Mobile Intrusion Detection in Mobilen Ad-Hoc Netzwerken

UNIVERSITÄT ULM · SCIENDO · DOCENDO · CURANDO ·
Universität Ulm
Fakultät Informatik
Abteilung Medieninformatik
Diplomarbeit
MOBILE INTRUSION DETECTION
IN MOBILEN AD-HOC NETZWERKEN
Andreas Klenk
Juni 2003
Gutachter:
Prof. Dr. Michael Weber
Prof. Dr. Jörg Kaiser
Betreuer:
Dipl. Inf. Frank Kargl

Inhaltsverzeichnis
1 Einleitung 1
1.1 Gliederung der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2 Ad hoc Routing, eine neue Perspektive der Kommunikation 3
2.1 Drahtlose Ad hoc Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2 Routing in Ad hoc Netzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.2.1 Drahtlose Kommunikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.2.2 Routing Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2.2.1 Proaktives Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2.2.2 Reaktives Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2.2.3 Dynamic Source Routing . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3 Intrusion Detection 9
3.1 Computersysteme und Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.2 Sicherheit für Ad hoc Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.2.1 Die Funkschnittstelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.2.2 Routing Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.2.3 Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.2.4 Sicherheit durch Reaktion: Intrusion Detection . . . . . . . . . . . . . . . . . . . . 12
3.3 Grundlagen der Intrusion Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.3.1 Intrusion Detection für Festnetze . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.3.1.1 Darstellung eines IDS mit CIDF . . . . . . . . . . . . . . . . . . . . . . 14
3.3.1.2 Signaturanalyse (Misuse Detection) . . . . . . . . . . . . . . . . . . . . . 16
3.3.1.3 Anomalieerkennung (Anomaly Detection) . . . . . . . . . . . . . . . . . 17
3.3.1.4 Spezifikationsbasierte Intrusion Detection . . . . . . . . . . . . . . . . . 20
i

INHALTSVERZEICHNIS
3.3.1.5 Der Anfang der Intrusion Detection . . . . . . . . . . . . . . . . . . . . . 21
3.3.2 Diskussion der Ansätze und ihrer Verwendbarkeit für Ad hoc Netzwerke . . . . . . 22
3.4 Intrusion Detection im mobilen Ad hoc Netzwerk . . . . . . . . . . . . . . . . . . . . . . . 23
3.4.1 Die besonderen Probleme der traditionellen IDS mit Ad hoc Netzwerken . . . . . . 23
3.4.2 Aktuelle Forschung zur Intrusion Detection in mobilen Ad hoc Netzwerken . . . . . 24
3.4.2.1 Watchdog und Pathrater . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.4.2.2 Nodes Bearing Grudges - Das CONFIDANT Protokoll . . . . . . . . . . 25
3.4.2.3 CORE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.4.2.4 Intrusion Detection Techniques for Mobile Wireless Networks . . . . . . 29
3.4.2.5 Intrusion Detection Agent System(IDA) . . . . . . . . . . . . . . . . . . 33
3.4.2.6 Nuglets, ein Vermeidungsansatz . . . . . . . . . . . . . . . . . . . . . . . 34
3.4.3 Bewertung der aktuellen Forschung . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.4.3.1 Vergleich aktueller IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.4.3.2 Anforderungen an ein besseres IDS für Ad hoc Netzwerke . . . . . . . . . 36
4 Verwundbarkeiten des DSR Protokolls 39
4.1 Egoistisches Verhalten und seine Auswirkungen . . . . . . . . . . . . . . . . . . . . . . . . 39
4.2 Böswillige Knoten und deren Schadwirkung . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.2.1 Informationsgewinnung durch böswillige Knoten . . . . . . . . . . . . . . . . . . . 41
4.2.2 Angriff auf den Datenverkehr eines Knotens . . . . . . . . . . . . . . . . . . . . . . 42
4.2.3 Angriff auf die Luftschnittstelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.3 Besondere Verwundbarkeiten des DSR Designs . . . . . . . . . . . . . . . . . . . . . . . . 44
5 Simulation von Ad hoc Netzwerken 47
5.1 Simulation mit ns2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.1.1 Parameter der Simulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
5.2 Simulation egoistischer Knoten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.3 Simulation böswilliger Knoten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6 MobIDS, ein Intrusion Detection System für mobile Ad hoc Netzwerke 57
6.1 Ein sicheres Rahmenwerk für ein IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6.2 Konzept des Intrusion Detection Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.2.1 Aufbau von MobIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.3 Lokale Erkennung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
ii

INHALTSVERZEICHNIS
6.3.1 Overhearing mit dem Promiscuous Mode . . . . . . . . . . . . . . . . . . . . . . . 59
6.3.1.1 Die Problematik des Overhearing . . . . . . . . . . . . . . . . . . . . . . 59
6.3.1.2 Eine verbesserte Technik des Overhearing . . . . . . . . . . . . . . . . . 60
6.3.1.3 Ergebnisse des neuen Overhearing Systems . . . . . . . . . . . . . . . . 61
6.3.2 Probing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
6.3.2.1 Probing in der Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
6.3.2.2 Das Probing Dilemma . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.3.2.3 Ein Probing mit eindeutiger Identifikation des Angreifers . . . . . . . . . 69
6.3.2.4 Ergebnisse der Probing Mechanismen . . . . . . . . . . . . . . . . . . . 72
6.3.3 Erkennung von Egoismus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
6.3.3.1 Die Notwendigkeit Egoismus zu erkennen und zu bestrafen . . . . . . . . 75
6.3.3.2 Aufbau des Erkennungssystems . . . . . . . . . . . . . . . . . . . . . . . 75
6.3.3.3 Erkennung der Knoten in der Nachbarschaft . . . . . . . . . . . . . . . . 77
6.3.3.4 Erkennungsrate von egoistischen Knoten . . . . . . . . . . . . . . . . . . 78
6.4 Bewertungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
6.4.1 Lokale Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
6.4.1.1 Subjektives Ansehen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
6.4.1.2 Die Bildung des Ansehens eines Knotens . . . . . . . . . . . . . . . . . . 80
6.4.1.3 Implementierungsdetails . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6.4.2 Verteilte Bewertungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6.4.2.1 Verteilung von Anschuldigungen . . . . . . . . . . . . . . . . . . . . . . 81
6.4.2.2 Bewertung eines Knotens . . . . . . . . . . . . . . . . . . . . . . . . . . 82
6.5 Reaktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
6.5.1 Reaktion auf erkannte Angreifer im Ad hoc Netzwerk . . . . . . . . . . . . . . . . 84
6.5.2 Ein globaler Reaktionsmechanismus für alle MobIDS Netzwerke . . . . . . . . . . 85
6.5.3 Bewertung der Reaktionsmechanismen . . . . . . . . . . . . . . . . . . . . . . . . 87
6.6 MobIDS auf den Punkt gebracht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
6.7 Die Implementierung von MobIDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
6.7.1 IDSAgent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
6.7.2 IDSApp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
6.7.3 Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
6.7.4 Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
6.7.5 Rating . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
6.7.6 Die Anpassungen des DSRAgent für MobIDS . . . . . . . . . . . . . . . . . . . . . 94
iii

INHALTSVERZEICHNIS
7 Fazit von MobIDS 97
7.1 Ausblick auf Entwicklungsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
A Simulationsarchitektur 99
B Glossar 101
Abbildungsverzeichnis 102
Literaturverzeichnis 111
iv

Kapitel 1
Einleitung
Drahtlose Ad hoc Netzwerke sind sind eine an Popularität gewinnende Form der Kommunikation. Während
die neu entwickelten Routing Protokolle an einem Punkt angelangt sind, an dem sie bereits gute Lösungen
für die definierten Einsatzszenarien bieten, wurde die Sicherheit vernachlässigt. Es gibt eine Vielzahl von
Schwachstellen der Routingprotokolle, die nahezu beliebige Manipulationen durch einen Angreifer zulassen.
Es kann nicht nur die Kommunikation an sich gestört werden, sondern die kommunizierenden Applikationen
werden auch in erhöhtem Maße angreifbar. Zu einem gewissen Grad lassen sich die Routingprotokolle
durch Authentisierung und den Einsatz krypthographischer Funktionen gegen Manipulationen schützen.
Ein Teilnehmer im Ad hoc Netzwerk kann aber trotzdem Pakete verwerfen und in egoistischer Absicht nicht
am Routing teilnehmen; deshalb werden noch andere Verfahren benötigt um mit diesem Verhalten umgehen
zu können.
Diese Arbeit befasst sich aus diesem Grund mit der Erkennung von Angriffen auf das Routing in drahtlosen
Ad hoc Netzwerken. Hierfür wurde das DSR Kommunikationsprotokoll auf Angriffspunkte analysiert. Im
Ergebnis wurden Egoismus und Bösartigkeit als Motivation für eine Störung des Routings identifiziert. Die
Gefährlichkeit solcher Angreifer wurde durch Simulation bestätigt.
Das mobile Intrusion Detection System MobIDS ist ein System, das diesen Angreifern begegnen kann. Dazu
stützt sich MobIDS auf zwei Säulen: die Erkennung und die Reaktion. Es wurden deshalb mehrere neuartige
Methoden der lokalen Erkennung aufgestellt, implementiert und durch Simulation verifiziert.
Das aktivitätsbasierte Overhearing stellt eine Verbesserung in der Erkennung von manipulierten oder gar
nicht weitergesendeten Paketen dar; eindeutiges Probing kann gezielt Tests auf bösartige Knoten im Pfad
unternehmen. Nicht nur bösartiges Verhalten kann erkannt werden, sondern auch egoistisches Verhalten
durch einen Algorithmus, der die korrekte Bearbeitung von Route Requests verifiziert. Die erzielten Ergebnisse
der drei Verfahren zeigen deren Wirksamkeit.
Für die Reaktionskomponente von MobIDS wurde ein Modell aufgestellt, mit dem Angreifer automatisch
vom Netzwerk ausgeschlossen werden. Dazu wurde ein Bewertungsschema definiert und mit den Ergebnissen
der lokalen Erkennung gekoppelt. Diese Bewertungen werden im Netzwerk verbreitet und führen, falls
genügend negative Bewertungen von einem Knoten vorliegen, zu dessen Ausschluss in dem aktuellen Ad
hoc Netzwerk. Darüber hinaus gibt es ein globales System, das bei langanhaltendem bösartigen Verhalten
1

KAPITEL 1. EINLEITUNG
den Teilnehmer aus allen Ad hoc Netzwerke aussperren kann, indem die zur Teilnahme benötigte Identität
nicht verlängert wird.
MobIDS kann damit das Routing gegen bösartige und egoistische Teilnehmer absichern und eine sichere
Kommunikation gewährleisten. Die für Ad hoc Netzwerke spezifischen Angriffspunkte können durch MobIDS
geschützt werden, traditionelle Sicherheitssysteme sind in der Lage den Schutz vor Angriffen auf
Applikationen und Betriebssysteme zu bieten.
1.1 Gliederung der Arbeit
Der erste Teil der Arbeit 1 wird, stellvertretend für andere Routing Protokolle in Ad hoc Netzwerken, Dynamic
Source Routing(DSR) in Kapitel 2 vorstellen. Daraufhin wird in Kapitel 3 eine Einführung zur Sicherheit
in Ad hoc Netzwerken und zur Intrusion Detection insbesondere gegeben. Die wichtigen Publikationen
der aktuellen Forschung werden einzeln aufgegriffen und diskutiert, um später Forderungen für ein besseres
Intrusion Detection System für Ad hoc Netzwerke aufzustellen.
Als erster Schritt zum Entwurf von MobIDS wird in Kapitel 4 das DSR Protokoll einer detaillierten Verwundbarkeitsanalyse
unterzogen. Dazu gehören in Kapitel 5 zahlreiche Simulationen von Angriffen auf das
Protokoll, um die Schadwirkung der jeweiligen Bedrohung einordnen zu können. Danach werden eine Reihe
von typischen Angriffen identifiziert, mit denen MobIDS umgehen können muss.
Im Kapitel 6 werden dann die neuartigen Algorithmen, die die identifizierten Angriffe erkennen können,
vorgestellt. Durch Simulation der erarbeiteten Algorithmen wird deren Wirksamkeit gegen die Angreifer
demonstriert. Erkannte Angriffe werden dann schließlich intern bewertet, um diese Bewertungen mit den
anderen Knoten austauschen zu können. Die Kommunikation der Bewertungen führt damit zu einer koordinierten
Reaktion, um die Stabilität des Netzwerkes zu gewährleisten und bösartige Knoten zu bestrafen.
Diese einzelnen Aufgaben werden durch MobIDS abgedeckt, dessen Gesamtkonzept in diesem Kapitel
ebenfalls vorgestellt wird.
Nach dem Fazit und dem Ausblick der Möglichkeiten der weiteren Vertiefung der Forschung zu MobIDS,
gibt es im Appendix auch noch einen kurze Übersicht über die entwickelte Simulationswerkzeuge. In dem
Glossar werden einige Begriffe aus der Informatik erklärt, die für das Verständnis dieser Arbeit hilfreich
sind.
1 Diese Arbeit wurde nach den neuen amtlichen Rechtschreiberegeln verfasst
2

Kapitel 2
Ad hoc Routing, eine neue Perspektive der
Kommunikation
Dieses Kapitel wird eine Einführung in Ad hoc Netzwerke darstellen und erklären was diese auszeichnet.
Danach wird ein Einblick in die Funktionsweise von DSR, einem Protokoll zum Routing in Ad hoc Netzwerken,
gegeben.
2.1 Drahtlose Ad hoc Netzwerke
Drahtlose Ad hoc Netzwerke sind Netzwerke mit dynamischer Organisation, bei dem die mobilen Knoten
oft nur für begrenzte Zeit Teil des Netzwerkes sind. Ein Ad hoc Netzwerk ist selbstorganisierend und
kommt, um die Topologie des Netzwerkes zu erfassen und Routing zu ermöglichen, ohne eine zentrale
Verwaltungsinstanz und Infrastruktur aus. Das Wissen um die Topologie des Netzwerkes wird dynamisch
durch Kooperation der einzelnen Teilnehmer aufgebaut, die Teilnehmer übernehmen zudem wechselseitig
Weiterleitungsaufgaben.
Die mobilen Knoten haben nur eine kurze Funkreichweite und benutzen andere Knoten zur Weiterleitung,
also das Empfangen und Weiterleiten von Datenpaketen, um die Kommunikationsreichweite zu erhöhen. Ein
Teilnehmer muss sich in Sende- und Empfangsreichweite zumindestens eines anderen Knotens bewegen, um
mit dem Netzwerk kommunizieren zu können. Damit die Kommunikation gewährleistet ist, muss außerdem
über das verwendete Kommunikationsprotokoll sowie über die Hardware zur drahtlosen Kommunikation
eine Übereinkunft bestehen.
Es gibt Ad hoc Netzwerke mit genau bestimmter Identität der Teilnehmer; das ist zum Beispiel der Fall,
wenn alle Knoten derselben Organisation angehören und damit die Identitäten der Benutzer fest mit den
mobilen Geräten verknüpft werden können. Ein etwas allgemeinerer Fall ist, wenn ein vertrauenswürdiger
Dritter die Identität des Teilnehmers bestätigt und diese mit dem Gerät verknüpft hat. Manchmal ist aber
auch nur das Gerät selbst eindeutig identifizierbar. Der schwierigste Fall ist aber, wenn der Teilnehmer
keine unveränderbaren Identifikationsmerkmale besitzt. Dieser Fall ist, solange es keine Standards zur Identifikation
der Geräte etabliert wurde, der typische Fall.
3

KAPITEL 2. AD HOC ROUTING, EINE NEUE PERSPEKTIVE DER KOMMUNIKATION
Wenn die Identitäten festgelegt sind, kann der Grad des Vertrauens zwischen diesen Teilnehmern variieren.
Vertrauen kann sich nämlich nur aus zwei Quellen herleiten: Vertrauen durch positive Erfahrung und
Beobachtung oder Vertrauen durch Sanktionierung bei einem Fehlverhalten. Wer weiß, dass er für sein Fehlverhalten
bestraft wird, ist vertrauenswürdiger als jemand, der weiß, dass er auch bei schlechtem Betragen
keine Konsequenzen fürchten muss.
Die MANET (Mobile Ad hoc Networking Group) ist federführend bei der Definition und Spezifikation von
Mobilen Ad hoc Netzwerken und der dafür geeigneten Netzwerkprotokolle. Die MANET unter dem Dach
IETF (Internet Engineering Task Force) veröffentlichte diverse Publikationen zum Thema, unter anderem
RFC 2501 ”Mobile Ad hoc Networking (MANET): Routing Protocol Performance Issues and Evaluation
Consideration” oder auch Spezifikationen diverser Ad hoc Routing Protokolle.
2.2 Routing in Ad hoc Netzwerken
Im Folgenden wird vorgestellt, wie die drahtlose Kommunikation in Ad hoc Netzwerken vonstatten geht.
Dazu werden auf verschiedenen logischen Ebenen Protokolle benötigt, um Daten zu übertragen.
2.2.1 Drahtlose Kommunikation
Ad hoc Netzwerke können auch mit Drahtverbindungen aufgebaut werden dieser Typ Ad hoc Netzwerk ist
aber nicht Gegenstand dieser Arbeit. Für die drahtlose Kommunikation gibt es nun verschiedene Möglichkeiten:
Für kurze Entfernungen und geringe Sendeleistungen beginnt sich gerade die Technik Bluetooth am Markt
zu etablieren. Eine ältere Technik, die etwas größere Entfernungen zulässt, ist Infrarot. Um mittels Infrarot
zu kommunizieren, ist aber eine Sichtverbindung erforderlich, da die Infrarotwellen leicht abgeschirmt
werden können. Schließlich hat der IEEE 802.11 Standard weite Verbreitung in zahlreichen Produkten gefunden.
Dieses IEEE 802.11 (siehe Tabelle 2.1) bietet eine gute Reichweite, bei ausreichender Bandbreite.
Es gibt noch unzählige andere Standards zur drahtlosen Kommunikation am Markt, aber auf Grund der hohen
Verbreitung von IEEE 802.11 sind viele Simulatoren und Netzwerkprotokolle dafür verfügbar und es
eignet sich deshalb gut für diese Arbeit.
Dieser Standard bietet heute eine Sende- und Empfangsreichweite von bis zu 250 m je nach Geländebeschaffenheit.
Es sind zwei Operationsmodi vorgesehen: Der Erste ist der Infrastrukturmodus. In diesem Modus
wird davon ausgegangen, dass es eine Basisstation gibt. Alle Karten kommunizieren mit dieser Basisstation,
können untereinander aber nicht direkt in Kontakt treten. Alle Daten müssen für eine Verbindung zwischen
zwei Teilnehmern über die Basisstation weitergeleitet werden. Damit ist die Entfernung, die ein Teilnehmer
von der Basisstation entfernt sein darf, auf 250 m beschränkt.
Die andere Betriebsart ist der Ad hoc Modus. In diesem können die Teilnehmer Daten direkt austauschen,
dafür gibt es aber keine Basisstation mehr. Durch Kooperation der Teilnehmer kann die Reichweite des
Netzwerkes erhöht werden, indem Teilnehmer für andere Teilnehmer Daten weiterleiten. Die Reichweite
des Netzwerks ist damit dynamisch, kann die einfache Sendeleistung eines Teilnehmers von 250 m bei Weitem
übertreffen.
4

KAPITEL 2. AD HOC ROUTING, EINE NEUE PERSPEKTIVE DER KOMMUNIKATION
2.2.2 Routing Protokolle
IEEE 802.11
ISM Band bei 2,4 GHz
11 Mbits
48 Bit MAC Geräteadresse
bis 128 Teilnehmer
verbindungslos
Infrastruktur und ad-hoc Modus
40-128 Bit Verschlüsselung RC4
Tabelle 2.1: IEEE 802.11
Jetzt wird entwickelt, wie die Kommunikation in Ad hoc Netzwerken abläuft, dazu wird angenommen, dass
ein Knoten Q einem Ziel Z mindestens ein Paket schicken möchte. Knoten in unmittelbarer Nachbarschaft
sind direkt zu erreichen und benötigen dafür kein ausgefeiltes Protokoll. Weiter entfernte Knoten sind aber
auf die Kooperation der anderen Teilnehmer angewiesen. Diese müssen Pakete im Auftrag von Q entgegen
nehmen und in Richtung von Z weiterleiten (englisch: forwarding). Der gesamte Vorgang des Aufbaus eines
Pfades von einer Quelle Q zu einem Ziel Z und die spätere Nutzung wird als Routing bezeichnet.
Routing Protokolle können als proaktiv oder reaktiv klassifiziert werden.
2.2.2.1 Proaktives Routing
Proaktive Protokolle versuchen alle möglichen Verbindungen im Netzwerk zu erkennen und die Informationen
lokal zu speichern. Wird nun ein Pfad von einer Quelle Q zu einem Ziel Z benötigt, kann das Protokoll
den Pfad dorthin unmittelbar bereitstellen. Jeder Knoten Q kann also mit seiner lokalen Information einen
geeigneten Pfad auswählen und Pakete entlang dieses Pfades schicken. Dieser Auswahlmechanismus kann
entweder alleine durch Q erfolgen oder der nächste Knoten auf dem Pfad wird durch den jeweiligen Knoten
bestimmt, auf dem das Paket gerade angekommen ist.
Das Distanz Vektor Routing ist für drahtlose Ad hoc Netzwerke eine Methode des Routings.
Dabei hat jeder einzelne Knoten für jeden anderen Knoten im Netzwerk einen Vektor der Form (Ziel, Kosten,
nächster Knoten). Alle direkten Nachbarn werden in dem Vektor mit den minimalen Kosten initialisiert,
unerreichbare Nachbarn werden dagegen mit einem unendlichen Wert belegt. Nun werden Kopien dieser
Vektoren an andere Knoten verschickt, die diese erhaltenen Vektoren nun mit den bisherigen Vektoren vergleichen.
Indem transitive Verbindungen genutzt und dabei die Kosten addiert werden, werden nun auch weiter entfernte
Ziele erreichbar. Sind die berechneten neuen Kosten für das Erreichen des Ziels nun kleiner als im
lokalen Vektor für dasselbe Ziel, wird der lokale Vektor durch den neuen Vektor ersetzt. Nimmt man an,
dass die Topologie statisch ist, werden die Vektoren im Laufe der Zeit auf den optimalen Pfad zeigen.
5

KAPITEL 2. AD HOC ROUTING, EINE NEUE PERSPEKTIVE DER KOMMUNIKATION
Der Vorteil des proaktiven Routing ist die geringe Latenz, die benötigt wird, bis das erste Paket gesendet
werden kann. Es können optimale Pfade zum Ziel gefunden werden.
Dieser Ansatz birgt nun aber einige Probleme: Die Pfade bei sich verändernden Topologien werden schnell
ungültig, dadurch muss das Protokoll ständig die Vektoren neu austauschen und erzeugt einen großen Overhead
im Netzwerk,4444 bis schließlich kaum mehr Kapazitäten für den eigentlichen Datenverkehr vorhanden
ist. Damit ist proaktives Routing für schnell veränderliche Netzwerke ungeeignet.
Die einzelnen Stationen müssen die Informationen über die Topologie speichern. Wenn eine Station ausfällt
führt das zu komplizierten Störungen im Routing.
2.2.2.2 Reaktives Routing
Reaktive Protokolle sind die andere Kategorie der Ad hoc Routing Protokolle. Diese versuchen einen Pfad
in dem Moment aufzubauen, in dem dieser benötigt wird. Sie reagieren also auf Anfragen von Q und bauen
daraufhin einen Pfad von Q nach Z auf.
Dieses Verfahren hat den Vorteil, dass die aktuelle Topologie zur Bildung einer Route benutzt wird, außerdem
wird nur Overhead für das Routing Protokoll erzeugt, wenn eine Route benötigt wird.
Ad hoc On Demand Distance Vector (AODV) oder Destination Sequenced Distance Vector Routing (DSDV)
sind reaktive Protokolle; in dieser Arbeit wird aber vor allem das Dynamic Source Routing (DSR) untersucht.
2.2.2.3 Dynamic Source Routing
Das in [JMB01] vorgestellte Dynamic Source Routing Protokoll, kurz DSR 1 , ist ein reaktives Protokoll.
Bei DSR gibt es die Route Discovery, um Pfade von einer Quelle zu einem Ziel, die sogenannten Source
Routen, zu entdecken. Die Source Routen bestehen aus einer Liste von Knoten, die ein Paket nacheinander
durchlaufen muss, um am Ziel anzukommen. Jedes Datenpaket in diesem Netzwerk enthält eine Source
Route. Damit haben in dieser einfachen Form die Hops eine reine Weiterleitungsaufgabe und müssen keinen
Zustand speichern.
Die Route Discovery wird mit Hilfe der Route Request Nachrichten implementiert. Ein Route Request ist eine
Nachricht, die das Ziel, die Quelle und eine leere Source Route enthält. Dieses Route Request Nachricht
wird von der Quelle an alle Nachbarn in Sendereichweite geschickt. Das geschieht mit einem speziellen
Paket, das an alle adressiert ist, die es empfangen können, ein sogenanntes Broadcast Paket.
Jeder Knoten, der einen Route Request erhält, den er noch nicht bearbeitet hat, fügt seine eigene Adresse
an die letzte Position der Source Route und schickt den Route Request dann mit einem Broadcast weiter.
Der nächste Knoten, der diesen Route Request empfängt, verfährt genauso. Irgendwann erreicht der Route
Request dann das Ziel.
Das Ziel nimmt die im Route Request enthaltene Source Route und sendet einen Route Reply mit der empfangenen
Source Route zum Ziel zurück. Das kann bei einem Netzwerk mit bidirektionalen Verbindungen
dadurch geschehen, dass die Reihenfolge der Stationen der Source Route einmal umgedreht wird. Das
1 In dem Rahmen der Diplomarbeit soll nur ein kurzer Überblick über DSR gewährt werden; um den Ablauf des Protokolls im
Detail zu verstehen empfiehlt es sich [JMB01] und [JMHJ02a] zu konsultieren.
6

KAPITEL 2. AD HOC ROUTING, EINE NEUE PERSPEKTIVE DER KOMMUNIKATION
Route Reply Paket folgt dann dieser umgedrehten Source Route zur Quelle. Gibt es keine bidirektionalen
Verbindungen, muss das Ziel einen Route Request zur Quelle aussenden, welcher allerdings zusätzlich die
empfangene Source Route enthält.
Quelle
D
{ }
{A,D}
D
{A}
A
{A} C
{A,C}
{A,C ,E}
E
{A,C}
Abbildung 2.1: DSR Route Request
Quelle
D
{A,D}
D
{A,D}
{A,D}
A
E
C
Abbildung 2.2: DSR Route Reply
Es gibt in DSR zwei Optimierungen der Route Discovery: Der Route Cache ist von zentraler Bedeutung,
denn er speichert die Routen ab, von denen der Knoten Kenntnis hat. Will dieser Knoten nun ein Paket
schicken, prüft er, ob sich die benötigte Route bereits im Route Cache befindet. Durch diesen Mechanismus
können viele Route Requests eingespart werden. Der Route Cache kann aber auch während der Route Discovery
helfen, indem ein Knoten, der einen Route Request erhält, prüft, ob er eine Route zum Ziel kennt.
7

KAPITEL 2. AD HOC ROUTING, EINE NEUE PERSPEKTIVE DER KOMMUNIKATION
Kennt er diese, wird die Route im Cache mit der Route im Route Request duplikatfrei zusammengefügt und
zur Quelle geschickt.
Die Ring-0-Search limitiert die Reichweite der Route Requests. Wie die später in dieser Arbeit gefundenen
Ergebnisse zeigen, befinden sich über ein Drittel der Ziele eines Route Requests in direkter Nachbarschaft.
Bei der Ring-0-Search wird der Route Request zuerst mit einer kurzen Reichweite von einem Knoten, dann
von zwei Knoten, dann von vier Knoten,... geschickt, bis ein Route Reply zurückkommt.
Nachdem mit der Route Discovery ein Pfad von der Quelle zum Ziel gefunden wurde, können Pakete
zum Ziel gesendet werden. Parallel tritt DSR in die Phase der Route Maintenance ein. Diese ist ein
Mechanismus, der eine Kontrolle bietet, ob eine genutzte Verbindung noch funktioniert. Dazu wird eine
Bestätigungsnachricht (Acknowledgement) von jedem Knoten verschickt, um den Empfang eines Datenpaketes
zu quittieren. Dieses Acknowledgement kann in Hardware implementiert sein oder durch das Netzwerkprotokoll.
Wird, nachdem ein Paket gesendet wurde, von einem Knoten kein Acknowledgement empfangen, wird versucht
das Paket nochmals zu schicken. Bleibt die Bestätigung auch nach mehreren Versuchen aus wird die
Verbindung zwischen diesen beiden Knoten als getrennt angesehen.
Um die verlorene Verbindung zu signalisieren, gibt es in DSR die Route Error Nachricht. Diese wird an
alle Knoten geschickt, die diese Verbindung momentan benutzen. Die Route Error Nachricht enthält, außer
einer Quelle und einem Ziel, den Knoten auf der Route, der unerreichbar ist.
Tritt ein Route Error auf, sieht das DSR Protokoll noch die Möglichkeit vor, dass der Knoten, der die
verlorene Verbindung erkennt, das Paket trotzdem noch zum Ziel schickt. Dazu wird die Route mit einer
alternativen Route aus dem Route Cache kombiniert, um das Paket doch noch zu senden. Diese Technik
nennt sich Salvaging.
Das reaktive DSR hat gegenüber den proaktiven Protokollen den Vorteil, dass DSR nur Netzwerkverkehr
generiert, wenn Pakete gesendet werden sollen. Die Verwaltung der Routen erzeugt nur einen kleinen Aufwand,
die Korrektheit der Routen ist einfach sicherzustellen.
Aus Sicht eines Intrusion Detection Systems ist DSR gut geeignet, da die Source Routen leicht zu analysieren
sind. Durch die Source Routen wird nachvollziehbar, welche Knoten für die erfolgreiche Auslieferung
eines Paketes kooperiert haben. Das in dieser Arbeit vorgestellte MobIDS stützt sich deshalb auf DSR, wobei
die zu Grunde liegenden Mechanismen auch in andere Protokolle integriert werden können.
Bevor MobIDS erarbeitet wird, werden im nächsten Kapitel Intrusion Detection Systeme behandelt, wie sie
den aktuellen Stand der Forschung ausmachen.
8

Kapitel 3
Intrusion Detection
Computer Systeme sind verwundbar und das umso mehr, je mehr sie mit anderen Systemen interagieren.
Sicherheit ist deshalb gerade in Ad hoc Netzwerken, deren Teilnehmer sich ständig auf ihre Nachbarn verlassen
müssen, wichtig. In diesem Kapitel werden wir die etablierten Sicherheitskonzepte kennenlernen, die
konventionelle wie auch Ad hoc Netzwerke absichern können.
3.1 Computersysteme und Sicherheit
Seit es Computersysteme gibt war auch deren Schutz ein wichtiges Thema. Genügte am Anfang noch ein
bewachtes Gebäude, aus dem niemand etwas hinein oder heraus tragen konnte, ist es heute nicht mehr so
einfach ein System zu schützen. Aktuelle Systeme sind verteilt und vernetzt, oft sogar vom Internet aus
erreichbar. Das macht es ungleich schwieriger das System zu schützen. Zuerst wollen wir uns Gedanken
darüber machen, welche Eigenschaften eines Systems zu schützen sind. In [RG92] wurde eine Einteilung
vorgestellt.
1. Daten-Sicherheit (information security)
2. Kommunikations-Sicherheit (communications security)
3. Schutz des Equipments (physical security)
Jeden dieser drei Bereiche kann man wiederum unter drei Aspekten betrachten:
1. Heimlichkeit / Vertraulichkeit (secrecy / confidentiality)
2. Genauigkeit / Integrität / Echtheit (accuracy / integrity / authenticity)
3. Verfügbarkeit (availability)
9

KAPITEL 3. INTRUSION DETECTION
3.2 Sicherheit für Ad hoc Netzwerke
Sicherheit in Computer Netzwerken befasst sich mit allen Angriffsformen, die über ein Netzwerk ausgeführt
werden können. Es gibt verschiedene Ansatzpunkte in Software und Hardware, um ein Sicherheitssystem
zu integrieren, das vor einem Großteil der Angriffe schützt oder sie zumindest erkennt. Zuerst müssen wir
uns aber Gedanken darüber machen, welche Komponenten Angriffe vermeiden und erkennen können.
Reaktion und Kontrolle
IDS
System
Firewall
abgesichertes Routing
fehlertolerante Kommunikation
Abbildung 3.1: Schichtenmodell eines Sicherheitssystems für Ad hoc Netzwerke
In Abbildung 3.1 wird schematisch eine Staffelung von Sicherheitmechanismen gezeigt, die für Ad hoc
Netzwerke relevant sind. Die Funkschnittstelle ist gegen physikalische Störungen der Kommunikation geschützt.
Das abgesicherte Routing gibt bestimmte Garantien bezüglich Authentizität des Absenders und Korrektheit
der Routinginformationen. Darauf setzt die Firewall auf, die das System von Angreifern abschottet; hinzu
kommen Sicherheitsmechanismen im System selbst.
Parallel zu der Firewall und der Systemsicherheit operiert die Intrusion Detection. Sie kann oberhalb des
abgesicherten Routings Angreifer passiv und aktiv erkennen und analysiert Aktivitäten an der Firewall und
im System.
Es soll nun ein kurzer Überblick über die Rahmenbedingungen und Interaktionen mit den anderen Sicherheitskomponenten
des Systems gegeben werden.
3.2.1 Die Funkschnittstelle
Die Datenübertragung über Radiowellen ist prinzipbedingt anfällig gegen Störungen. Das erste Ziel ist es gegenüber
zufälligen Störungen im Frequenzband (Rauschen) unempfindlich zu sein. Dies wird durch Spread
Spectrum Kommunikation erreicht.
Mit Spread Spectrum Kanalkodierung wird für Punkt zu Punkt Verbindungen eine hohes Maß an Sicherheit
gegenüber Störungen (engl. jam) des Sendesignals erreicht. Spread Spectrum verteilt mittels eines Spread
10
sicherheitsrelevanten Ereignisse

KAPITEL 3. INTRUSION DETECTION
Codes die Datenübertragung auf viele unterschiedliche Frequenzen, wodurch eine Unempfindlichkeit gegenüber
zufälligen Störungen einer bestimmten Frequenz erreicht wird. Damit Sender und Empfänger wissen,
auf welchen Frequenzen sie lauschen müssen, gibt es eine Übereinkunft, wann auf welchen Frequenzen
zu senden ist.
Ein willkürliches Stören mehrerer Frequenzbänder erfordert ein große Sendeleistung des Angreifers bei nur
geringer Schadwirkung. Wie aber bei der Analyse der Angriffe auf das DSR Protokoll in Abschnitt 4.2.2
später gezeigt wird, gehen Ad hoc Netzwerke heute von einem allgemein bekannten Spread Spectrum Codes
aus, um Broadcasts durchzuführen.
Das eröffnet einen neuen Angriffspunkt: mit dem bekannten Spread Spectrum Code können Frequenzen
gezielt gestört werden, auf denen ein Mobiles Gerät als nächstes senden würde. Für diesen Angriff wird
aber nur eine geringe Sendeleistung benötigt, wodurch solche Angriffe wieder gefährlich werden.
3.2.2 Routing Sicherheit
Das Routing ist bei Ad hoc Netzwerken besonders anfällig gegenüber Angriffen. In Kapitel 4 werden später
verschiedene Angriffe auf DSR anaylsiert. Die meisten machten sich die Anfälligkeit des Routings gegenüber
Manipulationen zu Nutze.
Bei DSR ist besonders die Source Route zu schützen, ein Protokoll das dies leistet wurde mit ARIADNE
[HPJ02] vorgestellt. Dieses Protokoll sichert die Source Route ab, indem jeder Knoten seinen Eintrag im
Route Request authentifiziert. Die Authentifizierung erlaubt festzustellen, ob der Routeneintrag von einem
anderen Knoten als dem Erzeuger manipuliert wurde.
Durch das Verfahren von ARIADNE können Source Routen und alle übrigen Routing Informationen effizient
vor unauthorisierten Veränderungen geschützt werden. Dieses Verfahren hatte aber auch einige Nachteile,
vorallem die für jedes Paket vorhandene Latenzzeit, die nicht unterschritten werden konnte. Die Arbeiten
der Abteilung Medieninformatik zu diesem Thema, können für das Problem der Latenzzeit eine Lösung
bieten.
3.2.3 Firewalls
Ist das Routing abgesichert, kommen alle Pakete unverändert am Ziel an. Die Applikationen können nun
aber auch direkt angegriffen werden.
Idealerweise sind Applikationen immun gegen Angriffe und können deshalb auch ungeschützt im Netzwerk
zugreifbar sein. Designzwänge und verwendete Algorithmen der Applikationen machen sie angreifbar und
dadurch zu einer gefährlichen Hintertür in ein System. Hinzu kommen noch Anfälligkeiten durch schlechtes
Design, Programmierfehler und mangelhafte Konfiguration und Wartung des Systems.
Eine effektive Möglichkeit ist, den Zugriff von außen auf diese Schwachstellen im System zu versperren.
Dafür gibt es Firewalls, deren Aufgabe es ist den Zugriff von außen auf bestimmte, als sicher angesehene
Applikationen zu erlauben und alle anderen Zugriffe zu verweigern. Firewalls nutzen das Konzept von
TCP/IP, dass Applikationen über definierte und wohlbekannte Ports (Ports können als Kommunikationskanäle
gesehen werden) mit der Außenwelt kommunizieren. Es genügt also, alle Ports zu sperren, bis auf
die, die auch von außen zugreifbar sein müssen.
11

KAPITEL 3. INTRUSION DETECTION
Dieses Konzept kann die Angriffsmöglichkeiten auf einige Applikationen begrenzen.
3.2.4 Sicherheit durch Reaktion: Intrusion Detection
Es wurden nun Möglichkeiten gezeigt Angriffe zu vermeiden oder abzuwehren. Diese Ansätze waren passiv
gegenüber den Angriffen; es wurde versucht die Angriffe auszuschließen.
Das Problem kann aber auch andersherum angegangen werden, indem ein reaktives System eingesetzt wird.
Wenn es gelingt Angriffe zu erkennen und das Angriffsziel festzustellen, kann eine Gegenstrategie angewandt
werden. Intrusion Detection Systeme können dies nun leisten, wie im nächsten Abschnitt gezeigt
wird.
3.3 Grundlagen der Intrusion Detection
Intrusion Detection ist oft die letzte Abwehrfront eines Computer Systems gegen Eindringlinge. Sie muss
Angriffe erkennen und Gegenmaßnahmen einleiten können.
3.3.1 Intrusion Detection für Festnetze
Die erste Definition der Intrusion Detection stammte von Andersons Publikation über Intrusion Detection
aus dem Jahr 1980 [And80]:
The potential possibility of a deliberate unauthorized attempt to
• access information,
• manipulate information, or
• render a system unreliable or unusable.
Ähnlich definierten Heberlein et al. [HLM91] eine Intrusion als
... eine Menge von Handlungen, deren Ziel es ist die Integrität, die Verfügbarkeit oder die
Vertraulichkeit eines Betriebsmittels zu kompromittieren.
Ziel der Intrusion Detection ist nun möglichst alle Angriffe auf das Netzwerk zu erkennen und daraufhin
geeignete Maßnahmen einzuleiten. Diese Angriffe können von außen gerichtet sein, aber auch von innen,
von einem Benutzer mit direktem Zugang zu den Systemressourcen.
Ein IDS besteht deshalb aus zwei wichtigen Komponenten: Die Erkennung einer feindlichen Aktivität (Intrusion
Detection System, IDS) und die Reaktion auf diese Erkenntnis (Intrusion Response System, IRS).
ID Systeme versuchen folgenden Aufgaben gerecht zu werden:
12

KAPITEL 3. INTRUSION DETECTION
• Überwachung der System- und Nutzeraktivität
• Vorverarbeitung der Daten
• Erkennung von Angriffen auf das System
• Gegenmaßnahmen auf einen Angriff
• Analyse der Verwundbarkeiten des Systems und der Systemkonfiguration
Zur Erkennung der feindlichen Aktivität werden Audit Daten aus verschiedenen Quellen im System genutzt.
Audit Daten sind Daten die auf verschiedenen Ebenen im Netzwerk und im Computer gesammelt werden.
Diese Daten können meist auf einen Benutzer abgebildet werden.
• Betriebssystem: Hier werden Daten über Ressourcenzugriffe, Nutzerverhalten und Ressourcenverbrauch
protokolliert.
• Applikation: Auf dieser Ebene werden spezifische Ereignisse über die Aktivität der Applikation festgehalten.
Insbesondere sind Benutzerinteraktion und resultierender Zugriff auf Ressourcen interessant.
• Netz: Es werden hier Daten über die Chrakteristika des Netzwerkverkehrs erfasst. Oft werden direkt
auf Netzwerkprotokollebene die Audit Dateien geschrieben. Das führt aber später zu Schwierigkeiten
einen Zeit- und Nutzerbezug herzustellen.
Die heute etablierten IDS können bei der Erkennung nach Signaturanalyse (siehe Kapitel 3.3.1.1), Anomalieerkennung
(siehe Kapitel 3.3.1.2) und spezifikationsbasierter Erkennung (siehe Kapitel 3.3.1.3) unterschieden
werden. Die Signaturanalyse versucht Handlungen im System zu erkennen, die bekanntermaßen
schädlich sind. Die Anomalieerkennung geht von einem normalen Verhalten aus und schlägt bei signifikanten
Abweichungen davon Alarm. Spezifikationsbasierte Erkennung definiert das zulässige Verhalten und
wertet jede Abweichung davon als kritisches Ereignis.
Die Reaktion ist meist passiv, das heißt, es werden entsprechende Audit Daten erzeugt und der zuständige
Sicherheitsbeauftragte alarmiert. Zu den aktiven Reaktionen eines IDS gehört gezieltes Sammeln von Informationen
über das angreifende System bis hin zum Anstoßen von Gegenmaßnahmen.
Eine von der Bundesanstalt für Sicherheit in der Informationstechnik beauftragten Studie [HK98] machte
folgende Einteilung der Angriffsformen auf Computersysteme und Netzwerke. Das sind auch die typischen
Intrusions, mit denen ein IDS umgehen können muss.
• Niedrige Ebene:
– ARP-, IP- oder ICMP-Angriffe
– Verschiedene Formen von Spoofing
– Verschiedene Formen von Überflutung
13

KAPITEL 3. INTRUSION DETECTION
– Verschiedene Formen von Tunneln
• Mittlere Ebene:
– Aktiver/passiver FTP-Angriff
– DNS-, X11-, NIS- und NFS-Angriffe
• Hohe Ebene:
– Angriffe auf Authentisierungsmechanismen
– Missbrauch von Anwendungen
– Verteilter, koordinierter Angriff
3.3.1.1 Darstellung eines IDS mit CIDF
Das Common Intrusion Detection Framework (CIDF) definiert ein Komponentenmodell zum Aufbau von
Intrusion Detection Systemen. Es gibt dabei einen Ereignisgenerator (E-Box), eine Analyseeinheit (A-Box),
einen Teil für Gegenmaßnahmen (G-Box) und schließlich eine Einheit zur Speicherung der Daten (D-Box);
siehe Abbildung 3.2.
Die Internet Engineering Task Force (IETF) arbeitet mit einer Arbeitsgruppe daran das CIDF Modell durch
ein verbessertes Modell zu ersetzen. Um das Verständnis von IDS zu vertiefen, ist das CIDF aber gut geeignet.
Analysis
A - Box
Countermeasure
C - Box
Event
E - Box
Raw
Events
Abbildung 3.2: Komponenten eines IDS nach CIDF
14
Storage
D - Box

KAPITEL 3. INTRUSION DETECTION
Mit der E-Box (engl. Event Box) werden verschiedene Ereignisse des Systems (z.B. auf Netzwerkprotokollebene,
Kernelebene, Applikationsebene...) erfasst und in ein einheitliches Format gebracht. Die E-Box
muss große Datenmengen verarbeiten und ist deshalb ihrerseits angreifbar durch Eindringlinge.
Die A-Box (engl. Analysis Box) ist die Analyseeinheit. Sie nimmt die Ausgabe der E-Box und analysiert
diese, meist durch Signaturanalyse. Hier können Techniken der Signaturanalyse (siehe Kapitel 3.3.1.1) und
der Anomalieerkennung (siehe 3.3.1.2) zum Einsatz kommen.
Die D-Box führt nun Protokoll über die durch die Analyseeinheit gewonnenen Daten, ebenso wie über die
Daten der E-Box. Dies ermöglicht später Angriffe an Hand dieser Audit Daten nachzuvollziehen. Üblicherweise
werden Datenbanken zur Speicherung dieser großen Datenmengen benutzt.
Die C-Box (engl. Countermeasure Box) ist schließlich für die Alarmierung eines Sicherheitsbeauftragten
zuständig. Die C-Box kann aber noch weitergehende Fähigkeiten haben: Sie kann aktiv auf eine Intrusion
reagieren, es können Schritte zur Identifizierung des Angreifers, Schutz des Systems vor weiteren Schäden
und die Beseitigung entstandener Schäden Ziel sein.
Meistens wird versucht Daten über den Angreifer zu sammeln um seine Identität festzustellen, indem
beispielsweise der Einwahlpunkt ins Internet in Erfahrung gebracht wird, ebenso wie versucht wird ein
möglichst charakteristisches Bild von dem System des Angreifers zu bekommen (z.B. durch Portscans).
Diese Daten ermöglichen es dann später eine Strafverfolgung einzuleiten. Es ist sogar ein Gegenangriff
durch ein IRS durch einen Denial of Service Angriff auf das System des Angreifers denkbar.
Hostbasierte IDS
IDS, die nur auf einem Host arbeiten, werden hostbasiert genannt. Alle IDS waren am Anfang hostbasiert,
da es kaum Netzwerke gab. Hostbasierte IDS analysieren das Systemverhalten aus Sicht des Hosts, indem
alle lokal vorhandenen Informationen wie Audit Informationen des Betriebsystems analysiert werden. Da
die Laufzeit dieser Art IDS sehr lange ist, werden sie zumeist nur einmal am Tag aktiviert.
Hostbasierte IDS können feststellen, ob Angriffe erfolgreich waren oder nicht. Der Nachteil von hostbasierten
IDS ist, dass diese nur vergangene Angriffe entdecken, sie können keine Aussage machen, wie ein
Angriff zu Stande kam. Gelingt es dem Angreifer Kontrolle über den Rechner zu erhalten, kann er alle Hinweise
löschen, die das hostbasierte IDS erkennen könnte. Gibt es eine Reihe von Angriffen auf verschiedene
Rechner im Netzwerk, werden diese Ereignisse nicht in Zusammenhang gebracht.
Netzbasierte IDS
Netzbasierte IDS analysieren die einzelnen Pakete im Netzwerk auf Angriffsmuster. Sie laufen in Echtzeit
ab und können Angriffe durch eine geeignete Reaktion verhindern. Ein netzbasiertes IDS kann mehreren
Rechner schützen, muss allerdings Zugriff die gesamte Kommunikation im Netzwerk haben. Verschlüsselte
15

KAPITEL 3. INTRUSION DETECTION
Verbindungen verhindern den erfolgreichen Einsatz von netzbasierten IDS. Diese können Attacken erkennen,
die zu keinen Einträgen im Audit führen und deshalb nicht von hostbasierten Systemen erkannt werden.
Beispiele solcher Angriffe sind Manipulationen an den Statusinformationen der Pakete und Angriffe, die
keinen Erfolg hatten.
3.3.1.2 Signaturanalyse (Misuse Detection)
Bei Signaturanalysesystemen (engl. Misuse Detection Systems) wird versucht ein schädliches Verhalten
oder gar einen Angriff zu erkennen. In diesen Systemen werden große Datenbanken gepflegt, in denen verschiedene
Angriffsmuster (Signaturen) gespeichert sind. Das ID System wendet nun diese Signatur auf die
anfallenden Audit Daten an. Es werden dafür die verschiedenen Ausgaben der E-Box auf bekannte Signaturen
von Angriffen untersucht; dabei wird meist ein einfaches ”Pattern Matching” verwandt, also die 1 zu 1
Überprüfung auf Übereinstimmung. Bei einem solchen primitiven Pattern Matching sind alle Permutationen
eines Angriffs in der Datenbank aufzunehmen.
Die Ausgabe des Systems ist nur ein ’Angriff erkannt’/’kein Angriff erkannt’, es gibt also keine differenzierte
Analyse der Schwere des Angriffs. Lediglich die Häufigkeit dieser Angriffe ist ersichtlich, die Schwere
geht daraus nicht hervor.
Experten Systeme sind immer noch sehr verbreitet. Deren Datenbank besteht aus einem Satz hart kodierter
Regeln, oft in der Form von if.. then.. else.. Konstrukten. Es wird auf eine Anomalie (gefährliche
Signatur) geprüft und eine Reaktion darauf festgelegt. Solche Regeln können zum Beispiel: if ’Anomalie
erkannt’ then ’Sperre-Account’ sein. Mit IDES [DN85] wurde durch Denning und Neumann ein frühes Experten
System geschaffen.
Die Qualität der Erkennung hängt sehr stark von der Qualität der Regeln und der Aktualität der Datenbank
ab, außerdem müssen die Regeln an das spezifische Netzwerk angepasst werden.
Zustandsautomaten könne auch zur Signaturanalyse verwendet werden. Es wird abstrahiert, dass bei Angriffsversuchen
mehrere Zustände durchlaufen werden. Der Zustand des zu überwachenden Systems wird
mit einem Zustandsautomaten dargestellt. Das IDS verwaltet nun für die bekannte Angriffe je ein Zustandsübergangsdiagramm.
Das IDS versucht nun die Zustandsübergänge mit dem Diagramm der Angriffe zu vergleichen.
Das Erreichen eines Endknotens in einem Angriffsbaum bedeutet, dass das beobachtete Verhalten
als Angriff gilt und signalisiert wird. Die abstrahierten Zustandsübergänge und die leichter verständliche
Darstellung eines Angriffs sind ein großer Vorteil dieses Systems. Es hat damit die Fähigkeit nur Aktionen
zu betrachten, die einen Angriff signalisieren, und Aktionen, die ein Pattern Matching System ablenken
würden, nicht zu berücksichtigen. Das STAT System [Por92] war das erste System mit dieser Technik.
Bewertung der Signaturanalyse
Die Signaturanalyse ist das am Markt etablierte System. Es gibt auch eine Reihe von praktischen Gründen
für diese Technik:
16

KAPITEL 3. INTRUSION DETECTION
• Installations- und Wartungsaufwand sind gering. In der Regel können direkt vom Hersteller aktuelle
Signaturen bezogen und eingespielt werden.
• Die IDS sind effizient, da die verwendeten Algorithmen oft nur geringe Komplexität haben.
• Attacken im Internet werden oft durch Skripte ausgeführt und folgen deshalb einem exakt bestimmbaren
Muster, aus dem dann leicht eine passende Signatur erzeugt werden kann.
• Ein erkannter Alarm ist in den Audit Daten leicht überprüfbar und nachvollziehbar.
• Solche Systeme haben nur eine geringe Rate von Fehlalarmen (engl. false positive rate)
Die Signaturanalyse hat aber auch Nachteile:
• Unbekannte, neue Angriffsarten können nicht erkannt werden.
• Das System ist sehr abhängig von der Qualität der Regeln und Flexibilität des Erkennungsmodells.
• Bei pattern matching genügt eine leichte Abwandlung des Angriffs um nicht erkannt zu werden.
• Die Anpassung der Signaturdaten an ein spezifisches System ist sehr aufwändig.
3.3.1.3 Anomalieerkennung (Anomaly Detection)
Die Anomalieerkennung (engl. Anomaly Detection) geht davon aus, dass der Nutzer eines Systems ein statistisch
erfassbares und regelmäßiges Verhalten zeigt. Die Nutzungszeit, die Häufigkeit der Nutzung, der
Ressourcenverbrauch und regelmäßig genutzte Programme können ein dafür benötigtes Nutzerprofil bilden.
Nun wird angenommen, dass signifikante Abweichungen von diesem Profil einen Angriff signalisieren. Der
Ausgabewert gibt an, wie stark die Abweichung vom Normalverhalten ist, also mit welcher wahrscheinlich
ein Angriff erkannt wird. Abhängig davon können verschiedene abgestimmte Reaktionen und Benachrichtigungen
erfolgen.
Die Anomalieerkennungssysteme können in programmierte und in selbstlernende Systeme unterteilt werden.
Im ersten Fall werden die als normal angesehenen Parameter fest definiert. Der Nachteil ist, dass das
System bei sich änderndem Nutzerverhalten und sich ändernden Parametern keine sinnvolle Erkennung
mehr liefern kann.
Selbstlernende Systeme versuchen dynamisch, meist über ein Zeitfenster, das Benutzerverhalten statistisch
zu erfassen. Um diese Systeme zu starten müssen sie am Anfang erst mit Referenzdaten angelernt werden.
Bei lernenden Systemen haben die Referenzdaten einen entscheidenden Einfluss auf die Qualität der Erkennung.
17

KAPITEL 3. INTRUSION DETECTION
Datenanalyse
Bei der statistischen Analyse wird zuerst versucht das normale Verhalten der Benutzer durch verschiedene
Parameter zu erfassen. Dazu werden die Parameter am aktuellen System analysiert und es wird versucht
Normalwerte und Varianz zu bestimmen. Es ist in manchen IDS auch möglich das Verhalten durch bedingte
Wahrscheinlichkeiten zu erfassen, unter Zuhilfenahme von zustandsabhängigen Parametern. Typische Parameter
sind CPU- und Netzwerkauslastung, Zugriffe auf Ressourcen, Login Versuche, Nutzungsfrequenzen,
etc... .
Ein einfaches System der statistischen Analyse ist es, daraus Schwellenwerte (engl. threshold) zu bilden
und diese in das IDS zu speisen. Das aktuelle Verhalten eines Benutzers wird nun in den gleichen Metriken
erfasst. Überschreitet ein Parameter nun einen Schwellenwert, wird das als Intrusion angesehen und die C-
Box übernimmt die weiteren Schritte.
Man kann noch ein Schritt weiter gehen: Oft ist es nämlich aufschlussreich, in welcher Reihenfolge bestimmte
Aktionen ausgeführt werden. Deshalb wird versucht vorherzusagen, welche Reihenfolge von Befehlen
normal ist; Abweichungen von der erwarteten Sequenz werden signalisiert. Wenke Lee stellte einen
Satz von geeigneten informationstehoretischen Maßen [LX00] vor, mit denen Audit Daten auf Anomalien
hin analysiert werden können. Dazu werden die Daten mit bestimmten Funktionen charakterisiert und die
Daten entsprechend strukturiert, so eine möglichst präzise Aussage möglich ist.
Definition 1 (Entropie). Für Daten X, bei denen jedes Element x ∈ CX ist, ist CX die Klasse der Daten und
P(x) die Wahrscheinlichkeit von x in X und es gelte
H(X) = ∑ P(X)log
x∈CX
1
P(x)
Die Entropie bezeichnet den Informationsgehalt. Man kann es sich so vorstellen, je mehr Bits benötigt werden,
um eine Nachricht zu kodieren, desto größer ist der Informationsgehalt und desto größer entsprechend
die Entropie. In der Anomalieerkennung wird die Entropie verwendet, um die Regularität der Daten zu
messen. Alle Daten und Kommandos, die im Normalbetrieb vorkommen, werden als Basis für die spätere
Berechnung definiert. Für den regulären Betrieb sollten dann immer nur kleine Entropien errechnet werden,
für ein abweichendes, abnormales Verhalten dagegen eine große Entropie.
Entsprechend kann man dann auch die relative Entropie definieren als:
Definition 2 (relative Entropie).
relEntropie(p|q) = ∑ p(x)log
x∈CX
p(x)
q(x)
Das ist nun der Abstand zwischen zwei Wahrscheinlichkeitsverteilungen p(x) und q(x), die beide Element
CX sind. Für IDS wird nun ein Trainingsdatensatz genommen und mit Hilfe der relativen Entropie mit den
aktuellen Daten im System verglichen. Je kleiner diese Entropie, desto ähnlicher und regulärer sind die Daten.
Ein solcher Trainigsdatensatz kann aus einem laufenden System genommen werden oder konstruiert
sein. Ist er konstruiert, muss man wachsam sein, dass nicht bereits das normale Benutzerverhalten Abweichungen
von den konstruierten Daten aufweist.
18

KAPITEL 3. INTRUSION DETECTION
Definiert man nun die relative konditionale Entropie als
Definition 3 (relative konditionale Entropie).
relKondEntropie(p|q) = ∑ p(x|y)log
x,y∈CX ,∈CY
p(x|y)
q(x|y)
erhält man die obige Formel für Sequenzen für Ereignisse.
p(x|y) gibt die Wahrscheinlichkeitsverteilung in Abhängigkeit eines vorigen Ereignisses y an. Damit werden
also in einem IDS Sequenzen von Ereignissen analysiert.
Definition Informationgewinn (Information Gain) von Attribut A auf Datensatz X ist
Definition 4 (Informationsgewinn).
|Xv|
Gain(X,A) = H(X) − ∑ |X| v∈Values(A)
H(X)
Values(A) gibt alle möglichen Werte von A an. Xv ist eine Teilmenge von X, in der A den Wert x hat. Mit
diesem Maß kann nun auf der Datenmenge bestimmt werden, wie hoch der Informationsgewinn bei einer
bestimmten Aufspaltung der Datenmenge ist. Je höher GAIN für diese Aufspaltung, desto schärfer können
die Daten charakterisiert werden.
Zusammenfassung: Vorgehen bei der Datenanalyse für die Anomalieerkennung
Zuerst muss ein sauberer Trainingsdatensatz zusammengestellt werden. Dieser soll das Verhalten der Benutzer
möglichst gut widerspiegeln. Dieser Trainigsdatensatz muss aber ohne Angriffe vorliegen (sonst würde
das System diese Angriffe als Normalzustand ansehen).
Danach wird nun der Informationsgewinn für bestimmte Partitionierungen maximiert. Auf dieser gefundenen
Partitionierung wird nun weitergearbeitet. Können nur geringe Informationsgewinne gefunden werden,
ist auch die Erkennungsrate des IDS unbefriedigend.
Jetzt können z.B. mit der relativen konditionalen Entropie Abweichungen der laufenden Daten festgestellt
werden. Das Ziel ist das System so einzustellen, dass möglichst viele echte Angriffe zu einem Alarm führen,
es aber wenige Fehlalarme gibt.
Bewertung der Anomalieerkennung
Die Anomalieerkennung ist auch heute noch ein Thema aktueller Forschung und vieler Publikationen. Diese
Systeme bieten einige Vorteile:
• Automatische Erkennung auch von unbekannten Angriffen.
• Ein perfekt an die Parameter eines Zielsystems angepasstes IDS kann so theoretisch Angriffe erkennen,
die nicht durch Signaturanalyse erkannt werden.
19

KAPITEL 3. INTRUSION DETECTION
• Dynamische Anpassung an sich ändernde Konfiguration des zu schützenden Systems.
Es gibt leider noch eine Reihe von Nachteilen, die die praktische Nutzung der reinen Anomalieerkennung
bisher verwehrt haben.
• Die hohe Rate von Fehlalarmen führt in der Praxis dazu, dass die wirklich stattfindenden Angriffe
in der Menge der Fehlalarme übersehen werden. Es gibt Angriffe, die das ausnutzen, indem viele
Fehlalarme provoziert werden.
• Das Ergebnis ist oft nur ’ungewöhnliches Verhalten beobachtet’, die Analyse muss dann wieder ganz
der Administrator leisten. Eine automatische Reaktion ist somit ausgeschlossen.
• Viele Attacken werden nicht erkannt, weil keine passende Metrik spezielle Angriffe registriert.
• Die selbst lernenden Systeme können durch einen Angreifer so trainiert werden, dass der eigentliche
Angriff unerkannt bleibt.
• Die Referenzdaten müssen ohne jegliche Intrusion sein; dies kann aber nur durch aufwändige Analysen
sichergestellt werden.
• Die Wahl der Schwellenwerte ist sehr schwierig und nicht deterministisch bestimmbar.
• Solche Systeme registrieren langsame Attacken, die unter dem Schwellenwert bleiben, nicht, obwohl
die Schadwirkung beträchtlich sein kann.
• Computer und Netzwerke ändern sich in der Regel sprunghaft (neue Hardware, viele neue Benutzer,...)
und überlagern durch die Menge der Fehlalarme wichtige Alarme im IDS.
Reine Anomalieerkennung gibt es in der Praxis bisher nicht. Diese Techniken werden hauptsächlich in
hybriden Systemen als Ergänzung zur Signaturanalyse verwandt.
3.3.1.4 Spezifikationsbasierte Intrusion Detection
Spezifikationsbasierte Intrusion Detection ist der jüngste Ansatz der Intrusion Detection, erstmals eingeführt
durch Ko 1996 [KFL96]. Das Revolutionäre daran ist, genau zu spezifizieren, was einer Software erlaubt
ist. Jedes feststellbare nicht spezifizierte Verhalten wird als Intrusion gewertet. Dieser Ansatz ist ähnlich der
Anomalieerkennung, verlässt sich aber nicht auf schwer nachvollziehbare mathematischen Regeln, sondern
auf händische Spezifikationen des Programms.
Für diesen Ansatz werden meist einfache, zum Teil kontextfreie Grammatiken verwendet, welche die genauen
Rechte festlegen. Es werden vor allem die Schnittstellen zwischen Programm und Betriebsystem und
zwischen Programm und Rechte über andere Programme spezifiziert.
20

KAPITEL 3. INTRUSION DETECTION
Bewertung
Die spezifikationsbasierte ID liefert experimentell sehr gute Ergebnisse; keine Fehlalarme bei guter Erkennungsrate.
Dennoch gibt es auch hier positive und negative Aspekte zu beleuchten.
Vorteile der spezifikationsbasierten Intrusion Detection:
• Die Regeln sind verständlich und nachvollziehbar. Bei einer Intrusion ist ganz genau feststellbar, was
sie versuchte und nicht durfte. Die C-Box kann dementsprechend automatisch reagieren.
• Die Regeln sind vor Ort anpassbar.
• Verschiedenen Programmen können unterschiedliche Profile zugeteilt werden.
• Kein Wissen über Angreifer oder Angriff ist nötig für die Erkennung.
• Es sind auch Fehler der Software auffangbar.
Nachteile bei dieser Methode:
• Für alle Programme im System sollten Spezifikationen existieren. Programme ohne Spezifikation sind
sonst ein Angriffspunkt.
• Es ist ein großer Aufwand eine Software so zu spezifizieren, dass sie ohne Alarm in diesem System
funktioniert.
• Die Granularität, nur die offenen Schnittstellen zu spezifizieren, reicht nicht aus. Es kann zum Beispiel
wünschenswert sein den Zugriff auf bestimmte Teile einer Datei zu erlauben, auf andere Teile aber zu
verwehren.
3.3.1.5 Der Anfang der Intrusion Detection
Ein erstes Pioniersystem wurde durch Anderson vorgestellt [And80]. Dieses System konnte bereits Audit
Daten automatisch analysieren und war ein erstes Signaturanalyse System für Mainframes. Anderson gab
mit dieser Publikation den Anstoß zur Entwicklung automatischer Intrusion Detection Systeme.
Bereits 1972 hatte Anderson [And80] angefangen für militärische Computersysteme Tools zu schaffen, mit
denen große Mengen an Audit Daten auf Intrusions überprüft werden konnten. Auch in kommerziell genutzten
Computernetzwerken wurden die Angriffe häufiger und rege Forschungsaktivität setzte ein, um diese zu
erkennen und zu vereiteln.
Intrusion Detection Systeme (kurz IDS) wurden in den 80er Jahren auch für kommerziell betriebene Rechenzentren
ein Thema. In den USA wurden damals Blue Boxes verkauft, Geräte, mit denen kostenlose
Anrufe getätigt werden konnten, indem bestimmte von der Telefongesellschaft intern genutzen Signale erzeugt
wurden. Diese Angriffe wurden damals manuell mühsam aus logfiles rekonstruiert, jedoch mit geringen
Erfolgen, da die Datenmengen einfach zu groß waren. AT&T setzte damals eines der ersten Intrusion
Detection Systeme ein, um diese Manipulationen zu erkennen und eine Strafverfolgung zu ermöglichen.
21

KAPITEL 3. INTRUSION DETECTION
Eine weitere Arbeit auf diesem Gebiet war IDES von Denning und Neumann [DN85]. Für das IDES System
wird angenommen, dass es ein normales Verhalten der Benutzer gibt: Angriffe und Manipulationen am System
weichen dagegen von dem Standard Verhalten ab und sind deshalb verdächtig. Dieses System wertete
Audit Daten des Systems aus und erstellte für jeden Benutzer ein Profil über die letzten 50 Tage. Es wurden
Audit über CPU Last, Loginversuche pro Stunde oder auch ausgeführte Befehle je Session ausgewertet.
Diese ersten Systeme haben alle nachfolgenden IDS entscheidend geprägt, nun sollen aber die Lösungen für
Ad hoc Netzwerke vorgestellt werden.
3.3.2 Diskussion der Ansätze und ihrer Verwendbarkeit für Ad hoc Netzwerke
Es wurden bis jetzt IDS Systeme für drahtgebundene Netzwerke vorgestellt. Diese haben sich in der Praxis
bewährt und sind inzwischen unverzichtbarer Bestandteil für den Schutz von Computer Netzwerken geworden.
Können diese bestehenden Systeme, entsprechend modifiziert, ein gleiches Maß an Sicherheit auch für
Ad hoc Netzwerke etablieren?
Viele Ansätze der ID sind bisher zentral organisiert; dies ermöglichte eine leichtere Administration und reduzierte
die Angriffsmöglichkeiten auf das IDS selbst. Ad hoc Netzwerke gehen dagegen von einer sehr dynamischen
Struktur mit ständig wechselnden Teilnehmern aus. Zuerst wäre ein Teilnehmer auszuwählen, dessen
Hardware ein solches zentrales System beherbergen sollte. Dieser Teilnehmer müsste vertrauenswürdig
sein, sein System müsste von allen Punkten im Netz erreicht werden können und das System selbst müsste
Zugriff auf die Kommunikation zwischen allen Knoten haben.
• Das erste Problem ist schon, in einem Netzwerk den erforderlichen, absolut vertrauenswürdigen
Teilnehmer zu finden. In Ad hoc Netzen sind per se beim Eintritt eines Teilnehmers keine Informationen
über diesen verfügbar. Vertrauen muss in irgendeiner Form erst aufgebaut werden - unmöglich
eine Wahl zu treffen in der initialen Phase, wenn ein Ad hoc Netz sich erstmals bildet.
• Das nächste Problem wäre die Kommunikation des zentralen IDS mit den Teilnehmern. Durch die
Hop zu Hop Kommunikation eines Ad hoc Netzes würden alle Daten über die umliegenden Knoten
des IDS geleitet. Diese wären also stark beansprucht und, abgesehen von dem hohen Energieverbrauch
an diesen Knoten, würden die Nachbarn alleine schon wegen der geringen zur Verfügung stehenden
Bandbreite einen Bottelneck in der Kommunikation darstellen.
• Schließlich müsste das IDS auch noch alle verfügbaren Daten im Netz analysieren können. Es ist davon
auszugehen, dass sich immer ein Teil der Kommunikation außerhalb der Empfangsreichweite des
zentralen IDS zuträgt. Bei einer solchen zentralen Lösung müssten viele Datenströme über das IDS
umgeleitet werden. Das wäre bei der typischen Kommunikationshardware eines Ad hoc Netzwerkes
nicht realisierbar.
22

KAPITEL 3. INTRUSION DETECTION
• Wenn es ein solches zentrales IDS gäbe, müsste immer noch das Nachfolgeproblem gelöst werden:
Was ist zu tun, wenn der Teilnehmer, der das IDS betrieben hat, das Netz verlässt oder zeitweise von
den anderen Knoten nicht erreicht werden kann? Dann müsste ein IDS an anderer Stelle gestartet
werden, möglichst mit dem Wissen von den bisher gesammelten Daten.
3.4 Intrusion Detection im mobilen Ad hoc Netzwerk
3.4.1 Die besonderen Probleme der traditionellen IDS mit Ad hoc Netzwerken
Zu den Problemen der typischen zentralen IDS Systemen kommen noch spezifische Sicherheitsprobleme
eines Ad hoc Netzes.
• Die Kommunikation erfolgt über ein öffentliches Medium, die Luft. Jeder in Empfangsreichweite
kann die Radiowellen belauschen und erhält somit Zugriff auf die Kommunikation. Ein böswilliger
Knoten könnte sogar Daten in den Verkehr einschleusen und fremde Daten fälschen.
• Das Kommunikationsmedium, die Luft als Radiowellenträger, muss mit allen Teilnehmern geteilt
werden. Die verfügbare Bandbreite ist begrenzt und zudem sind die Übertragungen störanfällig gegenüber
anderen Teilnehmern und äußeren Einflüssen.
• Bei den traditionellen ID Systemen fallen große Datenmengen an, die eine hohe Rechenleistung
benötigen, um diese zu analysieren. Bei Ad hoc Netzwerken sind typischerweise die Ressourcen
begrenzt. Die meisten Geräte werden mit Batterien oder Akkumulatoren als Energiequelle betrieben
und müssen sparsam mit Rechen- und Festplattenressourcen umgehen.
• Die meisten bestehenden IDS verlassen sich in letzter Instanz auf das Urteil eines gelernten Administrators,
der die Entscheidung über Reaktion und Schwere eines Angriffs fällt. In Ad hoc Netzwerken
muss von ungelernten Endnutzern ausgegangen werden, denen das Verständnis von Netzinterna und
Sicherheitsmechanismen fehlt. Deshalb können diese nur schwer ein Urteil über eventuelle Angriffe
fällen.
• Ad hoc Netzwerke brauchen, um zu funktionieren, die Kooperation möglichst aller Teilnehmer. Speziell
der Aufbau der Routen im Netz sowie das Weiterleiten von Paketen liegen in der Pflicht jedes
einzelnen Knoten. Diese Knoten könnten aber versuchen die eigenen Ressourcen zu schonen, indem
nur im eigenen Nutzen kommuniziert wird. Fremde Pakete würden dann nicht weitergeleitet und ein
solcher Knoten würde dann auch am Aufbau von Routen nicht teilnehmen. Ein solches Verhalten
nennen wir Egosimus.
23

KAPITEL 3. INTRUSION DETECTION
Anforderungen an ein IDS in einem dynamischen Ad hoc Netzwerk:
1. Ein IDS muss nicht nur böswillige Knoten erkennen, sondern auch zur Kooperation im Netzwerk
motivieren.
2. Das IDS muss dezentral ausgelegt sein. Es darf nicht mehr von einem Punkt im Netzwerk ausgegangen
werden, durch den alle Datenströme serialisiert durchgereicht werden.
3. Das IDS muss davon ausgehen, dass in der Startphase keine initiale Vertrauensbeziehungen zwischen
den Teilnehmern vorhanden sind. Die Teilnehmer kennen sich typischerweise gegenseitig nicht.
4. Das System muss die vorhandenen Ressourcen sparsam nutzen. Insbesondere Energiespeicher, Rechenkapazität,
Speicherplatz und Kommunikation sollen möglichst für den Endanwender reserviert
bleiben.
5. Es werden ständig neue Angriffsmethoden entwickelt, deshalb ist es wichtig, dass das System erweiterbar
ist, um auf neue Bedrohungen reagieren zu können.
Diese neuen Anforderungen, die durch die Ad hoc Netzwerke entstanden sind, haben ein neues Teilgebiet
in der Sicherheitsforschung geschaffen: Die Intrusion Detection in mobilen Netzen.
3.4.2 Aktuelle Forschung zur Intrusion Detection in mobilen Ad hoc Netzwerken
In diesem Kapitel werden verschiedene Verfahren der aktuellen Forschung zur Erkennung von böswilligen
und nicht kooperativen Knoten vorgestellt. Es ist erkennbar, wie aktuell dieses Thema ist, wenn man sieht,
dass die meisten Arbeiten zu Intrusion Detection im Mobilen Ad hoc Netzwerken erst in den letzten drei
Jahren entstanden sind.
Die Ansätze haben teilweise verschiedene Ziele: Während mit Watchdog und Pathrater ein reiner Erkennungsansatz
verfolgt wird, ist das Gegenstück Nuglets, das die Knoten durch eine künstliche ’Währung’ zur
Kooperation motiviert. Bei dem Erkennungsansatz gibt es fast nur Misuse Detection Systems; im vorletzten
Kapitel wird der anderen Ansatz der Anomalieerkennungssystem von Wenke Lee vorgestellt.
3.4.2.1 Watchdog und Pathrater
Das DSR Protokoll mit seinen Verwundbarkeiten stimulierte Sergio Marti zu seiner Arbeit über Watchdog
und Pathrater [MGB00]. Die Watchdog Komponente basiert auf dem Promiscuous Mode. In diesem werden
alle Pakete verarbeitet, die empfangen werden können, im Gegensatz zu Unicast Verbindungen, bei denen
nur Pakete aktiv verarbeitet werden, die an diesen Empfänger adressiert sind. Der Watchdog soll prüfen,
ob der nächste Knoten auf dem Pfad das Paket auch wirklich weiterleitet und ob dieser die Daten im Paket
manipuliert.
Der Knoten hat dazu eine Liste von allen Paketen, die er an einen anderen Knoten sendet. Der andere Knoten
soll dieses Paket dann weiterleiten, wenn das Paket sein Ziel noch nicht erreicht hat. Der Watchdog
überprüft, ob er hören kann, dass der andere Knoten das Paket unverändert weiterschickt. Stellt der Watchdog
eine Änderung am Paket fest oder empfängt der Watchdog nicht, wie das Paket weitergeleitet wird,
24

KAPITEL 3. INTRUSION DETECTION
dann wurde hier ein böswilliger Knoten erkannt. Der Watchdog wartet nur eine bestimmte Zeit, bis er das
Paket als durch seinen Nachbarn zerstört ansieht.
Jetzt wird eine Nachricht über den böswilligen Knoten an die Quelle das Paketes geschickt. Der Path Rater
bezieht aber auch das Wissen über Knoten, die ihre Forwarding Funktion nicht erfüllen, in seine Routenfindung
mit ein. Der Path Rater meidet in Zukunft Routen, die über einen böswilligen Knoten verlaufen.
Sendereichweite von B
Quelle A
B Ziel
Watchdog
Paket
weiterleiten
Abbildung 3.3: Watchdog mit Overhearing einer Nachricht
Abbildung 3.3 zeigt das Overhearing der Nachricht im Promiscuous Mode durch den Knoten A. A hat also
ein Paket an B geschickt, welches B an das Ziel weiterleiten sollte. Entsprechend hat A dieses Paket in seine
Tabelle aufgenommen und wartet darauf, dass es von B das Forwarding des Paketes empfängt.
Wenn B das Paket weiterleitet, empfängt A auch dieses Paket und entfernt es aus seiner Tabelle. Verändert
B dagegen das Paket und A empfängt es oder A empfängt gar nichts, dann wird das als böswillige Handlung
angesehen.
Der Watchdog und Pathrater Ansatz kann einfaches Fehlverhalten im Netzwerk zuverlässig erkennen. Durch
Simulation wurde gezeigt, dass mit diesem Protokoll deutlich mehr Pakete ihr Ziel erreichen als ohne das
Protokoll. Es wurden 50 Knoten simuliert, von denen 40% böswillig waren. Ohne das Protokoll erreichten
64% der Pakete ihr Ziel, mit Protokoll 85%.
Der verwendete Promiscuous Mode hat, wie in Kapitel 6.3.1.1 beschrieben, eine Reihe von Problemen,
die das Protokoll aushebeln können. Außerdem kann diese Protokoll nichts gegen egoistisches Verhalten
bewirken. Ein Knoten, der um Ressourcen zu schonen, fremde Pakete verwirft und nur in eigenem Interesse
kommuniziert, wird auch noch belohnt. Zukünftig meidet der Pathrater diesen Knoten für neue Routen.
Darüber hinaus darf der egoistische Knoten aber trotzdem noch kommunizieren!
3.4.2.2 Nodes Bearing Grudges - Das CONFIDANT Protokoll
Eine grundlegende Argumentation über die Auswirkungen von Egoismus auf Ad hoc Netzwerken wurde
von Sonja Buchegger in ihrer Arbeit Nodes Bearing Grudges [BB01] geführt. Sie leitet aus der Biologie
25
Sendereichweite von B

KAPITEL 3. INTRUSION DETECTION
die Motivation zur Bestrafung böswilliger, bzw. egoistischer Knoten her. Ohne Gegenmaßnahmen, argumentiert
sie, werden egoistische Knoten überhand nehmen und dadurch die korrekte Funktionsfähigkeit des
Netzwerkes unterminieren.
Um dem entgegen zu steuern skizziert sie das Grudger Protokoll. In diesem kontrollieren sich die Knoten
gegenseitig in ihrer Nachbarschaft durch Overhearing der Nachrichten. Sie glaubt dadurch Änderungen
und das Nicht-Weiterleiten von Paketen erkennen zu können. Die Knoten kommunizieren ihre Beobachtungen
untereinander und intern mit Alarm Nachrichten. Eine Alarm Nachricht warnt vor einem erkannten
bösartigen Knoten und wird an alle Knoten in der Freundesliste geschickt. Diese Liste umfasst alle Knoten,
denen dieser Knoten traut.
Path Manager
(Pfade anpassen)
Alarm Nachricht
Trust Manager
(Alarm Tabelle)
Toleranz überschritten
überwachen
Ihr System besteht aus den folgenden Komponenten:
Reputation System
(Alarm- und
Ereignisanalyse)
Ereignis
Toleranzbereich
Monitor
Abbildung 3.4: Trust Architektur des Grudger Protokolls
• Monitor erfasst Pakete der Nachbarn im Promiscuous Mode und versucht potentiell bösartiges Verhalten
zu erkennen. Der Monitor erzeugt dann ein Ereignis für das Reputation System.
26

KAPITEL 3. INTRUSION DETECTION
• Reputation System ordnet den Knoten einzelnen Ratings zu. Diese werden aus eigener Beobachtung
(hohes Gewicht) und von fremden Alarm Nachrichten (nach Vertrauenswürdigkeit der Quelle
gewichtet; immer geringer als eigene Beobachtung) erzeugt. Wenn die Schwelle der zu tolerierenden
Erkennungen eines Angriffs überschritten ist, wird der Path Manager benachrichtigt.
• Trust Manager fasst die Alarm Nachrichten zu einer Bewertung zusammen. Der Trust Manager
nimmt auch von anderen Knoten empfangene Ratings in die Bewertung auf. Er sendet Alarm Nachrichten
zu allen Knoten aus seiner Freundesliste.
• Path Manager soll entsprechend der Ratings Pfade mit böswilligen Knoten vermeiden und seinerseits
keinen Datenverkehr böswilliger Knoten weiterleiten. Die Quelle von Paketen, die über einen
böswilligen Knoten gehen, werden durch eine Alarm Nachricht informiert; ist diese Quelle der böswillige
Knoten, wird das Paket verworfen.
Die Einteilung des Systems von Buchegger war richtungsweisend durch die Aufteilung in die verschiedenen
Module. Der Ansatz böswillige Knoten zu bestrafen, indem ihre Pakete verworfen werden, ist eine effektive
Motivation zur Kooperation. Allerdings ist das System nicht praktisch implementiert und lässt deshalb viele
zentrale Problemstellungen unbeantwortet.
Das konkrete Rating der Knoten wird nicht spezifiziert. Es werden keine Mechanismen angedacht, wie
das IDS seinerseits sicher gegen Angreifer gemacht werden kann. Sie verlässt sich zur Erkennung von
Böswilligkeit einzig auf den Promiscuous Mode, der, wie in [MGB00] gesehen, viele Probleme mit sich
bringt und keine sichere Erkennung gewährleisten kann. Das Aufstellen der Freundesliste geschieht willkürlich
und ist weder auf Sicherheit noch auf Performance abgestimmt.
Zusammenfassend bleibt festzustellen, dass Buchegger’s System interessant ist, aber auch, dass nicht gezeigt
wurde, dass das System auf diese Weise funktioniert. Bisher ist sie die Simulationsergebnisse und
auch Beweise grundlegender Algorithmen schuldig geblieben.
3.4.2.3 CORE
CORE ist ein Akronym für ’Collaborative Reputation Mechanism’. Dies kann ins Deutsche übersetzt in
etwa als ”Gemeinschaftlicher Bewertungsmechanismus” wiedergegeben werden. Michardi und Molva haben
in [MM01] diesen Ansatz umrissen. Bei diesem bewerten sich die Knoten im Netzwerk gegenseitig
und tauschen diese Bewertungen aus. Werden Knoten schlecht bewertet, werden diese bestraft; Knoten, die
kooperieren, werden durch eine gute Bewertung belohnt. Durch Bestrafung soll Kooperation der Knoten
erzwungen werden.
Michardi stellte ein allgemeines System auf, bei dem mit dem Promiscuous Mode die Ausführung einer
bestimmten Funktion von dem überwachten Knoten kontrolliert wird. Wird die überwachte Funktion anders
als erwartet ausgeführt oder gar nicht ausgeführt, wird die Bewertung deutlich verschlechtert. Eine solche
Funktion stellt beispielsweise das Weiterleiten eines Paketes oder die Teilnahme am Routingprotokoll dar.
Der Funktionswert ist dann die resultierende Bewertung für das beobachtete Verhalten.
27

KAPITEL 3. INTRUSION DETECTION
Ein Knoten hat drei Rollen im System:
• Requestor ist ein Knoten, der eine bestimmte Funktion durch den Provider ausführen lassen will.
Er schickt dazu die Anfrage an den Provider, der die entsprechende Funktion dann ausführt. Führt
der Provider die Funktion nicht korrekt aus, erkennt der Requestor das und bewertet dieses Verhalten
negativ.
• Provider bietet seine Dienste dem Requestor an und führt die angeforderte Funktion aus. Ein korrekt
funktionierender Knoten muss die angeforderte Funktion ausführen.
• Peer validation, auch übersetzbar als ”Partnerbewertung”, überprüft negative Nachrichten über einen
Knoten auf Plausibilität.
Wird in diesem System ein Fehlverhalten von einem Knoten M erkannt, wird eine explicit DoS Nachricht
gesendet, die besagt, dass dieser Knoten zukünftige Anfragen von M nicht mehr ausführen wird. Die Knoten
im Umkreis überprüfen ihre Bewertungen von M; wenn diese nun aber positiv sind, wird die explicit DoS
verweigert und dafür bekommt der Absender der explicit DoS eine schlechtere Bewertung.
Bewertungsfunktion
Die Bewertungsfunktion aggregiert die Teilbewertungen subjektives Ansehen und mittelbares Ansehen zu
einer Bewertung von einem Knoten.
Subjektives Ansehen (subjective reputation)
Das subjektive Ansehen wird durch direkte Beobachtungen des Knotens gewonnen und geht in die lokale
Bewertung ein.
Definition 5 (subjektives Ansehen).
r t si (s j| f ) = ∑ρ(t,tk) · σk
r t si (s j| f ) bezeichnet das subjektive Ansehen eines Knotens i zur Zeit t von einem Knoten j. Es wird die
zeitabhängige Funktion ρ(t,tk) verwendet, um den vergangenen Ereignissen eine höhere Relevanz zu geben
als das Ereignis, welches gerade erst stattgefunden hat. Die k-te Bewertung wird durch σk ausgedrückt; es
gilt σk ∈ [−1,1]. Ein σk > 0 steht für eine positive Beobachtung, ein negativer Wert entsprechend für eine
negative. Ein Knoten bewertet mit dieser Funktion nur Nachbarn in unmittelbarer Umgebung.
28

KAPITEL 3. INTRUSION DETECTION
Mittelbares Ansehen (indirect reputation)
Mittelbares Ansehen ir t si (s j| f ) wird von anderen Knoten erhalten; entweder direkt oder durch Beobachtung
eines Verhaltens und Rückschluss auf die beteiligten Knoten. Es werden mit diesem Mechanismus nur
positive Bewertungen verteilt, um diese Angriffsmöglichkeit zu minimieren.
In der Publikation wird eine spezielle Bestätigungsnachricht (Acknowledgement - ACK), die den benutzen
Pfad enthält und nach dem Ausführen der Funktion f an den Requestor zurückgeschickt wird, verwendet.
Diese ACK Nachricht enthält eine Bewertung von allen Knoten, die zur korrekten Ausführung der Funktion
kooperiert haben.
Aggregation
Mehrere Funktionswerte werden nun zu einem Wert aggregiert.
r t si (s j) = ∑ k
wk · {r t si (s j| fk) + ir t si (s j| fk)}
Mit wk wird die Gewichtung der einzelnen Funktion bezeichnet, fk sind die Funktionen. Somit steht r t si (s j)
für die Bewertung eines Knotens j, die ein Knoten i besitzt.
Bewertung
CORE bietet ein interessantes System, das bereits bestehende Verfahren wie Watchdog und Pathrater in
einem übergeordneten Rahmenwerk kombiniert. Es ist außerdem eines der wenigen Systeme, die sich der
Kommunikation zwischen den verteilten IDS näher annehmen und diese genauer spezifizieren.
Später in dieser Arbeit wird gezeigt werden, dass nur wenige Knoten das Wissen von einem böswilligen
Knoten haben. Damit wird aber eine explicit DoS Nachricht von den meisten Knoten als böswillig erkannt
und der Absender abgewertet. In einem normalen Szenario kann es also leicht vorkommen, dass warnende
Knoten bestraft werden, während der böswillige Knoten ungeschoren davonkommt, besonders wenn es der
böswillige Knoten nur auf ein bestimmtes Opfer abgesehen hat. Eine weiteres praktisches Problem ist die
Beschränkung von σk auf [−1,1]; damit müssen die positiven Bewertungen sehr klein werden, um negativen
Bewertungen eine stärkere Gewichtung zu verleihen.
Michiardi hat bisher auch noch keine Simulationsergebnisse veröffentlicht. Man muss davon ausgehen,
dass es auch schwierig ist die Balance zwischen dem Verbreiten von explicit DoS und der Tolerierung von
böswilligen Knoten zu finden, so dass viele böswillige Knoten, ohne ungewollte Nebenwirkung, erkannt
werden. Lange Simulationszeiten helfen da sicherlich weiter, schließen aber so manches Einsatzszenario
aus.
3.4.2.4 Intrusion Detection Techniques for Mobile Wireless Networks
Wenke Lee und Zhang verfolgen mit [ZLH02] eine andere Strategie der Intrusion Detection, indem sie ihr
bestehendes Anomalieerkennungssystem auf Ad hoc Netzwerke anwendet. In ihrer Arbeit stellte sie eine
29

KAPITEL 3. INTRUSION DETECTION
auch allgemein verwendbare Architektur eines Intrusion Detection Systems auf, welches hier nun zuerst
vorgestellt wird.
1. Lokale Datensammlung kann Aktivitäten des Nutzers im System sowie Kommunikation erfassen.
Es kann theoretisch auch sämtliche Kommunikation anderer Knoten mit einbeziehen.
2. Lokale Erkennung nutzt die Daten der lokalen Datensammlung zur Anomalieerkennung. Wenn mit
großer Sicherheit eine bösartige Anomalie erkannt worden ist, erfolgt die Reaktion. Ansonsten kann
die globale Erkennung genutzt werden.
3. Globale Erkennung nutzt auch die Erkenntnisse anderer Knoten für die Bewertung eines potentiell
bösartigen Knotens.
4. Lokale Reaktion wäre es zum Beispiel den Benutzer zu informieren.
5. Globale Reaktion könnte so aussehen, dass der böswillige Knoten aus dem Netzwerk ausgeschlossen
wird. Lee schlägt dazu vor, an alle Knoten, bis auf M, neue Schlüssel auszuteilen und damit M von der
Kommunikation auszuschließen. Außerdem sollen sich die Teilnehmer bei dem Wiederaufbau durch
Blickkontakt authentisieren.
lokale
Reaktion
lokale
Erkennung
lokale Datensammlung
Systemaufrufe
Kommunikation
Audit.....
IDS Agent
globale
Reaktion
globale
Erkennung
sichere
Kommunikation
benachbarter IDS
Agent
Abbildung 3.5: Komponenten eines IDS nach Wenke Lee
30

KAPITEL 3. INTRUSION DETECTION
Die globale Erkennung tauscht Einschätzungen aus, wie sicher andere Knoten sind, dass ein Knoten M
bösartig ist. Eine solche Nachricht sieht so aus:
Mit p% Zuversicht zieht A mit seinen lokalen Daten die Schlussfolgerung, dass M bösartig ist.
Mit p% Zuversicht zieht A mit seinen lokalen Daten und den Beobachtungen seiner Nachbarn B,C,D die
Schlussfolgerung, dass M bösartig ist.
Wenn die Mehrzahl der eingehenden Nachrichten über M aussagen, dass M bösartig ist, dann wird M neu
bewertet. Die Erkenntnisse durch die eingegangenen Nachrichten werden nun gewichtet nach der Vertrauenswürdigkeit
des Knotens, der diese Beobachtung kommuniziert, zusammen rechnet und damit die neue
Bewertung des Knoten M erzeugt.
Anomalieerkennung nach Wenke Lee
Mit der Veröffentlichung ”Information Theoretic Measures for Anomaly Detection” [LX00] stellte Wenke
Lee die Grundlagen eines Anomalieerkennungssystems vor. Als Motivation für diese Arbeit beruft sie sich
auf eine Untersuchungen der DARPA, dass 70% der simulierten Angriffe auf ein Netzwerk mit traditionellen
Misuse Detection Systemen unentdeckt geblieben sind. Ihr Argument ist, mit Hilfe der Anomalieerkennung
auch unbekannte und neuartige Angriffe erkennen zu können.
In einem weiteren Schritt überträgt sie ihre Erkenntnisse auf Ad hoc Netzwerke. Als Audit Daten nutzt sie
zwei lokale Informationsquellen.
1. Routing Informationen wie Source Routen, Route Cache Einträge und Verkehrsstatistiken.
2. GPS, um die eigene Position zu erhalten und dann mit der Routinginformation auf die Position und
Geschwindigkeit benachbarter Knoten zu schließen.
In ihrer Implementierung berechnet sie die eigene Geschwindigkeit und die Position mit GPS. Die
Routing Änderungen misst sie mit der Änderungsrate der Routen, der Änderungen der Längen der
Routen und des Prozentsatzes der neu hinzugefügten Routen.
Diese Daten dienen also als Basis um die Funktionen der Informationstheorie 3.3.1.2 zu nutzen und um
Aussagen über das System zu machen. Für die Anomalieerkennung werden nun die Daten in mehreren Phasen
ausgewertet:
1. Partitionierung der Daten so, dass die Daten eine möglichst kleine konditionale Entropie haben.
Der Informationsgewinn ist nicht a priori bestimmbar, sondern wird in mehreren Durchläufen mit
Trainingsdaten bestimmt. Es werden Partitionierungen gewählt, bei denen der Informationsgewinn
oberhalb eines festgelegten Schwellenwertes liegt.
Für Ad hoc Netzwerke wurden verschiedene normale Situationen durchgespielt. Für jede Situation
wurden dann alle Daten der einzelnen Knoten in ein gemeinsamen Datensatz zusammengeführt.
2. Transformation der Daten, um die erkannten Partitionen mit hohem Informationsgewinn zu erschließen.
31

KAPITEL 3. INTRUSION DETECTION
Es wurde ein Tool namens RIPPER eingesetzt, um Regeln mit den Erkenntnissen aus Schritt 1.) zu
generieren. Ein anderes Tool hieß SVM Light und konnte die Daten mehrdimensional mit den Funktionen
auswerten.
3. Funktionen auf Trainingsdaten anwenden, um Schwellenwerte für eine Erkennung eines abnormalen
Verhaltens festzulegen.
4. Funktionen auf Testdaten anwenden, um die Qualität der Erkennung festzustellen und gegebenenfalls
mit anderen Trainingsdaten zu arbeiten. Lee benutzte dazu unter anderem das Tool RIPPER, um
informationstheoretische Funktionen anzuwenden.
5. Alarm Nachrichten auswerten und möglichst Fehlalarme unterdrücken. Dazu wird ein Ausschnitt
der Audit Daten betrachtet. Wenn in diesem Abschnitt mehr Funktionen eine abnormale Erkennung
liefern als Funktionen eine normale, dann wird dieser Abschnitt als abnormal gewertet. Zusammenhängende
abnormale Abschnitte werden als ein abnormales Ereignis gewertet.
Nach allen diesen Phasen hat man ein System, das auf die Endgeräte übertragen werden kann, damit sie
dort ein IDS bilden. Die Simulationen liefen mindestens 10.000 Sekunden mit jeweils 10 verschiedenen,
zusammenhängenden Angriffsfolgen auf DSR. Eine Angriffsfolge bestand entweder aus der Änderung einer
Source Route oder aus dem Vewerfen von Paketen. Mit RIPPER konnten 90% der Angriffe erkannt
werden bei einer Fehlerkennungsrate von 15%. SVM Light dagegen lieferte bessere Ergebnisse mit einer
Erkennungsrate von 99% und einer Fehlerkennungsrate von 2%.
Diese Ergebnisse sind aber mit Vorsicht zu genießen, da von langen Angriffssequenzen ausgegangen wurde,
die aber bei DSR untypisch sind. Bei DSR reichen oft schon wenige modifizierte Pakete aus, um den
gewünschten Effekt zu erzielen. Zudem werden nur die Angriffe an sich erkannt, der Angreifer ist nicht
identifizierbar, denn die Teilnehmer im Netzwerk sind nicht authentifiziert. Hinzu kommt, dass es keinen
Schutz der Routing Information gibt; selbst wenn man eine Änderung erkannt hat, kann kann nicht gesagt
werden, welcher Knoten auf der Route denn nun die Änderung verursacht hat.
Bewertung
Es wurde oben dargestellt, wie mit dem Ansatz von Wenke Lee versucht wird Anomalieerkennung in die
Welt der Ad hoc Netzwerke zu übertragen. Es muss festgestellt werden, dass dieser Ansatz, selbst wenn
er funktioniert, keinen Rückschluss auf den Angreifer liefert. Dadurch ist eine Reaktion auf die Intrusion
schwierig, wenn nicht ausgeschlossen.
Zudem ist es dieser Forscher-Gruppe bis heute nicht gelungen ein praxistaugliches System aufzustellen.
Bisher konnte nur ”Schönwetterbeispiele” implementiert werden; diese gehen von einem sehr einfach aufgebautem
Benutzerverhalten aus. Angriffe werden dabei bei einem großen Volumen der Angriffsereignisse
erkannt. Es konnte deshalb nicht gezeigt werden, dass die typischen Angriffe, die oft nur aus einer kurzen
Sequenz von Anweisungen und Daten bestehen, erkannt werden können. (Ein solches Beispiel wäre der
SQL Slammer Angriff im Januar 2003, der nur aus einem einzigen UDP Daten Paket bestand).
Gerade bei Ad hoc Netzwerken sind nur sehr wenige Fehlalarme tolerierbar, da viele Benutzer nicht das
32

KAPITEL 3. INTRUSION DETECTION
Wissen haben, um den Angriff verstehen zu können. Aus diesem Grund sind selbst 2% Fehlalarme wie in
ihren Simulationen noch zu viel.
Lee glaubt, mit ihrem System bösartige Knoten davon abhalten zu können, falsche Anschuldigungen gegen
andere Knoten zu verbreiten. Sie führt an, dass ja nur durch Mehrheitsentscheidung ein Knoten als böswillig
angesehen wird. Wie aber später in dieser Arbeit gezeigt wird, haben oft nur sehr wenige Knoten überhaupt
das Wissen über einen Angriff. Nach ihrem Schema könnten viele folgenschwere Angriffe überhaupt nicht
erkannt werden.
Es gibt auch handwerkliche Probleme; so wird zum Beispiel der Schlüsselaustausch, der genutzt wird, um
einen Knoten aus dem Netzwerk auszuschließen, nirgendwo sonst in der Publikation erwähnt. Eine Reauthentisierung
durch Blickkontakt ist selbst heute nicht mehr möglich, da die Reichweite einer Wireless LAN
Karte nach dem IEEE 802.11 bereits eine Reichweite von 250 Metern hat. Es muss davon ausgegangen werden,
dass die physikalisch mögliche Reichweite der einzelnen Geräte noch steigen wird. Es gibt aber auch
die konträre Erwartung, dass durch die höhere Dichte von mobilen Geräten die Reichweite durch Interferenzen
reduziert wird
3.4.2.5 Intrusion Detection Agent System(IDA)
Ein Ansatz, der in Richtung der Anomalieerkennung geht, ist das IDA System von Midori Asaka [AOT + 98].
Er schlägt vor, Mobile Agenten zu verwenden, um Spuren von Eindringlingen zu folgen. Diese Agenten
können von Knoten zu Knoten reisen, dort Informationen sammeln und Anfragen an das System stellen.
Zur lokalen Erkennung der Spuren könnte man dann zum Beispiel Methoden der Anomalieerkennung verwenden,
ebenso wie Methoden der Misuse Detection. Das System erkennt solche Anzeichen eines Eingriffes
und sammelt weitere Daten über diesen Vorfall.
In [AOG02] beschreibt Asaka genauer, wie Anzeichen einer Intrusion entdeckt werden können: Einerseits
werden bestimmte Dateien im System überwacht wie das Starten der Root Shell, Modifikation von
/etc/passwords u.ä., aber auch das Starten einer shell /bin/sh. Es werden aber auch Aktivitäten wie Systemaufrufe
überwacht und mit einer Klassifizierungsfunktion wie in der Anomalierkennung analysiert. Die
Methode von Asaka nutzt nur die Häufigkeit der Aufrufe, nicht aber die Reihenfolge. Alle anderen Systemaktivitäten
werden nicht beobachtet.
Das IDA System baut auf fünf Komponenten auf:
• Manager analysiert Informationen, die durch Information Gathering Agents gesammelt wurden und
erkennt die Intrusion. Er ist verantwortlich für die Benutzerkommunikation, das Bulletin Board und
natürlich für die Information Gathering Agents. Es gibt einen Manager in jedem Netzwerksegment.
• Sensor gibt es in jedem System. Es überwacht kritische Stellen und alarmiert bei Anzeichen einer
Intrusion den Manager.
• Tracing Agent wird durch den Manager gestartet, um ein bestimmtes Anzeichen der Intrusion zu untersuchen.
Dieser Agent geht zum System, das den ursprünglichen Alarm ausgelöst hat, und versucht
33

KAPITEL 3. INTRUSION DETECTION
die Quelle der Intrusion zu lokalisieren. Der Agent migriert Knoten zu Knoten in Richtung der Quelle
und untersucht auch alle anderen bereisten Systeme auf Anzeichen dieser Intrusion.
• Information Gathering Agent wird durch den Tracing Agent auf dem jeweiligen aktuellen System
aktiviert. Dieser Agent übernimmt die eigentliche Aufgabe, nach Anzeichen der Intrusion auf diesem
System zu suchen. Der Agent kehrt nach getaner Arbeit zum Manager zurück und berichtet die gefundenen
Daten. Dieser Agent kann keine Entscheidung darüber treffen, ob eine Intrusion stattgefunden
hat oder nicht!
• Bulletin Board und Message Board. Das Message Board dient der internen Agenten Kommunikation
auf jedem Knoten. Das Bulletin Board gibt es nur auf dem Manager und es dient als Ablage der
Ergebnisse der Information Gathering Agents.
Bewertung
Das System zielt in erster Linie auf Erkennung von Intrusions in das System als solches. Es kann keine
Manipulationen an dem anfälligen Routing erkennen. Es geht damit nicht auf die speziellen Probleme eines
Ad hoc Netzwerkes ein, ist aber wegen seiner verteilten Architektur dennoch interessant.
Die Agenten selbst sind nicht gegen Manipulationen auf dem Wirtsystem geschützt. Ist dieses System schon
befallen, kann ein Angreifer den Agenten so verändern, dass der Agent keine Spuren meldet und die Verfolgung
abbricht. Das wird begünstigt, da das IDA System nur Angriffe erkennen kann, nachdem diese
passiert sind. IDA an sich hat aber auch Probleme, da es einen zentralen, und damit angreifbaren, Manager
besitzt. Die Agentenstruktur führt einen großen Overhead ein, da einerseits Agenten transportiert werden
müssen, und andererseits die Information Gathering Agents doch mit einem Großteil der Daten zum Manager
zurückkehren.
3.4.2.6 Nuglets, ein Vermeidungsansatz
Unter Hubaux und Blascevic wurde das Terminodes Projekt [HBC01] [BBC + 01] vorangetrieben. Es befasst
sich in erster Linie mit lokationsabhängigem Routing in Ad hoc Netzen, aber es stellt auch einen einzigartigen
Ansatz der Motivation zur Kooperation dar. Es ist also kein IDS, sondern versucht Sicherheitsprobleme
durch ein geeignetes Design zu vermeiden.
Kooperation soll durch Einführung einer künstlichen Währung erreicht werden, die Nuglets genannt wird.
Die Idee ist, alle Knoten für die Nutzung eines Services Nuglets bezahlen zu lassen, Anbieter von Services
bekommen Nuglets. Jede Kommunikation in diesem Netz verursacht also Kosten, für die ein Knoten aufkommen
muss. Dadurch ist das kein IDS mehr, das auf die Erkennung abzielt, sondern ein System, das
durch geeignetes Routingregeln die Knoten zur Kooperation motiviert.
Es wurden zwei Abrechnungsmodelle vorgeschlagen: Einmal zahlt der Sender einer Nachricht für den Versand
(Packet Purse Model), die andere Möglichkeit ist den Empfänger bezahlen zu lassen (Packet Trade
Model). Das Problem der ersten Methode ist, nicht genau die Kommunikationskosten im voraus zu kennen,
die nötig sind, um ein Ziel zu erreichen. Diese müssen aber schon vor dem Versand dem Konto abgezogen
werden.
34

KAPITEL 3. INTRUSION DETECTION
Um die Integrität der Nugletskonten zu gewährleisten, wird von ”tamper proof hardware” ausgegangen:
Hardware, die so gestaltet ist, dass nur das Nuglets System den Kontostand verändern darf, der Benutzer
aber keinen direkten Zugriff hat.
Die zweite Methode lässt jeden Empfänger (auch die Knoten, die Pakete weiterleiten) entlang der Route
für das Paket bezahlen. Diese wird dann für eine bestimmte Zahl Nuglets eingekauft und für mehr Nuglets
”weiterverkauft”. Dadurch erhöht jeder Knoten durch forwarding des Pakets seinen Bestand an Nuglets.
Effektiv bezahlt damit das Ziel den Transport.
Die zweite Methode hat aber Schwächen, denn einem Knoten können durch Senden vieler unnützer Pakete
alle Nuglets entzogen werden. Die Wirkung wäre ein Denial of Service auf diesen Knoten; denn wenn ein
Knoten nicht bezahlen kann, kann er auch keine Pakete empfangen.
Bewertung
Das Nuglets Konzept ist interessant, weil es Kooperation wie in keinem anderen Modell stimulieren kann.
Knoten könnten sogar am Verkehr teilnehmen, nur um Nuglets zu verdienen, auch wenn sie zu diesem
Zeitpunkt gar nicht kommunizieren wollen. Allerdings gib es schwerwiegende Probleme am Konzept. Man
muss davon ausgehen, dass das Kommunikatiosnverhalten der einzelnen Knoten stark variiert. Manche Knoten
werden wahrscheinlich überwiegend senden, z.B. wenn sie bestimmte Services für andere Teilnehmer
beherbergen. Diesen Knoten würden je nach Abrechnungsmodell schnell alle Nuglets entzogen.
Knoten, die in der Peripherie im Netzwerk positioniert sind, können wesentlich seltener Pakete weiterleiten
als solche im Zentrum. Es würden sich also die Nuglets im Zentrum sammeln und die Peripherie aushungern.
Wie oben schon erwähnt, sind auch Denial of Service Angriffe durch Entziehen aller Nuglets eines
Knoten möglich.
Zuletzt zeigt auch die Erfahrung, dass es ”tamper proof hardware” nicht gibt, also davon auszugehen ist,
dass es Knoten im System gibt, die beliebig Nuglets zum Eigennutzen generieren können.
Ein ganz anderes Problem ist, dass das Nuglets-Konzept keine Möglichkeit der Erkennung von Angriffen
bietet. Nuglets kann Egoismus entgegen treten, aber bei Angriffen, zum Beispiel durch einen Knoten, der
Pakete einfach verwirft, kann das System das weder erkennen noch den Angreifer identifizieren und bestrafen.
3.4.3 Bewertung der aktuellen Forschung
3.4.3.1 Vergleich aktueller IDS
In diesem Kapitel werden nun viele Systeme vorgestellt, die versuchen Egoismus und Böswilligkeit zu verhindern
oder zu reduzieren. Besonders herausragend war dabei CORE mit seinem Bewertungsschema, das
die Idee des Promiscuous Mode von Watchdog und Pathrater erweiterte. Nuglets bot eine innovative Herangehensweise
durch sein Bezahlmodell für die Weiterleitung von Nachrichten.
Es bleibt festzustellen, dass der Forschungsgemeinschaft der große Wurf eines praxistauglichen IDS noch
nicht geglückt ist. Verteilte Erkennung und automatische Reaktion sind bis jetzt nur im Konzeptstadium
35

KAPITEL 3. INTRUSION DETECTION
vorhanden. Bisher fokussiert sich die Forschung auf die lokale Erkennung von böswilligem Verhalten; aus
gutem Grund, denn die bisher vorgestellten Verfahren können zwar Angriffe feststellen, haben aber noch
Schwierigkeiten den Angreifer zu identifizieren. Es wird zwar meist implizit ein Sicherheitsrahmen vorausgesetzt,
der aber nicht näher spezifiziert wird. Damit bleibt auch unklar, welche Bedrohungen durch ein
Sicherheitsrahmenwerk abgefangen werden können und welchen dann noch durch das IDS zu begegnen ist.
Ein IDS, in dem die Quelle einer Nachricht nicht sicher bestimmbar ist und in dem somit jeder Nachrichten
im Namen eines Anderen verschicken kann, wird nicht mehr leisten können als einen Angriff festzustellen.
Für die Identifikation des Angreifers ist eine Authentisierung von Nachrichten zwingend erforderlich. Das
wurde bisher von keinem IDS für Ad hoc Netzwerke bedacht.
Böswilligkeit ist bisher nicht hinreichend untersucht worden, man sieht in den diversen Publikationen, dass
sie von verschiedenartigen Angriffsszenarien ausgehen. Diese Angriffe sind zudem schlecht klassifiziert und
unzureichend durch Simulation untersucht worden.
Mit Egoismus konnte bisher nur das Nuglets System umgehen, das aber den zentralen Nachteil hat, dass
selbst kooperationswillige Knoten keine Nuglets mehr haben können, um die Kommunikation zu bezahlen.
3.4.3.2 Anforderungen an ein besseres IDS für Ad hoc Netzwerke
Um ein IDS aufzustellen, das einen Fortschritt gegenüber dem bisherigen Stand der Forschung darstellt,
müssen zuerst das Problem der Angriffe und das des Egoismus in Ad hoc Netzwerken kategorisiert werden.
Mit diesen Angriffsformen muss dann simuliert werden, wie sich ein solches Verhalten auf das Netzwerk
auswirkt. Diese Erkenntnisse werden dann helfen ein umfassendes Intrusion Detection System zu etablieren.
Das Ziel muss es danach sein das Ad hoc Netzwerk gegen fehlerhaftes Verhalten, Böswilligkeit und Egoismus
abzusichern. Das Problem kann von zwei Seiten her angegangen werden:
• Routing Sicherheit muss Authentisierung leisten und Änderungen an den Daten auf den Verursacher
zurückführen können.
• Intrusion Detection muss bösartige Modifikationen erkennen, die Identität des Angreifers feststellen
und Gegenmaßnahmen einleiten.
Routing Sicherheit und Intrusion Detection lassen sich nicht scharf gegeneinander abgrenzen, sondern
müssen sinnvoll ineinander greifen. Alles bösartige Verhalten, das nicht durch die Routing Sicherheit unterbunden
wurde, muss vom IDS erkannt werden.
Es soll danach eine möglichst wirkungsvolle Gegenreaktion erfolgen; deshalb müssen die Knoten ihre Erkenntnisse
untereinander kommunizieren: einerseits, um nicht selbst verdächtigt zu werden, andererseits um
eine kollektive Reaktion zu ermöglichen.
Als letzter Schritt wäre dann zu zeigen, dass durch dieses System Intrusions erkannt, Angreifer ausgeschlossen
werden können und dass sich durch diese Maßnahmen die Performance des Netzwerkes verbessert hat.
36

KAPITEL 3. INTRUSION DETECTION
Name des Systems Watchdog CONFIDANT CORE Anomalie- IDA Nuglets
Pathrater erkennung
Sicherheit durch Erkennung Vermeidung
Abgedecktes Verhalten
fehlerhaft ja ja ja ja nein nein
egoistisch nein nein nein nein nein ja
böswillig ja ja ja ja ja nein
Informationsquelle
Routing nein nein ja ja ja nein
Promiscuous Mode ja ja ja nein nein nein
Position(GPS) nein nein nein ja nein ja
IDS Nachrichten ja ja ja nein nein nein
Bewertung des Angriffs
Lokal ja ja ja ja ja nein
Global nein nein ja nein nein nein
Reaktion
Bestrafung nein ja ja ja nein nein
Belohnung nein nein nein nein nein ja
Vermeidung ja ja nein ja nein nein
Vertrauen jedem Nachbarn Erfahrung Mehrheit eigene sichere
Agenten Hardware
Informationsaustausch durch ja ja ja ja nein ja
Denunzierungen ja ja nein ja - nein
Bewertungen nein nein ja nein - nein
Missbrauch möglich ja ja ja ja - nein
Schutz
Nutzdaten ja ja ja ja nein nein
IDS Nachrichten ja ja ja nein nein ja
Lokales System nein nein nein nein ja nein
Architektur
Zentral nein nein nein nein ja nein
Regelbasiert ja ja ja nein ja nein
Adaptiv nein nein nein ja ja nein
Abbildung 3.6: Tabellarischer Vergleich der aktuellen Forschung in der Intrusion Detection
37

KAPITEL 3. INTRUSION DETECTION
38

Kapitel 4
Verwundbarkeiten des DSR Protokolls
Im vorigen Kapitel wurde dargelegt, dass ein wesentlicher Teil der Intrusion Detection in der Erkennung
von Angriffen liegt.
In diesem Kapitel werden mit einem Attack Tree [Sch99a] verschiedene Verwundbarkeiten des DSR Protokolls
aufgezeigt. Attack Trees sind eine formale Methode, um Angriffe auf Protokolle und Systeme systematisch
zu analysieren.
Es ist mit diesem Formalismus möglich viele Angriffsarten zu kategorisieren. Der Leser muss sich jedoch
bewusst machen, dass kein Attack Tree jemals alle Angriffe erschöpfend darstellen kann, zudem sind auch
andere Kategorieren und Unterteilungen denkbar. Aus diesem Grund können auch ganze Teilbäume an mehreren
Stellen im Gesamtbaum sinnvoll eingefügt werden.
4.1 Egoistisches Verhalten und seine Auswirkungen
Ziel: Ressourcen schonen
Beschreibung: Egoismus ist das Motiv eines Knotens, wenn er, um die CPU Last und den Energieverbrauch
zu reduzieren, keine fremden Pakete weiterleitet. Das Ziel ist es deshalb nur zu kooperieren, wenn
der Knoten dadurch einen direkten Nutzen hat. Wenn er selbst Daten senden und empfangen will, würde er
natürlich bei der Route Discovery mitwirken.
Die CPU Last, um an einem Netzwerk Protokoll teilzunehmen, kann sehr groß sein, ebenso wie der Energieverbrauch
bei einigen mobilen Geräten durch die Sendeeinheit. Das Ziel des egoistischen Knotens ist es
daher die eigenen CPU und Akku Ressourcen zu schonen, indem nur am Netzwerkverkehr teilgenommen
wird, der dem Knoten auch Nutzen bringt. Man kann sich leicht vorstellen, dass dieses Verhalten den Durchsatz
und die Erreichbarkeit von anderen Knoten stark beeinträchtigen kann.
Folgende Angriffe beziehen sich auf die Fälle, in denen der Knoten keinen unmittelbaren Nutzen zu erwarten
hätte.
39

KAPITEL 4. VERWUNDBARKEITEN DES DSR PROTOKOLLS
Angriff:
OR 1. Routen bilden, die den egoistischen Knoten meiden
OR 1. nicht bei der Route Discovery kooperieren
OR 1. ROUTE REQUEST nicht weiterleiten
2. kein ROUTE REPLY senden
3. kein ACK senden, erzeugt einen ROUTE ERROR
bei Knoten zuvor
2. Route Discovery manipulieren
OR 1. ROUTE REQUEST mit gefälschtem Source Path weiterleiten
OR 1. Source Path, der M nicht enthält
OR 1. ungültigen Source Path
2. M in Adressliste durch eine
Umleitung über andere Knoten ersetzen
AND 1. mit MAC Adresse von eingefügtem Knoten senden
3. Source Path durch virtuelle Knoten in ROUTE REPLY
länger erscheinen lassen
2. ROUTE REPLY mit gefälschtem Source Path zurücksenden
OR 1. M in Source Route als external markieren
(damit automatisch letzter Knoten im Pfad)
2. Source Path durch virtuelle Knoten in ROUTE REPLY
länger erscheinen lassen
3. hop limit (TTL aus IP Header) auf 0 setzen
OR 4. M in Adressliste durch eine
Umleitung über andere Knoten ersetzen
2. bestehende Routen manipulieren
OR 1. Source Route ändern, manipuliert
auch die Cache Einträge
2. ROUTE ERRORS erzeugen
OR 1. falsche ROUTE ERROR Messages, M nimmt an
Verkehr dann nicht mehr teil
2. SALVAGING der Route ignorieren
3. erneuten ROUTE REQUEST durch Sender vortäuschen
3. keine Datenweiterleitung
OR 1. fremde Pakete verwerfen
2. hop limit(TTL) auf 0 setzen
Anmerkungen: Das Fälschen der MAC Adresse ist nur bei bestimmten IEEE 802.11 Karten über undokumentierte
Funktionen möglich. Wenn die Implementierung des DSR Protokolls keine entsprechende
Überprüfung vornimmt, kann die Änderung der MAC Adresse auch entfallen.
40

KAPITEL 4. VERWUNDBARKEITEN DES DSR PROTOKOLLS
4.2 Böswillige Knoten und deren Schadwirkung
Ein Knoten kann auch aggressivere Gründe für einen Angriff haben. Im Unterschied zu Angriffen aus Egoismus,
bei denen der Angriff nicht gezielt gegen andere Knoten gerichtet ist, will ein böswilliger Angreifer
einen Knoten oder eine Gruppe von Knoten gezielt manipulieren.
4.2.1 Informationsgewinnung durch böswillige Knoten
Ziel: Informationen über ein Opfer sammeln
Beschreibung: Eine denkbare Form des Angriffs ist es, Informationen über ein Opfer zu sammeln.
Für manche Angreifer ist es wichtig, Informationen über ein Opfer zu gewinnen, um beispielsweise später
in das System des Opfers direkt eindringen zu können. Interessante Informationen können passive Informationen
wie die Position, das Verhalten und die Kommunikationsbeziehungen eines Knotens sein. Noch mehr
lässt sich allerdings in Erfahrung bringen, wenn die gesendeten und empfangenen Daten eines Knotens ausgewertet
werden können.
Angriff:
OR 1. verfügbare Informationen auswerten
OR 1. aus mitgehörter Routing Information Nachbarschaft des
Opfers herleiten
2. von Opfer durch M weitergeleitete Datenpakete auswerten
2. Routing manipulieren, um mehr Informationen zu gewinnen
OR 1. einer Route höchster Priorität(kürzester Länge) erzeugen
OR 1. ROUTE REPLY von M, bei dem Ziel als nächster Knoten
angegeben wird
OR 1. Verkehr mit Ziel durch M vortäuschen
2. Verkehr über kooperierenden bösartigen Knoten
über separate Verbindung leiten (Wurmloch Angriff)
AND 1. alle ROUTE REQUEST und ROUTE REPLY über diese
private Verbindung weiterleiten
2. Pakete ebenso über diese Verbindung schicken
2. Source Path in ROUTE REQUEST verfälschen, M als Quelle
eintragen
AND 1. separater ROUTE REQUEST zu Ziel
2. ROUTE REPLY mit M und direkt danach Ziel an Opfer
3. Route von M zu Ziel in ankommende Pakete von Opfer
schreiben
2. Knoten so positionieren, dass er partitionierte Segmente
verbindet; der Verkehr zwischen den Segmenten läuft dann
über ihn
41

KAPITEL 4. VERWUNDBARKEITEN DES DSR PROTOKOLLS
Anmerkungen: Gefälschte Source Routen werden auch noch in die Caches der Knoten aufgenommen,
durch die das Paket mit der gefälschten Source Route reist (Cache Poisoning). Es ist ein weiterer Teil
der Strategie, erfolgreich gefälschte Cacheeinträge regelmäßig zu nutzen, um sie im Cache zu halten. Die
Wirkung von Manipulationen der Source Route wird noch verstärkt, wenn der Promiscuous Mode aktiv ist.
Bei diesem werden auch Source Routen in den Cache aufgenommen, die nicht über diesen Knoten gehen.
4.2.2 Angriff auf den Datenverkehr eines Knotens
Ziel: Denial of Service im Netzwerk durchführen
Beschreibung: Denial of Service beschreibt einen Prozess, der dazu dient Netzwerkdienste für die Außenwelt
unzugänglich zu machen. Das kann durch schlichte Überlastung des Opfers geschehen oder durch
Eingriffe in das Routing, um das Opfer unerreichbar zu machen. Berechtigte Anfragen erreichen das Opfer
dann nicht mehr.
Ein Denial of Service Angriff kann gegen ein ganzes Netzwerkes gerichtet sein. Besonders auffällig ist das
bei Angriffen, die sich ähnlich dem Schneeballeffekt ständig vermehren. Viele Knoten des Netzes können
dann ihrer Weiterleitungsfunktion nicht mehr nachkommen und Pakete nicht mehr empfangen oder müssen
Pakete verwerfen.
Der Denial of Servcie kann aber auch ein direkter Angriff auf einen Knoten sein, der durch Überlastung
und übermäßigen Ressourcenverbrauch für längere Zeit blockiert wird. Ein so angegriffener Knoten wird
teilweise vom Netzwerk isoliert und damit sind auch andere Dienste, die dieser Knoten anbietet, nicht mehr
verfügbar. Welche Kettenreaktion das im Netz bei kritischen, zentralen Diensten auslösen kann, ist leicht
vorstellbar.
Angriff:
OR 1. Routing stören
OR 1. bekannte Knoten in der Nähe des Ziels in Pfad der
ROUTE REQUEST aufnehmen, ROUTE REQUEST wird dann
nicht weitergeleitet und schlägt fehl; alle folgenden
ROUTE REQUESTS mit dieser ID werden zusätzlich
abgelehnt
2. Discovery Sturm durch große Zahl von
unbekannten Zielen und IDs
3. Angriffe auf Send Buffer (wenn dieser FIFO Strategie nutzt)
OR 1. Send Buffer fluten durch viele neue Pakete über Knoten,
ROUTE REQUEST und andere "ältere" Pakete gehen dann
verloren
2. Nach jedem fremden Paket Send Buffer fluten und
das fremde Paket verdrängen
4. Discovery ID auf alte ID setzen, Antwort der
Discovery geht verloren
42

KAPITEL 4. VERWUNDBARKEITEN DES DSR PROTOKOLLS
5. ROUTE REQUEST mit gefälschter ID weit in Zukunft,
Discoverys durch echten Erzeuger gehen dann verloren
AND 1. ändere MAC auf MAC des Opfers
2. schicke gefälschten Route Request
6. auf unterster Protokollebene Pakete für einen anderen
Knoten während Route Request weiterleiten
für Route Reply in Rückrichtung ebenso (Replay Angriff)
danach alle Pakete verwerfen
2. Pakete zerstören
1. Schwarze Loch Attacke, Pakete gehen unbemerkt verloren
OR 1. falsches ACK für nicht erreichbaren Nachbarn,
Link wird dann als funktionierend angesehen
AND 1. MAC Adresse auf die des Opfers ändern
2. falsches ACK senden
2. ROUTE ERROR nicht weiterleiten, Verlust des Pakets
3. nur ROUTE REQUEST und ROUTE REPLY weiterleiten,
normale Pakete verwerfen
3. Ressourcen verbrauchen
OR 1. Schleife in Route über Opfer einführen
OR 1. beim Weiterleiten des Paketes Schleife in
SOURCE ROUTE einführen
2. piggybacked ROUTE REPLY entfernen und
nur ROUTE REQUEST weiter,
Endlosschleife mit ROUTE REQUESTs
2. Überlast auf Knoten erzeugen um Ressourcen zu zehren
OR 1. alten Route Reply nochmals senden
2. ein weitergeleitetes Paket immer wieder senden
3. künstlich aufgeblähten Pfad weitergeben, erhöht
Latenzzeit&Traffic, Überlast auf bestimmten Knoten
4. falsche ROUTE ERRORs und SALVAGE COUNT auf Maximum
setzen, erzwingt eine neue Route Discovery
5. Knoten, die ein "Bottleneck" im Netzwerk durch viele
Pakete überlasten
6. einen Knoten solange durch Pakete überlasten,
bis Batterie leer ist
7. Pakete mit langen Pfaden angeben, um die gesamte
Netzwerklast zu erhöhen
8. SALVAGE COUNT auf Maximum setzen, keine Änderung mehr
möglich; neuer ROUTE REQUEST nötig, wenn ROUTE ERROR
43

KAPITEL 4. VERWUNDBARKEITEN DES DSR PROTOKOLLS
4.2.3 Angriff auf die Luftschnittstelle
Ziel: Einem Knoten die Möglichkeit nehmen zu kommunizieren
Beschreibung: Die Luftschnittstelle ist für jede Fremdeinwirkung offen. Es ist für einen Angreifer
interessant das Netz partiell zu stören, um Übertragungen der Nachbarn zu verhindern. Man kann diesen
Angriff als Unterart des Denial of Service betrachten; allerdings ist es hier schwieriger einen Knoten gezielt
anzugreifen, da der Angriff auch einer gewissen räumliche Nähe bedarf.
Eine kurze Einführung in die Spread Spectrum Kommunikation wird unter 3.2 gegeben.
MANETs, speziell DSR, erfordern für einen effizienten Betrieb die Möglichkeit einen Broadcast an viele
Empfänger gleichzeitig durchzuführen oder sogar eines Promiscuous Mode, bei dem fremde Übertragungen
mitgehört werden. Es ist deshalb erforderlich, dass allen potentiellen Empfängern das Timing des Spread
Codes bekannt ist.
Angriff:
OR 1. ganzes Frequenzband stören
aber oft 1000x stärkere Sendeleistung für jamming
als Leistung des zu störenden Senders, selbst bei
geringer Distanz zum Ziel nötig
2. künstliches Herbeiführen von Kollisionen
mit bekanntem Spread Code konstant jede Übertragung
stören; mit geringer Sendeleistung möglich
3. auf Kanal lauschen, Übertragung erkennen,
dann sofort zu senden anfangen
4. ROUTE REQUEST - ROUTE REPLY Antwortfenster bekannt,
im gesamten Fenster Übertragung stören
besonders für Antworten aus Route Cache
Anmerkungen: Für einen Angreifer besteht der Reiz, einen mit Spread Spectrum kodierten Kanal anzugreifen,
darin dass dies schon mit Standard Hardware möglich ist, also auch durch einen bösartigen Knoten.
Die Wirkung ist aber mit der Sendeleistung beschränkt.
Es ist in erster Linie ein Problem des Hardware Designs diese Angriffe abzuwehren. Diese Angriffsform
wird deshalb in dieser Arbeit nicht mehr behandelt.
4.3 Besondere Verwundbarkeiten des DSR Designs
DSR leidet in der jetzigen Form daran, dass die Routing Informationen ungeschützt gegen böswillige
Änderungen sind. Jeder Knoten kann versuchen mit manipulierten Source Routen in normalen Paketen
oder Route Replys die Route Caches anderer Knoten zu vergiften.
44

KAPITEL 4. VERWUNDBARKEITEN DES DSR PROTOKOLLS
Der SendBuffer mit FIFO Strategie ist einfach zu überfüllen und zum Überlauf zu bringen; mobile Geräte
haben meist nur sehr wenig Speicher und entsprechend klein dürfte dann auch der SendBuffer ausfallen. Es
ist deshalb sehr einfach gezielt einen Knoten durch fluten des SendBuffers auszuschalten.
Die Luftschnittstelle ist zwar bei DSR nicht spezifiziert, allerdings fordert DSR, dass broadcasts möglich
sind, wenn nicht sogar ein promiscuous mode. Das macht erforderlich, dass alle teilnehmenden Knoten mit
einem Interface immer auf einem von allen Knoten geteilten SpreadSpectrum Code senden und empfangen.
Dadurch kann jeder Knoten auch mit seiner normalen Sendeleistung die Übertragung physikalisch stören.
Einen weiteren Angriffspunkt auf das DSR Protokoll stellen einige Felder im Kopf der Pakete dar, die durch
Jeden geändert werden können. Man könnte einige Felder kryptografisch absichern, aber es gibt Felder, die
veränderlich sein müssen:
• Die Source Route wird während dem Route Request durch alle Knoten bearbeitet und verlängert,
außerdem wird eine bestehende Route beim Paket Salvaging geändert.
• Der Salvage Count muss ebenso für Salvaging abänderbar sein können, wenn auch die Schadwirkung
eher gering sein dürfte.
Nachdem nun theoretisch Angriffsmöglichkeiten auf DSR gezeigt wurden, sollen diese nun mittels Simulation
untersucht werden.
45

KAPITEL 4. VERWUNDBARKEITEN DES DSR PROTOKOLLS
46

Kapitel 5
Simulation von Ad hoc Netzwerken
Es gibt verschiedene Möglichkeiten Thesen in der Informatik zu überprüfen. Je komplizierter die Wechselwirkungen
und je mehr Unbekannte es gibt, desto schwieriger wird es ein System mit formal mathematischen
Methoden zu beweisen. Die Simulation stellt eine gute Möglichkeit dar, die Praxistauglichkeit eines
Systems zu erproben. Dieses Kapitel soll sich nun der Simulation des Netzwerkes und seiner Angreifer
widmen.
5.1 Simulation mit ns2
Bei der Suche nach einem Tool zur Simulation der Ad hoc Netzwerke fiel unsere Wahl auf ns2 [ns2a]. Ns2
ist ein diskreter und ereignisbasierter Simulator, der für Lehre und Forschung entwickelt wurde. Er eignet
sich gut, um Routing in einem drahtgebundenen und drahtlosen Netzwerk zu simulieren. Dazu unterstützt
er eine Vielzahl von Protokollen auf verschiedenen Ebenen - wie z.B. TCP/IP, UDP und Multicastprotokolle.
DSR und AODV sind die drahtlosen Netzwerkprotokolle in ns2, die auf die Originalimplementierungen
zurückgehen und deshalb ideal für Experimente sind.
Ns2 erfreut sich großer Beliebtheit in der Forschergemeinschaft, denn er ist in seinem Quellcode frei
verfügbar und für viele Plattformen compilierbar. Die meisten Thesen der aktuellen Forschung über IDS
wurde mit ns2 verifiziert. Da es bereits ein breites Angebot der gebräuchlichen Applikationen und Protokolle
für den Simulator gibt, kann sich die aktuelle Forschungsarbeit auf die neuen Felder konzentrieren. Ns2
ist deshalb auch für diese Diplomarbeit eine gute Wahl, um deren Ergebnisse mit bestehenden Verfahren
vergleichbar zu machen.
Ns war 1989 die erste Version des Network Simulators, der auf den REAL Netzwerksimulator zurückging.
Ns ging seither durch mehrere Redesigns, um schließlich die Version ns2.1b26 zu erreichen. Die DARPA
unterstützt die Entwicklung von ns2, um die Forschung der drahtlosen Kommunikation voranzutreiben. Es
werden Ad hoc Netzwerke, Satellitenkommunikation sowie Sensornetzwerke mit Unterstützung der DAR-
PA integriert. Diese Felder sind auch jetzt noch ständig in Entwicklung.
47

KAPITEL 5. SIMULATION VON AD HOC NETZWERKEN
Für diese Arbeit wurde anfänglich die Version ns2.1b9a evaluiert; leider musste festgestellt werden, dass
diese Version auf dem Link Layer fehlerhaft war. Diese Fehler wurden unter anderem in den Release Notes
der erst kürzlich erschienenen Version ns2.1b26 dokumentiert [ns2b]. Es war mit dieser Version somit nicht
möglich die publizierten DSR Ergebnisse zu erreichen. Mit der Version ns2.1b8a dagegen waren die Ergebnisse
erreichbar. Für diese Arbeit wird deshalb die etwas ältere Version ns2.1b8a verwendet.
5.1.1 Parameter der Simulation
Die aktuellen Publikationen der IDS waren Basis für die gewählten Simulationsparameter. Plausibel gewählt
sind die Anzahl der Knoten ebenso die Länge und Breite, um hinreichend viele Paketweiterleitungen zu erreichen.
Die Tabelle 5.1 zeigt die typischen Parameter, die in den meisten Publikationen verwendet wurden.
Um Pakete zu generieren, wird von dem CBR(constant-bit-rate) Modell ausgegangen; bei diesem werden die
Daten mit konstanter Rate über die Verbindungen gesendet. Die Knoten bewegen sich nach dem ”Random
Waypoint Modell”. Dieses Modell geht von einer zufälligen Verteilung der Knoten über die Fläche aus. Ein
Knoten wartet eine definierte Zeit, die sogenannte ”Pause Time”, und bewegt sich dann mit einer zufälligen
Geschwindigkeit in eine zufällige Richtung (deshalb: random waypoint). Die gewählte Geschwindigkeit
übersteigt dabei nicht die definierte Maximalgeschwindigkeit. Nach einer zufälligen Zeit (aber innerhalb
der definierten Fläche) kommt der Knoten zum Stehen und wartet wieder während der Pause Time, bis er
sich schließlich wieder in eine weitere zufällige Richtung in Bewegung setzt. Alle Knoten bewegen sich
nach diesem Modell bis zum Simulationsende.
Parameter Wert
ns2 Version ns2.1b8a
Routing Protokoll DSR
Anzahl Knoten 50
Länge 1500
Breite 300
Datenverkehr CBR
Senderate 4.0
maximale Verbindungen 20
Paketgröße 512
Bewegungsmodell Random-Waypoint
Pausezeit 0
Simulationsläufe je Parameter 10
Tabelle 5.1: Parameter der Simulation
Forschungsergebnisse zeigen, dass es mit einer kleinen Pause Time mit DSR schwieriger wird Pakete zuzustellen.
Da der maximale Effekt von Routing Anomalien und deren Auswirkungen auf die Zustellungsrate
48

KAPITEL 5. SIMULATION VON AD HOC NETZWERKEN
mit DSR interessiert, wird mit der Pause Time 0 simuliert.
Simulationen mit ns2 können eine sehr langwierige Angelegenheit sein, weshalb in dieser Arbeit jeweils
zehn Simulationsdurchläufe, für jedes untersuchte Szenario, unternommen werden. Die Erfahrung hat gezeigt,
dass mit diesen zehn Durchläufen bereits ein breites Spektrum der Konstellationen der Knoten in den
Szenarien durchgespielt wird.
Simulationen mit ns2 sind langsam und die Ergebnisse in den sogenannten Trace-Dateien sehr umfangreich
(bis zu 300 MB für eine einzelne Simulation). Die Laufzeit und der Platzverbrauch hängen entscheidend
von der Länge der Simulation ab. Deshalb war die erste Aufgabe, die Simulationsergebnissen abhängig von
der Zeit zu bewerten, um eine sinnvolle Laufzeit für spätere Simulationen festzulegen.
Zu diesem Zweck wurden mit den Standardparametern Simulationen mit den Laufzeiten 200, 300, 600, 900,
1200 und 1500 Sekunden durchgeführt. Es wurden die Zustellungsrate und der Routing Overhead gemessen.
Die Zustellungsrate ist das Verhältnis der Datenpakete, die beim Empfänger angekommen sind zu allen
Datenpaketen, die gesendet wurden. Um nun auch zu erfassen, wie viele Pakete für den Routen-Aufbau an
sich anfallen, wurde auch noch der Routing Overhead, definiert als alle DSR Routing Pakete im Verhältnis
zu allen gesendeten Datenpaketen, gemessen. Für unsere Untersuchungen zählen wir keine Pakete auf MAC
Ebene. Innerhalb der ersten 200 Sekunden der Simulation werden die CBR Verbindungen gestartet, deshalb
ist das der kleinste Zeitparameter für die Simulationsreihe.
%
3
2.5
2
1.5
1
0.5
0
200 400 600 800
Sekunden
1000 1200 1400
Routing Overhead mit DSR bei 1m/s
Abbildung 5.1: Normalisierter Routing Overhead als
Funktion der Zeit
%
100
99.5
99
98.5
98
97.5
97
200 400 600 800
Sekunden
1000 1200 1400
Empfangsrate mit DSR bei 1m/s
Abbildung 5.2: Zustellungsrate als Funktion der Zeit
Simulationszeit 200 300 600 900 1200 1500
Routing Overhead (%) 2.83 2.25 2.24 1.99 1.62 1.92
Zustellungsrate (%) 99.97 99.81 99.81 99.44 99.82 99.45
Abbildung 5.3: Zustellungsrate und Routing Overhead bei 1m/s
Die erste Simulation lief mit der Maxmimalgeschwindigkeit von 1m/s. Die Abbildungen 5.1 und 5.2 zeigen
die Ergebnisse der Simulation. Interessant ist, dass sich in Abbildung 5.1 der anfängliche Aufwand die
Routen zu bilden schnell einpendelt und über die Simulationsdauer konstant bleibt. Die Zustellungsrate ist
49

KAPITEL 5. SIMULATION VON AD HOC NETZWERKEN
bei dieser niedrigen Geschwindigkeit konstant, was daher rührt, dass Pakete in kurzer Zeit einen Weg zum
Ziel finden.
%
32
30
28
26
24
22
20
18
16
14
200 400 600 800 1000 1200 1400
Routing Overhead mit DSR bei 20 m/s
Abbildung 5.4: Normalisierter Routing Overhead als
Funktion der Zeit
%
90
88
86
84
82
80
200 400 600 800
Sekunden
1000 1200 1400
Empfangsrate mit DSR bei 20 m/s
Abbildung 5.5: Zustellungsrate als Funktion der Zeit
Simulationszeit 200 300 600 900 1200 1500
Routing Overhead (%) 28.3 25.3 22.9 19.9 18.4 17.1
Zustellungsrate (%) 88.7 81.8 83.3 84.6 83.9 84.1
Abbildung 5.6: Zustellungsrate und Routing Overhead bei 20m/s
Bei 20m/s kann man nun in Abbildungen 5.4 und 5.5 sehen, wie mit der schnelleren Knotenbewegung die
Zustellung der Pakete schwieriger wird. Zu sehen ist, wie in der Startphase 28% aller Pakete nur für die
Route Discovery vewendet werden; dieser Wert stabilisiert sich mit steigender Simulationszeit auf ungefähr
19%. Die Zustellungsrate insgesamt liegt mit um 84% deutlich unter der Simulation bei 1m/s, die über
99% erreichen konnte. Dieses Szenario ist aber bereits sehr anspruchsvoll, wenn man sich verdeutlicht, dass
20m/s einer Bewegung von 72km/h entspricht, und dies stellt üblicherweise das extremste simulierte Szenario
dar.
Die Ergebnisse zeigen, dass mit einer Simulationszeit von 900 Sekunden zuverlässige Ergebnisse gewonnen
werden können. Die Laufzeit bei 900 Sekunden und jeweils 10 Durchläufen mit 15 verschiedenen Werten
kann so immer noch 18 Stunden sein. Diese Simulationszeit stellt somit einen ausgewogenen Kompromiss
zwischen Laufzeit und Ergebnisgenauigkeit dar.
5.2 Simulation egoistischer Knoten
Es wurde bereits dargelegt, welche Möglichkeiten das DSR Protokoll egoistischen Knoten lässt, um eigene
Ressourcen zu schonen. Egoistische Knoten können aber dennoch das Ad hoc Netzwerk zur Kommunikation
benutzen. Der Anreiz für einen einzelnen Knoten ist damit hoch nicht zu kooperieren und das Netzwerk
50

KAPITEL 5. SIMULATION VON AD HOC NETZWERKEN
dennoch zu gebrauchen.
Egoismus und seine Auswirkungen auf die Leistungsfähigkeit der Ad hoc Netzwerke wurden bisher nur
wenig untersucht. Welche Auswirkungen haben also egoistische Knoten auf die Zustellungsrate? Für die
Simulation wird das Verhalten eines egoistischen Knotens folgendermaßen definiert:
• Eigene Pakete werden regulär empfangen und gesendet.
• Fremde Route Discoverys werden verworfen.
Das Ignorieren von Route Requests genügt bereits, um später keine Pakete weiterleiten zu müssen. Deshalb
werden in der Simulation die egoistischen Knoten keine Route Requests weiterleiten. Die Simulation startet
mit einem Referenzszenario ohne egoistische Knoten, dann werden zwischen 1 und 50 egoistische Knoten
simuliert. Da insgesamt 50 Knoten im Szenario vorliegen, sind 50 egoistische Knoten logischerweise 100%
der vorhandenen Knoten.
Empfangsrate %
100
80
60
40
20
0
0 10 20 30 40 50
Anzahl egoistischer Knoten
Bewegung der Knoten: 1 m/s
Anzahl Knoten 0 1 3 5 7 10 15
Zustellungsrate 99.38 98.82 97.55 96.71 96.82 94.16 90.40
Anzahl Knoten 20 25 30 35 40 45 50
Zustellungsrate 89.83 87.11 84.09 74.23 63.67 50.52 35.81
Abbildung 5.7: Auswirkung von Egoismus auf die Zustellungsrate bei 1m/s
Die Ergebnisse in Abbildung 5.7 mit 1m/s zeigen bereits bei einem egoistischen Knoten eine geringe Auswirkung
auf die Zustellungsrate. Wir können beobachten, dass bei 30 egoistischen Knoten die Zustellungsrate
fast linear bis auf 84% fällt. Danach bricht sie schließlich bis auf 35% ein, wohlgemerkt bei 100%
egoistischen Knoten! Alle Pakete, die zu Zielen adressiert sind, die Weiterleitung durch einen Knoten auf
dem Weg benötigen, werden von den anderen egoistischen Knoten verworfen. Daraus kann abgeleitet werden,
dass 35.8% der Pakete von Knoten direkt zu Knoten in unmittelbarer Nachbarschaft geschickt werden.
Diese Pakete würden im Grunde auch ohne das DSR Protokoll am jeweiligen Ziel ankommen.
51

KAPITEL 5. SIMULATION VON AD HOC NETZWERKEN
Empfangsrate %
100
80
60
40
20
0
0 10 20 30 40 50
Anzahl egoistischer Knoten
Bewegung der Knoten: 20 m/s
Anzahl Knoten 0 1 3 5 7 10 15
Zustellungsrate 95.65 94.50 92.26 91.63 89.89 88.09 82.91
Anzahl Knoten 20 25 30 35 40 45 50
Zustellungsrate 81.29 79.52 74.45 68.43 59.37 48.77 36.46
Abbildung 5.8: Auswirkung von Egoismus auf die Zustellungsrate bei 20m/s
Ein ähnliches Bild ergibt sich bei 20m/s in Abbildung 5.8. Auch hier ist ein Sockelsatz der Kommunikation
mit den direkten Nachbarn mit einer Zustellungsrate von 36.5% vorhanden. Die Ergebnisse scheinen sogar
besser besser zu sein als bei dem Szenario mit 1m/s. Das ist folgendermaßen erklärbar: ein Paket, das gesendet
werden soll, wartet im Send Buffer, bis eine Verbindung durch die Antwort auf eine Route Discovery
erkannt wird. Diese Route Discoverys werden periodisch wiederholt, bis das Paket irgendwann später seine
Lebenszeit überschreitet und verworfen wird.
Bei dieser hohen Geschwindigkeit durchqueren die Knoten aber tendenziell öfters ihre gegenseitige Sendereichweite
als bei 1m/s. Ein Paket das im Send Buffer gewartet hat wird also dann gesendet, wenn gerade
zufällig das Ziel in Sendereichweite gekommen ist. Die hohe Mobilität hilft hier also ein Paket doch noch
auszuliefern.
Das Fazit dieser Simulationen ist, dass DSR auch bei vielen egoistischen Knoten noch eine gute Zustellungsrate
erreicht. Selbst bei 50% egoistischen Knoten kommen immerhin noch um die 80% der Pakete am
Ziel an.
Problematisch ist allerdings, dass Knoten, die sich in den Randbereichen aufhalten, wesentlich schlechtere
Zustellungsraten erreichen. Es kann vorkommen, dass der einzige Knoten, der Pakete weiterleiten könnte,
gerade ein egoistischer, nicht kooperativer Knoten ist. Damit wäre ein solcher Randknoten dann vom Netzwerk
isoliert.
Einige wenige egoistische Knoten mögen noch tolerabel sein, ist man geneigt zu sagen, aber die Spieletheorie
warnt vor dem Trittbrettfahrerproblem. Die Spieletheorie wurde von John von Neumann begründet und
52

KAPITEL 5. SIMULATION VON AD HOC NETZWERKEN
modellierte das Trittbrettfahrerproblem wie folgt:
• Ein Knoten versucht seinen individuellen Gewinn zu maximieren.
• Je mehr Knoten zu einem Kollektivgut beitragen, desto höher ist die Auszahlung durch dieses Kollektivgut
für jeden Knoten.
• Der Beitrag zum Kollektivgut durch den einzelnen Knoten ist größer als der Rückgang der Auszahlung
aus dem Kollektivgut zurück an diesen Knoten.
Ein Beispiel:
Wenn Knoten A 100mW Sendeleistung in das Kollektivgut Ad hoc Routing investiert, profitiert er unmittelbar
erst einmal gar nicht. Andere Knoten erhalten eine Auszahlung durch das erfolgte Routing. A könnte
nun versuchen nur noch das Ad hoc Netzwerk für sich selbst zu nutzen und nicht zu kooperieren; dadurch
spart er die Sendeleistung und profitiert trotzdem von den kooperierenden Knoten.
Andere Knoten können nun dieselbe Strategie verfolgen. Dadurch steigt die Last auf den kooperativen Knoten,
bis deren Kosten so hoch sind, dass sie keine Motivation mehr haben weiterhin zu kooperieren. Selbst
wenn sie noch kooperieren, werden sie niemals eine Auszahlung haben, die an den Aufwand für das fremde
Routing heranreicht. Das Ergebnis ist ein Netzwerk, bei dem niemand mehr kooperiert und alle Knoten
egoistisch sind.
5.3 Simulation böswilliger Knoten
Der andere Typus des Fehlverhaltens von Knoten in Netzwerken sind die böswilligen Knoten. Diese wollen
nicht nur maximal individuell profitieren, sondern auch noch Schaden zufügen. Angriffe auf Applikationen
und Betriebssysteme sind bekannt und hinreichend untersucht. Von Interesse sind deshalb vor allem Angriffe
auf das Routing mit DSR.
Es wurde ein simples bösartiges Verhalten definiert:
• Eigene Pakete werden regulär empfangen und gesendet.
• Fremde Route Discoverys werden weitergeleitet.
• Fremde Datenpakete werden verworfen.
Dieses bösartige Verhalten ist nicht gegen einen einzelnen Knoten gerichtet, sondern gegen das Routing an
sich. Wie schon bei den egoistischen Szenarien wurde auch hier mit zwischen 0 und 50 böswilligen Knoten
simuliert.
53

KAPITEL 5. SIMULATION VON AD HOC NETZWERKEN
Empfangsrate %
100
80
60
40
20
0
0 10 20 30 40 50
Anzahl bösartiger Knoten
Bewegung der Knoten: 1 m/s
Anzahl Knoten 0 1 3 5 7 10 15
Zustellungsrate 99.59 93.49 81.42 71.36 66.77 60.33 49.36
Anzahl Knoten 20 25 30 35 40 45 50
Zustellungsrate 46.42 42.46 41.27 42.6 42.07 41.22 33.64
Abbildung 5.9: Auswirkung von Böswilligkeit auf die Zustellungsrate bei 1m/s
Empfangsrate %
100
80
60
40
20
0
0 10 20 30 40 50
Anzahl bösartiger Knoten
Bewegung der Knoten: 20 m/s
Anzahl Knoten 0 1 3 5 7 10 15
Zustellungsrate 94.25 85.48 67.02 56.35 50.21 46.90 42.35
Anzahl Knoten 20 25 30 35 40 45 50
Zustellungsrate 39.29 37.38 36.38 37.29 36.89 36.62 33.52
Abbildung 5.10: Auswirkung von Böswilligkeit auf die Zustellungsrate bei 20m/s
54

KAPITEL 5. SIMULATION VON AD HOC NETZWERKEN
Erkennbar ist im Gegensatz zu den Ergebnissen der Simulation von egoistischem Verhalten in Kapitel 5.2,
dass schon wenige böswillige Knoten eine deutliche Auswirkung in den Ergebnissen der Abbildung 5.9
zeigen. Bereits drei böswillige Knoten führen zu einer Zustellungsrate von 81.4%; es waren immerhin 25
egoistische Knoten nötig, um ein ähnlich negatives Ergebnis zu bewirken. Bei nur sieben böswilligen Knoten
werden nun schon 33% der Pakete böswillig verworfen.
Auch hier ist ein ähnlicher Sockel feststellbar wie bei dem Egoismus, denn auch hier werden Pakete in eigenem
Interesse noch korrekt verschickt und empfangen.
Auch Abbildung 5.10 zeigt, wie schon wenige Knoten genügen, um einen großen Teil der Pakete zu zerstören.
Interessant ist, dass bei 20m/s ein einzelner Knoten fast 14,5% der Pakete verwirft. Damit ist ein einzelner
Knoten in der Lage das Netzwerk relevant zu beeinträchtigen. Waren es bei 1m/s noch sieben böswillige
Knoten, die 33% der Pakete verwerfen, so erreichen dies nun bereits drei Knoten. Das zeigt, dass bei hohen
Geschwindigkeiten wenige Knoten einen starken Einfluss auf das Routing haben. Da diese Knoten bewusst
böswillig sind und Route Replys ordnungsgemäß beantworten und weiterleiten, Datenpakete aber verwerfen,
wird DSR die Möglichkeit genommen, um diese Knoten Pakete herumzuleiten. Deshalb ist jetzt einen
stärker Effekt als bei Egoismus ersichtlich.
Diese Ergebnisse sind besonders bedeutsam, da bisher nur Auswirkungen von Egoismus auf DSR simuliert
wurden. Mit dieser Arbeit konnte der bisher in der Literatur nicht untersuchte gravierende Effekt von
Böswilligkeit auf das DSR Routing gezeigt werden.
Als Ziel eines Intrusion Detection Systems bleibt damit die Erkennung und Unterdrückung von böswilligem
Verhalten als primäres Ziel. Um die Kooperation zu stimulieren, um effektive Ad hoc Netzwerke zu erreichen,
müssen in einem weiteren Schritt Egoismus erkannt und ausgemerzt werden.
55

KAPITEL 5. SIMULATION VON AD HOC NETZWERKEN
56

Kapitel 6
MobIDS, ein Intrusion Detection System für
mobile Ad hoc Netzwerke
Erklärtes Ziel dieser Arbeit war es ein mobiles IDS zu schaffen, das ständig wechselnden Netzwerktopologien
zum Trotz in der Lage ist, bösartige und egoistische Knoten zu erkennen und Gegenmaßnahmen
einzuleiten. Dieses System wird kurz MobIDS (Mobile Intrusion Detection System) genannt.
Es werden verschiedene neuartige Methoden der lokalen Erkennung vorgestellt und im Anschluss Bewertungsverfahren
sowie die Reaktion auf bösartige Knoten behandelt.
6.1 Ein sicheres Rahmenwerk für ein IDS
Jedes IDS in dem schwierigen Umfeld von mobilen Ad hoc Netzwerken macht Annahmen über die Teilnehmer
und die durch andere Systemkomponenten garantierte Sicherheit. Diese Arbeit nimmt möglichst
wenige Beschränkungen an, denen die Teilnehmer unterworfen sind.
Dennoch benötigt MobIDS ein abgestimmtes Sicherheitsrahmenwerk, um damit zusammen das Netz besser
zu schützen, als die bisher diskutierten Ansätze es vermochten. Jeder kann Teilnehmer in einem von MobIDS
kontrolliertem Netzwerk werden. Aber jeder muss eine Instanz von MobIDS auf dem mobilen Gerät
am Laufen haben sowie über eine eindeutige von MobIDS bestimmbare Identität verfügen, die zyklisch
an zentraler Stelle erneuert werden muss. Das Netzwerkprotokoll muss, zum Beispiel durch ein kryptografisches
System, sicherstellen, dass Routing Informationen nur durch den jeweiligen Erzeuger verändert
werden können. Im Netzwerk müssen entlang einer Route paarweise Schlüssel mit der Quelle einer Route
ausgetauscht worden sein, um verschlüsselte Datenübertragung zu ermöglichen.
Diese Annahmen sind realistisch und werden von den anderen aktuellen Arbeiten der Abteilung Medieninformatik
der Universität Ulm abgedeckt. Im Gegensatz zu den bisher in dieser Arbeit diskutierten Ansätzen
wird weder von einer globalen Zeit im Netzwerk ausgegangen noch von sicherer Hardware; weder unterliegen
die Teilnehmer einer Beschränkung noch werden unerschütterliche Vertrauensbeziehungen vorausgesetzt.
57

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
6.2 Konzept des Intrusion Detection Systems
MobIDS operiert in drei Stufen: Die Erkennung läuft immer, in dieser wird ein Knoten als bösartig, egoistisch
oder aber auch als kooperativ erkannt. Die Bewertung führt die Einzelbewertungen der beobachtetem
Verhalten zu einem Wert zusammen. Dieser wird verbreitet, sofern die Bewertung einen negativen Schluss
über einen Knoten zulässt. Die Reaktion erfolgt, sobald einige negative Bewertungen von einem Knoten
empfangen wurden.
6.2.1 Aufbau von MobIDS
MobIDS besteht, wie in Abbildung 6.1 dargestellt, aus vier Komponenten: Der IDSAgent ist auf unterer
Ebene angesiedelt, übernimmt die Kommunikation und erzeugt die Pakete für das IDS, die IDSApplication(IDSApp)
bietet die Schnittstelle nach außen, um die Funktionen des IDS nutzbar zu machen. Innerhalb
der IDSApp wird die Instanz des eigentlichen IDS erzeugt.
Das IDS hat drei Hauptteile: Die Analysis Komponente ist zuständig für die Koordination und Auswertung
von Untersuchungen und Audit Daten. Das Ergebnis wird bewertet und der Rating Komponente übergeben.
Im Rating werden diese zu Bewertungen aggregiert und zu einer Gesamtbewertung verdichtet.
Alle relevanten Ereignisse, die für eine spätere Auswertung interessant sein könnten, werden eine gewisse
Zeit in Audit gespeichert. Ebenso werden dort die Ergebnisse der Analyse abgelegt sowie die Bewertungen
verwaltet.
Audit
Hops
Links
Probes
DSR Graph
Analysis
Probing
Overhearing
Malicious
Check
Rating
Behaviour
positive
negative
activity
IDSApp
IDS System
Command API
Abbildung 6.1: Aufbau des IDS
58
IDSAgent
Communication
Interface
NS2 und DSR

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
Diese Struktur kann auch auf das CIDF Modell abgebildet werden:
Die Aufgabe der Event-Box wird auf mehrere Komponenten verteilt, denn der IDSAgent und die Schnittstelle
zum DSR Protokoll liefern die benötigten Ereignisse auf unterer Protokollebene. Die Analysis Box
wird einerseits auf Analysis und andererseits auf Rating aufgeteilt. Die Aufgabe der Storage Box (D-Box)
wird durch IDS Audit wahrgenommen. Die Countermeasure Box schließlich ist ein Konglomerat von Funktionen
und Aufrufen, die direkt an das DSR Protokoll gerichtet sind.
Am Ende dieses Kapitels werden die einzelnen Komponenten und Funktionen im Detail besprochen. Die
Implementierungen der Algorithmen zur lokalen Erkennung werden direkt im Zusammenhang mit dem jeweiligen
Erkennungskonzept erklärt.
6.3 Lokale Erkennung
Die lokale Erkennung ist von zentraler Bedeutung bei einem IDS. Wenn sie nicht zuverlässig in Erkennung
und Identifikation des Angreifers ist, sind die weiteren Schritte, die Bewertung und die Reaktion obsolet.
Später in diesem Kapitel in Abschnitt 6.4 werden die Bewertungsfunktionen diskutiert. Momentan genügt
es zu wissen, dass es eine Bewertungsfunktion gibt, die aus mehreren Einzelverhalten einen Wert für ein
Gesamtverhalten ableiten kann... .
6.3.1 Overhearing mit dem Promiscuous Mode
Dies ist wohl die meist verwendete Technik bei aktuellen IDS, wie bereits in Kapitel 3 dargelegt wurde.
Auch in diesem System wird sie eine wichtige Rolle einnehmen.
6.3.1.1 Die Problematik des Overhearing
Im normalen Betrieb einer Netzwerkkarte nach dem IEEE 802.11 Standard werden nur Unicast Pakete empfangen
und gesendet, also immer nur Pakete, die von einem Sender an einen Empfänger adressiert sind. Es
kann darüber hinaus auch noch im Broadcast Modus gesendet werden; dann empfangen alle Knoten in Empfangsreichweite
dieses Paket.
Aktuelle Netzwerkkarten bieten zusätzlich noch die Möglichkeit auch alle Unicast Pakete in Empfangsreichweite
zu verarbeiten (overhearing). Dadurch können also Pakete mitgehört werden, die nicht für diesen
Knoten bestimmt sind. Diesen Modus nennt man auch ”Promiscuous Mode”.
Wie gezeigt wurde nutzen viele IDS für Ad hoc Netzwerke diesen Modus, ebenso wie das DSR Protokoll.
Nun soll auf die spezielle Problematik des Promiscuous Mode eingegangen werden.
Das generelle Problem des Energieverbrauchs in Funknetzwerken wurde in [LF01] analysiert. Eine IE-
EE 802.11 Netzwerkkarte verbraucht demnach selbst im Ruhemodus(idle Zustand) 800mW. Senden kostet
1400mW, während der Empfang immer noch 1000mW verbraucht. Es ist ersichtlich, dass einfache Datenverarbeitung
im Promiscuous Mode zusätzliche Kosten verursacht. Diese zusätzlichen Kosten mögen aber
59

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
tolerabel sein, da der größte Energieverbrauch in einem Rechner von Display, Speicher und Prozessor verursacht
wird.
Viele IDS nehmen an, dass man mit dem Hören eines Paketes mit dem Promiscuous Mode folgern kann,
dass dieses Paket sein Ziel erreicht hat. Es gibt aber eine Reihe von Problemen mit dem Empfang von
Paketen im Promiscuous Mode:
1. Kollision beim Knoten im Promiscuous Mode: Wenn es beim Senden an irgendeinem Knoten im
Promiscuous Mode zu einer Kollision kommt, hört der lauschende Knoten nichts mehr. Es kann also
nicht gesagt werden, ob das Paket nun geschickt wurde oder nicht.
2. Selbst wenn der lauschende Knoten eine Übertragung des Paketes hört, kann er nicht feststellen, ob es
nicht beim Empfänger des Paketes zur Kollision gekommen ist. In diesem Fall hätte der Empfänger
nämlich trotzdem dieses Paket nicht bekommen.
3. Mit mancher Hardware kann die Sendeleistung reguliert werden. Dann kann ein böswilliger Knoten
seine Leistung so anpassen, dass der lauschende Knoten das Paket hört, das Paket sein eigentliches
Ziel aber nicht erreicht.
4. Ein anderes Problem ist, dass kooperative Angriffe nicht erkennbar sind. Wenn der erste böswillige
Knoten sein Paket weiterleitet, aber ein zweiter böswilliger Knoten das Paket direkt danach verwirft,
wird es der lauschende Knoten höchst wahrscheinlich nicht erkennen.
6.3.1.2 Eine verbesserte Technik des Overhearing
Meistens können die Knoten ihre Transmissionen gegenseitig hören manchmal treten aber die oben beschriebenen
Probleme auf. Es ist also nötig zu erkennen, wann man von einem Knoten nichts hört, weil
einer der beschriebenen Effekte aufgetreten ist, und wann man den Knoten gut hören kann, aber er sich
weigert das Paket weiter zu senden.
Der Gedanke ist mitzuhören, ob ein Knoten im eigenen Interesse aktiv ist. Wenn man diese Aktivitäten
wahrnimmt, kann davon ausgegangen werden, dass man zu diesem Zeitpunkt auch hören würde, wie der
Knoten das gewünschte Paket sendet.
Die Methode besteht nun darin, Protokoll über alle Sendeaktivitäten der Nachbarn zu führen. Ist beabsichtigt,
dass M ein Paket weiterleitet, senden wir dieses und warten. Hören wir von M, dass er das Paket sendet,
werten wir das als kooperatives Verhalten positiv.
Hören wir in einer Zeitspanne allerdings nicht, dass M das Paket weiterleitet, prüfen wir seine Aktivität.
Wenn wir eine hohe, gut wahrnehmbare Aktivität in einer gewissen Zeitspanne vor oder während dem Warten
feststellen, dann werten wir dies als böswilliges Verhalten. Denn wer in eigenem Interesse senden kann
und bei uns damit zu hören ist, sollte auch beim Senden unseres Paketes hörbar sein.
60

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
Die Schwierigkeit liegt nun darin die Aktivität passend festzustellen. Wir wollen die Aktivität, nur kurz
bevor wir den Auftrag erteilen und während wir warten, einbeziehen. Zusätzlich muss der Schwellenwert
günstig gelegt sein, um noch eine hinreichend gute Erkennungsrate zu gewährleisten.
Details der Implementierung
Das aktivitätsbasierte Overhearing basiert auf dem Promiscuous Mode: Pakete werden in diesem empfangen
und direkt in einer zeitlich geordneten Warteliste gespeichert. Mit Hilfe dieser Liste erfolgt eine Prüfung aller
Pakete, die empfangen werden, ob diese Teil der Liste sind. Kann ein entsprechendes Paket gefunden werden,
wird dieses aus der Warteliste entfernt und mit dem empfangenen Paket verglichen. Falls Änderungen
festgestellt werden, wird dies als böswillige Manipulation gewertet und führt zu einer negativen Bewertung.
Ist der Inhalt des empfangenen Paketes wie erwartet, wird eine positive vergeben.
Die Bewertungen werden für den einzelnen beobachteten Knoten in drei getrennten Queues 1 gespeichert: je
eine Queue für positive und negative Bewertungen sowie eine Queue zur Erfassung der Aktivität. Es handelt
sich dabei um separate Queues um zu verhindern, dass beispielsweise positive Bewertungen negative
verdrängen können. Jeder Eintrag dieser Listen umfasst die Zeit, die vergebene Bewertung und die Identifikationsnummer
des Pakets. Die Queues haben eine maximale Länge, um ein Überlasten des Systems zu
verhindern. In der Aktivitäts-Queue wird jedes empfangene Paket mit konstanter Bewertung gespeichert.
Diese Queue ist zudem kürzer als die beiden anderen.
Die Einzelbewertungen werden, wie in Abschnitt 6.4 vorgestellt wird, zu einer Gesamtbewertung unter Einbeziehung
der Zeit aggregiert. Wenn eine Bewertung zeitlich keine Relevanz mehr hat, wird sie aus der
Queue entfernt.
Werden Pakete nun überhaupt nicht empfangen, warten sie theoretisch für immer in der Warteliste. Damit
dieser Fall nicht eintritt, wird jedes Paket dort mit einer maximalen Wartezeit versehen. Die Bewertungen
sind in der Aktivitäts-Queue ebenso lange enthalten wie die Wartezeit. Nach Ablauf der Wartezeit wird das
Paket entfernt. Nun muss entschieden werden, ob eine negative Bewertung vergeben wird.
Zeigt die Aktivitäts-Bewertung eine hinreichende Aktivität des beobachteten Knotens, um daraus zu schließen,
dass guter Empfang bestand, wird eine negative Bewertung vergeben. Ansonsten wird das Paket stillschweigend
aus der Warteliste gelöscht.
6.3.1.3 Ergebnisse des neuen Overhearing Systems
Overhearing ist der in der Literatur am stärksten verbreitete Ansatz, um bösartiges Verhalten lokal zu erkennen.
Deshalb wurde Overhearing als Erkennungssystem implementiert und mit den Szenarien aus Kapitel
5.3 überprüft.
1 Queue siehe Glossar
61

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
2
1.5
1
0.5
0
0 2 4 6 8 10 12 14
Anzahl bösartiger Knoten
Erkennungen eines einzelnen bösartigen Knotens
Fehlerkennungen
Abbildung 6.2: Erkennungsrate von bösartigen Knoten
mit Overhearing bei 1m/s
4
3.5
3
2.5
2
1.5
1
0.5
0
0 5 10 15 20 25 30
Anzahl bösartiger Knoten
Erkennungen eines einzelnen bösartigen Knotens
Fehlerkennungen
Abbildung 6.3: Erkennungsrate von bösartigen Knoten
mit Overhearing bei 20m/s
Bösartige Knoten 0 1 2 3 4 5 6 7 10 15
Erkennungsrate bei 1m/s 0.6 1.1 1.8 1.3 1.8 1.5 1.4 1.0 0.5
Fehlerkennungen bei 1m/s 1.7 1.2 0.4 0.7 0.6 0.1 0.4 0.1 0.1 0
Erkennungsrate bei 20m/s 2.9 2.9 3.1 3.0 3.4 3.4 3.1 2.4 0.9
Fehlerkennungen bei 20m/s 0.4 0.2 0.1 0.1 0 0 0 0 0 0
Abbildung 6.4: Erkennungsraten von bösartigen Knoten mit Overhearing
Alle Ergebnisse wurden abhängig von der Anzahl der bösartigen Knoten simuliert. Dabei wurden zwei verschiedene
Größen gemessen; die Erkennungsrate von bösartigen Knoten ist dabei von besonderem Interesse.
Es ist dabei zu beachten, dass diese Größe die durchschnittliche Anzahl der Erkennungen eines einzelnen
Knotens angibt. Wurden beispielsweise 5 Knoten simuliert und die Ergebnisse weisen eine Erkennungsrate
von 1.8 aus, dann bedeutet dies, dass im Durchschnitt jeder einzelne Knoten 1.8 mal richtig als böswillig
erkannt wurde. Absolut betrachtet gab es also 9 richtige Erkennungen bei 5 simulierten Knoten.
Dagegen ist die Fehlerkennung ein absolutes Maß, auch wenn sie im gleichen Diagramm gezeichnet wird.
Sie gibt alle Fehlerkennungen an, die während der Simulation aufgetreten sind. Da jeweils 10 Simulationsläufe
zu Grunde gelegt sind, muss diese Größe gemittelt werden. Für alle Fehlerkennungen in diesem
Kapitel gilt, dass es sich dabei um verschiedene Knoten gehandelt hat, dass also kein Knoten in einem Simulationslauf
mehr als einmal fälschlicherweise beschuldigt wurde.
Wie die Ergebnisse zeigen, konnte das herkömmliche Overhearing nicht die erhofften Resultate liefern. Bei
einem simulierten Knoten bei 1m/s konnte dieser eine Knoten 0.6 mal richtig erkannt werden, 1.7 verschiedene
andere Knoten wurden dagegen fälschlicherweise beschuldigt und stellen eine Fehlerkennung dar.
Zwei simulierte bösartige Knoten wurden jeweils 1.2 mal erkannt, absolut betrachtet wurden also 2.4 Knoten
richtig erkannt. Bei der höheren Geschwindigkeit von 20m/s konnten die Knoten besser erkannt werden;
es wurde jeder Knoten stabil 3 mal richtig erkannt, bei nur wenigen Fehlerkennungen. Diese bessere Erkennung
ist auf erhöhte Aktivität zum Routen Aufbau zurückzuführen. Die Topologie ändert sich schnell,
dadurch müssen ständig neue Routen aufgebaut werden; der böswillige Knoten befindet sich entsprechend
in mehreren Routen und kann dort seinen Angriff ausführen. Dadurch haben mehr Knoten die Chance diesen
bösartigen Knoten zu erkennen. 62

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
8
7
6
5
4
3
2
1
0
0 2 4 6 8 10 12 14
Anzahl bösartiger Knoten
Erkennungen eines einzelnen bösartigen Knotens
Fehlerkennungen
Abbildung 6.5: Aktivitätsbasiertes Overhearing bei
1m/s
8
7
6
5
4
3
2
1
0
0 2 4 6 8 10 12 14
Anzahl bösartiger Knoten
Erkennungen eines einzelnen bösartigen Knotens
Fehlerkennungen
Abbildung 6.6: Aktivitätsbasiertes Overhearing kombiniert
mit normalem Overhearing bei 1m/s
Bösartige Knoten mit 1m/s 0 1 2 3 4 5 6 7 10 15
Erkennungsrate aktivitätsbasiert 6.2 4.5 2.8 2.1 1.3 1.2 0.9 0.7 0.5
Fehlerkennungen aktivitätsbasiert 1.8 1.0 0.4 0.6 0.2 0 0.1 0 0 0
Erkennungsrate mit beiden Methoden 6.8 5.6 4.2 2.9 2.3 2.0 1.6 1.2 0.7
Fehlerkennungen mit beiden Methoden 2.9 1.8 0.8 1.0 0.6 0 0.4 0.1 0.2 0
Abbildung 6.7: Overhearing und aktivitätsbasiertes System
Die bereits diskutierten Probleme des Overhearings beim Empfang von Paketen scheinen eine wichtige Rolle
zu spielen. Knoten versuchen mittels Overhearing die Verarbeitung eines Paketes zu empfangen, während
aber eine Störung vorliegt, die den Empfang verhindert. Im Resultat wird ein Knoten fälschlicherweise beschuldigt
obwohl er kooperativ war. Die Schwellenwerte müssen entsprechend angepasst werden, um zu
viele Fehlerkennungen zu verhindern, dadurch fällt aber auch die Erkennungsleistung.
Overhearing mit Überprüfung der Aktivität ist ein in dieser Arbeit neu entwickelter Ansatz, deshalb muss
sich nun zeigen, ob es die erwünschten Erkennungsraten liefern kann. Der Grundgedanke, dass Knoten, von
denen eine Aktivität empfangen werden kann, auch durch Overhearing überprüfbar sind.
Aktivitätsbasiertes Overhearing führt wie in Abbildung 6.7 zu besseren Ergebnissen als herkömmliches
Overhearing. Ein bösartiger Knoten wird nun von bis zu 6.2 Knoten in einer Simulation erkannt. Das ist
eine deutliche Steigerung gegenüber herkömmlichem Overhearing mit Erkennungsraten kleiner zwei. Die
Trennschärfe zwischen Fehlerkennungen und echten bösartigen Knoten ist besser; das zeigt sich durch das
Maximum von 1.8 Fehlerkennungen je Simulation.
63

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
Herkömmliches Overhearing kann auch mit aktivitätsbasiertem Overhearing kombiniert werden, indem Ereignisse
des herkömmlichen Overhearings schwach bewertet werden. Die beiden Methoden zusammen zeigen,
dass die Erkennung noch etwas gesteigert werden kann; zudem fällt die Erkennungsrate mit steigender
Anzahl der bösartigen Knoten später ab. Bei 3 bösartigen Knoten wurde nun jeder 4.2 mal erkannt, wogegen
das aktivitätsbasierte Overhearing alleine 2.8 Erkennungen lieferte. Diese Ergebnisse sind auch noch besser
als die Erkennung von 1.8 des herkömmlichen Overhearings.
16
14
12
10
8
6
4
2
0
0 5 10 15 20 25 30
Anzahl bösartiger Knoten
Erkennungen eines einzelnen bösartigen Knotens
Fehlerkennungen
Abbildung 6.8: Aktivitätsbasiertes Overhearing bei
20m/s
16
14
12
10
8
6
4
2
0
0 5 10 15 20 25 30
Anzahl bösartiger Knoten
Erkennungen eines einzelnen bösartigen Knotens
Fehlerkennungen
Abbildung 6.9: Aktivitätsbasiertes Overhearing kombiniert
mit normalem Overhearing bei 20m/s
Bösartige Knoten mit 20m/s 0 1 2 3 4 5 6 7 10 15
Erkennungsrate aktivitätsbasiert 12.7 8.2 4.4 3.8 2.6 1.9 1.6 1.1 0.7
Fehlerkennungen aktivitätsbasiert 0.6 0.2 0.1 0.3 0.2 0.2 0.2 0.2 0.2 0.2
Erkennungsrate mit beiden Methoden 13.7 10.7 7.0 5.7 4.4 3.5 2.9 2.1 1.1
Fehlerkennungen mit beiden Methoden 1.0 0.5 0.2 0 0.4 0.4 0.4 0.4 0.4 0.4
Abbildung 6.10: Overhearing und aktivitätsbasiertes System
Bei der höheren Geschwindigkeit tritt eine deutliche Steigerung der Erkennungsrate auf. Wie bei herkömmlichem
Overhearing ist die gesteigerte Aktivität, die für den Routen Aufbau benötigt wird, ausschlaggebend. Diese
Aktivität liegt dem aktivitätsbasierten Overhearing zu Grunde und führt zu häufigeren Erkennungen. Je
mehr Aktivität an einem Knoten empfangen wird, desto sicherer kann gefolgert werden, dass ein Knoten,
von dem man keine kooperative Nachrichtenweiterleitung empfängt, bösartig ist.
Alleine das aktivitätsbasierte Overhearing liefert eine Erkennung des einzelnen bösartigen Knotens durch
12.8 Knoten. Wird das herkömmliche Overhearing noch dazu genommen, kann die Erkennung noch geringfügig
gesteigert werden.
64

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
Bewertung
Die Simulation hat also bestätigt, dass der neue Ansatz des aktivitätsbasierten Overhearings bessere Ergebnisse
liefert als herkömmliches Overhearing, ohne dafür zusätzliche Kommunikationsressourcen zu
benötigen. Eine gute Erkennung ist damit also möglich.
Aktivitätsbasiertes Overhearing ist damit ein fundamentaler Bestandteil von MobIDS zur lokalen Erkennung.
Allerdings muss beachtet werden, dass der Promiscuous Mode in der Realität anfälliger ist, als es
die Simulation zeigt. Die Ergebnisse sind stark von der Geländebeschaffenheit abhängig. Ein Gebäude an
einer ungünstigen Stelle hat bereits gravierende Auswirkungen auf den Empfang und könnte bei hohen Geschwindigkeiten
zusätzliche Fehlerkennungen erzeugen.
6.3.2 Probing
Aktivitätsbasiertes Overhearing wurde als effektive Möglichkeit vorgestellt, um bösartige Knoten zu erkennen.
Nun soll ein Verfahren untersucht werden, das sich Probing nennt und das bestehende Verbindungen
gezielt auf bösartige Knoten hin untersucht.
6.3.2.1 Probing in der Literatur
Awerbuch und Holmer stellen in [AH02] eine Technik Namens Probing für Ad hoc Netzwerke vor. Probing
ist dabei eine Technik, die gezielte Tests unternimmt, um daraus Rückschlüsse auf das Fehlverhalten eines
Knotens zu ziehen. Awerbuch geht dabei von einem Routing Protokoll aus, das DSR mit seinen Route Request
und Route Discovery Phasen ähnelt. Zusätzlich werden aber noch Bestätigungsnachrichten für jedes
Paket vom Ziel zur Quelle geschickt. Die Weiterleitung der Pakete erfolgt ebenso wie bei DSR entlang von
Source Routen, nur dass jetzt auch noch nach dem Zwiebelschalenmodell verschlüsselt wird. Diese Verschlüsselung
und der Austausch der Schlüssel geschieht folgendermaßen:
Es werden Schlüssel, frei nach Diffie Hellman, zwischen der Quelle und allen Knoten entlang der Source
Route ausgetauscht. Damit werden paarweise geheime Schlüssel zwischen Quelle und allen Knoten auf dem
Pfad etabliert.
Nun wird die Adresse des letzten Knotens Ziel mit dem Schlüssel von D verschlüsselt und in die Liste gegeben.
Danach wird der Liste der vorletzte Knoten D hinzugefügt und wiederum mit dem Schlüssel von C
verschlüsselt. So geht es weiter, bis die gesamte Route verschlüsselt in einer Liste enthalten ist.
Dieses Zwiebelschalenmodell, wie in 6.11 dargestellt, stellt sicher, dass nur der Knoten, der an der Reihe
ist, das nächste Ziel auf der Route entschlüsseln und weiterleiten kann.
Das Probing nutzt diese Verschlüsselung, indem für jeden Knoten zusammen mit dem nächsten Ziel auch
ein Kommandofeld einer Stufe verschlüsselt wird. Dieses Feld kann für einen Knoten entlang der Route das
Kommando enthalten, eine Antwort zu schicken.
Erhält ein Knoten ein Paket, entpackt er es und erhält sein nächstes Ziel und das Kommandofeld. Wenn im
Kommandoeld steht, dass das eine Probe war, dann schickt er eine Antwort zurück.
65

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
Quelle A B C D Ziel
Schlüssel
von A
Schlüssel
von B
Schlüssel
von C
Schlüssel
von D
Abbildung 6.11: Zwiebelschalenmodell für Verschlüsselung
Nun kann, wenn die Bestätigungsnachricht ausbleibt, mit dem Probing eine Suche nach dem potentiell
bösartigen Knoten gestartet werden. Awerbuch schlägt dazu eine binäre Suche vor:
Zuerst wird der Knoten in der Mitte der Route gewählt und diesem im nächsten Datenpaket eine Probe
signalisiert. Wenn dieser antwortet, muss der böswillige Knoten hinter dem mittleren Knoten im Pfad kommen.
Antwortet der mittlere Knoten nicht, ist das Problem entweder der mittlere Knoten oder ein Knoten
zuvor. Es wird nun das Intervall entsprechend vor oder nach dem mittleren Knoten genommen und halbiert.
Der neue mittlere Knoten im Intervall bekommt die nächste Probe. Das wird solange wiederholt, bis
die beiden Intervallgrenzen keine Knoten mehr zwischen sich haben. Dann muss nur noch eine Nachricht
zu der der Quellen näheren Intervallgrenze gesendet werden, um den bösartigen Knoten zu identifizieren.
Kommt nun eine Antwort, ist die weiter entfernte Intervallgrenze als bösartig identifiziert, ansonsten die
andere Intervallgrenze.
Wie in Abbildung 6.12 zu sehen, gehen wir in unserem Beispiel von fünf Knoten aus, von denen B böswillig
ist. Eine normale Nachricht kam nicht am Ziel an, weil B sie verworfen hatte, und entsprechend kam auch
keine Bestätigungsnachricht zur Quelle zurück. Diese schickt nun zuerst ein Probepaket zum mittleren Knoten
auf der Route und bekommt wiederum keine Antwort. Nun wird eine 3. Probe an A (in der Mitte des
nächsten Intervalls) geschickt. Dort bekommen wir Antwort. Da wir B schon überprüft und keine Antwort
bekommen haben, schließt Awerbuch, dass der bösartige Knoten B ist.
Awerbuchs Ansatz hat eine Reihe von Nachteilen. Einige sind vermeidbar, wie der Einsatz der Zwiebelschalenverschlüsselung.
Wie wir in dieser Arbeit sehen werden, kann der Verschlüsselungsaufwand auf ein
kleines Feld in der Nachricht begrenzt werden. Eine komplette Nachricht für jeden Knoten entlang der Route
zu verschlüsseln und dann dieses Paket am jeweiligen Knoten zu entschlüsseln, ist ein großer Aufwand.
Durch die zusätzlich notwendigen Berechnungen erhöht sich die Laufzeit eines Paketes von der Quelle zum
Ziel deutlich.
Vermeidbar ist auch, für jedes Paket eine Bestätigungsnachricht zu schicken. Dadurch wird selbst bei gut
funktionierenden Verbindungen eine große Menge von vermeidbaren Status Paketen verschickt.
6.3.2.2 Das Probing Dilemma
Das dringendste Problem von Awerbuchs Ansatz aber ist, dass keine zuverlässige Erkennung des bösartigen
Knotens gewährleistet ist. Sobald ein bösartiger Knoten einmal eine Probe erhalten hat, stellt sich diesem
die Wahl, ob er auf die Probe antwortet oder nicht. Wenn der Knoten weiß, dass binär nach ihm gesucht
66

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
B böse
Probe 1
Quelle
A
B
böse
C
Ziel
Probe 3
B böse
Probe 2
Abbildung 6.12: Probing mit binärer Suche
wird, leitet er einfach für eine begrenzte Zeit alle Pakete weiter. Der böswillige Knoten spekuliert nämlich
darauf, dass einige der folgenden Pakete Probes für eine binäre Suche enthalten.
Da alle Probes nun beantwortet werden, solange der böswillige Knoten kooperiert, kann das Intervall, in dem
der böswilliger Knoten liegt, nicht bestimmt werden. Verwirft der böswillige Knoten plötzlich während der
binären Suche wieder Pakete, wird von der Quelle ein anderer Knoten als böswillig erkannt!
Ist der Algorithmus naiv implementiert und alle Probes der binären Suche kommen vorhersehbar in den
nächsten Paketen vor, kann der böswillige Knoten sogar gezielt einen anderen Knoten als böswillig markieren.
Das stellt damit einen kritischen Angriffspunkt dar.
Iteratives Probing als Lösung?
Das binäre Suchen bereitet offensichtlich Probleme für das Probing, da der bösartige Knoten sein Verhalten
ändern kann. Es ist eine naheliegende Idee, einfach den Knoten, iterativ vom Ziel ausgehend, Probes
zu schicken und sich dann Richtung Quelle vorzuarbeiten. Es wird zusätzlich vorausgesetzt, dass das Feld
durch Verschlüsselung geschützt ist, mit dem die Probe signalisiert wird; damit kann ein bösartiger Knoten
nie sagen, ob über ihn eine Probe geschickt wurde oder nicht. Die Antwort auf die Probe sollte zu diesem
Zweck entweder in regulär gesendete Datenpakete verpackt werden, um die Antwort zu tarnen, oder sie
kann über eine andere Route zur Quelle geschickt werden. Diese Route sollte dann keinen Knoten des Pfa-
67

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
des enthalten, der in der Route bis zu dem Knoten, der die Probe empfangen hat, war.
B böse
Probe 1
Quelle
A
B
böse
C
Ziel
Probe 4
Probe 3
B böse
Probe 2
Abbildung 6.13: Iteratives Probing
In 6.13 ist erkennbar, wie iteratives Probing funktioniert. Ab und zu werden Probes an das Ziel geschickt;
wenn keine Antwort vom Ziel innerhalb eines Zeitfensters ankommt, wird das Iterative Probing gestartet.
Zuerst wird eine Probe zu C geschickt, dann zu B und schließlich zu A. Von A kann auf jeden Fall eine
Antwort erwarten werden, denn A kennt das Protokoll und als ein kooperativer gutartiger Knoten wird er
antworten.
Was aber ist mit dem bösartigen Knoten B?
B hat die Wahl, ob er antwortet oder nicht; es kann damit nicht mit Bestimmtheit gesagt werden, wie B
reagieren wird. Es gibt zwei Möglichkeiten (wie in 6.3.2.2 dargestellt):
1. Wenn B antwortet, kann aus der Sicht B entweder der erste kooperative Knoten sein oder aber B ist
der bösartige Knoten der trotzdem antwortet! Damit ist einer der beiden Knoten {B,C} ein bösartiger
Knoten, ohne dass wir sagen können, welcher.
2. Wenn B nicht antwortet, ist A entweder der erste kooperative Knoten oder aber A ist der Knoten der die
Probe für B zuvor verworfen hat. Damit ist wiederum einer der beiden Knoten {A,B} ein bösartiger
Knoten.
68

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
Probe reply: von B zu Quelle
als böswillig verdächtigte
Knoten {B,C}
Quelle
A
B
böse
C
Ziel
Probe 4
Probe 3
Abbildung 6.14: B antwortet: potentiell bösartig sind
{B,C}
Probe reply: von A zu Quelle
als böswillig verdächtigte
Knoten {A,B}
Quelle
A
B
böse
C
Ziel
Probe 4
B böse
Probe 3
Abbildung 6.15: B antwortet nicht: potentiell bösartig
sind {A,B}
Damit gibt es immer zwei Kandidaten und es kann nur willkürlich eine Auswahl getroffen werden. Mit dem
Probing alleine wird offensichtlich keine eindeutigen Identifikation des bösartigen Knotens erreicht.
6.3.2.3 Ein Probing mit eindeutiger Identifikation des Angreifers
Das Probing Dilemma ist lösbar, indem zwei Techniken kombiniert werden. Probing zusammen mit Overhearing
kann helfen den Knoten eindeutig zu identifizieren; diese Technik wird eindeutiges Probing genannt.
Es wird jetzt ein Probe Paket mehr verschickt als bisher. Der erste Knoten, der auf eine Probe geantwortet
hat, kann potentiell böswillig sein, also muss er zusätzlich überprüft werden. Da es unwahrscheinlich
ist, dass zwei direkt aufeinander folgende bösartige Knoten zusammenarbeiten, kann dem Knoten, der vor
dem zu prüfenden Knoten kommt, getraut werden. Diesem Knoten wird eine weitere Probe in einem etwas
geänderten Format geschickt.
Das geänderte Format der Probe enthält nun zusätzlich die Paket ID der vorvorletzten gesendeten Probe.
Diese Probe hätte von dem Verdächtigen weitergeleitet werden müssen. Diese Weiterleitung wäre aber dem
kooperativen Knoten dank des Overhearings aufgefallen. Der kooperative Knoten kann nun in seinen Audit
Daten suchen, ob er die Weiterleitung der vorvorletzten Probe mit der spezifizierten Paket ID gehört hat oder
nicht.
69

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
Overhearing alleine ist normalerweise nicht zuverlässig genug, um sicher sagen zu können, ob ein Knoten
ein Paket weiterleitet oder nicht. Treffen aber beide Ereignisse, also keine Probeantwort erhalten und keine
Weiterleitung gehört, zusammen, dann ist die Wahrscheinlichkeit groß, dass dieser Knoten bösartig ist. Ist
das Overhearing einer einzelnen Probenachricht zu unsicher, können auch mehrere Probe Nachrichten gesendet
werden und dann von allen Probes geprüft werden, ob diese angekommen sind.
Overhearing durch A:
B hat Probe nicht
weitergeleitet
Quelle
A
B
böse
C
Ziel
Probe 4
Probe 3
Abbildung 6.16: B antwortet nicht: Ziel erkennt Weiterleitung
der Probe durch A
Das Probing System und der Aufbau der Probe Nachrichten
Overhearing durch
Quelle:
A hat Probe weitergeleitet
Quelle
A
B
böse
C
Ziel
Probe 4
B böse
Probe 3
Abbildung 6.17: B antwortet: A erkennt keine Weiterleitung
der Probe durch B
Das Probing System wurde nun konkret mit der neuen Erkennung mittels Overhearing implementiert. Eine
Probe wird in drei verschiedenen Fällen verschickt:
1. Nach dem Aufbau der Route durch einen Route Reply wird in dem ersten Paket eine Probe geschickt.
Diese Probe dient der Erkennung von byzantinischen Fehlern im Netzwerk. Ein Knoten, der durch
einen Defekt Pakete verwirft, fällt so sofort auf.
2. Nach einem Intervall, dessen Dauer durch einen Zufallswert variiert wurde, wird eine Probe geschickt.
Dies dient der Überprüfung bereits bestehender Routen.
3. Eine Probe als Teil einer Iterativen Suche
70

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
In den ersten beiden Fällen wird eine Probe verschickt und dann für eine gewisse Zeitspanne gewartet. Trifft
in dieser Zeitspanne eine Antwort ein, dann werden alle Knoten auf der Route positiv bewertet. Alle Knoten
mussten schließlich kooperieren, um dieses Paket auszuliefern und die Antwort zurück zu schicken. Kommt
keine Antwort, wird noch eine begrenzte Anzahl von Versuchen unternommen, die Probe nochmals zu senden.
War keine Probe erfolgreich, wird die Iterative Suche gestartet.
Diese funktioniert wie im vorigen Abschnitt beschrieben. Von hinten (dem Ziel), in Richtung der Quelle,
wird allen Knoten versucht die festgesetzte Anzahl Probes zu schicken. Es wird dabei zuerst dem vorletzten
Knoten eine Probe geschickt und dann auf Antwort gewartet. Bei ausbleibender Antwort wird dem vorvorletzten
Knoten eine Probe geschickt und so fort, bis entweder ein Knoten gefunden wurde, der antwortet,
oder bis keine Knoten mehr in der Route vorhanden sind.
Details der Implementierung
Das Probing ist eng mit der DSR Implementierung von ns2 verflochten. Die Initiative des Probings geht
aber vom IDSAgent aus. Dieser sendet in den drei oben beschriebenen Fällen Probes. Dazu braucht der
IDSAgent einen Timer; zum einen, um die Lebenszeiten der Probes zu überprüfen und bei Überschreitung
gegebenenfalls zu entfernen, und zum anderen, um periodisch Probes zur Überprüfung einer Verbindung
zu senden. Damit sind die Lebenserwartungen der Probes mit einer gewissen Varianz behaftet. Die Probes
werden also vom IDSAgent erzeugt, dieser fügt sie in eine Warteliste von Probes ein.
Das IDS System hat in IDSAudit eine Repräsentation des Netzwerkes mit allen Knoten. Jedem Knoten ist
darin eine Warteliste von Probes zugeordnet. In der Warteliste befinden sich Probes, die noch nicht gesendet
wurden, sowie Probes, die gesendet wurden, aber noch auf Antwort warten. Wir wollen Probes in reguläre
Datenpakete einbetten, deshalb müssen wir warten, bis ein solches gesendet wird. Für dieses System wurde
das mittels eines Callback realisiert, der von der Implementierung des DSR Protokolls aus vor dem Senden
eines Datenpakets eine Funktion im IDSAgent aufruft. Falls eine Probe mit diesem Knoten als Ziel gewartet
hat ausgesendet zu werden, liefert diese Funktion die Daten für die Probe zurück. Probes haben eine
großzügige maximale Wartezeit, um mit einem Datenpaket verschickt zu werden; wird diese überschritten,
wird davon ausgegangen, dass die Verbindung inaktiv geworden ist, und die Probe wird stillschweigend
entfernt. Kann eine Probe gesendet werden, wird die Zeit gespeichert, zu der die Probe gesendet wurde.
Überschreitet nun die Lebenszeit der Probe ihr Maximum, wird diese Probe entfernt und entweder eine
weiterer Versuch unternommen, dieses Ziel mit einer Probe zu erreichen, oder aber die nächste Iteration der
Suche wird gestartet.
Bei einer solchen Probe ist darauf zu achten, dass die Iterative Suche mit Probes nur entlang des untersuchten
Pfades erfolgt. Würde die Probe nur mit dem Ziel assoziiert, könnte sie das Ziel über einen beliebigen
Pfad erreichen. Damit wäre also keine Aussage über einen bestimmten Pfad getroffen. Deshalb muss erzwungen
werden, dass die Probes über den zu überprüfenden Pfad geschickt werden.
Da nun also eine Probe verschickt ist, müssen alle Knoten, die das Datenpaket erhalten, versuchen das verschlüsselte
Feld zu dechiffrieren. Kann das Feld entschlüsselt werden und enthält es das Kommando für eine
Probeantwort, muss der Knoten eine Antwort schicken. Momentan werden die Antworten noch als separate
71

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
Pakete verschickt, weiter oben im Text wurden aber Möglichkeiten besprochen, dies unauffälliger zu tun.
Die DSR Ebene leitet, um das zu leisten, jedes Paket mit einem Funktionsaufruf an das IDS weiter. Dieses
entschlüsselt dann das Feld und überprüft, ob es ein Kommando enthält. War das eine Probe, enthält
das Kommandofeld einen zusätzlichen Eintrag mit der Sequenznummer des Probe Pakets, das an den
übernächsten Knoten geschickt wurde. Der übernächste Knoten ist derjenige, der nach dem Knoten kommt,
den wir verdächtigen. Wir überprüfen mit Hilfe der durch das Overhearing gewonnenen Audit Daten, ob der
nächste Knoten dieses Probe Paket weitergeschickt hat, und fügen das Ergebnis in die Probe Antwort ein.
Dieses Ergebnis ist später für die zweite Probe, die wir schicken, wichtig. Zur Erinnerung: die erste Probe,
die beantwortet wird, kann von einem potentiell bösartigen Knoten kommen. Deshalb schicken wir eine
zweite Probe an den Knoten, der vor dem verdächtigen Knoten kommt. Dessen Antwort enthält dann, ob
der verdächtige Knoten Probe Pakete weitergeleitet hat oder nicht.
Jetzt endlich kommt die Probe zum Absender zurück. Das DSR Protokoll erkennt die Antwort und leitet
sie an das IDS weiter. Dieses entschlüsselt die Daten und erhält eine Antwort, ob der verdächtigte Knoten
das Paket weitergeschickt hat oder nicht. Entsprechend wird dieser Knoten negativ bewertet, wenn keine
Weiterleitung festgestellt wurde.
Um die Berechenbarkeit des Protokolls für bösartige Knoten zu erschweren, können die Probes mit variablen
Abständen verschickt werden. Dazu kann eine zufällige Anzahl von Paketen verstreichen, bis die
nächste Probe verschickt wird. In der naiven Implementierung kann mit dem Wissen um die Intervalle, nach
denen eine Probe verfällt, vorausgesagt werden, wann die nächste Probe verschickt wird.
6.3.2.4 Ergebnisse der Probing Mechanismen
Im letzten Abschnitt wurden zwei Probing Methoden vorgestellt; je nachdem, ob lediglich byzantinisch fehlerhafte
Knoten erkannt oder aber bösartige Knoten identifiziert werden sollen, würde der einfache Probing
Mechanismus zum Einsatz kommen oder der Mechanismus mit eindeutiger Identifikation des Angreifers.
Ergebnisse des einfachen Probing Mechanismus
Im einfachen Fall werden regelmäßig Probes in den Datenstrom, von Quelle zu Ziel, eingebettet. Kommt
keine Antwort zurück, werden solange Probes der Reihe nach an die Knoten auf dem Pfad geschickt, bis die
erste Antwort empfangen wird. Der folgende Knoten wird als Ursache der gebrochenen Verbindung angesehen
und als bösartig bewertet.
Die Simulation wurde mit demselben Angriffsszenario wie in Kapitel 5.3 durchgeführt; alle Parameter wurden
gleich gewählt.
Die Erkennungsrate dieses Ansatzes liefert eine zuverlässige Identifikation der Angreifer. Ein einzelner Angreifer
wird bei 1m/s von 4.9 Knoten korrekt als böswillig erkannt. Mit steigender Zahl der Angreifer fällt
dieser Wert langsam ab, bis schließlich bei 15 simulierten Angreifern jeder einzelne immer noch von 1.1
Knoten als bösartig erkannt wird. Das alles, wohlgemerkt mit einem Ansatz, der nur den ersten bösartigen
72

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
5
4
3
2
1
0
0 2 4 6 8 10 12 14
Anzahl bösartiger Knoten
Erkannte bösartige Knoten
Fehlerkennungen
Abbildung 6.18: Erkennungsrate von bösartigen Knoten
mit Probing bei 1m/s
14
12
10
8
6
4
2
0
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Anzahl bösartiger Knoten
Erkannte bösartige Knoten
Fehlerkennungen
Abbildung 6.19: Erkennungsrate von bösartigen Knoten
mit Probing bei 20m/s
Bösartige Knoten 0 1 2 3 4 5 6 7 10 15
Erkennungsrate bei 1m/s 4.9 4.4 4.3 3.5 3.4 3.2 2.7 1.9 1.1
Fehlerkennungen bei 1m/s 0.1 0 0 0 0.2 0 0.2 0.1 0 0
Erkennungsrate bei 20m/s 10.8 9.5 9.4 7.7 7.3 7.0 6.6 4.9 2.5
Fehlerkennungen bei 20m/s 0.1 0.1 0.3 0.1 0.1 0 0.1 0 0 0
Abbildung 6.20: Erkennungsraten von bösartigen Knoten mit Probing
Knoten in einem Pfad erkennen kann. Die Fehlerkennungen sind mit maximal 0.2 gering.
Bei der höheren Geschwindigkeit von 20m/s ist eine deutliche Steigerung der Erkennungsleistung auf 10.8
Erkennungen des einzelnen bösartigen Knotens ersichtlich. Die Erkennungsleistung fällt auch nicht so tief
ab wie bei 1m/s, sondern ist mit 2.5 Erkennungen bei 15 bösartigen Knoten immer noch stabil. Diese Steigerung
gegenüber 1m/s ist dadurch erklärbar, dass durch die hohe Geschwindigkeit viele verschiedene Pfade
im Laufe der Zeit benötigt werden, um ein und dieselbe Verbindung aufrecht zu erhalten. Die Wahrscheinlichkeit,
dass ein bösartiger Knoten Teil einer solchen Verbindung wird und erkannt werden kann, steigt
damit rapide an.
Probing Mechanismus mit eindeutiger Identifikation des Angreifers
Im einfachen Fall zeigte der Angreifer immer das gleiche Verhalten: er vewarf alle Pakete, bis auf Routing
Pakete. Es ist aber leicht einen Angriff so zu implementieren, dass der Angreifer, sobald er ein Probing Paket
bekommt, eine Antwort schickt und für eine gewisse Zeit danach kooperiert. Genau dieses Szenario wurde
implementiert und durch Simulation analysiert, ansonsten sind die Parameter die gleichen wie zuvor. Das
Probing mit der eindeutigen Identifikation des Angreifers kann nun trotzdem den Angreifer erkennen, auch
wenn dieser versucht nicht aufzufallen.
73

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
4
3.5
3
2.5
2
1.5
1
0.5
0
0 2 4 6 8 10 12 14
Anzahl bösartiger Knoten
Erkannte bösartige Knoten
Fehlerkennungen
Abbildung 6.21: Erkennungsrate von bösartigen Knoten
mit Probing bei 1m/s
3.5
3
2.5
2
1.5
1
0.5
0
0 2 4 6 8 10 12 14
Anzahl bösartiger Knoten
Erkannte bösartige Knoten
Fehlerkennungen
Abbildung 6.22: Erkennungsrate von bösartigen Knoten
mit Probing bei 20m/s
Bösartige Knoten 0 1 2 3 4 5 6 7 10 15
Erkennungsrate bei 1m/s 2.8 3.0 2.4 1.9 1.9 1.7 1.9 1.2 0.6
Fehlerkennungen bei 1m/s 0.1 0.3 0.1 0.1 0.3 0.2 0.5 0.4 0.1 0.1
Erkennungsrate bei 20m/s 2.5 2.2 1.8 1.5 1.7 1.7 1.2 1.0 0.4
Fehlerkennungen bei 20m/s 1.3 1.3 1.6 1.2 0.9 1.1 0.5 1.2 0.7 0.1
Abbildung 6.23: Erkennungsraten von bösartigen Knoten mit Probing
Bei 1m/s wird ein Angreifer von 2.8 Knoten erkannt. Die Anzahl der Erkennungen geht nur langsam zurück,
es wird selbst bei sieben Knoten jeder einzelne dieser sieben Knoten noch 1.9 mal erkannt. Es werden zudem
maximal 0.5 Fehlerkennungen erreicht. Das lässt sich folgendermaßen interpretieren: In zwei Simulationen
hatte nur eine Fehlerekennung vorgelegen.
Die Erkennungsrate bei 20m/s ist etwas schlechter; 2.5 Knoten erkennen den einzelnen Angreifer jetzt korrekt.
Diese Erkennungsrate fällt dann bei sieben Knoten auf 1.7 Erkennungen je Knoten ab, dabei werden
je Simulation maximal 1.3 Knoten fälschlicherweise als bösartig beschuldigt. Die später eingeführten
Bewertungs- und Reaktionsalgorithmen sind gegenüber diesem Wert noch tolerant und es kommt zu keiner
nachteiligen Reaktion für den fälschlicherweise beschuldigten Knoten.
Bewertung
Die Erkennungleistung ist immer noch ausreichend, um eine Reaktion gegen die bösartigen Knoten einzuleiten;
allerdings bringt die Abhängigkeit vom Overhearing dieser Technik geringere Erkennungsleistungen
als die der reinen Probing Technik.
Insgesamt ist das vorgestellte Probing besser als die bisher diskutierten Verfahren und kann mit einer hohen
Präzision bösartige Knoten erkennen. Der zusätzliche Kommunikationsaufwand ist gering, da nur sporadisch
Probes geschickt werden. Unter anderem deshalb ist diese Technik effizienter als Awerbuchs Ansatz,
74

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
da nicht auf jedes einzelne Paket ein Acknowledgement gesendet wird, sondern nur für die spärlichen Probes
Antworten verschickt werden. Darüber hinaus kann der neue Ansatz, was den Fortschritt gegenüber
Awerbuch darstellt, jetzt auch mit echten bösartigen und byzantinischen Knoten umgehen, die nicht deterministisch
Pakete weiterleiten oder verwerfen.
6.3.3 Erkennung von Egoismus
Knoten, die nicht beim Aufbau eines Ad hoc Netzwerkes kooperieren wollen, sind sicherlich das schwierigste
Problem der zuverlässigen Erkennung für ein IDS. Es gibt bisher mit dem Nuglets System (3.4.2.6)
erst einen Ansatz in der Literatur, um Egoismus zu begegnen. Die konzeptionellen Nachteile dieses Motivationsansatzes
verhindern aber seine Praxistauglichkeit, wie bereits in 3.4.2.6 nachgewiesen wurde.
In diesem Kapitel wird nun ein Erkennungssystem vorgeschlagen, das schon während der Route Discovery
die Erkennung eines egoistischen Knotens ermöglicht.
6.3.3.1 Die Notwendigkeit Egoismus zu erkennen und zu bestrafen
Nach der von John Nash begründeten Spieletheorie [Nas50] ist Egoismus dann interessant, wenn der persönliche
Gewinn durch das egoistische Verhalten größer ist als der Verlust, der als Rückkopplung dieses Verhaltens
auf den Mitspieler entsteht.
Ziel ist also, den Verlust durch Bestrafung abschreckend hoch zu gestalten, indem ein Erkennungssystem
gegen Egoismus eingesetzt wird. Dieses muss nur einen gewissen Anteil an egoistischen Knoten erkennen
können, um den nötigen Abschreckungseffekt zu erzielen. Es ist damit nicht mehr nötig einen Knoten zur
Weiterleitung jedes einzelnen Paketes zu motivieren, sondern es genügt eine Abschreckung durch ein Bedrohungsszenario
zu erreichen.
6.3.3.2 Aufbau des Erkennungssystems
Egoismus kann in zwei verschiedenen Phasen beim DSR Protokoll auftreten: entweder während des Routen
Aufbaus oder während der normalen Weiterleitung von Paketen innerhalb des Netzwerkes. Wenn ein
Knoten im zweiten Fall aus Egoismus Pakete verwirft, kann das bereits mit dem Probing oder mit dem aktivitätsbasierten
Overhearing entdeckt werden. Knoten, die nicht an der Route Discovery teilnehmen, werden
dagegen bisher nicht erkannt.
Es gibt eine Methode, um diese egoistischen Knoten, während des Route Requests, zu identifizieren: Diese
basiert auf einem zuverlässigen Wissen von den Knoten, die sich in der Nachbarschaft aufhalten. Die Erkennung
der Knoten in der Nachbarschaft wird in dem nächsten Abschnitt behandelt.
75

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
Alle Knoten werden in MobIDS verpflichtet jeden Route Request mindestens einmal weiterzuleiten, sofern
die maximal Reichweite dieses Route Requests noch nicht erreicht ist. Für die Erkennung eines egoistischen
Knotens genügt es zu überprüfen, ob alle Nachbarn während einer festgelegten Zeit (die sogenannte Wartezeit
Egoismus) den Route Request weiterleiten. Leitet ein bekannter Nachbar den Request nicht weiter,
wird er als egoistisch bewertet. Dass es bei diesem System auch zu Fehlerkennungen kommen kann, ist
einsichtig; deshalb müssen die Gewichtung der Bewertung und der Schwellenwert, der zu einer Reaktion
führt, dementsprechend sinnvoll festgelegt sein.
markiere Absender als
kooperativ
Route Request
Knoten
Route Request
mit dieser Nummer
bereits gesendet?
Ja Nein
gib positive Bewertung
entferne Absender aus
Warteliste
Abbildung 6.24: Ablauf nach Erhalt eines Route Requests
Ein Knoten muss alle Route Requests, die er erhält, mindestens bis zum Ablauf der Wartezeit Egoismus
speichern, nachdem er selbst diesen Route Request versendet hat. Sobald ein Knoten einen Route Request
erhält, der seine Maximalreichweite noch nicht erreicht hat, baut er eine Liste mit allen Nachbarn für die
Sequenznummer des Route Requests auf (die sogenannte Kandidatenliste Egoismus). Der Knoten, von dem
er den Route Request erhalten hat, wird in der Liste als kooperativ markiert. Ist die Maximalreichweite im
Route Request erreicht, wird der letzte Absender in einer gesonderten Liste als kooperativ markiert, aber
es wird keine Kandidatenliste Egoismus aufgebaut. Wird eine Kandidatenliste Egoismus aufgebaut, werden
Knoten, die für eine Sequenznummer in der gesonderten Liste stehen, nicht aufgenommen, denn diese haben
früher schon einmal kooperiert.
MobIDS erwartet nun, dass innerhalb der Wartezeit Egoismus die Knoten in der Kandidatenliste Egoismus
den Route Request mindestens einmal weiterleiten. In diesem Fall werden sie aus der Liste entfernt. Nach
Ablauf der Wartezeit Egoismus werden alle Knoten, die noch in der Kandidatenliste Egoismus sind, entfernt
und als egoistisch bewertet.
76

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
6.3.3.3 Erkennung der Knoten in der Nachbarschaft
Manche Ad hoc Routing Protokolle wie AODV kennen die Knoten in ihrer Nachbarschaft. Das hier analysierte
DSR Protokoll hat dieses Wissen nicht, sondern muss es explizit aufbauen.
Für die Erkennung egoistischer Knoten interessieren jetzt nur Knoten in direkter Nachbarschaft, also die
Knoten, die in Sendereichweite des aktuellen Knotens liegen und die er empfangen kann. Es wurde deshalb
ein Heartbeat Algorithmus verwandt, um die Nachbarschaftsbeziehungen herzustellen:
Nach einem bestimmten Intervall wird eine vom Sender signierte Nachricht ausgeschickt, die die Sequenznummer
und die Identifikationsnummer des Knotens (ID) enthält. Alle Knoten, die diese Nachricht erhalten,
speichern sie für eine definierte Zeit in der Nachbarschaftsliste. Nach dieser Zeit wird diese Heartbeatnachricht
entfernt, sofern es noch jüngere Heartbeatnachrichten gibt. Gibt es keine jüngeren Nachrichten mehr,
wird die Heartbeatnachricht behalten, aber als verfallen markiert.
Erfolgt nun eine Route Discovery, wird für jeden Nachbarn in der Liste die letzte authentifizierte Heartbeatnachricht
angehängt. Diese Teilliste wird wiederum durch den am Route Discovery teilnehmenden Knoten
signiert.
Durch die authentifizierten Einträge wird sichergestellt, dass keine Einträge erfunden und hinzugefügt werden
können. Eine Gefahr sind aber nun alte Heartbeatnachrichten, deren Kopien von einem Angreifer
fälschlicherweise ausgesendet werden könnten. Die anderen Knoten würden die alte Nachricht nicht von
einer Originalnachricht unterscheiden können. Die Wirkung wäre ein Denial of Service gegen den Besitzer
des Original Heartbeats, denn dieser würde sehr wahrscheinlich gar nicht kooperieren, da er nicht in Empfangsreichweite
ist.
Deshalb gibt es die Sequenznummer. Alle Knoten gehen von der gleichen Haltbarkeit einer Heartbeatnachricht
aus und merken sich zudem die jüngste ungültig gewordene Sequenznummer. Bekommt ein Knoten
jetzt eine Heartbeatnachricht mit einer Sequenznummer, die bereits verbreitet worden ist, ist das offensichtlich
eine Kopie (Dieser Angriff wird auch Replay Attacke genannt). Es gibt nun leider keine Möglichkeit
festzustellen, wer dieses Paket verschickt hat, deshalb soll die Reaktion darauf beschränkt sein, das Netzwerk
in einem weiten Umkreis vor den alten Heartbeatpaketen zu warnen. Das wird einfach dadurch erreicht,
dass eine Warnnachricht ausgeschickt wird, die die letzte authentifizierte Heartbeatnachricht des Opfers und
eine Identifikation als Replay Warnnachricht enthält. Alle Knoten werden diese dann in ihre Listen aufnehmen
und sind damit gegen das Auftreten älterer Sequenznummern geimpft.
Eine Frage ist bisher offen geblieben: Warum sollte ein Knoten am Heartbeat Protokoll teilnehmen? Knoten,
die keine Heartbeats von einem Knoten empfangen haben, leiten keine Pakete dieses Knotens weiter.
Damit die Aufbauphase der Topologie dadurch nicht gebremst wird und keine Fehlerkennungen entstehen,
wird noch ein Zeitfenster eingeführt, in dem trotzdem Pakete weitergeschickt werden, auch wenn keine
Heartbeatnachricht empfangen wurde. Dieses Zeitfenster ist typischerweise ein Vielfaches des Heartbeatintervalls.
Der Algorithmus kann darüber hinaus abgesichert werden, indem Verbindungen von Knoten getrennt werden,
die keine Heartbeatnachrichten mehr schicken. Es ist auch denkbar zu überprüfen, ob Knoten, die
77

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
aufhören Heartbeatnachrichten zu schicken, mit einem Ping auf unterster Ebene auf Anwesenheit geprüft
werden. Ein solcher Ping würde auf MAC Ebene signalisieren ein Paket an den Knoten zu schicken. Der
Knoten muss dem gemäß IEEE 802.11 antworten, um das Paket gesendet zu bekommen; dadurch hat er aber
seine Anwesenheit verraten und kann als egoistisch angesehen werden.
6.3.3.4 Erkennungsrate von egoistischen Knoten
20
15
10
5
0
0 2 4 6 8 10 12 14
Anzahl egoistischer Knoten
Erkennungen eines einzelnen egoistischen Knotens
Fehlerkennungen
Abbildung 6.25: Erkennungsrate von egoistischen
Knoten bei 1m/s
20
15
10
5
0
0 2 4 6 8 10 12 14
Anzahl egoistischer Knoten
Erkennungen eines einzelnen egoistischen Knotens
Fehlerkennungen
Abbildung 6.26: Erkennungsrate von egoistischen
Knoten bei 20m/s
Egoistische Knoten 0 1 2 3 4 5 6 10 15
Erkennungsrate bei 1m/s 4.4 5.5 6.0 7.5 7.5 7.6 14.1 16.0
Fehlerkennungen bei 1m/s 0 0 0 0 0 0 0 0 0.1
Erkennungsrate bei 20m/s 12.5 11.9 12.7 13.2 12.9 16.1 15.6 17.4
Fehlerkennungen bei 20m/s 0 0 0 0 0 0 0 0 0
Abbildung 6.27: Erkennungsraten von egoistischen Knoten
Es wurde Egoismus wie in Kapitel 5.2 simuliert, abhängig von der Geschwindigkeit werden verschiedene
Schwellenwerte für die Erkennung benötigt. Die Schwellenwerte wurden für diese Simulationen händisch
optimiert; es ist aber auch denkbar, diese dynamisch zu bestimmen. Um eine gute Bewertung des reinen
Erkennungsansatzes zu ermöglichen, wurde der Simulator so abgeändert, dass er die Nachbarn zu einem
bestimmten Zeitpunkt liefern kann. Die Implementierung der Nachbarschaftserkennung hätte den Umfang
dieser Diplomarbeit gesprengt und ist ein Thema, das noch statistisch sowie durch Simulation in anderem
Rahmen aufbereitet werden sollte.
Die Ergebnisse zeigen eine gute Erkennungsleistung bei faktisch keinen Fehlerkennungen. Bei der Geschwindigkeit
von 1m/s erkennen 4.4 Knoten den einzigen simulierten egoistischen Knoten richtig. Bei 15
simulierten egoistischen Knoten wird jeder einzelne davon von 16.0 anderen Knoten als egoistisch erkannt.
Das ist eine bedeutender Anstieg der Erkennungsrate!
78

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
Erklären lässt sich dies dadurch, dass mit der Steigerung der egoistischen Knoten im Netz immer weniger
Knoten zur Bildung von Routen zur Verfügung stehen. Die Pfade werden dadurch länger, wodurch auch die
Chance steigt, sie als egoistisch zu erkennen. Zudem werden wesentlich mehr Route Requests abgesetzt und
bei jedem Route Request kann ein Knoten nochmals als egoistisch bewertet werden. Diese beiden Faktoren
zusammen ergeben die beobachtete Steigerung der Erkennungsleistung.
Bei 20 m/s gibt es auch eine Steigerung der Erkennungsrate, die aber geringer ausfällt. Der einzige simulierte
egoistische Knoten wird bereits von 12.5 anderen Knoten richtig erkannt. Bei 15 simulierten egoistischen
Knoten wird jeder einzelne davon von jeweils 17.4 Knoten richtig erkannt. Bei vielen egoistischen Knoten
lässt sich eine geringe 0.1 Fehlerkennung beobachten.
Die Ergebnisse sind damit sehr gut ausgefallen und erlauben eine effektive Bestrafung von egoistischem
Verhalten. Obwohl der Empfang von Route Requests durch seine Broadcast Natur dem Overhearing verwandt
ist und mit den gleichen Problemen kämpft, konnten hier die Schwellenwerte so gewählt werden,
dass eine gute Erkennung gewährleistet ist.
Das Empfangsverhalten von Route Requests wird durch diese Simulationsergebnisse realistisch abgedeckt,
sie nehmen aber die ideale Erkennung der Nachbarschaft an. Der nächste Schritt wäre die Nachbarschaftserkennung
zu analysieren und zu implementieren. Darüber hinaus müsste betrachtet werden, welcher zusätzlicher
Aufwand dem Netzwerk durch die benötigten Heartbeats entsteht. Dieser Aufwand fällt aber in jedem Fall
an, denn die Verteilung von Anschuldigungen basiert ebenfalls auf Heartbeats. Es ist zu erwarten, dass bei
implementierter Nachbarschaftserkennung Fehlerkennungen entstehen werden, aber auch, dass es immer
noch eine praktikable Erkennungsrate geben wird.
6.4 Bewertungsverfahren
Mit dem CORE Ansatz in Abschnitt 3.4.2.3 wurde bereits ein ausgearbeitetes Bewertungsverfahren vorgestellt.
Das hier vorgestellte Verfahren ist, besonders was die lokale Bewertung angeht, CORE verwandt.
In der Kommunikation von Bewertungen zwischen den Knoten im Netzwerk unterscheiden sie sich aber
deutlich voneinander.
6.4.1 Lokale Bewertung
Der Knoten muss alle beobachteten Verhalten seiner Nachbarn intern bewerten und zu einem Wert zusammenfassen;
dieser Schritt wird lokale Bewertung genannt.
6.4.1.1 Subjektives Ansehen
Die Definition des subjektive Ansehens wurde bereits eingeführt, zur Wiederholung hier noch einmal die
Definition:
79

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
r t si (s j| f ) = ∑ρ(t,tk) · σk
Subjektive Ansehen eines Knotens i zur Zeit t von einem Knoten j wird mit r t si (s j| f ) bezeichnet. Dieses
Ansehen ist immer auf das Verhalten bezüglich der Ausführung der Funktion f durch Knoten j. Die k-te
Bewertung wird durch σk ausgedrückt. Ein σk > 0 steht für eine positive Beobachtung, ein negativer Wert
entsprechend für eine negative Beobachtung.
Für unser IDS definieren wir die zeitabhängige Funktion ρ(t,tk) nun folgendermaßen mit Tρ als der Lebensdauer
einer Bewertung σk:
ρ(t,tk) = 1 − tk −t
λ
mit einer linearen Abbaurate der Bewertung λ, definiert als
λ = 1
Es gilt ρ(t,tk) ∈ [0,1], denn eine Bewertung verfällt spätestens nach der Zeit Tρ. Wie zu sehen ist, ist die
Funktion ρ(t,tk) linear. Das bewirkt für das subjektive Ansehen, dass viele alte schwächere Bewertungen
eine höhere Relevanz haben als wenige neue stärkere Bewertungen. Dadurch kann vermieden werden, dass
ein kurzfristig auftretendes Fehlverhalten das Ansehen zu sehr beschädigt.
Es bleibt festzuhalten, dass es schwierig ist ein positives subjektives Ansehen aufzubauen, aber unkooperatives
Verhalten deutlich bestraft wird.
Es galt bisher σk ∈ [−1,1]; das ist aber mit der neuen linearen Funktion ρ(t,tk) nicht mehr sinnvoll. Ein
böswilliger Knoten könnte sich nämlich einfach durch gute Bewertungen tarnen, indem er zum Beispiel
immer ein Paket weiterschickt und das nächste Paket verwirft. Damit käme er an eine Bewertung nahe Null.
Diesem Effekt kann man entgegen treten, indem σk ∈ [−∞,1] ist. Bewertungen zur Bestrafung können damit
kleiner als -1 sein und haben damit ein größeres Gewicht als die Belohnung der Kooperation.
6.4.1.2 Die Bildung des Ansehens eines Knotens
r t si (s j) = ∑ c
Tρ
wc · r t si (s j| fc)
fc ist wieder die verwendete Funktion, die mit der Gewichtung wc in das Ansehen des Knotens eingeht.
Somit steht r t si (s j) für das Ansehen, das ein Knoten j bei einem Knoten i besitzt. Die wc sind geeignet zu
wählen, um der Sicherheit der Erkennung und der Bedeutung der Funktion gerecht zu werden.
80

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
6.4.1.3 Implementierungsdetails
Die einzelnen Bewertungen werden in Form einer Queue 2 gespeichert. Gerade bei mobilen Geräten ist Speicherplatz
knapp und muss daher sparsam genutzt werden. Es kann demnach also vorkommen, dass es mehr
Bewertungen gibt als Platz in der Queue. Gibt es nur eine Queue, können positive Bewertungen negative
verdrängen. Deshalb hat dieser Entwurf je eine Queue für negatives und eine Queue für positives Verhalten
je Knoten.
Um zusätzlich noch die Aktivität der Knoten für das Probing festzuhalten, gibt es noch eine separate kurze
Queue für mitgehörte Aktivitäten. Diese Queue kann deutlich kleiner sein. Ihre Einträge haben zudem noch
eine nur kurze Lebensdauer.
Negatives Verhalten
Positives Verhalten
Aktivität
Queue
Abbildung 6.28: Queues von Bewertungen
Lebensdauer
überschritten
Queues in C++ verwalten ihren Speicherbedarf dynamisch und belegen, wenn sie leer sind, nur wenig Platz.
Vorerst wurde die einfache Verdrängungsstrategie FIFO (first in first out) gewählt. Es ist aber auch denkbar,
andere Einträge mit geringerem Informationsgewinn zu verdrängen, um eine bessere Verteilung der Bewertungen
über die Zeit zu erreichen.
6.4.2 Verteilte Bewertungsverfahren
Ein Knoten, der für sich alleine einen Eindringling erkennt, hat wenige Möglichkeiten Gegenmaßnahme
einzuleiten; er kann höchstens die Kommunikation mit diesem einstellen. Die Wirkung ist, wie man sich
leicht vorstellen kann, begrenzt. Eine Sanktionierung durch viele Knoten dagegen kann den Ausschluss des
Eindringlings aus dem Netzwerk erzwingen und ist deshalb eine effektive Strafe.
6.4.2.1 Verteilung von Anschuldigungen
Nach einer eindeutigen Erkennung eines Angreifers muss das Wissen kommuniziert werden. Nach diesem
Schritt sollten die Knoten entweder gemeinsam Gegenmaßnahmen ergreifen oder weitere Beobachtungen
anstellen, sofern die Anschuldigung nicht stichhaltig genug war. Da im Ad hoc Netzwerk immer eine Lokalität
der Ereignisse und Beziehungen herrscht, genügt es die Abstimmung der Reaktionen auf eine Menge
2 Queue siehe Glossar
81

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
von Knoten in der Umgebung zu beschränken. Die Dynamik des Ad hoc Netzwerks macht die deterministische
Bestimmung von Knoten, die Bewertungen empfangen sollen, schwierig, denn es gibt immer Knoten,
die gerade das relevante Gebiet betreten haben oder auf Grund von Kollisionen Bewertungen nicht hören
können. Damit entsteht eine gewisse Unschärfe in der Verteilung des Wissens über bösartigen Knoten. Ein
Bewertungsverfahren muss dies berücksichtigen und trotzdem eine in einem Gebiet übereinstimmende Bewertung
erreichen können.
Die Kommunikation muss also folgenden Bedingungen genügen: Sie muss in einer gewissen Reichweite
die Bewertungen in der Umgebung verteilen, sie sollte in der Reichweite beschränkt sein, außerdem nur
relevante Informationen verteilen und sie muss sicher gegen gefälschte Nachrichten sein.
Da wir bereits einen Heartbeat Algorithmus zur Erkennung der Nachbarschaft eines Knotens einsetzen,
können wir die Heartbeatnachrichten noch etwas erweitern, damit sie zusätzlich auch Bewertungen transportieren
können. Wir wollen uns darauf konzentrieren, besonders aussagekräftige Bewertungen zu verbreiten,
deshalb werden nur Bewertungen verschickt, die bestimmte Schwellenwerte überschreiten.
Alle Knoten, die eine Heartbeatnachricht erhalten, nehmen diese in eine interne Matrix auf. Jedem Absender
wird eine Zeile in der Matrix zugeordnet. Die Zeile hat für jeden bewerteten Knoten einen Eintrag. Dieser
Eintrag wiederum steht in einer Liste der erhaltenen positiven und negativen Bewertungen vom Absender
über diesen Knoten.
Die Nachricht wird außerdem zwischengespeichert, um dann später mit der nächsten Heartbeatnachricht
weiter geschickt zu werden. Durch diesen Mechanismus werden die Bewertungen verteilt. Damit Pakete
nicht endlos im Netzwerk reisen, muss gezählt werden, wie viele Knoten dieses Paket schon weitergeleitet
hatten. Nur wenn dieser Wert kleiner als eine definierte Grenze ist, wird die Bewertung verbreitet. Um zu
verhindern, dass Pakete mehrfach durch einen Knoten gesendet werden, muss der Knoten jedes einkommende
Paket mit seiner Matrix vergleichen, ob er dieses Paket schon gesehen hat. Wenn er dieses Paket oder ein
Paket mit einer höheren Identifikationsnummer schon kennt, wird es stillschweigend verworfen.
Dieses Verfahren bietet den Vorteil die Anzahl der Pakete zu begrenzen, die benötigt werden, um alle Knoten
im Umkreis mit einer Bewertung zu erreichen. Das Verfahren ist damit effizient, da es Paket Overhead einspart
und die Bandbreite in geringerem Maße in Anspruch nimmt. Durch die fest definierten Sendeintervalle
kann außerdem gut abgeschätzt werden, wann eine Bewertung ihre maximale Weglänge zurückgelegt hat.
Allerdings werden Pakete langsamer verteilt als bei einer Flutung des Netzwerkes durch Broadcast Pakete.
6.4.2.2 Bewertung eines Knotens
Die endgültige Bewertung des Verhaltens eines Knotens führt direkt zur Reaktion. Um bei der Reaktion eine
breite Wirkung zu erzielen, müssen die Knoten fremden Bewertungen vertrauen. Dabei besteht natürlich die
Gefahr, dass genau dieser Mechanismus für einen Denial of Service Angriff gegen einen Knoten ausgenutzt
wird. Es gilt also die Balance zwischen Vertrauen und Misstrauen gegenüber den anderen Systemen zu finden.
Wir haben gerade erst gesehen, wie Bewertungen mit Hilfe des Heartbeat Algorithmus verteilt werden
können. Damit erhalten wir die benötigten Bewertungen. Nun müssen wir aber die Bewertungen zu einer
82

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
M
A
1
Runde
2
Runde
3
Runde
Abbildung 6.29: Verteilung von Anschuldigungen
Schlussfolgerung verdichten, nach der wir handeln können. Dazu wollen wir eine laxe Form einer Abstimmung
verwenden, indem wir eine Sanktionierung nur erlauben, wenn eine bestimmte Anzahl von Knoten
einen anderen Knoten als bösartig bewertet hat. Durch die Abstimmung reduzieren wir die Anzahl der
Fehlerkennungen der lokalen Erkennungsalgorithmen. Wie bereits nachgewiesen wurde, ist die lokale Erkennung
nicht gegen falsche Erkennungen gefeit, aber diese sind stochastisch gleichmäßig über die Menge
der unschuldigen Knoten verteilt. Damit eliminiert die Abstimmung die Fehlerkennungen.
Ein anderes Problem, das nun auftreten könnte, ist, dass ein Knoten, der zu Recht einen anderen Knoten
sanktioniert, genau für dieses Verhalten von anderen, die die negativen Bewertungen nicht erhalten haben,
schlecht bewertet wird. Der sanktionierende Knoten könnte auf einmal selbst als bösartig erkannt werden.
Die erste einfache Möglichkeit verbietet eine negative Bewertung eines Knotens, der potentiell eine Sanktionierung
eines Knotens M durchführt, wenn aus einer anderen Quelle eine negative Bewertung von M
verteilt wurde. Durch die Anforderung negative Bewertungen aus anderen Quellen zu besitzen, ist garantiert,
dass ein Knoten sich nicht selbst durch negative Bewertungen einen Freibrief zum Angriff auf einen
Knoten ausstellen kann.
Die Fehlerkennung kann außerdem vermieden werden, indem nur negative Bewertungen verwendet werden,
die noch mindestens einmal weitergeleitet werden müssen. Damit wird sichergestellt, dass die direkte Nachbarschaft
auch zur gleichen Gesamtbewertung über den bösartigen Knoten kommt. Da sich die Knoten aber
bewegen und die Nachbarschaft sich fortlaufend ändert, müssen trotzdem nicht alle Nachbarn zum gleichen
Schluss kommen. Langfristig wird ein Knoten, der sich bösartig verhält, aber so viele negative Bewertungen
einfangen, dass er im Laufe der Zeit vollständig vom Netzwerk isoliert wird. Damit ist eine hinreichend
83

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
M
t1
O1
P1
P2
Abbildung 6.30: Ein bösartiger Knoten erzeugt im Laufe der Zeit viele Anschuldigungen
abschreckende Sanktionierung möglich und darüber hinaus eine Selbstheilung des Netzwerkes gegenüber
byzantinischen Fehlern.
In Abbildung 6.30 wird verdeutlicht, wie ein bösartiger Knoten durch Bewegung Teil mehrerer Routen wird.
Bei fortgesetztem bösartigem Verhalten wird er dann auch von verschiedenen Knoten durch das Probing und
durch das Overhearing erkannt. Diese Knoten werden dann Beschuldigungsnachrichten verbreiten, die nach
ein paar Runden bei allen Knoten im Umkreis ankommen.
6.5 Reaktion
Wenn ein Angreifer oder egoistischer Knoten erkannt wurde, erfolgt eine Reaktion. Diese Reaktion kann
im einfachsten Fall von der Benachrichtigung des Benutzers bis zum anderen Extrem, dem Ausschluss des
Knotens reichen.
Es ist nun vor allem von Interesse, welche automatischen Reaktionen denkbar sind, die die stabile Funktion
des Netzwerkes gewährleisten.
6.5.1 Reaktion auf erkannte Angreifer im Ad hoc Netzwerk
Ein Knoten ist schon allein aus eigenem Interesse daran interessiert die Funktionsfähigkeit des ihn umgebenden
Netzwerkes zu erhalten. Das Ziel ist deshalb, einen erkannten böswilligen Knoten auszuschließen,
84
O2
M
t2
P3
M
t3

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
um fortdauernde Störungen und Angriffe zu unterbinden.
Bei der Analyse der Erkennungsverfahren wurde deutlich, dass jede Erkennung mit einem gewissen Unsicherheitsfaktor
behaftet ist. Das System muss zudem sicher gegen falsche Beschuldigungen sein, sonst kann
ein böswilliger Knoten das IDS benutzen, um andere Knoten aus dem Netzwerk auszuschließen.
Knoten in MobIDS, die einen böswilligen Knoten erkannt haben, erstellen eine signierte Nachricht, welche
einen Knoten zu einem bestimmten Zeitpunkt beschuldigt böswillig zu sein. Die Nachricht ist mit einer Maximalreichweite
versehen, um die Information von Knoten fern zu halten, die wahrscheinlich nie in direktem
Kontakt mit dem böswilligen Knoten stehen, weil sie zu weit entfernt sind. Zeitlich wird die Nachricht an
die Heartbeatnachrichten der Nachbarschaftserkennung gekoppelt, um eine lose zeitliche Synchronisation
zu erreichen.
Es sind nun mehrere gegen einen Knoten gerichtete Beschuldigungsnachrichten aus verschiedenen Quellen
nötig, um einen Knoten auszuschließen. Wenn die Anzahl der erhaltenen Beschuldigungen an einem
Knoten eine definierte Schwelle, die Auschlussschwelle, überschreitet, dann wird der beschuldigte Knoten
fortan ignoriert. Da aber viele Knoten im Netzwerk hinreichend viele Beschuldigungen bekommen haben,
wird der Knoten somit von der weiteren Teilnahme im Ad hoc Netzwerk ausgeschlossen. Es ist darauf zu
achten, dass die Ausschlussschwelle groß genug ist, um resistent gegen eine Koalition mehrerer Angreifer
zu sein. Ein sinnvoller Wert, der durch die Simulation untermauert wurde, wäre zum Beispiel die Anzahl von
drei Knoten als Ausschlussschwelle. Es sind bei einer größeren Laufzeit des IDS auch höhere Schwellen
realistisch.
Nun stellt sich aber das Problem, dass ein Knoten genügend Beschuldigungsnachrichten bekommen hat und
beginnt den beschuldigten Knoten zu ignorieren. Das IDS eines dritten Knotens kann aber jetzt erkennen,
dass ein Knoten einen anderen ignoriert und zum Schluss kommen, dass dieser bösartig ist. Die IDS müssen
deshalb tolerieren, dass ein Knoten einen anderen ignoriert, wenn eine gewisse Mindestzahl von Beschuldigungsnachrichten,
die Toleranzschwelle, überstiegen wurde. Es kann beispielsweise festgelegt werden, dass
noch mindestens eine andere Beschuldigungsnachricht vorliegt, außer einer möglichen Nachricht von dem
Knoten, der einen anderen Knoten gerade ignoriert. Auch für die Toleranzschwelle gilt, dass diese hinreichend
groß zu wählen ist, um resistent gegen eine Koalition von Angreifer zu sein.
Bei der Ausbreitung der Beschuldigungsnachrichten ist nicht deterministisch bestimmbar, ob oder wann ein
Knoten diese erhält. Indem die Beschuldigungsschwelle um mindestens zwei größer gewählt wird als die
Toleranzschwelle, kann dieses Problem abgemildert werden.
6.5.2 Ein globaler Reaktionsmechanismus für alle MobIDS Netzwerke
Das Rahmenwerk, in welchem das IDS eingebettet ist, bindet Identitäten direkt an die Hardware. Ohne
die Möglichkeit, Identitäten zu entziehen, wird der Mechanismus der lokalen Reaktion wirkungslos. Wenn
bösartige Identitäten für immer Bestand hätten, wäre ein gefährlicher Angriff, mehrere Identitäten auf einem
Gerät zu sammeln, um mehrere Knoten vorzuspielen und damit die Toleranzschwelle und die Beschuldigungsschwelle
zu überbieten. In den Zeiten globaler Netzwerke wäre es ein Leichtes Identitäten zu
85

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
tauschen.
Können nun aber Identitäten widerrufen werden, steigt das Risiko Identitäten zu verbreiten beträchtlich.
Sobald die Identität veröffentlicht wurde, kann sie auch jederzeit durch eine bösartige Verwendung gesperrt
werden. Das Tauschen von Identitäten ist damit fast ausgeschlossen, trotzdem kann ein Angreifer Hardware
mehrfach erwerben, um einen Angriff zu ermöglichen. Die Kosten, Identitäten durch Erwerb von Hardware
zu beschaffen, wirken prohibitiv. Realistisch ist deshalb die Annahme, dass nur wenige Angreifer diese Kosten
aufwenden werden, nur um das Netzwerk zu stören oder egoistisch zu sein.
Die Notwendigkeit eines globalen Ausschlusses wurde somit belegt; wie aber läuft dieser vonstatten?
Knoten, die einen Knoten beschuldigen und auch mehr Beschuldigungsnachrichten als die Beschuldigungschwelle
erhalten haben, speichern auf einem persistenten Medium den Knoten in einer Liste als böswillig ab. Zu
einem späteren Zeitpunkt, wenn der Knoten zu geringen Kosten mit der globalen Erneuerungsinstanz Kontakt
aufnehmen kann, wird er seine Liste signieren und an die globale Erneuerungsinstanz schicken. Danach
kann der Knoten die Liste löschen.
Die globale Erneuerungsinstanz sammelt nun alle globalen Beschuldigungen in einer Datenbank; es wird je
Quelle immer nur die letzte Beschuldigung eines Ziels vermerkt. Häufen sich diese Beschuldigungen nun
derart, dass mit hoher Sicherheit von einem andauerndem bösartigen Verhalten ausgegangen werden kann,
wird der beschuldigte Knoten in eine schwarze Liste aufgenommen.
Globale
Erneureungs
Instanz
Beschuldigung
Beschuldigung
über die gesamte Welt verteilte
Ad Hoc Netzwerke
Schwarze
Liste
Globale
Erneureungs
Instanz
Erneuerung der Signatur
M
Anfrage
Schwarze
Liste
Abbildung 6.31: Globale Instanz verweigert Erneuerung der Identität nach Beschwerden
Die Knoten in der schwarzen Liste können ihre Identitäten nicht mehr erneuern und werden somit automatisch
von allen Ad hoc Netzwerken mit MobIDS ausgeschlossen. Die Intervalle für die Erneuerung der Identitäten
können so gewählt werden, dass nur wenige Kontakte pro Jahr mit der globalen Erneuerungsinstanz
nötig werden. Selbstverständlich ist die zentrale Instanz verteilt zu implementieren, um den Erfordernissen
eines weltweiten Netzwerkes gerecht zu werden.
Diese Grundlagen wurde in der parallel entstandenen Diplomarbeit von Raimund Specht [Spe03] vertieft
und genauer untersucht.
86

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
6.5.3 Bewertung der Reaktionsmechanismen
Automatisierte Reaktion und Bestrafung im IDS sind immer auch eine zusätzliche Angriffspunkt. Die umrissenen
Mechanismen der lokalen und globalen Reaktion können aber das Risiko gering halten und eine
effektive Selbstreinigung von Ad hoc Netzwerken von bösartigen Knoten erreichen.
Die globale Reaktion macht Identitäten wertvoll und stellt eine große Abschreckung für viele Angreifer
dar. Durch die träge Kommunikation wird der Aufwand auf ein Minimum reduziert, ohne seine Wirkung zu
verlieren.
Die lokale Reaktion ist die unmittelbare Verteidigung gegen Angriffe. Das Netzwerk kann sich durch diesen
Mechanismus gegen eine akute Bedrohung wehren und seine Funktionsfähigkeit erhalten. Durch den
Mechanismus der Maximalreichweite von Beschuldigungsnachrichten wird das Netzwerk nicht unnötig belastet.
Die Signatur sowie die zeitliche Kopplung erschweren die Replay Attacke insofern, dass sie keine
nennenswerte Wirkung haben: Nur innerhalb der kurzen Zeitspanne zwischen den Heartbeats können die
Nachrichten mehrfach gesendet werden. Dadurch wird die maximale Reichweite der Nachricht erhöht.
6.6 MobIDS auf den Punkt gebracht
Ausgeschlossene bösartige Knoten %
100
80
60
40
20
0
0 2 4 6 8 10 12 14
Anzahl bösartiger Knoten
Bewegung der Knoten: 1 m/s
Abbildung 6.32: Ausschluss von bösartigen Knoten
bei 1m/s
Ausgeschlossene bösartige Knoten %
100
80
60
40
20
0
0 2 4 6 8 10 12 14
Anzahl bösartiger Knoten
Bewegung der Knoten: 20 m/s
Abbildung 6.33: Ausschluss von bösartigen Knoten
bei 20m/s
Bösartige Knoten 0 1 2 3 4 5 6 7 10 15
Ausschluss in Prozent bei 1m/s 100 100 100 100 100 90 42 30 0
Ausschluss in Prozent bei 20m/s 100 100 100 100 60 60 60 50 7
Abbildung 6.34: Ausschluss von bösartigen Knoten
87

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
Um die Wirksamkeit des Verfahrens abzuschätzen, wurde der in dem vorigen Abschnitt beschriebene Bewertungsund
Abstimmungsalgorithmus auf die vorhandenen Ergebnisse angewendet. Die Offline-Analyse der generierten
Daten und der Erkennungen der einzelnen Knoten ergab die in 6.34 dargestellten Ausschlussraten.
Es kamen in dieser Analyse keinerlei fälschlicherweise ausgeschlossene Knoten vor.
Die Ausschlussrate erfüllt mit stabilen 100% bei bis zu 5 bösartigen Knoten die Anforderungen an ein modernes
IDS für mobile Ad hoc Netzwerke. Die Wirksamkeit durch Abschreckung und Reaktion von MobIDS
ist damit bestätigt.
Der Nachteil von MobIDS ist die Laufzeit, die es benötigt, bis ein Knoten vom Netzwerk ausgeschlossen
werden kann. Bevor die erste Reaktion erfolgen kann, müssen viele negative Erkennungen stattgefunden
haben; bis dorthin hat der bösartige Knoten viel Zeit, um einen Angriff zu bewerkstelligen. Damit ist der
Schutz von Netzwerken mit harten Echtzeitanforderungen eingeschränkt. In lose gekoppelten Netzwerken,
die über einen längeren Zeitraum interagieren, können Sicherheit und Zuverlässigkeit damit gewährleistet
werden.
6.7 Die Implementierung von MobIDS
In Abschnitt 6.2.1 wurde der Aufbau von MobIDS bereits umrissen, die Algorithmen wurden bereits bei
den Erkennungs- und Verteilungskonzepten diskutiert. Nun soll die konkrete Implementierung anhand der
Schnittstellen und Klassendefinitionen erklärt werden:
6.7.1 IDSAgent
Im Folgenden soll der IDSAgent genauer betrachtet werden. Die wichtigsten Primitiven, die ein Agent aus
Sicht des ns2 Simulators implementieren muss, sind:
void send(int realsize, AppData* data);
void recv(Packet *, Handler *);
Die Funktion send() ist verantwortlich für das Senden von Paketen, entsprechend entscheidet recv() bei
einkommenden Paketen über die weitere Verarbeitung. Bei dem IDSAgent nimmt recv() das Paket entgegen
und leitet die enthaltenen Daten an IDSApp weiter.
Im normalen ns2 werden die Verbindungen von einer Quelle zu einem Ziel exklusiv durch Skripte aufgebaut.
In unserem IDS muss das System aber in der Lage sein selbstständig Verbindungen herzustellen; deshalb
wird die Primitive sendto() eingeführt, die zu einem bestimmten Ziel eine Verbindung herstellt.
void sendto(int dst, AppData* data);
88

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
6.7.2 IDSApp
Die Applikation steuert die Funktion des IDS. Alle Kommandos werden an die Applikation gerichtet, welche
diese dann im passenden Teil des Systems behandelt. IDSApp ist außerdem dafür verantwortlich die
ankommenden Daten zu verarbeiten.
int command(int argc, const char*const* argv);
void processData(int size, AppData* data);
command() stellt dabei die Schnittstelle zwischen den Steuerungsskripten von ns2(geschrieben in TCL) und
den in C++ implementierten Teilen dar. Ein Kommando Code in argc führt zu einem Aufruf einer Funktion
in C++ mit den übergebenen Parametern in argv. Die Funktion processData() wird durch IDSAgent
aufgerufen, wenn Daten mittels recv() empfangen wurden.
6.7.3 Audit
Die Audit Komponente nimmt eine zentrale Stellung in MobIDS ein. Alle Daten, die über längeren Zeitraum
verfügbar sein müssen, werden in seinen Datenstrukturen gespeichert. Es folgt ein kurzer Auszug der
Deklaration der Klasse mit seinen öffentlichen Datenstrukturen.
class Audit {
public:
VectorFWD* FWDpackets();
DequeProbes* probes();
Egoistic* egoistic();
MapPaths* paths();
LTree* dsrtree();
.
.
FWDPacket ist die Struktur, die für das Overhearing genutzt wird. In ihr wird ein Paket gespeichert, das
von diesem Knoten gesendet wird. An Hand der Informationen in FWDPacket kann dann überprüft werden,
ob das Paket ordnungsgemäß weitergeleitet wurde.
class FWDpacket {
public:
FWDpacket(Packet* packet,double time,bool rm,int addr);
};
double sendTime;
int controlAddr;//address of hop to forward packet
Packet* pkt;
89

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
FWDPacket enthält das komplette zu hörende Paket sowie die Zeit, zu der es gesendet wurde. Außerdem
wird die Adresse des Knotens gespeichert, von dem erwartet wird, dass er das Paket weiterleitet. Wird
innerhalb einer definierten Zeitspanne keine erwartete Weiterleitung des Paketes wahrgenommen, wird das
entsprechende FWDPacket freigegeben und eine negative Bewertung zugeteilt. Wurde dagegen die korrekte
Weiterleitung angezeigt, resultiert eine positive Bewertung.
Diese Informationen werden unter anderem auch vom Probing benutzt, um festzustellen, ob ein Knoten,
der auf einen Route Request antwortet, kooperativ ist oder nicht. Die Details dieses Verfahrens werden in
Abschnitt 6.3.2.3 vorgestellt.
Probe enthält nun alle Daten, die für das Probing im Einzelnen benötigt werden.
class Probe {
public:
int dst;//destination of probe
.
.
int id;//id of probes sent to this host
int globalId;//id for all probes sent by local host
float sendTime;//time the probe was sent
float receiveTime;//time the probe was received
int attempt;//#attempts to send an ACK
};
bool search;//this probe was sent while performing a backwards search
bool checkLastHop;//probe hop before first hop who answered
Vector_Path* path;//path this probe is used for
inline bool fresh();//true if probe hasn’t been sent yet
Eine Probe wird bekanntlich im System kreiert und wartet danach auf ein Paket, mit dem es geschickt werden
kann. Solange die Probe auf dieses Paket wartet, ist sie fresh(). Andere Felder enthalten den nötigen
Status wie die Identifikationsnummer, die Sendezeit, die Empfangszeit, um den wievielten Versuch es sich
handelt, etc.
Um die Rückwärtssuche zu ermöglichen, enthält die Struktur zudem den Pfad, entlang dem diese Probe
gesendet wurde. Der Ablauf des Probing wäre in etwa wie folgt:
Zuerst wir eine Probe mit Ziel und id initialisiert. Alle anderen Felder nehmen einen sinnvollen Standardwert
an. Danach wird die Probe gesendet und entsprechend sendTime und Pfad gesetzt. Kommt die Probe
zurück, wird in ihr die receiveTime vermerkt, eine Bewertung wird vergeben und danach kann sie freigegeben
werden.
Kommt die Antwort nicht rechtzeitig an, wird die alte Probe entfernt und eine neue Probe kreiert. Diese hat
identische Felder, bis darauf, dass fresh und sendTime wieder zurückgesetzt wurden sowie attempt nun um
eins hochgezählt wurde. Übersteigt attempt eine definierte Schranke, dann wird dem im Pfad vorhergehenden
Knoten ein Probe gesendet, search=true gesetzt und attempt wieder auf null gesetzt.
Der letzte Block wird so oft wiederholt, bis entweder eine Antwort gekommen ist oder keine Knoten im Pfad
mehr vorhanden sind. In beiden Fällen kann die Probe dann freigegeben und entsprechende Bewertungen
90

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
können vergeben werden.
Egoistic speichert die Informationen zur Erkennung von egoistischen Knoten. Zur Erinnerung, der Ablauf
war wie folgt:
Wir verschicken einen Route Request und markieren alle Knoten in einer Liste, von denen wir erwarten,
dass sie den Route Request weiterleiten. Empfangen wir nun von einem dieser Knoten die Weiterleitung
des Route Request, löschen wir ihn aus der Liste. Mit addNeighbour() wird ein Knoten in die so genannte
MultimapEgoisticEntries Liste aufgenommen. Dazu wird der Liste ein EgoisticEntry hinzugefügt, der Informationen
über die Knotenidentität, die Zeit und den Weiterleitungsstatus enthält.
Knoten, die den Route Request bereits vor uns geschickt haben, müssen ihn logischerweise nicht mehr weiterleiten.
Deshalb müssen wir uns auch alle Route Requests merken, die wir noch nicht selbst geschickt
haben. Dies geschieht ebenso mit der Funktion addNeighbour(), die den gehörten Route Request für den
Nachbarn speichert, aber zusätzlich noch vermerkt, dass der Route Request bereits verschickt wurde.
Nun müssen nur noch nach Überschreitung einer bestimmten Zeit die EgoisticEntrys entfernt werden. Die
Knoten der Einträge, die noch keinen Route Request weitergeschickt haben, werden nun negativ bewertet.
class Egoistic {
public:
void addNeighbour(int id,int seq,double time);
void addNeighbour(int id,int seq,double time,bool fwd);
};
MultimapEgoisticEntries egoistic;
class EgoisticEntry {
public:
EgoisticEntry(int id,double time,bool fwd);
bool fwd();
int id();
double time();
};
Audit liefert über die drei besprochenen Strukturen hinaus noch Informationen über alle Knoten im Netz
und die Verbindungen zwischen den Knoten in Form eines Graphen, der durch dsrtree() zurückgeliefert
wird. Zusätzlich werden separat noch einmal alle Pfade von der paths() Funktion zurückgeliefert, die durch
diesen Knoten verlaufen sind.
6.7.4 Analysis
Dies ist nun die Kernkomponente von MobIDS. Hier werden die Erkennungssysteme im Einzelnen implementiert,
deshalb wird diese Klasse nun ausführlicher behandelt.
class IDSAnalysis {
91

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
public:
//probing related functions
IDSProbe* newProbe(Hop* dst,Vector_Path* path);
int probe(Hop* dst,Path &path,double time);
void probeReplyReceived(int dst,int id,int fwd,double time);
void backwardsSearch(int dst,IDSProbe* probe,bool reply);
//overhearing techniques
void checkFwdPkt(Packet* packet,float time);
void overheardPkt(Packet* packet);
void noticeDeadLink(int from, int to);
//egoistic node detection
void checkNeighbours(int seq,int dst,double time);
void fwdRouteReply(int dst,int seq,double time);
.
.
protected:
ProbeTimer* probeTimer_;
FwdTimer* fwdTimer_;
ExpireTimer* expireTimer_;
};
void addBehaviour_(int addr,int rating,float behaviour,float time);
.
.
Analysis enthält die in diesem Kapitel bereits vorgestellten lokalen Erkennungssysteme: es handelt sich namentlich
um Probing, Overhearing und Egoismus-Erkennung.
Probing ist mittels dreier Funktionen umgesetzt: newProbe() erzeugt eine neue Probe, die aber noch auf
ein Paket wartet, das mit entsprechendem Pfad durch das Ziel geht, um sich dort anzuhängen. Die Funktion
int probe() stellt die Schnittstelle zum DSRAgent dar, um anzuzeigen, ob das nächste Paket eine Probe
aufnehmen soll oder nicht. Wenn eine Antwort auf eine Probe am DSRAgent ankommt, wird dieser die
Funktion probeReplyReceived() aufrufen, um die Antwort anzuzeigen. Zusätzlich gibt es noch den probeTimer
der Probes, deren Lebenszeit abgelaufen ist, entfernt und danach backwardsSearch() aufruft. Die
Methode backwardsSearch() koordiniert die Rückwärtssuche und entscheidet für jede verfallene Probe, ob
noch weitere Probes geschickt werden sollen oder ob eine Bewertung erteilt wird. Wenn eine Antwort auf
eine Probe kommt, wird ebenso backwardsSearch() aufgerufen um festzustellen, ob der Knoten vor dem
antwortenden Knoten auch noch überprüft werden soll.
Overhearing benutzt checkFwdPkt(), um ein Paket in eine Liste aufzunehmen und zu überprüfen, ob es
von dem nächsten Knoten ordnungsgemäß verarbeitet wird. Der DSRAgent teilt Analysis mit dem Aufruf
92

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
von overheardPkt() mit, dass er ein Paket mit Hilfe von Overhearing empfangen hat. Analysis kann dann
prüfen, ob es auf dieses Paket wartet, es aus der Liste entfernen und eine positive Bewertung vergeben. Wird
eine Verbindung getrennt und DSR sendet einen RouteError, wird noticeDeadLink() aufgerufen, um noch
auf das Overhearing wartende Probes für diese Verbindung zu löschen. Der fwdTimer hat nun die Aufgabe,
nach Ablauf der Lebenszeit der noch nicht gehörten Pakete diese aus der Liste zu entfernen und negative
Bewertungen für den Fall ’Paket nicht weitergeleitet’ zu geben.
Schließlich gibt es auch noch den Programmteil, um Knoten zu erkennen, die egoistisch sind und keine
fremden Route Requests bearbeiten, um zu vermeiden später Pakete weiterleiten zu müssen. Mit check-
Neighbours() wird für einen Route Request für einen Nachbarn vermerkt, dass dieser den Route Request
weiterleiten muss. Die Funktion fwdRouteReply() dagegen zeigt an, dass ein Knoten einen RouteReply weitergeleitet
hat, und resultiert in einer positiven Bewertung. Auch für die Egoismus Erkennung gibt es wieder
einen Mechanismus, der nach einer gewissen Zeit alle Nachbarn in der Liste schlecht bewertet, die den
Route Request nicht weitergeleitet haben.
6.7.5 Rating
Die Rating Komponente verwaltet nun die lokalen Bewertungen und kann die jeweiligen Bewertungen eines
Verhaltens zu einer lokalen oder zu einer Gesamtbewertung verdichten. Alte Bewertungen, die zeitlich nicht
mehr relevant sind, werden mit expire(time) entfernt. Intern werden die Bewertungen getrennt nach positiven
Bewertungen, negativen Bewertungen und nach dem Maß der Aktivität getrennt in einem Rating Objekt
gespeichert.
class Behaviour {
public:
//total assessment considering alls local and received ratings
float assess();
float assessLocal();
float assessReceived();
};
void expire(float time);
Rating* positive();
Rating* negative();
Rating* activity();
Das Rating Objekt verwaltet nun die einzelnen Bewertungen und bietet die benötigten Funktionen an, um ein
Verhalten hinzuzufügen (addBehaviour), um ein Verhalten wieder zurückzubekommen (getBehaviour) oder
um alte Verhalten zu entfernen (expire(time))). Die Funktion assess(time) liefert die Gesamtbewertung über
alle durch dieses Objekt gespeicherten Bewertungen mit Zeit als Parameter, denn die einzelnen Bewertungen
gehen abhängig von der Zeit in die Gesamtbewertung ein.
class Rating {
93

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
public:
Rating(int max_size,float lambda,float lifetime);
};
void expire(float time);
void addBehaviour(NodeBehaviour* behaviour);
NodeBehaviour& addBehaviour(float behaviour,float time,int id);
NodeBehaviour* getBehaviour(int id);
float assess(float time);//returns assessment of total behaviour
6.7.6 Die Anpassungen des DSRAgent für MobIDS
Der ns2 musste zur Integration von MobIDS an einigen Stellen modifiziert werden. Der DSRAgent benötigt
deshalb eine API mit mindestens neun Funktionsaufrufen, um MobIDS einzubinden.
Die recv() Funktion stellt eine gute Möglichkeit dar, Zugriff auf alle Pakete zu bekommen, unabhängig
davon, wie der DSRAgent später damit verfährt. Eine wichtige Funktion für MobIDS wird durch die Signalisierung
von Probe Replys wahrgenommen.
void recv(Packet* packet, Handler*);
Die verschiedenen Angriffsszenarien wurden überwiegend in dieser Funktion implementiert; so wurde die
Möglichkeit geschaffen alle fremden Pakete zu verwerfen, nur bestimmte Pakete oder alle Route Requests,
bis eine Probe erhalten wird, um danach für eine bestimmte Zeit zu kooperieren.
In der Funktion handlePktWithoutSR() werden wartende Probes in die Pakete integriert. Dazu wird in Analysis
probe(dst,path,time) aufgerufen um zu testen, ob für diesen Pfad und dieses Ziel eine Probe wartet.
Wenn dies so ist, werden die entsprechenden Flags in dem Paket gesetzt.
void handlePktWithoutSR(SRPacket& p, bool retry);
In handlePacketReceipt() und in handleForwarding() werden die Pakete daraufhin überprüft, ob sie eine
Probe für diesen Knoten enthalten. Wenn ja, dann wird die Funktion probeReply() auf dem IDSAgent aufgerufen,
welcher dann die ProbeReply erstellt.
void handlePacketReceipt(SRPacket& p)
void handleForwarding(SRPacket &p)
In der Funktion handleRoute Request() geschehen nun zwei Dinge zur gleichen Zeit: Einerseits werden
mit einem Aufruf von checkNeighbours(rtreqSeq,dest) in Analysis alle Nachbarn zu diesem Zeitpunkt in
die MultimapEgoisticEntries Liste übernommen, andererseits wird mit einem Aufruf von fwdRouteReply(lastSenderAddr,rtreqSeq)
der letzte Knoten auf dem Pfad in die MultimapEgoisticEntries Liste übernommen
um anzuzeigen, dass dieser Knoten für diesen Route Request kooperiert hat.
94

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
void handleRoute Request(SRPacket &p)
Die folgende Funktion wird für das Overhearing benötigt. Alle Datenpakete, die der DSRAgent verschickt,
werden in dieser Funktion verarbeitet. Deshalb wird durch einen Aufruf von checkFwdPkt() in Analysis das
Paket in die Overhearing Liste eingereiht.
void sendOutPacketWithRoute(SRPacket& p, bool fresh, Time delay)
In der Methode acceptRouteReply() wird die initiale Probe vorbereitet. Sobald eine von diesem Knoten
gesuchte Route zu Stande kommt, wird er für die Anfangsphase eine Probe kreieren um sicher zu stellen,
dass die Verbindung funktionell ist.
void acceptRouteReply(SRPacket &p)
In processBrokenRouteError() werden schließlich RouteError Nachrichten entgegengenommen und noch
aktive Einträge in der Overhearing Liste entfernt.
processBrokenRouteError(SRPacket& p)
tap() ist eine Routine, die, nachdem ein Paket mit dem Promiscuous Mode empfangen wurde, dieses zur Verarbeitung
erhält. In dieser Methode wird dann dementsprechend der Aufruf overheardPkt(pkt) nach Analysis
getätigt, um das Paket auch dem IDS anzuzeigen.
tap(const Packet *packet)
95

KAPITEL 6. MOBIDS, EIN INTRUSION DETECTION SYSTEM FÜR MOBILE AD HOC NETZWERKE
96

Kapitel 7
Fazit von MobIDS
Ziel dieser Diplomarbeit war es ein System aufzustellen, mit dem Angreifer im drahtlosen Ad hoc Netzwerk
erkannt werden können. Mit MobIDS wurde ein System geschaffen, das diesen Anforderungen gerecht
wird.
Es wurden drei Methoden der lokalen Erkennung entwickelt, die in Leistung und Zuverlässigkeit einen
deutlichen Fortschritt gegenüber der aktuellen Forschung darstellen. Das aktivitätsbasierte Overhearing liefert
eine bessere Erkennungsleistung als herkömmliches Overhearing, da es die Güte des Empfangs des
überprüften Knotens mit einbezieht. Das eindeutige Probing kann zuverlässig bösartige Knoten im Pfad
erkennen, muss dafür aber eine geringere Erkennungsleistung in Kauf nehmen. Eindeutiges Probing kann
damit nicht nur konstant fehlerhafte Knoten erkennen, sondern auch bösartiges Verhalten. Egoistisches Verhalten
kann mit der Überprüfung der Route Requests bestimmt werden. Diese drei Verfahren zusammen
können alle erkannten Fälle von Angriffen auf das DSR Protokoll zuverlässig entdecken und sind die Voraussetzung
für eine wirkungsvolle Reaktion
Das automatische Reaktionssystem kann erkannte Schädlinge aus dem aktuellen Netzwerk entfernen; stellen
mehrere IDS das bösartige Verhalten eines Knotens fest, wird dieser vom Netzwerk isoliert und kann in
diesem Netz nicht mehr kommunizieren.
Zusätzlich wird eine globale Instanz über das bösartige Verhalten verständigt. Wenn viele Meldungen von
dem bösartigen Verhalten registriert werden, kann dieser auch für immer ausgeschlossen werden, indem
seine Identität nicht mehr erneuert wird. Der Knoten kann nämlich nur mit einer regelmäßig erneuerten
Identität am Netzwerk teilnehmen.
MobIDS kann damit mobile Ad hoc Netzwerke wirkungsvoll schützen und erfüllt damit die gestellten Aufgaben.
7.1 Ausblick auf Entwicklungsmöglichkeiten
Mit MobIDS wurde ein System entwickelt, das über die bestehende Forschung hinaus geht und eine Basis
für weitere Entwicklung bietet. Die Kommunikation der Bewertungen ist einsichtig und wurde konzeptionell
97

KAPITEL 7. FAZIT VON MOBIDS
durchdrungen, muss allerdings noch implementiert werden. Dabei sind dann die tatsächlichen Ausschlussraten
über die Zeit durch Simulation zu bestimmen sowie der ducrh MobIDS erzeugte Kommunikationsoverhead.
Die lokale Erkennung ist durch Implementation und Simulation verifiziert, eine Aufgabe wäre es weitergehende
Simulationen durchzuführen, die von härteren Bedingungen ausgehen. Bisher wird in der Forschung
nur mit einem flachen Gelände ohne Hindernisse simuliert, die Erfahrung zeigt aber die große Relevanz der
Umgebung für den Empfang. Es ist eher unwahrscheinlich, dass das simulierte Bewegungsmuster auf die
Teilnehmer des Netzwerkes zutrifft, auch hier gilt es, passende Simulationen zu unternehmen.
Die lokale Erkennung von Egoismus basiert momentan auf der perfekten Erkennung der Nachbarschaftsbeziehungen.
Es gilt hier die bestehende Algorithmen der Literatur umzusetzen, um die Nachbarn sicher zu
identifizieren.
MobIDS wurde als Prototyp für den ns2 Simulator umgesetzt, der letzte Schritt wäre es die bestehende
Implementierung für den Endbenutzer tauglich zu machen, um Teilnehmer an Ad hoc Netzwerken vor Angreifern
zu schützen.
98

Anhang A
Simulationsarchitektur
Es war absehbar, dass viele Szenarien mit dem Simulator durchgerechnet werden müssen. Da der Simulator
keine Möglichkeiten der Analyse und der Generation von vielen Szenarien bietet, war die erste Aufgabe die
Erstellung einer Simulations- Steuerungs- und Auswertungs-Architektur. Diese Architektur setzt sich aus
zwei Teilen zusammen: aus der Generation der Szenarien und der Auswertung der Ergebnisse.
Es gibt eine Reihe von Skripten, die die Simulation steuern, das ctrl Skript steuert die Simulation und ruft
untergeordnete Skripte auf.
#!/bin/csh
set dir = $1
echo Creating Scenario File
make-scen.csh $dir
echo Creating TCL files
foreach no_a (0 1 2 4 5 6 7 10 15 25)
autogen.pl $dir 1 $no_a 1 1.0 tmplt.tcl
echo Starting Simulation
start.pl $dir "ˆid.*tcl" ns_detour > result_detour_$no_a
echo Analysing Files
stats.pl $dir "id\d_.*\.tr" > result_stat_$no_a
end
Zuerst erfolgt der Aufruf des make-scen.csh Skriptes. Dieses generiert die Bewegungsmuster der simulierten
Knoten sowie die Kommunikationsverbindungen; es werden zehn Szenarien als separate Dateien angelegt.
99

ANHANG A. SIMULATIONSARCHITEKTUR
In make-scen.csh sind auch Parameter wie die Anzahl der Knoten, die Geschwindigkeit oder die Einstellungen
des Kommunikationsverhaltens zu finden.
Danach kommt ctrl in eine Schleife, in der mit der autogen.pl Routine für jedes Szenario eine Steuerungsdatei
in TCL generiert wird. Das autogen.pl Skript hat mehrere Parameter, wie z.B. das Verzeichnis der mit
make-scen.csh erzeugten Szenariodateien oder die template Datei. Diese Datei ist ein TCL Skript, in dem
bestimmte Schlüsselwörter für autogen.pl stehen. Indem die Schlüsselwörter dynamisch durch autogen.pl
ersetzt werden, kann das template an das jeweilige Szenario angepasst werden. Die autogen.pl Routine hat
noch andere Optionen: sie erzeugt abhängig von attack type die verschiedenen Angriff in TCL und baut
diese in die Steuerungsdatei ein.
Skripte und Parameter:
autogen.pl
[template file]
stats.pl
Danach werden mit dem Skript start.pl alle Szenarien mit der übergebenen Simulatordatei sequentiell gestartet.
Ns2 erzeugt eine sogenannte Trace Datei, in die der Simulator seine Ergebnisse schreibt. Ist der
Simulator außerdem noch eine Version von MobIDS, werden von jedem Knoten alle Bewertungn von seinen
Nachbarn ausgegeben und diese in eine Ergebnisdatei umgeleitet.
Diese Ergebnisse des ns2 können sofort durch einen Aufruf von stats.pl ausgewertet werden. Dieses Skript
kann die Ausgabe des ns2 Simulators analysieren und stellt eine interne Repräsentation aller gesendeten
Pakete in einer Objektstruktur auf. Durch Analyse dieser Struktur können statistische Aussagen über die
Auslieferungsrate von Paketen, die verworfenen Pakete und die verlorenen Pakete gemachet werden. Der
Durchsatz, die Latenz und die durchschnittliche Pfadlänge sind zusätzliche Ergebnisgrößen von stats.pl.
Die umgebende Schleife läuft von 0 bis 25 und simuliert in jedem Durchlauf die entsprechende Anzahl von
Angreifern.
Nachdem die Simulationen abgeschlossen sind, können die Ergebnisdateien von MobIDS analysiert werden.
Die enthaltenen Bewertungen können durch einen Aufruf von threshold.pl für jede Ergebnisdatei ausgewertet
werden.
threshold.pl
threshold.pl analysiert die in file übergebene Datei und zählt eine Bewertung, die unterhalb des malicious
threshold liegt, als bösartig. Durch diese nachträgliche Einteilung können die thresholds genauer und zeitsparender
angepasst werden. Abhängig von malicious nodes simulated werden die Erkennungen dann nach
richtigen Erkennungen und Fehlerkennungen sortiert. Mit diesen Ergebnissen wurden dann die Diagramme
erzeugt.
100

Anhang B
Glossar
Bottleneck bezeichnet einen meist temporären Engpass in der Datenverarbeitung. Charakteristisch
für die Situation ist, dass zu wenig Kapazität einer nachgefragten Ressource vorhanden ist.
Broadcast ist ein Sendemodus im drahtlosen Netzwerk, indem ein Paket an alle Knoten adressiert ist.
Oft werden diese Broadcastpakete bis zum Ablauf der Lebenszeit als Broadcast weitergeleitet.
Callback ist eine Programmiertechnik, bei der eine Komponente an der anderen eine Prozedur registriert.
Die andere Komponente kann dann mit Hilfe der registrierten Prozedur einen Aufruf in die
ursprüngliche Komponente machen und über diesen Weg Daten und Kommandos austauschen.
Denial of Service beschreibt einen Angriff, der dazu dient Netzwerkdienste für die Außenwelt unzugänglich
zu machen. Das kann durch schlichte Überlastung des Opfers geschehen oder durch Eingriffe
in das Routing, um das Opfer unerreichbar zu machen. Berechtigte Anfragen erreichen das
Opfer dann nicht mehr.
Forwarding bezeichnet das Weiterleiten von Paketen. Ein Knoten empfängt ein Paket, wertet dieses
aus und sendet es dementsprechend weiter.
Heartbeat ist ein Mechanismus im Netzwerk, der wie ein ’Herzschlag’ funktioniert: periodisch wird
eine Nachricht ausgesendet.
ID ist die Identifikationsnummer, die eine eindeutige Zuordnung zu einem Objekt erlaubt.
Knoten ist ein anderer Ausdruck für einen Punkt in einem Netz in dem mehrere Verbindungen zusammenlaufen.
Im Ad hoc Netzwerk wird damit das mobile Gerät bezeichnet. Im Englischen werden
diese auch asl Hop bezeichnet.
Latenz ist ein Maß, das die Zugriffszeit auf ein Medium angibt. Es wird üblicherweise als die Zeit
von dem Absenden der Anforderung bis zum Eintreffen der ersten Information gemessen.
Malicious Node kommt aus dem Englischen und bezeichnet einen bösartigen Knoten.
101

ANHANG B. GLOSSAR
Overhead bezeichnet die Daten, die zusätzlich zu den Nutzdaten verarbeitet werden. Im Netzwerk
sind das üblicherweise Routing Daten, um den Fluss der Pakete zu regeln.
Paket ist ein Block von Daten, die für die weitere Verarbeitung beim Empfänger bestimmt sind, sowie
von Kontroll- und Steuerinformationen. Netzwerke unterteilen typischerweise zu sendende Daten in
Pakete und schicken diese einzeln zum Empfänger.
Ping ist eine Nachricht, auf die der Empfänger unverzüglich eine Antwort schickt. Ein Ping braucht
dazu keine Daten zu enthalten.
Host ist ein Hauptrechner oder auch ein Wirt einer Applikation. Dieser beherbergt die Applikationen,
die in Zusammenhang mit Host genannt werden.
Queue ist eine ’Warteschlange’ für Daten in einem Informationssystem. Daten, die zuerst ankommen,
stehen an erster Stelle für eine spätere Weiterverarbeitung und verlassen die Queue auch zuerst.
Queues sind für vielen Programmiersprachen verfügbar, unter anderem als Teil der STL von C++.
Route ist eine Beschreibung eines Pfades von einem Punkt im Netzwerk zu einem anderen. Dazu
enthält die Route alle Knoten, die zwischen diesen beiden Punkten liegen.
Routing ist der Vorgang Routen aufzubauen, sie zu verwalten und Pakete entlang von Routen zu
verschicken.
STL ist ein Akronym für die Standard Template Library von C++. Dies ist eine Bibliothek von
Klassen-Templates, unter anderem von Listen und Queues.
Throughput gibt den Durchsatz von Daten je Zeiteinheit an.
Timer ist eine Routine, die periodisch aufgerufen wird und damit regelmäßige Aufgaben wahrnehmen
kann.
Topologie ist die Bezeichnung für den räumlich organisatorischen Aufbau von komplexen Systemen.
102

Abbildungsverzeichnis
2.1 DSR Route Request . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2 DSR Route Reply . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.1 Schichtenmodell eines Sicherheitssystems für Ad hoc Netzwerke . . . . . . . . . . . . . . . 10
3.2 Komponenten eines IDS nach CIDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.3 Watchdog mit Overhearing einer Nachricht . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.4 Trust Architektur des Grudger Protokolls . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.5 Komponenten eines IDS nach Wenke Lee . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.6 Tabellarischer Vergleich der aktuellen Forschung in der Intrusion Detection . . . . . . . . . 37
5.1 Normalisierter Routing Overhead als Funktion der Zeit . . . . . . . . . . . . . . . . . . . . 49
5.2 Zustellungsrate als Funktion der Zeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.3 Zustellungsrate und Routing Overhead bei 1m/s . . . . . . . . . . . . . . . . . . . . . . . . 49
5.4 Normalisierter Routing Overhead als Funktion der Zeit . . . . . . . . . . . . . . . . . . . . 50
5.5 Zustellungsrate als Funktion der Zeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.6 Zustellungsrate und Routing Overhead bei 20m/s . . . . . . . . . . . . . . . . . . . . . . . 50
5.7 Auswirkung von Egoismus auf die Zustellungsrate bei 1m/s . . . . . . . . . . . . . . . . . 51
5.8 Auswirkung von Egoismus auf die Zustellungsrate bei 20m/s . . . . . . . . . . . . . . . . . 52
5.9 Auswirkung von Böswilligkeit auf die Zustellungsrate bei 1m/s . . . . . . . . . . . . . . . . 54
5.10 Auswirkung von Böswilligkeit auf die Zustellungsrate bei 20m/s . . . . . . . . . . . . . . . 54
6.1 Aufbau des IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.2 Erkennungsrate von bösartigen Knoten mit Overhearing bei 1m/s . . . . . . . . . . . . . . 62
6.3 Erkennungsrate von bösartigen Knoten mit Overhearing bei 20m/s . . . . . . . . . . . . . . 62
6.4 Erkennungsraten von bösartigen Knoten mit Overhearing . . . . . . . . . . . . . . . . . . . 62
6.5 Aktivitätsbasiertes Overhearing bei 1m/s . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
103

ABBILDUNGSVERZEICHNIS
6.6 Aktivitätsbasiertes Overhearing kombiniert mit normalem Overhearing bei 1m/s . . . . . . . 63
6.7 Overhearing und aktivitätsbasiertes System . . . . . . . . . . . . . . . . . . . . . . . . . . 63
6.8 Aktivitätsbasiertes Overhearing bei 20m/s . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
6.9 Aktivitätsbasiertes Overhearing kombiniert mit normalem Overhearing bei 20m/s . . . . . . 64
6.10 Overhearing und aktivitätsbasiertes System . . . . . . . . . . . . . . . . . . . . . . . . . . 64
6.11 Zwiebelschalenmodell für Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.12 Probing mit binärer Suche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
6.13 Iteratives Probing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
6.14 B antwortet: potentiell bösartig sind {B,C} . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.15 B antwortet nicht: potentiell bösartig sind {A,B} . . . . . . . . . . . . . . . . . . . . . . . . 69
6.16 B antwortet nicht: Ziel erkennt Weiterleitung der Probe durch A . . . . . . . . . . . . . . . 70
6.17 B antwortet: A erkennt keine Weiterleitung der Probe durch B . . . . . . . . . . . . . . . . 70
6.18 Erkennungsrate von bösartigen Knoten mit Probing bei 1m/s . . . . . . . . . . . . . . . . . 73
6.19 Erkennungsrate von bösartigen Knoten mit Probing bei 20m/s . . . . . . . . . . . . . . . . 73
6.20 Erkennungsraten von bösartigen Knoten mit Probing . . . . . . . . . . . . . . . . . . . . . 73
6.21 Erkennungsrate von bösartigen Knoten mit Probing bei 1m/s . . . . . . . . . . . . . . . . . 74
6.22 Erkennungsrate von bösartigen Knoten mit Probing bei 20m/s . . . . . . . . . . . . . . . . 74
6.23 Erkennungsraten von bösartigen Knoten mit Probing . . . . . . . . . . . . . . . . . . . . . 74
6.24 Ablauf nach Erhalt eines Route Requests . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
6.25 Erkennungsrate von egoistischen Knoten bei 1m/s . . . . . . . . . . . . . . . . . . . . . . 78
6.26 Erkennungsrate von egoistischen Knoten bei 20m/s . . . . . . . . . . . . . . . . . . . . . . 78
6.27 Erkennungsraten von egoistischen Knoten . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
6.28 Queues von Bewertungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6.29 Verteilung von Anschuldigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
6.30 Ein bösartiger Knoten erzeugt im Laufe der Zeit viele Anschuldigungen . . . . . . . . . . . 84
6.31 Globale Instanz verweigert Erneuerung der Identität nach Beschwerden . . . . . . . . . . . 86
6.32 Ausschluss von bösartigen Knoten bei 1m/s . . . . . . . . . . . . . . . . . . . . . . . . . . 87
6.33 Ausschluss von bösartigen Knoten bei 20m/s . . . . . . . . . . . . . . . . . . . . . . . . . 87
6.34 Ausschluss von bösartigen Knoten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
104

Literaturverzeichnis
[ACPea01] Patrick Albers, Olivier Camp, Jean-Marc Percher und et al. Security in ad hoc networks: a general
intrusion detection architecture enhancing trust based approaches. The 1st International
Workshop on Wireless Information Systems (WIS-2002), 2001.
[AH02] Baruch Awerbuch und David Homer. An on-demand secure routing protocol resilient to
byzantine failures. In Proceedings of WiSe’02, 2002.
[And80] Anderson. Computer security threat, monitoring and surveillance. Technical Report, 1980.
[AOG02] Midori Asaka, Takefumi Onabura und Shigeki Goto. Remote attack detection method in ida:
Mlsi-based intrusion detection using discriminant analysis. 2002 Symposium on Applications
and the Internet (SAINT), 2002.
[AOT + 98] Midori Asaka, Shunji Okazawa, Atsushu Taguchi, IPA und Shigeki Goto. A method of tracing
intruders by use of mobile agents. In Proceedings of the 9th Annual Conference of the Internet
Society (INET’99), 1998.
[ATIG99] Midori Asaka, Atsushu Taguchi, IPA und Shigeki Goto. The implementation of ida: An
intrusion detection agent system. Systems and Computers in Japan, Vol. 30 No. 2, 1999.
[BB01] Sonja Buchegger und Jean-Yves Le Boudec. Nodes bearing grudges: Towards routing security,
fairness, and robustness in mobile ad hoc networks. Proceedings of IEEE/ACM Workshop
on Mobile Ad Hoc Networking and Computing (MobiHOC), 2001.
[BB02] Sonja Buchegger und Jean-Yves Le Boudec. Performance Analysis of the CONFIDANT
Protocol: Cooperation Of Nodes - Fairness in Distributed Ad-hoc Networks. Proceedings
of IEEE/ACM Workshop on Mobile Ad Hoc Networking and Computing (MobiHOC), June
2002.
[BBC + 01] Ljubica Blazevic, Levente Buttyan, Srdan Caokun, Silvia Giordanom, Jean Pierre Hubaux
und Jean Yves Le Boudec. Self organization in mobile ad-hoc networks: the approach of
terminodes. Proceedings of 2nd International Workshop on Electronic Commerce (WELCOM
2001), 2001.
105

LITERATURVERZEICHNIS
[BdSM00] M. C. Bernardes und E. dos Santos Moreira. Implementation of an intrusion detection system
based on mobile agents. In International Symposium on Software Engineering for Parallel
and Distributed Systems, 2000.
[BGFDIZ98] J. S. Balasubramaniyan, J. O. Garcia-Fernandez, E. Spafford D. Isacoff und D. Zamboni.
An architecture for intrusion detection using autonomous agents. In 14th IEEE Computer
Security Applications Conference, December 1998.
[Bin96] James Binkley. Authenticated ad hoc routing at the link layer for mobile systems. Technical
Report 96-3, 1996.
[Bis99] Matt Bishop. proceedings of the 2nd international workshop on recent advances in intrusion
detection (raid’99). Special Issue of Wireless Communications and Mobile Computing, Wiley
Interscience Press, 1999.
[CCD + 99] S. Cheung, R. Crawford, M. Dilger, J. Frank, J. Hoagland, K. Levitt, J. Rowe, S. Staniford-
Chen, R. Yip und D. Zerkle. The design of grids: A graph-based intrusion detection system.
CSE-99-2, Januar 1999.
[CCF02] Sean Convery, David Cook und Matthew Franz. An attack tree for the border gateway protocol.
Internet-Draft, 2002.
[Daw76] R. Dawkins. The selfish gene. Oxford University Press 1989, 1976.
[Den87] Dorothy E. Denning. An intrusion detection model. In IEEE Transactions on software engineering,
SE-13, 1987.
[DLRS01] Bridget Dahill, Brian Levine, Elizabeth Royer und Clay Shields. A secure routing protocol
for ad hoc networks. in The 8th ACM International Conference on Mobile Computing and
Networking, 2001.
[DN85] Denning und Neumann. Requirements and models for ides - a real time intrusion detection
system. 1985.
[FBR + 99] Richard Feiertag, Lee Benzinger, Sue Rho, Stephen Wu, Karl Levitt, Dave Peticolas und Mark
Heckman. Intrusion detection inter-component adaptive negotiation. Computer Networks 34,
1999.
[FV00] K. Fall und E. Varadhan. The ns manual (formerly ns notes and documentation). 2000.
[GM98] Juan A Garay und Yoram Moses. Fully polynomial byzantine agreement for 3t processors in
t+1 rounds. SIAM Journal of Computing, 27(1), 1998.
106

LITERATURVERZEICHNIS
[HBC01] Jean Pierre Hubaux, Levente Buttyan und Srdan Capkun. The quest for security in mobile
ad hoc networks. Proceeding of the ACM Symposium on Mobile Ad Hoc Networking and
Computing (MobiHOC), 8(5), 2001.
[Hei02] Steffen Hein. Intrusion detection in mobilen netzen. Seminar: Sicherheit in mobilen Netzen,
2002.
[HJP02a] Yi Chun Hu, David B. Johnson und Adrian Perrig. Sead: Secure efficient distance vector
routing for mobile wireless ad hoc networks. Proceedings of the 4th IEEE Workshop on
Mobile Computing Systems & Applications (WMCSA 2002), 2002.
[HJP02b] Yih-Chun Hu, David B. Johnson und Adrian Perrig. SEAD: Secure Efficient Distance Vector
Routing for Mobile Wireless Ad Hoc Networks. Proceedings of the 4th IEEE Workshop on
Mobile Computing Systems and Applications (WMCSA 2002), June 2002.
[HK98] Helden und Karsch. Grundlagen, forderungen und marktübersicht für intrusion detection
systeme und intrusion response systeme. http://www.bsi.de/literat/studien/ids/doc0000.htm,
1998.
[HLM91] Heberlein, Levitt und Mukherjeeh. A method to detect intrusive activity in a networked
environment. In Proceedings of the 14th National Computer Security Conference, 1991.
[HPJ01] Yih-Chun Hu, Adrian Perrig und David B. Johnson. Wormhole detection in wireless ad hoc
networks. Technical Report TR01-384, 2001.
[HPJ02] Yih-Chun Hu, Adrian Perrig und David B. Johnson. Ariadne: A secure on-demand routing
protocol for ad hoc networks. Proceedings of MobiCom 2002, 2002.
[iee] Ieee 802.11 wireless local area networks. http://grouper.ieee.org/groups/802/11/index.html.
[IKP95] K. Ilgun, R. A. Kemmerer und P. A. Porras. State transition analysis: A rule-based intrusion
detection approach. IEEE Transactions on Software Engineering, 1995.
[itu] International telecommunication union. http://www.itu.int/home/index.html.
[JMB01] David B. Johnson, David A. Maltz und Josh Broch. Dsr: The dynamic source routing protocol
for multihop wireless ad hoc networks. 2001.
[JMHJ02a] David B. Johnson, David A. Maltz, Yih-Chun Hu und Jorjeta G. Jetcheva. The dynamic
source routing protocol for mobile ad hoc networks (dsr). Mobile Computing, 2002.
[JMHJ02b] David B. Johnson, David A. Maltz, Yih-Chun Hu und Jorjeta G. Jetcheva. The dynamic source
routing protocol for mobile ad hoc networks (dsr). http://www.ietf.org/internet-drafts/draftietf-manet-dsr-07.txt,
February 2002.
107

LITERATURVERZEICHNIS
[Joh94] David B. Johnson. Routing in ad hoc networks of mobile hosts. Workshop on Mobile Computing
Systems and Applications, 1994.
[JWZ03] Ramaprabhu Janakiraman, Marcel Waldvogel und Qi Zhang. Indra: A peer-to-peer approach
to network intrusion detection and prevention. Proceedings of IEEE WETICE 2003, 2003.
[Kar03] Frank Kargl. Sicherheits-mechanismen in mobilen ad-hoc netzen. to appear, 2003.
[KF98] Axel W. Krings und Thomas Feyer. The byzantine agreement problem, optimal early stopping.
Thirty-second Annual Hawaii International Conference on System Sciences-Volume 8,
1998.
[KFL96] Ko, Fink und Levitt. Execution monitoring of security-critical programs in a distributed system:
A specification-based approach. Ph.D. Thesis at the University of California, 1996.
[KLX + 01] Jiejun Kong, Haiyun Luo, Kaixin Xu, Daniel Lihui Gu, Mario Gerla und Songwu Lu. Adaptive
security for multi-layer ad-hoc networks. Special Issue of Wireless Communications and
Mobile Computing, Wiley Interscience Press, 2001.
[Kär01] Vesa Kärpijoki. Security in ad hoc networks. Master Thesis, 2001.
[KT00] C. Krügel und T. Toth. A survey on intrusion detection systems. Technical Report TUV-1841-
00-11, 2000.
[KZL + 01] Jiejun Kong, Petros Zerfos, Haiyun Luo, Songwu Lu und Lixia Zhang. Providing robust
and ubiquitous security support for mobile ad-hoc networks. IEEE Military Communications
Conference (MILCOM’02), 2001.
[LF01] Martin Nilsson Laura Feeney. Investigating the energy consumption of a wireless network
interface in an ad hoc networkinh environment. INFOCOM 2001, 2001.
[LL00] Haiyun Luo und Songwu Lu. Ubiquitous and robust authentication services for ad hoc wireless
networks. UCLA Computer Science Technical Report 2000, 2000.
[LSP82] Leslie Lamport, Robert Shostak und Marshall Pease. Byzantine generals problem.
http://citeseer.nj.nec.com/article/lamport82byzantine.html, 1982.
[Lun88] Teresa Lunt. Automated audit trail analysis. Proceedings of the 11th National Computer
Security Conference, 1988.
[Lun00] Janne Lundberg. Routing security in ad hoc networks. http://citeseer.nj.nec.com/400961.html,
2000.
108

LITERATURVERZEICHNIS
[LX00] Wenke Lee und Dong Xiang. Information theoretic measures for anomaly detection. IEEE
Symposium on Security and Privacy, 2000.
[LZK + 01] Haiyun Luo, Petros Zerfos, Jiejun Kong, Songwu Lu und Lixia Zhang. Self-securing ad hoc
wireless networks. IEEE 7th Symposium on Computers and Communications (ISCC’02),
2001.
[MGB00] Sergio Marti, T.J. Giuli und Mary Baker. Mitigating routing misbehavior in mobile ad hoc
networks. Mobile Computing and Networking, 2000.
[MM] Pietro Michiardi und Refik Molva. Prevention of Denial of Service attacks and Selfishness in
Mobile Ad Hoc Networks. http://www.eurecom.fr/ michiard/pub/michiardi adhoc dos.ps.
[MM01] Pietro Michiardi und Refik Molva. Core: A collaborative reputation mechanism to enforce
node cooperation in mobile ad hoc networks. Proceedings of the 6th IFIP Communication
and Multimedia Security Conference, 2001.
[MM02a] Pietro Michiardi und Rafik Molva. Prevention of denial of servie attacks and selfishness in
mobile ad hoc networks. Research Report RR-02-063, 2002.
[MM02b] Pietro Michiardi und Refik Molva. Simulation-based analysis of security exposures in mobile
ad hoc networks. European Wireless Conference 2002, 2002.
[Nas50] John Nash. Equilibrium points in n-person games. In Proceedings of the National Academy
of Sciences 1950, 36:48–49, 1950.
[ns2a] The network simulator - ns-2, introduction and code. http://www.isi.edu/nsnam/ns/.
[ns2b] The network simulator - ns-2, release notes ns2.26. http://www.isi.edu/nsnam/ns/nsproblems.html.
[Pau98] Manfred Paul. Parallele und verteilte programmierung. http://wwwbroy.informatik.tumuenchen.de/
lehre/vorlesungen/vertprog/, 1998.
[PCTS02] Adrian Perrig, Ran Canetti, J.D. Tygar und Dawn Song. The TESLA Broadcast Authentication
Protocol. RSA CryptoBytes, 5 (Summer), 2002.
[Per88] Radia Perlmen. Network layer protocols with byzantine robustness. MIT/LCS/TR 429, 1988.
[Per01] Charles E. Perkins (Herausgeber). Ad Hoc Networking. Addison-Wesley, 2001.
[PH02a] Panagiotis Papadimitratos und Zygmunt J. Haas. Secure routing for mobile ad
hoc networks. SCS Communication Networks and Distributed Systems Modeling
and Simulation Conference (CNDS 2002), January 2002. Also available as
http://wnl.ece.cornell.edu/Publications/cnds02.pdf.
109

LITERATURVERZEICHNIS
[PH02b] Panagiotis Papadimitratos und Zygmunt J. Haas. Secure Routing for Mobile Ad Hoc Networks.
Working Session on Security in Wireless Ad Hoc Networks, EPFL, (published in
Mobile Computing and Communications Review, vol.6, no.4), June 2002.
[PH03] Panagiotis Papadimitratos und Zygmunt J. Haas. Secure Link State Routing for Mobile Ad
Hoc Networks. IEEE Workshop on Security and Assurance in Ad hoc Networks, in conjunction
with the 2003 International Symposium on Applications and the Internet, January 2003.
[PHS02] Panagiotis Papadimitratos, Zygmunt J. Haas und P. Samar. The Secure Routing Protocol
(SRP) for Ad Hoc Networks. draft-papadimitratos-secure-routing-protocol-00.txt, December
2002.
[Por92] Porras. Stat - a state transition analysis tool for intrusion detection. Masters Thesis at the
University of California, 1992.
[PR02] Charles E. Perkins und Elizabeth M. Royer. Ad hoc on demand distance vector (aodv) routing.
http://www.ietf.org/internet-drafts/draft-ietf-manet-aodv-12.txt, November 2002.
[Qin01] Liang Qin. Pro-active route maintenance in dsr. 2001.
[RG92] D. Russel und Gangemi. Computer security basics. G.T. Sr. 1992 O’Reilly & Associates, Inc.,
1992.
[RZFK76] P. Resnick, R. Zeckhauser, E. Friedman und K. Kuwabara. Reputation systems. Communications
of the ACM, 43, 1976.
[Sch99a] Bruce Schneier. Attack trees. Dr. Dobb’s Journal, 1999.
[Sch99b] Bruce Schneier. Modeling security threats. Dr Dobb’s Journal, December 1999.
[SDL + 02] Kimaya Sanzgiri, Bridget Dahill, Brian Neil Levine, Clay Shields und Elizabeth M. Belding-
Royer. A Secure Routing Protocol for Ad Hoc Networks. November 2002.
[SF02] Paul Sass und Jim Freebersyser. Fcs communications technology for the objective force.
2002.
[Sha79] A. Shamir. How to share a secret. Communications of the ACM, 24(11), 1979.
[SHF + 99] S.F.Wu, H.C.Chang, F.Jou, F.Wang, F-Gong und C.Sargor. Jinao: Design an implementation
of a scalable intrusion detection system for the ospf routing protocol. Journal of Computer
Networks and ISDN Systems, 1999.
[Spe03] Raimund Specht. Authentifikation und schlüsselaustausch in mobilen ad-hoc netzwerken.
Diplomarbeit, 2003.
110

LITERATURVERZEICHNIS
[Tan96] Andrew S. Tannenbaum. Computer Networks. Prentice Hall PTR, 1996.
[TDC + 95] Tushar, Deepak, Chandra, Hawthorne, Sam und Ithaca. Unreliable failure detectors for reliable
distributed systems. Journal of the ACM, 43(2), 1995.
[WC] Brad Williams und Tracy Camp. Comparison of broadcasting techniques for mobile ad hoc
networks. Proceedings of the ACM International Symposium on Mobile Ad Hoc Networking
and Computing (Mobihoc.
[WMB99] Thomas Wu, Michael Malkin und Dan Boneh. Building intrusion-tolerant applications. Proceedings
of 8th USENIX Security Symposium, 1999.
[YNK00] Seung Yi, Prasad Naldurg und Robin Kravets. A security-aware routing protocol for wireless
ad hoc networks. The 6th World Multi-Conference on Systemics, Cybernetics and Informatics
(SCI 2002), 2000.
[Zap02] Manel Guerrero Zapata. Secure Ad hoc On-Demand Distance Vector Routing. ACM Mobile
Computing and Communications Review (MC2R), 6, July 2002.
[ZH99] Lidong Zhou und Zygmunt J. Haas. Securing ad hoc networks. (IEEE) Network, 13(6):24–30,
1999.
[Zhu] Feng Zhu. Paper list: Security for ad hoc networks. http://www.ccs.neu.edu/home/zhufeng/.
[ZL01] Yongguang Zhang und Wenke Lee. Intrusion detection in wireless adhoc networks. Mobile
Computing and Networking, 2001.
[ZLH02] Yongguang Zhang, Wenke Lee und Yi-An Huang. Intrusion detection techniques for mobile
wireless networks. Mobile Computing and Networking, 2002.
111

Andreas Klenk Matrikelnummer 372292
Erklärung
Ich erkläre, dass ich die Diplomarbeit selbständig verfasst und keine anderen als die angegebenen Quellen
und Hilfsmittel verwendet habe.
1. Ich bin damit einverstanden, dass die Arbeit veröffentlicht wird und dass in wissenschaftlichen Veröffentlichungen
darauf Bezug genommen wird.
2. Der Universität Ulm, vertreten durch die Abteilung Medieninformatik, wird ein (nicht ausschließliches)
Nutzungsrecht an dieser Arbeit sowie an den im Zusammenhang mit ihr erstellten Programmen
eingeräumt.
Ulm, den 5. Juni 2003