Đang tải... (xem toàn văn)
Mạng tùy biến di động MANET là mạng tự cấu hình của các nút di động kết nối với nhau thông qua các liên kết không dây tạo nên mạng độc lập. Các thiết bị trong mạng có thể di chuyển một cách tự do theo mọi hướng, do đó liên kết của nó với các thiết bị khác cũng thay đổi một cách thường xuyên.
KHOA HỌC CÔNG NGHỆ GIẢI PHÁP CÁI TIẾN GIAO THỨC ĐỊNH TUYẾN THEO YÊU CẦU CHỐNG TẤN CÔNG TRÊN MẠNG TÙY BIẾN DI ĐỘNG Lê Đức Huy* ABSTRACT The on-demand routing protocol is designed to work with the belief that all nodes in the network are friendly, so hackers have exploited the security vulnerability to perform some form of network attack, typically flood attacks This form of attack is easily accomplished by flooding the route request packet into the network Once the attack frequency is large enough, it will hinder the route discovery process of other network nodes, causing damage to network performance In this paper, using NS2, the article will analyze and evaluate the harmful effects of flooding attack on the performance of the AODV routing protocol, install the improved H(AODV) security protocol from AODV to reduce the impact of a flood attack Simulation results show that the improved protocol is very effective to reduce the harmful effects of flood attack Keywords: AODV, H(AODV), MANET, FLOODING Received: 18/11/2021; Accepted: 25/11/2021; Published: 12/12/2021 Đặt vấn đề Mạng tùy biến di động MANET mạng tự cấu hình nút di động kết nối với thông qua liên kết không dây tạo nên mạng độc lập Các thiết bị mạng di chuyển cách tự theo hướng, liên kết với thiết bị khác thay đổi cách thường xuyên Với đặc điểm bật hoạt động không phụ thuộc vào sở hạ tầng, triển khai nhanh, linh hoạt nhiều địa hình khác nhau, mạng MANET ngày đóng vị trí quan trọng MANET ứng dụng vào nhiều lĩnh vực sống lĩnh vực quân sự, truyền thông điều kiện thiên tai [1] Giao thức AODV thiết kế với niềm tin nút mạng thân thiện Vì vậy, chúng chưa thiết kế nhằm mục đích an ninh Những kẻ cơng xâm nhập vào mạng thông qua việc công nút, từ làm tê liệt hoạt động mạng Một số cách công * Trường Đại học Công nghệ Quản lý Hữu Nghị tin tặc sử dụng nhiều như: Blackhole [2], Grayhole [3], Wormhole [4], Sinkhole [5], Whirlwind Flooding Trong công Flooding dễ thực gây ảnh hưởng nặng tới hiệu mạng, nút độc hại hoạt động gần tương tự nút bình thường khác chổ phát gói RREQ với tần suất cao vào mạng Có hình thức cơng ngập lụt: ngập lụt gói RREQ, DATA HELLO Nội dung nghiên cứu 2.1 Nghiên cứu liên quan Trong thời gian qua, giải pháp an ninh công bố theo hướng phát ngăn chặn Nguyên nhân chúng có ưu điểm chi phí thấp, dễ thực hiện, ngược lại giải pháp theo hướng ngăn chặn công sử dụng chế xác thực nút dựa tảng chữ ký số nên khả an ninh cao, có nhược điểm chi phí khám phá tuyến lớn Tác giả đề xuất hệ thống tường vệ kép (DDWS) dựa kỹ thuật tiết kiệm lượng nhằm giảm thiểu tác động cơng TẠP CHÍ QUẢN LÝ VÀ CƠNG NGHỆ - Số 19 Quý 4/2021 45 KHOA HỌC CÔNG NGHỆ ngập lụt giao thức định tuyến AODV Tác giả trình bày giải pháp thêm thành phần vào nút có nhiệm vụ theo dõi ngưỡng giới hạn số gói tin yêu cầu tuyến tất láng giềng Giải pháp giải vấn đề phát cơng ngập lụt gói RREQ, chưa giải vấn đề cơng ngập lụt gói DATA Một số nghiên cứu công bố nhằm phát công ngập lụt Các giải pháp chủ yếu dựa vào tần suất phát gói RREQ (số lượng gói RREQ đơn vị thời gian) để phát công Một nút thực phát gói RREQ nhiều cho độc hại vượt giá trị ngưỡng Hạn chế giải pháp nút độc hại phát gói với tần suất thấp ngưỡng tránh bị phát Hạn chế khắc phục giải pháp dựa lĩnh vực khai phá liệu 2.2 Giải pháp an ninh sử dụng chế xác thực OTP Phần mô tả chế hoạt động giao thức AODV, chế xác thực OTP giao thức an ninh H(AODV) 2.2.1 Giao thức AODV Giao thức định tuyến theo yêu cầu dựa véc-tơ khoảng cách (AODV) đề xuất để sử dụng mạng MANET AODV sử dụng chế khám phá tuyến cần thiết, trình tìm đường khởi tạo nút cần truyền gói tin với nút khác mà khơng tìm thấy tuyến đường đến đích bảng định tuyến Nút nguồn phát quảng bá gói u cầu tìm đường (RREQ) đến nút lân cận Các nút lân cận sau chuyển tiếp gói yêu cầu đến nút lân cận khác chúng Quá trình tiếp tục có nút trung gian xác định tuyến “đủ tươi” để đạt đến đích gói tin tìm đường tìm đến đích 46 2.2.2 Cơ chế xác thực OTP Thuật toán tạo OTP thực theo bước sau: Hai nút Ni Nj sử dụng khóa Ψ tạo ngẫu nhiên chia cho Nút Ni tạo lưu OTP từ đến MAX i, j OTP1 = f1 = f (ψ ) OTP2 i, j = f = f ( f (ψ )) … i, j OTPMAX = f MAX = f ( f MAX −1 ) Bước Nút Nj tạo lưu khóa kiểm tra CK từ đến MAX-1 … Hình mơ tả việc xác thực OTP hai nút Ni Nj Nút Ni gửi gói P kèm OTPki , j đến Nj, j ,i nút Nj sử dụng hàm f để băm giá trị OTPk −1 so sánh kết băm với OTP gói P Nếu hai giá trị trùng khớp OTP gói P hợp lệ, gói P chấp nhận, Nj lưu lại OTP sử dụng để loại bỏ Mỗi nút mạng lưu trữ đếm UO để loại bỏ OTP sử dụng lần khám phá TẠP CHÍ QUẢN LÝ VÀ CÔNG NGHỆ - Số 19 Quý 4/2021 KHOA HỌC CƠNG NGHỆ Hình Mơ tả q trình xác thực OTP nút Nj nhận gói P từ nút Ni 2.2.3 Giải pháp an ninh H(AODV) Giao thức H(AODV) đề xuất vào năm 2015 để giải vấn đề an ninh mạng MANET H(AODV) giao thức mở rộng giao thức AODV Hình mơ tả cấu trúc hai gói u cầu tuyến H(RREQ) trả lời tuyến H(RREP) Gói RREQ Gói RREP OTP(128 bit) OTP(128 bit) a) Gói b) Gói H(RREQ) H(RREP) Hình Cấu trúc gói tin điều khiển giao thức an ninh H(AODV) Giao thức H(AODV) giả định nút hệ thống mạng có bảng băm cung cấp từ hệ thống mật mã khóa bất đối xứng để bảo mật thông điệp định tuyến AODV Mỗi nút có khả xác minh mối liên hệ địa nút khóa cơng khai nút Q trình khám phá đường giao thức H(AODV) tương tự AODV mô tả Hình 4, nút nguồn NS đến nút đích ND sơ đồ mô tả sau: Đầu tiên, nút nguồn NS phát gói tin quảng bá H(RREQ) kèm với OTP thứ k lần lược đến nút trung gian Ni (N1, N2, N3) Khi nhận gói tin yêu cầu tuyến từ nút nguồn NS, N1 sử dụng hàm f để băm giá trị OTPkvà so sánh kết băm với OTP gói H(RREQ) Nếu OTP khơng giống với kết băm gói H(RREQ) nút nguồn NS khơng hợp lệ, N1 hủy gói H(RREQ), ngược lại N1 chấp nhận gói H(RREQ) tiếp tục quảng bá đến nút láng giềng khác, đồng thời lưu tuyến ngược nguồn Quá trình kiểm tra thực nút N2 N3 nút đích nhận gói H(RREQ) gói khơng đến nút đích Nút đích ND kiểm tra OTP gói H(RREQ) trước chấp nhận gói để thiết lập tuyến gửi gói trả lời tuyến nguồn NS Khi nhận gói H(RREQ), nút đích ND gửi trả lời gói H(RREP) nguồn thơng qua nút N6, dựa vào tuyến đường ngược lưu trước xử lý gói H(RREQ), gói H(RREP) gửi kèm OTPn Khi nhận gói H(RREP), nút trung gian N6 kiểm tra giá trị OTP gói trả lời tuyến Hàm f sử dụng để băm giá trị OTPn-1 so sánh kết băm với OTP gói H(RREP) Nếu OTP khơng giống với kết băm gói H(RREP) nút đích ND khơng hợp lệ, N6 hủy gói H(RREP), ngược lại N6 chấp nhận gói H(RREP) tiếp tục chuyển tiếp nguồn thông qua nút N1, đồng thời lưu tuyến đến đích ND Quá trình kiểm tra thực nút N1 nút NS nhận gói H(RREP) Nút nguồn kiểm tra OTP gói H(RREP) trước chấp nhận gói để thiết lập tuyến đến ND Hình Mô tả chế khám phá tuyến giao thức H(AODV) TẠP CHÍ QUẢN LÝ VÀ CƠNG NGHỆ - Số 19 Quý 4/2021 47 KHOA HỌC CÔNG NGHỆ 2.3 Đánh giá kết mô Phần này, báo sử dụng hệ mô NS-2.35 để mô công ngập lụt giao thức AODV, so sánh hai giao thức số gói tin bị mất, độ trễ trung bình gói tin, tỉ lệ gói tin gửi thành cơng, số gói định tuyến, phụ tải định tuyến Các thông số mô tổng hợp Bảng 2.1, số nút tham gia mơ 100 nút, tốc độ di chuyển từ 0,1 m/s tới 20m/s, với vùng mơ 2000 m×2000 m thời gian mô 200s Nút độc hại gửi tràn ngập gói u cầu tuyến RREQ tới tồn nút mạng, tần suất công ngập lụt gói RREQ 10, 20, 30 40 gói giây Bảng 2.1: Chi tiết tham số mơ Tham số Giá trị Số nút tham gia mô 100 nodes Giao thức định tuyến AODV, H(AODV) Nút công node Tần suất công 10, 20, 30 40 pkt/s Vùng mơ 2000 m × 2000 m Thời gian mô 200 s Tốc độ di chuyển [1 20] m/s Dạng truyền thông CBR Số nguồn phát 20 Kích thước gói tin 512 bytes Hình Tỉ lệ gói tin gửi thành cơng Hình mơ tả tỉ lệ gói tin gửi thành cơng công ngập lụt Ta thấy giao thức AODV bị ảnh hưởng lớn nguyên nhân AODV sử dụng tuyến để định tuyến gói liệu Tấn công với tần suất thấp 10pkt/s không ảnh hưởng nhiều đến hiệu hệ thống Khi tần suất gói cơng 20 pkt/s, giao thức bị ảnh hưởng nặng nề Giao thức an ninh H(AODV) có tỉ lệ gửi gói tin 99% kể nút độc hại công tần suất lớn, giảm nhẹ so với không bị công mạng (0pkt/s), điều cho thấy giao thức an ninh chống công ngập lụt với hiệu cao Số liệu chi tiết tác hại công ngập lụt đến hiệu giao thức AODV hiệu giao thức an ninh H(AODV) tổng hợp bảng 2.2 Bảng 2.2: Kết mô chống công ngập lụt Tần suất cơng (gói/giây) Tỉ lệ gửi gói tin thành cơng (%) Phụ tải định tuyến (pkt) Thời gian trễ trung bình (ms) 48 AODV 99,84 H(AODV) AODV H(AODV) AODV 99,82 0,55 0,55 68,47 H(AODV) 66,04 Hình Phụ tải định tuyến Hình cho ta thấy phụ tải định tuyến bị nút độc hại công ngập lụt Khi tần suất tăng cao lớn 20 pkt/s tỉ lệ gói điều khiển hao phí gói tin 10 20 30 40 truyền thành công 99,62 96,36 32,18 23,46 tăng mạnh Với 99,66 99,8 99,61 99,57 tần suất công 33,34 70,88 414,04 630,29 40pkt/s, phụ tải 1,07 1,2 1,82 2,11 định tuyến giao 96,62 178,78 2318,00 3065,56 thức AODV tăng 68,09 69,77 90,50 77,72 lên 630,29pkt/s TẠP CHÍ QUẢN LÝ VÀ CÔNG NGHỆ - Số 19 Quý 4/2021 KHOA HỌC CƠNG NGHỆ Giao thức an ninh H(AODV) khơng bị ảnh hưởng nên phụ tải định tuyến tăng nhỏ cho thấy công ngập lụt ảnh hưởng không nhiều tới giao thức Với tần suất công 40pkt/s, phụ tải định tuyến giao thức H(AODV) tăng lên 2.11pkt/s Hình Độ trễ trung bình Hình cho thấy độ trễ trung bình nút độc hại thực công ngập lụt giao thức bị ảnh hưởng Tuy nhiên, tần suất công tăng cao giao thức AODV bị ảnh hưởng nặng nề Với tần suất công 40pkt/s, độ trễ trung bình giao thức AODV tăng lên gần 3,07s Giao thức AODV có độ trễ trung bình 3s cho thấy xuất gây tắc ngẽn mạng bị công với tần suất 40pkt/s Giao thức H(AODV) có tăng độ trễ trung bình khơng lớn, cho thấy giao thức có độ an tồn cao nút độc hại thực cơng ngập lụt kể với tần suất lớn Với tần suất cơng 40pkt/s, độ trễ trung bình giao thức H(AODV) tăng lên gần 0.078s Kết luận Như vậy, công ngập lụt ảnh hưởng đến hiệu giao thức định tuyến AODV Kết mô cho thấy giao thức AODV bị ảnh hưởng nhiều với tần suất công 20 gói Giao thức H(AODV) có khả phát loại bỏ công ngập lụt hiệu Tuy nhiên, hạn chế chế an ninh sử dụng q trình cấp OTP thực thủ cơng, gây khó khăn OTP sử dụng hết ***Nghiên cứu đề tài mã số DT.2103 Trân trọng cảm ơn Trường Đại học Công nghệ Quản lý Hữu Nghị hỗ trợ cho nghiên cứu Tài liệu tham khảo H Jeroen, M Ingrid, D Bart, and D Piet, “An overview of Mobile Ad hoc Networks: Applications and challenges,” Journal of the Communications Network, vol 3, no 3, pp 60–66, 2004 M Salehi,A Boukerche, and A Darehshoorzadeh, “Modeling and performance evaluation of security attacks on opportunistic routing protocols for multihop wireless networks,” Ad Hoc Networks, 2016 X Gao and W Chen, “A novel Gray hole attack detection scheme for Mobile Ad-hoc Networks,” in IFIP International Conference on Network and Parallel Computing Workshops, 2007, pp 209–214 T T Vo, N T Luong, and D Hoang, “MLAMAN: a novel multi-level authentication model and protocol for preventing wormhole attack in mobile ad hoc network,” Wireless Networks, vol 25, no 7, pp 4115–4132, 2019 L Sánchez-Casado, G Maciá-Fernández, P García-Teodoro, and N Aschenbruck, “Identification of contamination zones for Sinkhole detection in MANETs,” Journal of Network and Computer Applications, vol 54, pp 62–77, 2015 Raj PN, Swadas PB (2009), “DPRAODV: A Dynamic Learning System Against Blackhole Attack in AODV based MANET”, International Journal of Computer Science 2:54–59 doi: abs/0909.2371 Sanjay Ramaswamy, Huirong Fu, Manohar Sreekantaradhya, John Dixon, and Kendall Nygard, “Prevention of Cooperative Black Hole Attack in Wireless Ad Hoc Networks”, 2003 International Conference on Wireless Networks (ICWN’03), Las Vegas, Nevada, USA TẠP CHÍ QUẢN LÝ VÀ CÔNG NGHỆ - Số 19 Quý 4/2021 49 ... tả chế hoạt động giao thức AODV, chế xác thực OTP giao thức an ninh H(AODV) 2.2.1 Giao thức AODV Giao thức định tuyến theo yêu cầu dựa véc-tơ khoảng cách (AODV) đề xuất để sử dụng mạng MANET AODV... HỌC CÔNG NGHỆ ngập lụt giao thức định tuyến AODV Tác giả trình bày giải pháp thêm thành phần vào nút có nhiệm vụ theo dõi ngưỡng giới hạn số gói tin yêu cầu tuyến tất láng giềng Giải pháp giải. .. 2.2.3 Giải pháp an ninh H(AODV) Giao thức H(AODV) đề xuất vào năm 2015 để giải vấn đề an ninh mạng MANET H(AODV) giao thức mở rộng giao thức AODV Hình mơ tả cấu trúc hai gói yêu cầu tuyến H(RREQ)