以太网,就像所有的通信网络一样,随着时间的推移不断地变得更快。近年来,以太网网络的一个子集,称为时间触发以太网(TTE),已经出现。TTE网络是围绕精确的信号定时构建的,使用冗余路径和谨慎的切换,以确保信息准确地在需要的时候到达。自推出以来,TTE已经在飞行关键飞机系统,NASA航天器和发电风力涡轮机中找到了归宿,仅举几个例子。
TTE网络的这种系统失去同步的后果是可以理解的灾难性的。现在,研究人员描述了一种史无前例的攻击,叫PCspooF,它可以做到这一点。这个小组将在IEEE安全与隐私研讨会会议将于2023年5月举行。
亚博真人yabo.at我们采访了Andrew Loveless和Baris Kasikci,两位发现了这次攻击的研究人员,讨论了pcspooof是如何工作的,它对时间敏感网络意味着什么,以及一些可以阻止攻击的一般方法。为清晰起见,以下对话作了少许编辑。
Loveless和Kasikci
从头开始:时间触发以太网在这一点上已经存在了几年。那么它从何而来,有何用途呢?
安德鲁无爱
Andrew无爱:今天在实践中使用的商业TTE技术是由1980年进行的学术tt以太网项目发展而来的你维恩在21世纪初.该项目的目标是采用早期基于总线的协议(如TTP/C)中使用的“时间触发”通信概念,并将其应用于交换式以太网。通过这种方式,用户获得了两个世界的好处——时间触发通信的确定性,以及以太网的高数据速率和广泛可用性。
据我们所知,协议是TTTech和霍尼韦尔率先将其商业化2008左右。GE发那科也开始开发TTE产品在航空领域大约在那个时候。
很难确定TTE在关键任务系统中的首次使用。最早的一个似乎是西科斯基公司,该公司在2008年开始使用TTE技术S-97突袭者直升机它于2015年首飞。截至2009年,也有文章报道美国宇航局和洛克希德·马丁公司正在使用TTE猎户座载人探索飞船它最初是星座计划的一部分,现在被用于阿尔忒弥斯。维斯塔斯似乎开始与TTE合作用于风力涡轮机控制应用在2010年左右,并在部署的涡轮机中使用TTE。
今天,TTE被用于一系列关键任务和安全关键系统和车辆。
这些TTE网络与人们更熟悉的“竭尽全力”网络有何不同?
无爱:就上下文而言,目前业界正在推动大型嵌入式和网络物理系统采用混合临界网络。这意味着不再为非关键设备和关键设备使用单独的网络和总线,而是推动关键设备和非关键设备共享一个网络。这种方法有很多好处,包括更小的尺寸、重量和功率(一般来说,电缆和开关更少),以及更短的开发时间和成本,因为工程师可以专注于只使用一种技术。
时间触发以太网(TTE)是这一趋势的一部分网络技术。其他一些包括时间敏感型组网,SpaceWire而且SpaceFibre,RapidIO,AFDX,以及更多。TTE有多个在同一网络上使用的不同流量类别。具有最高临界和优先级的流量类别是时间触发的,这意味着流量准确地预先调度,以具有特定的定时属性(例如,避免交换机中的争用并保证某种最坏情况下的延迟和抖动),并通过冗余网络路径同时发送。这样,设计师就可以确保他们的消息能够按时成功地到达目的地。所以TTE技术有这种时间触发的流量等级,通常也被称为TTE。
此外,TTE技术支持尽力而为流量类,这意味着流量遵循标准以太网的规则。所以这里的流量不是冗余的,并且没有及时调度以具有一定的定时属性。流量之所以被称为“尽最大努力”,是因为TTE网络并不为此提供任何保证——它只是在关键TTE消息之间尽可能地转发尽力而为的流量。尽力而为流量主要用于允许非关键COTS设备与关键系统共享TTE网络。
您提到了业界对混合关键网络的推动以及它们带来的好处(在成本、开发时间、能源消耗等方面)。在理想的情况下,TTE网络似乎不会与“尽最大努力”的流量共享基础设施。是不是很简单,在大多数情况下都是不实际的?
无爱:许多COTS设备不具备生成时间触发流量的能力。因此,如果有人想在他们的系统中包含COTS设备,他们通常需要支持标准(尽力)以太网。在这种情况下,我认为理想的情况是有一个网络,在TT和BE流量之间提供完美的隔离,并允许所有TT流量满足其定时要求。换句话说,单个网络提供了一种错觉,即每个TT通信流都是通过从发送方到接收方的私有点对点通道传输的。通过这种方式,人们可以获得完全隔离网络的所有安全和保障好处,而只需要承担单个网络的成本。
无爱:PCspooF是针对TTE网络的一种新型攻击。它允许单个以太网设备(如尽力而为设备)使用少量恶意电路在短时间内破坏TTE网络的同步。当这种情况发生时,它会阻止关键的TTE设备进行通信。[结果],发送的消息被丢弃。每次攻击成功后,这种效果的持续时间大约是半秒到一秒。
重要的是,攻击者可以破坏所有冗余TTE网络平面的同步,即使攻击者只连接其中一个平面。此外,攻击可以成功地以高速率重复(通常每10到15秒一次)。
你提到PCspooF是一种新的攻击。这也是第一次利用TTE网络的攻击吗?
无爱:是的。据我们所知,PCspooF是第一个破坏TTE任何保证的攻击。
那么PCspooF是如何工作的呢?它利用了什么弱点或缺陷?
无爱:PCspooF利用了两个主要漏洞。第一个是以太网本身的漏洞,即如果以太网交换机在帧正在转发的过程中突然重置,则该帧的前端可能会被切断,帧的其余部分仍将发送。PCspooF使用电磁干扰导致TTE开关发生这种情况。攻击者在良性帧中存储恶意消息,发送该帧,然后对交换机进行EMI。然后交换机将报头从帧上剥离,并显示恶意帧。这种机制允许攻击者发送恶意帧,否则他们不应该被允许发送。
PCspooF利用的第二个漏洞是TTE同步协议,该协议是在SAE AS6802.在该协议中,有一个重要的步骤,即选择数量的交换机(称为压缩主机)向TTE终端节点发送一个称为协议控制帧的特殊同步消息,它们使用该同步消息来更正时钟。如果该消息内容是恶意的,将导致TTE设备无法同步。这正是PCspooF所做的——它使用上述电磁干扰机制来欺骗这个特定的协议控制帧(PCF),以导致设备失去同步。因此命名为PCspooF。
你是如何发现PCspooF的?是通过实际实验、理论工作和验证,还是其他方法?
无爱:通过研究SAE AS6802标准,我们确定来自交换机的正确协议控制帧可能会暂时中断同步。从那里,主要的挑战是确定如何将该框架进入网络——这是我们通过实际实验和在包中包攻击相关工作的基础上确定的。
你给出的PCspooF如何导致灾难性结果的一个例子是通过模拟NASA(现已搁置)进行的模拟小行星重定向任务该计划的目标是将一颗小行星送入月球轨道,以便宇航员能够访问它。PCspooF如何影响模拟?
巴里斯Kasikci
巴里斯Kasikci:我们在美国宇航局约翰逊航天中心在试验台上与几个真正的TTE开关和终端系统。这为我们提供了关于实际执行攻击的难度以及对网络本身的影响的良好信息。然而,我们也想确定在实际系统中会有什么影响。例如,如果有人在真实的太空飞行任务中执行这种攻击,会造成多大的损害?
为此,我们在试验台中设置了NASA模拟,其中一个具有代表性的太空舱飞向太空,与另一个航天器对接。我们成功地运行了多次任务,以获得预期行为的感觉。然后,我们将一个小型恶意设备连接到其中一个TTE开关上,以便在任务进行时执行攻击。实际情况是,随着任务的进行,PCspooF攻击反复导致多次消息丢失和消息延迟到达,导致航天器偏离航向。所以太空舱并没有上升并与其他航天器对接,而是以错误的角度进入,并从它身边飞过。因此,我们能够证明攻击对运行真实TTE硬件的“真实”系统(尽可能真实)有显著影响。
美国宇航局约翰逊航天中心的铁砧。美国国家航空航天局
在论文中,您列出了几种可能的策略来阻止PCspooF攻击。一般来说,这些策略会有什么帮助呢?
Kasikci:我们确定了几种不同的对攻击有效的缓解措施。总的来说,它们可以分为两类。第一类是阻止设备对TTE开关进行电磁干扰。因此,人们可以采用的一种方法是使用光纤以太网电缆而不是铜线,因为光纤不能传导电信号。另一种选择是在不受信任的设备和交换机之间的电缆上使用某种光学隔离器。
另一种选择是,即使攻击者确实向交换机注入电磁干扰,并导致这个恶意协议控制帧失效,系统也不会受到影响。您可以通过改变网络的拓扑结构来实现这一点,这样被欺骗的pcf就不会遵循与合法pcf相同的路径。这样,设备总能分辨出被欺骗的pcf是不合法的,并将其丢弃。这两件事是设计师今天可以做的,以保护自己免受这种攻击。
点对点系统用于确定文件位置的一种方案是将该信息保存在一个集中的数据库中。
在对等网络中查找文件的另一种方法称为查询泛洪。寻找文件的节点向所有附加该文件的节点广播请求。如果接收请求的节点没有文件[红色],它会将请求转发给所有附加该文件的节点,直到最后拥有该文件的节点将副本传递回请求方[蓝色]。的
为了跟踪哪个节点持有哪个文件,星际文件系统使用了所谓的分布式哈希表。在这个简化的视图中,三个节点持有一个有两列的表的不同部分:一列(Keys)包含存储文件的散列;另一列(记录)包含文件本身。根据它的散列键是什么,文件被存储在适当的位置[左]-这里描述的好像系统检查了散列的第一个字母,并将字母表的不同部分存储在不同的位置。分发文件的实际算法更复杂,但概念是相似的。检索文件是有效的,因为可以根据文件的哈希值来定位文件。卡尔·德·托雷斯