研究背景

隨著現代汽車日益依賴軟體驅動的電子控制單元（ECU）與無線連接功能，雖然帶來了更高的安全性與便利性，卻也同步引入了更多資安威脅。透過車載網路（如 CAN：Controller Area Network）與遠端存取點的漏洞，攻擊者已能遠端遙控車輛。2015 年 Jeep Cherokee 遭駭客遠端關閉引擎的事件，揭示了車輛資安的嚴峻現實。

本研究由美國密西根大學 Kyong-Tak Cho 與 Kang G. Shin 發表，揭露了一項新型態的車載網路阻斷服務（DoS）攻擊——Bus-off 攻擊。此攻擊利用 CAN 網路內建的錯誤處理與容錯機制，強制使正常運作的 ECU 被斷線，對車輛操作產生重大威脅。
 

Bus-off 攻擊機制簡介

Bus-off 攻擊的原理是藉由連續觸發錯誤，迫使 ECU 累積錯誤計數，最終進入 Bus-off 模式，即強制下線，無法再與車載網路通訊。此攻擊有以下幾項特點：

1. 發動簡單：攻擊者無需破解訊息的意義或檢查碼演算法，可橫跨多種車型與品牌。
2. 隱匿性高：攻擊造成的錯誤與自然錯誤（如位元翻轉、訊號衝突）極為相似，現有入侵偵測系統（IDS）難以分辨。
3. 難以預防：即便使用訊息認證碼（MAC）等資安機制，也難以阻止此種攻擊。
4. 與實作無關：攻擊操作僅依賴 CAN 協定底層機制，不受 ECU 實作差異影響。

CAN 協定的錯誤處理與弱點

CAN 網路設計中包含 5 種錯誤檢測方式：位元錯誤、塞入錯誤（Stuff Error）、CRC 錯誤、格式錯誤與 ACK 錯誤。當錯誤發生時，節點會提高錯誤計數器（Transmit/Receive Error Counters），若傳送錯誤計數（TEC）超過 255，即進入 Bus-off 模式並停止傳送訊息。這原本是為了容錯設計，卻成為攻擊者可利用的弱點。
 

攻擊模式詳細說明

攻擊分為兩個階段：

階段一：受害者為 Error-active 模式

• 攻擊者與受害者同時傳送相同 ID 的訊息，造成受害者誤認為自己傳送錯誤，TEC 增加。
• 每次錯誤加 8，正確傳送僅減 1，因此錯誤迅速累積。

階段二：受害者為 Error-passive 模式

• 攻擊者持續觸發錯誤，但自身不再受影響。
• 攻擊持續至 TEC 超過 255，受害者被強制進入 Bus-off 模式。

攻擊成功的關鍵在於：

• 傳送與受害者相同 ID 的訊息（C1）
• 把握精確傳送時機與位元衝突（C2、C3）

實驗與評估

作者在實驗室自建的 CAN 原型系統與兩台真實車輛（2013 Honda Accord、2016 Hyundai Sonata）上成功實作 Bus-off 攻擊，結果顯示：

• 僅需約 20 次重複攻擊，受害 ECU 即進入 Bus-off 模式。
• 不論 CAN 傳輸速率（250Kbps ~ 1Mbps）與負載高低，攻擊成功率接近 100%。
• 即便僅憑目測訊息週期、或創造先行訊息（preceded ID）也能有效同步攻擊時機。
•  

現有防護機制的缺陷

• MAC與Checksum無效：攻擊製造的是物理層位元錯誤，未進入訊息處理階段，因此 MAC 與 Checksum 難以發揮作用。
• IDS困難辨識：IDS 依據訊息週期與頻率檢測異常，但 CAN 控制器的自動重送機制會導致合法環境下也出現類似行為，無法分辨。

防禦機制建議

本研究提出基於錯誤行為模式的偵測與恢復方法：

• F1：監測是否連續出現兩個以上含 active error flag 的錯誤訊框。
• F2：觀察是否在 error-passive 節點觸發錯誤時，有其他節點成功傳送相同 ID 的訊息。

當同時出現 F1 與 F2，即可判定為攻擊行為，系統可主動重置錯誤計數或強制觸發復原。此外，研究也模擬了傳統訊號錯誤情境下出現 F1 的機率，顯示即便在錯誤率高達 10^-3 的情況下，連續錯誤出現機率仍極低（0.11%），故偵測依據具高度可信度。
 

結論與重要性

Bus-off 攻擊是針對車載網路錯誤處理設計邏輯的關鍵攻擊。它具備以下重要意涵：

• 無需破解訊息內容，攻擊門檻低。
• 攻擊後果嚴重，可癱瘓關鍵安全 ECU。
• 防護困難，需重新思考 CAN 的容錯設計。

研究不僅揭示 CAN 協定的設計弱點，更提供具體偵測與緩解方案，對於車輛製造商與資安業界皆具有高度參考價值。