量攻擊[6-7]的實現首先要對地域通信網絡進行信息偵查，獲取網絡結構、節點情況以及通信信息等相關信息，然后對偵查到的信息進行分析，進而對通信鏈路進行攻擊，來破壞敵方的通信鏈路和節點，目的是使系統負載不斷增加、吞吐量下降，使系統超負荷工作，降低系統的效率，使系統死鎖，導致網絡崩潰無法正常工作。實現流量攻擊需要以下三個階段來完成，如圖2所示。

圖2 流量攻擊示意圖

第一階段:信息偵查。

針對無線網絡采用偵查接收機加上解調設備，截獲無線信道上的信息，采用對于全頻段截獲和對衛星信道截獲，通常能夠截獲網絡中大部分的通信鏈路上的信息，再加上其他如測向等偵查手段，可以了解更多的網絡信息，如鏈路或者是節點的分布情況。

第二階段:信息分析。

分析所截獲到的信息內容PDU，對于加密的信息，對協議控制符進行分析，控制符的作用是各節點的通信程序為了轉發等所需要的信息，一般來說端到端的通信不用加密，所以可以分析PDU中的IP地址，目的地址和路由等信息。通過分析PDU，了解通信的協議實體的源地址和目的地址以及他們的身份，及其有關信息的性質。

第三階段:流量攻擊。

流量攻擊的方法主要有偽造連接初始化、更改報文流和拒絕報文服務。偽造連接初始化可以用偽造身份的方法來企圖建立連接;更改報文流可以對PDU進行多方面的攻擊，修改PDU中的協議控制信息，使PDU被送到錯誤的目的端來破壞它的真實性;可以修改PDU的部分數據來破壞它的完整性;可以刪除或者修改PDU中協議控制部分的序號來破壞它的有序性，使對方無法收到正確的報文信息;拒絕報文服務是指攻擊者刪除通過某一連接的所有PDU，或者延遲一方或兩方的所有PDU。在短時間內向敵接收方發出大量的服務請求，使其為這些服務分配大量的資源，進而使得敵接收方資源耗盡。地域通信網往往進行鏈路加密和端到端加密來保證其身份的安全，并且防止信息被解析。即使如此，也可采用信息復制的方法不斷地反復轉發信息，使敵接收方的節點資源耗盡，造成網絡擁塞，使敵方地域通信系統癱瘓。

5 基于OPNET的仿真研究

在OPNET[8]上創建需要的網絡模型，節點模型以及進程模型[9]。根據地域通信網的移動性，在OPNET上模擬一個移動的網絡，網絡模型和關鍵節點Dest節點模型如圖3，圖4所示。

圖3 流量攻擊方法的網絡模型

圖4 節點Dest的節點模型

通過對關鍵節點Dest的兩個統計量的分析，論證基于流量攻擊法的效果，如圖5，圖6所示。

圖5 節點Dest Traffic Received

圖6 節點Dest Queue Size

從圖5可以看出節點Dest所能接收包的數量的最大值為100，如果到達該節點的包數超過該值，此節點將

不再有能力處理之后到達的包，將其丟棄，這樣正常的通信雙方就受到了攻擊方的破環，造成了雙方不能正常通信，在作戰環境下對于接收即時戰況信息是致命的，可導致通信中斷。

從圖6可以看出在仿真的時間內前50 s Dest節點接收數據的情況是正常的，而后由于攻擊方的干擾其接收數據量大增，增加節點Dest的負荷，使其緩沖區滿，無法正常工作，達到瓦解雙方正常通信的目的。

6 結 語

本仿真僅考慮了針對一個關鍵節點進行流量的攻擊來考察該攻擊方法的效果，從以上幾副圖中可以明顯地看到，對關鍵節點采用流量攻擊的方法可以使得節點間通信的及時性失效，導致不能正常通信，因此采用該方法可以使敵方的通信中斷，造成敵方的整體戰斗力下降。如果同時對地域通信網中的多個關鍵節點同時實施流量攻擊，將會產生更加明顯的攻擊效果，可以在很短的時間內使敵方網絡無法正常通信陷入癱瘓狀態，達到摧毀敵方地域通信網的目的[10-11]。

參考文獻

[1]LINSKY A B. System control for the mobile subscriber equipment(MSE) tactical communication network[J]. IEEE， 1998， 70: 163-166.

[2]BIAGINI William， MASCIARI Michael. Efficient use of SATCOM resources in MSE networks(DAMA for MSE)[J]. IEEE， 1993， 3: 768-773.

[3]肖軍模，周海剛.網絡信息對抗[M].北京:機械工業出版社，2005.

[4]呂久明，呂翠英，張玉.對野戰地域通信網無線傳輸的干擾[J].航天電子對抗，2003(1):44-46.

[5]柯宏發，郝光宇，葛海龍，等.地域通信網的干擾技術研究[J].電子對抗技術，2004，19(3):40-42.

[6]薛麗敏，趙俊閣，華鳴.網絡對抗戰研究[J].艦船電子工程，2007，27(5):121-124.

[7]謝希仁.計算機網絡[M].北京:電子工業出版社，2003.

[8]陳敏.OPNET網絡仿真[M].北京:清華大學出版社，2004.

[9]樓浩英，劉乃安，周國超，等.MSE系統對抗中最佳干擾參數的仿真研究[J].現代電子技術，2003，26(23):104-106.

[10]韓春久.通信對抗戰術的發展趨勢[J].電子對抗技術，2003，18(1):10-12.

[11]朱熠鵬，黃艷.地域通信網——我軍戰術通信網的發展方向[J].軍事通信技術，1998，19(4):12-18.