GIẢI PHÁP CẢI TIẾN GIAO THỨC AODV NHẰM GIẢM THIỂU TÁC HẠI CỦA TẤN CÔNG NGẬP LỤT TRÊN MẠNG MANET Khoa Công nghệ thông tin, Trường Đại học Khoa học, Đại học Huế
Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 14 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
14
Dung lượng
1,02 MB
Nội dung
TẠP CHÍ KHOA HỌC VÀ CƠNG NGHỆ, Trường Đại học Khoa học, ĐH Huế Tập 11, Số (2018) GIẢI PHÁP CẢI TIẾN GIAO THỨC AODV NHẰM GIẢM THIỂU TÁC HẠI CỦA TẤN CÔNG NGẬP LỤT TRÊN MẠNG MANET Lƣơng Thái Ngọc 1,2*, Võ Thanh Tú Khoa Công nghệ thông tin, Trường Đại học Khoa học, Đại học Huế Khoa Sư phạm Toán - Tin, Trường Đại học Đồng Tháp *Email: ltngoc@dthu.edu.vn Ngày nhận bài: 17/9/2017; ngày hồn thành phản biện: 8/11/2017; ngày duyệt đăng: 8/01/2018 TĨM TẮT Hạn chế giao thức AODV gói yêu cầu tuyến (RREQ) khơng thiết kế nhằm mục đích an ninh Vì vậy, nút độc hại cơng mạng cách phát liên tục gói RREQ với tần suất cao, gọi công ngập lụt gói RREQ Kết tạo bão quảng b{ l|m tăng lớn hao phí truyền thơng lãng phí tài nguyên Bài báo đề xuất phương ph{p cải tiến giao thức AODV nhằm giảm thiểu tác hại hình cơng Đầu tiên, mơ NS2, báo x{c định giá trị ngưỡng (TH) tần suất công m| nút độc hại gây hại khơng ảnh hưởng đến hệ thống; Tiếp theo, cải tiến chế khám phá tuyến giao thức AODV để loại bỏ gói RREQ khe thời gian khám phá tuyến nhỏ giá trị ngưỡng Kết mô cho thấy giải pháp hiệu môi trường mạng có nút độc hại dựa tham số phụ tải định tuyến tỷ lệ gửi gói thành cơng Từ khóa: AODV, AODVFA, MANET, RREQ, cơng ngập lụt GIỚI THIỆU Mạng tùy biến di động (MANET [1]) thiết bị di động kết nối với nhau, không phụ thuộc v|o sở hạ tầng Tất nút mạng di chuyển độc lập theo hướng, kết hợp với để gửi liệu tới nút nằm xa khu vực kết nối Mỗi nút hoạt động ngang hàng, có vai trị vừa thiết bị đầu cuối vừa đảm nhận chức định tuyến Mơ hình mạng thay đổi thường xuyên, nhờ mà MANET phù hợp để sử dụng nơi chưa có sở hạ tầng mạng khu vực không ổn định như: cứu hộ, cứu trợ thiên tai chiến thuật chiến trường Định tuyến dịch vụ cung cấp tầng mạng, nút nguồn sử dụng tuyến đường đến đích khám phá trì nhờ vào giao thức định tuyến, tiêu biểu 13 Một giải pháp cải tiến giao thức AODV nhằm giảm thiểu tác hại công ngập lụt … AODV [2] DSR [3] Giao thức AODV sử dụng chế khám phá tuyến cần thiết nên phù hợp với tính di động mạng MANET Đ}y l| mục tiêu nhiều loại công [4], chẳng hạn Blackhole [5], Sinkhole [6], Grayhole [7], Wormhole [8], Whirlwind [9] Flooding [10] Tấn cơng ngập lụt (Flooding Attacks - FA) thực cách sử dụng gói HELLO, gói RREQ, v| gói DATA Trong đó, cơng cách sử dụng gói RREQ l|m tăng lớn hao phí truyền thơng, tạo bão quảng bá gói tin mạng, ảnh hưởng đến khả kh{m ph{ tuyến tất nút Một số nghiên cứu công bố [10-14] tập trung vào việc đề xuất giải pháp huấn luyện để xây dựng giá trị ngưỡng nhằm phát v| ngăn ngừa công Hướng tiếp cận khác cải tiến AODV dựa tảng chữ ký số h|m băm trình bày [15-18], chúng có ưu điểm bảo mật cao, chi phí kh{m ph{ tuyến lớn nên khó ứng dụng vào thực tế khả xử lý thiết bị di động hạn chế Bài báo đề xuất phương ph{p cải tiến giao thức AODV nhằm hạn chế tác hại công ngập lụt, nội dung chi tiết trình bày phần Phần trình bày số nghiên cứu công bố liên quan nhằm phát hiện, ngăn ngừa cơng Phần trình bày tác hại công ngập lụt hiệu giải ph{p đề xuất mô NS2 cuối kết luận MỘT SỐ NGHIÊN CỨU LIÊN QUAN Đầu tiên số giải pháp phát v| ngăn chặn công ngập lụt với ưu điểm ảnh hưởng đến chi phí khám phá tuyến Trong [10], Ping trình b|y giải pháp an ninh chống lại công ngập lụt dựa tiến trình xử lý gói RREQ gọi phương ph{p FIFO T{c giả cho độ ưu tiên nút tỉ lệ nghịch với tần số phát sóng RREQ Các nút thực yêu cầu tuyến nhiều có ưu tiên thấp, bị loại khỏi qu{ trình định tuyến Tuy nhiên, chi tiết chọn giá trị ngưỡng ưu tiên để phát cơng ngập lụt gói RREQ chưa trình bày cụ thể Vấn đề n|y khắc phục [11], tác giả Ping trình b|y giải pháp phát cơng ngập lụt gói RREQ, gói DATA Để phát cơng ngập lụt gói RREQ, giá trị ngưỡng thiết lập dựa vào liệu tất láng giềng Ngồi ra, vấn đề phát cơng ngập lụt gói DATA trình bày dựa vào liệu nhận tầng ứng dụng Trong [12], Jiang đề xuất hệ thống tường vệ kép (DDWS) dựa kỹ thuật tiết kiệm lượng nhằm giảm thiểu t{c động công ngập lụt giao thức định tuyến AODV Dựa thông số RREQ RATE-LIMIT định nghĩa tiêu chuẩn RFC, nút mạng khởi tạo RREQ ưu tiên theo tốc độ dòng chảy với ba cấp độ: hợp pháp, vừa phải mạnh mẽ Các gói RREQ nhận từ nút có ưu tiên h|ng đầu chuyển tiếp, ngược lại bị loại bỏ Đối với nút có ưu tiên vừa, sách nâng cấp hạ cấp độ ưu tiên áp dụng 14 TẠP CHÍ KHOA HỌC VÀ CÔNG NGHỆ, Trường Đại học Khoa học, ĐH Huế Tập 11, Số (2018) theo thay đổi tốc độ dòng chảy RREQ nút Trong [13], Desilva trình b|y cơng ngập lụt gói RREQ tác hại đến thông lượng mạng dựa số lượng nút độc hại Để giảm thiểu ảnh hưởng công ngập lụt, họ đề xuất lược đồ thống kê gói tin hủy thích ứng Phương ph{p n|y dựa kỹ thuật đ{nh gi{ độ trễ ngẫu nhiên để theo dõi gói tin vừa nhận khoảng thời gian Cuối cùng, hồ sơ nút tạo ra, giá trị ngưỡng tính vào cuối kỳ lấy mẫu Giá trị ngưỡng n|y sử dụng để nhận biết xuất cơng ngập lụt gói RREQ bình thường Trong [14], nhóm tác giả trình b|y giải pháp huấn luyện xây dựng khe thời gian khám phá tuyến tối thiểu từ ph{t v| ngăn chặn nút độc hại thực công ngập lụt gói RREQ, liệu giai đoạn huấn luyện xây dựng giá trị ngưỡng phải không tồn nút độc hại Tiếp theo số giải pháp dựa chế “chứng thực, toàn vẹn chống chối từ” dựa tảng chữ ký số h|m băm Chúng có ưu điểm khả bảo mật cao, ngăn ngừa nhiều hình thức cơng xuất SAODV [15] tác giả Zapata cải tiến từ AODV ngăn ngừa cơng mạo danh Tuy nhiên, tồn SAODV hỗ trợ chứng thực từ đầu-cuối (end-to-end), không hỗ trợ chứng thực nút (hop-by-hop) nên nút trung gian chứng thực gói tin từ nút tiền nhiệm Ngồi ra, SAODV chưa có chế quản lý khóa cơng khai nút nên nút độc hại vượt qua rào cản an ninh cách sử dụng khóa giả mạo Sanzgiri đề xuất giao thức ARAN [16] tiến SAODV, gói kh{m ph{ tuyến RDP ARAN ký chứng thực tất nút trung gian (hop-by-hop) ARAN bổ sung chế quản lý khóa cơng khai nút nên cải thiện yếu điểm SAODV SEAR [17] Li thiết kế sử dụng h|m băm để xây dựng giá trị băm gắn với nút, dùng để chứng thực gói tin khám phá tuyến Trong SEAR, định danh (ID) nút mã hóa với giá trị SN (sequence number) HC (hop count) nên ngăn ngừa số hình thức cơng mạng Tương tự, SEAODV [18] phát triển từ AODV cách sử dụng lược đồ chứng thực HEAP với khóa đối xứng h|m băm để bảo vệ gói tin khám phá tuyến Thông qua mô phỏng, tác giả cho thấy SEAODV bảo mật v| có hao phí truyền thơng thấp AODV TẤN CÔNG NGẬP LỤT GIAO THỨC AODV Phần trình bày chi tiết trình khám phá tuyến giao thức định tuyến AODV hình thức cơng ngập lụt sử dụng gói HELLO, gói RREQ,và gói DATA 3.1 Q trình khám phá tuyến giao thức AODV Giao thức AODV thuộc nhóm giao thức định tuyến theo u cầu, khám phá tuyến thơng qua gói RREQ, nhận tuyến thơng qua gói trả lời RREP, trì tuyến thơng qua gói HELLO sau: 15 Một giải pháp cải tiến giao thức AODV nhằm giảm thiểu tác hại công ngập lụt … a) Quá trình quảng bá gói u cầu tuyến: Khi nút nguồn NS muốn gửi gói tin đến nút đích ND mà khơng có tuyến đường bảng định tuyến (RT), NS khám phá tuyến cách phát quảng bá gói yêu cầu RREQ đến nút láng giềng Khi nhận gói RREQ, nút trung gian (Ni) lưu đường ngược nguồn tiếp tục quảng bá gói RREQ, q trình tiếp tục nút đích ND nhận gói u cầu tuyến b) Q trình trả lời tuyến: Khi nhận thơng điệp RREQ nút đích ND trả lời gói RREP chứa thông tin đường nguồn NS dựa v|o thông tin đường ngược lưu trước Khi nhận gói RREP, nút trung gian tiếp tục chuyển tiếp gói RREP nguồn NS sau lưu đường đến đích ND vào RT Q trình trả lời tuyến thơng qua gói RREP thực nút trung gian tồn tuyến đủ “tươi” đến đích Khi nhận gói RREP, dựa vào giá trị HC DSN, nút nguồn NS cập nhật đường thỏa điều kiện tuyến đường vừa kh{m ph{ đủ "tươi" v| có chi phí tốt 10 RREQ Hình RREP 11 Nút 12 Vùng phát sóng Quá trình khám phá tuyến giao thức AODV Hình mô tả nút nguồn N1 khám phá tuyến đến đích N8 cách phát quảng b{ gói RREQ đến láng giềng {N2, N6} N2 khơng l| nút đích nên tiếp tục quảng bá đến tất láng giềng gồm {N3, N7}, q trình tiếp tục thực N6 nút trung gian kh{c nút N8 nhận gói yêu cầu tuyến Mỗi nút xử lý gói RREQ lần nên N7 huỷ gói RREQ nhận từ N6 nhận trước từ N2 Khi nhận gói RREQ, nút đích N8 trả lời gói RREP nguồn tuyến {N8→N12→ N11→N10→N7→N2→N1} Kết nút nguồn N1 muốn định tuyến liệu đến đích N8 phải chuyển qua nút trung gian N2 với chi phí đến đích l| hop 3.2 Tấn cơng ngập lụt giao thức AODV Tấn công ngập lụt (Flooding attacks) thực c{ch nút độc hại gửi tràn ngập gói hệ thống cho nút khơng tồn mạng, truyền lượng lớn gói liệu vơ ích để gây nghẽn mạng Kết tạo bão quảng bá gói tin mạng, l|m tăng hao phí truyền thơng, giảm khả đ{p ứng nút 16 TẠP CHÍ KHOA HỌC VÀ CÔNG NGHỆ, Trường Đại học Khoa học, ĐH Huế Tập 11, Số (2018) phải xử lý gói tin không cần thiết Tiêu biểu công ngập lụt gói HELLO, gói RREQ,và gói DATA a) Ngập lụt gói HELLO: Gói HELLO ph{t định kỳ để thơng báo tồn nút với láng giềng mạng không d}y, đ}y l| điểm yếu bị tin tặc lợi dụng để phát tràn ngập gói HELLO buộc tất nút láng giềng phải tiêu tốn tài nguyên thời gian xử lý gói tin khơng cần thiết Hình thức công gây hại đến nút láng giềng nút độc hại Hình cho thấy ba nút N5, N9, N12 bị ảnh hưởng nút độc hại N8 thực công ngập lụt gói HELLO RREQ RREQ RREQ RREQ HELLO RREQ RREQ HELLO RREQ DATA RREQ 10 RREQ DATA Hình 11 HELLO RREQ RREQ HELLO RREQ 12 Nút độc hại Rớt gói Mơ tả công ngập lụt mạng MANET b) Ngập lụt gói RREQ: Gói yêu cầu tuyến RREQ sử dụng để thực khám phá tuyến cần thiết, tin tặc lợi dụng gói n|y để phát quảng bá mức làm tràn ngập lưu lượng không cần thiết mạng Hình cho thấy cơng ngập lụt gói RREQ gây hại đến tất nút hệ thống chế truyền quảng bá c) Ngập lụt gói DATA: Hình thức cơng gây hại số nút mạng Để thực công, nút độc hại phát mức gói DATA đến nút mạng, điều ảnh hưởng đến khả xử lý c{c nút tham gia định tuyến liệu, tăng hao phí băng thông không cần thiết, gây nghẽn mạng rớt gói Hình cho thấy nút độc hại N8 gửi tràn ngập gói DATA đến nút N1 tuyến {N8→N12→ N11→N10→N7→N2→N1} d) PHƢƠNG PHÁP ĐỀ XUẤT Phần trình bày nội dung giải pháp đề xuất cho phép hạn chế ảnh hưởng cơng ngập lụt gói RREQ, gồm hai giai đoạn: Thứ nhất, tiến hành mô NS2 [19] để x{c định giá trị ngưỡng (TH) tần suất công m| nút độc hại khơng gây hại gây hại đến hệ thống; Thứ hai, cải tiến trình khám phá tuyến giao thức AODV cách loại bỏ gói RREQ nhận khe thời gian khám phá tuyến nhỏ TH 17 Một giải pháp cải tiến giao thức AODV nhằm giảm thiểu tác hại công ngập lụt … 4.1 Xác định giá trị ngƣỡng TH Để x{c định giá trị ngưỡng TH, báo c|i đặt cơng ngập lụt gói RREQ với nhiều tần suất cơng khác Tổng số mơ hình mạng sử dụng để mơ phỏng, mơ hình mạng có 100 nút bình thường v| nút độc hại, hoạt động phạm vi 3200m x 1000m, nút mạng chuyển động ngẫu nhiên với vận tốc cao tối đa 20m/s theo mơ hình Random Waypoint [20], kịch tạo công cụ /setdest NS2 Nút độc hại thực công ngập lụt theo cấp độ: 10 gói/giây (FI = 0,1s), gói/giây (FI = 1s), gói/2giây (FI = 2s), gói/3giây (FI = 3s), gói/4giây (FI = 4s) gói/5giây (FI = 5s) Thời gian mô tối đa l| 200s, vùng ph{t sóng 250m, h|ng đợi FIFO, có 10 kết nối UDP, nguồn ph{t CBR, kích thước gói tin 512bytes, nút độc hại đứng yên vị trí trung tâm (1600, 500), nguồn phát CBR bắt đầu giây thứ 0, tất nguồn phát cách giây Trung bình kết mơ mơ hình mạng biểu diễn hai Hình v| Đầu tiên, xét tham số phụ tải định tuyến (RL - Routing Load [16]) số lượng gói tin điều khiển tuyến hao phí gửi (hoặc chuyển tiếp) tất nút để định tuyến thành cơng gói tin liệu Hình biểu diễn phụ tải định tuyến giao thức AODV môi trường mạng chứa nút độc hại cho thấy công ngập lụt l|m tăng lớn phụ tải định tuyến tương ứng với mức độ công khác Kết thúc 200 giây mơ RL AODV 14.73 gói mơi trường mạng bình thường, tăng lên 87.33 gói (592.73%) nút độc hại công với tần suất 10 gói/giây Với tần suất cơng thấp giây gửi gói RL khơng bị ảnh hưởng nhiều, tăng lên 15.97 gói (108.36%) Hình Phụ tải định tuyến AODV môi trường mạng chứa nút độc hại 18 TẠP CHÍ KHOA HỌC VÀ CƠNG NGHỆ, Trường Đại học Khoa học, ĐH Huế Tập 11, Số (2018) Tiếp theo, báo xét đến tham số tỷ lệ gửi gói tin liệu th|nh cơng đến đích (PDR) Kết mơ Hình cho thấy với tần suất công cao (FI ≤ 1s) PDR AODV giảm nhiều, PDR AODV không bị ảnh hưởng chí l| cao bình thường với tần suất công thấp (FI ≥ 2s) Nguyên nhân l| nút độc hại quảng b{ gói RREQ kích thích qu{ trình kh{m ph{ tuyến nút khác Sau 200s mơ PDR AODV đạt 72.94% 78.19% bị công với tần suất cao (FI = 0.1s 1s), tương ứng giảm 6.03% 0.77% so với mơi trường bình thường Ngược lại, kịch công với tần suất thấp (FI ≥ 2.0) khơng ảnh hưởng đến PDR AODV Hình Tỷ lệ gửi gói tin thành cơng AODV môi trường chứa nút độc hại Qua mô ta thấy với tần suất công thấp (FI ≥ 2,0s) cơng ngập lụt gói RREQ ảnh hưởng đến phụ tải định tuyến không ảnh hưởng đến hiệu định tuyến liệu giao thức AODV Như TH = 2s sử dụng giá trị ngưỡng cần thiết để loại bỏ gói RREQ nhằm giảm thiểu tác hại cơng ngập lụt gói RREQ 4.2 AODVFA: Giao thức giảm thiểu tác hại công ngập lụt Thuật tốn quảng bá gói RREQ giao thức AODVFA trình b|y Hình Để khám tuyến đến nút đích ND, nút nguồn NS khởi tạo gói RREQ quảng bá đến tất nút láng giềng NS Khi nhận gói yêu cầu tuyến RREQ, nút trung gian Ni tính khe thời gian khám phá tuyến (T) nút nguồn NS công thức T Now() TN S 19 (1) Một giải pháp cải tiến giao thức AODV nhằm giảm thiểu tác hại cơng ngập lụt … Trong đó, Now() hàm lấy thời điểm nhận gói RREQ TN S thời điểm nhận gói RREQ liền trước từ NS Tất nút trung gian (Ni) kiểm tra gói RREQ nhận được, tần suất khám phá tuyến nguồn NS q lớn (T < TH) gói RREQ bị huỷ kết thúc, ngược lại Ni ghi nhận lại thời điểm khám phá tuyến nút NS, lưu đường ngược nguồn NS, tăng chi phí định tuyến HC lên tiếp tục quảng bá gói RREQ đến tất láng giềng Ni Bắt đầu Nút nguồn NS Khởi tạo quảng bá gói RREQ Nút trung gian nút đích Ni Ni nhận gói RREQ (Nút nhận RREQ rồi)? yes no Thêm vào Cache Điểm cải tiến T Now () TN S yes (T