Đang tải... (xem toàn văn)
Bài viết Chống tấn công ngập lụt gói RREQ trên giao thức AODV của mạng MANET nghiên cứu và cài đặt một giải pháp chống tấn công ngập lụt gói RREQ trên AODV. Sử dụng hệ mô phỏng OMNeT++, chúng tôi đánh giá hiệu quả của giải pháp trong các kịch bản mạng bị tấn công ngập lụt. Kết quả cho thấy rằng giải pháp đề xuất đạt được hiệu quả chống tấn công ngập lụt tốt hơn AODV gốc. Mời các bạn cùng tham khảo!
CHỐNG TẤN CƠNG NGẬP LỤT GĨI RREQ TRÊN GIAO THỨC AODV CỦA MẠNG MANET Mai Cường Thọ Khoa Công nghệ thông tin Trường Đại học Nha Trang Nha Trang, Việt Nam thomc@ntu.edu.vn Nguyễn Thị Hương Lý Khoa Công nghệ thông tin Trường Đại học Nha Trang Nha Trang, Việt Nam lynth@ntu.edu.vn phải nút đích tiếp tục quảng bá RREQ, AODV tin tưởng vào thiết lập động entry bảng định tuyến nút trung gian để phát gói tin RREP nút nguồn nút nguồn dùng thơng tin để gởi liệu đến đích Abstract AODV giao thức dạng phản ứng dùng phổ biến MANET Quá trình khám phá tuyến bắt nút cần truyền liệu đến đích, thơng qua việc quảng bá gói RREQ để xây dựng lộ trình Đây yếu điểm lợi dụng để thực hành vi dạng công từ chối dịch vụ, công ngập lụt Trong báo này, nghiên cứu cài đặt giải pháp chống cơng ngập lụt gói RREQ AODV Sử dụng hệ mô OMNeT++, đánh giá hiệu giải pháp kịch mạng bị công ngập lụt Kết cho thấy giải pháp đề xuất đạt hiệu chống công ngập lụt tốt AODV gốc Keywords - cơng ngập lụt, flooding attack MANET I Hình Minh họa chế khám phá tuyến với nút nguồn S, nút đích D ĐẶT VẤN ĐỀ Mạng MANET (Mobile Ad hoc Network) mạng tập hợp nút di động có trang bị giao tiếp mạng khơng dây thiết lập truyền thông không cần tới diện sở hạ tầng mạng quản trị trung tâm Đặc điểm MANET có tính tự trị, khơng cần sở hạ tầng, đinh tuyến đa chặng, cấu trúc mạng thay đổi động, giới hạn băng thông chất lượng Về mặt thực tiễn, mạng MANET hữu ích cho nhu cầu truyền thơng mang tính chất tạm thời họp hay hội thảo Ngồi tình trạng khẩn cấp nơi xảy thảm họa hỏa hoạn, lũ lụt, động đất, chiến tranh…các sở hạ tầng bị phá hỏng dẫn đến hệ thống mạng bị ngắt kết nối Thiết lập hệ thống mạng vùng sâu, vùng xa, nơi có địa hình hiểm trở để giảm chi phí Tấn cơng ngập lụt (flooding attact) loại cơng từ chối dịch vụ DoS, hình thức công ngập lụt thực cách nút độc hại gửi tràn ngập với tần số cao gói hệ thống liệu cho đích giả khơng có mạng Kết tạo bão quảng bá gói tin, tăng hao phí truyền thơng, giảm khả đáp ứng, tiêu hao lượng nút phải xử lý gói tin khơng cần thiết Với giao thức AODV, công ngập lụt thực ngập lụt gói HELLO, ngập lụt cói RREQ ngập lụt gói liệu Ngập lụt gói HELLO: Trong AODV, gói HELLO sử dụng để thông báo tồn nút với láng giềng mạng Tin tặc lợi dụng yếu điểm để phát tràn ngập gói HELLO buộc tất nút láng giềng phải tốn thời gian xử lý, lượng tài ngun khác Ngập lụt gói RREQ: Là hình thức nút độc hại liên tục gửi yêu cầu định tuyến đến đích giả khơng tồn mạng, theo nguyên lý AODV, nút tiếp tục quảng bá gói khơng nút đích, việc làm tràn ngập lưu lượng không cần thiết mạng Ngập lụt gói liệu: Hình thức công gây hại số nút mạng, để thực công, nút độc hại phát mức gói liệu đến nút mạng, điều ảnh hưởng đến khả xử lý nút tham gia định tuyến liệu, tăng hao phí băng thơng khơng cần thiết, gây nghẽn mạng rớt gói Hình Minh họa MANET Trong hình thức trên, cơng ngập lụt gói RREQ gây hại nặng nhất, ảnh hưởng đến khả khám phá tuyến tất nút khác hệ thống, tạo bão quảng bá gói tin mạng để chiếm dụng băng thông, tiêu hao tài nguyên nút, tăng hao phí truyền thơng Trong MANET nút phối hợp với để truyền thơng nên ngồi chức host, node cịn có chức định tuyến AODV giao thức định tuyến theo yêu cầu phổ biến MANET, AODV cho phép định tuyến nhiều chặng nút mạng để thiết lập trì mạng Ad hoc AODV dựa thuật toán vector khoảng cách thuộc loại định tuyến theo yêu cầu, yêu cầu đường định tuyến cần thiết Khi có nhu cầu khám phá tuyến, nút gửi phát quảng bá gói tin RREQ, nút trung gian khơng Phần chúng tơi trình bày số nghiên cứu liên quan chống công ngập lụt 83 II (kNN) Tại giai đoạn huấn luyện, SMAkNN thu thập thông tin để tạo véc-tơ trạng thái khám phá tuyến nút bình thường nút độc hại nhiều tầng suất công khác nhau, tạo hai lớp tên lớp véc-tơ bình thường (NVC) lớp véc-tơ độc hại (MVC), lớp có 500 véc-tơ Giai đoạn định, SMAkNN sử dụng thuật toán kNN để phát nút độc hại dựa hai lớp NVC MVC Qua đó, tác giả tích hợp SMAkNN vào thuật tốn khám phá tuyến giao thức AODV đặt tên giao thức cải tiến kNNAODV Kết mô NS2 cho thấy giao thức cải tiến phát thành cơng 94% nút độc hại công với nhiều tần suất khác môi trường mạng di chuyển ngẫu nhiên MỘT SỐ NGHIÊN CỨU LIÊN QUAN Trong [1], tác giả đề xuất số kỹ thuật để giảm thiểu cơng quảng bá, kỹ thuật quản lý quảng bá yêu cầu nút nhận RREQ, chúng phải tiếp tục theo giõi gói dư thừa nhận khoảng thời gian nhỏ 200 giây, số lượng gói nhận thời gian vượt q gói, gói RREQ không chuyển tiếp Bài báo đề xuất kỹ thuật đơn giản, phân tán thích ứng để giảm tác động công ngập lụt RREQ Ở thiết kế này, nút trì đếm lượng RREQ gửi tới từ nút gửi khoảng thời gian định trước 𝜕𝑇 , hết khoảng thời gian, nút tính tốn tốc độ gửi 𝑟𝑎𝑡𝑒𝑖 = 𝑅𝑅𝐸𝑄𝑐𝑜𝑢𝑛𝑡𝑖 ⁄𝜕𝑇 , giá trị trung bình làm mượt 𝑆𝑎𝑣𝑔 Dựa thông tin này, nút tiếp tục tính tốn mức tỉ lệ giới hạn (cut-off rate), RREQ đến từ nút gửi mà có 𝐶𝑢𝑡𝑂𝑓𝑓𝑅𝑎𝑡𝑒 > 𝑆𝑎𝑣𝑔 khơng quảng bá tiếp bị xóa bỏ III GIẢI GIẢI PHÁP CHỐNG TẤN CƠNG NGẬP LỤT Qua phân tích hình thức cơng nghiên cứu liên quan, đề xuất chế kiểm soát liên tiếp chốt sau: 1) Nút độc hại thực hành vi ngập lụt gói RREQ phải tạo gói RREQ giả mạo, đặc điểm gói trường địa đích phải khơng có thật mạng Để đảm bảo điều đúng, phần định danh mạng địa đích cần khác với định danh mạng mà nút tham gia Do vậy, nút nhận RREQ sử dụng đặc điểm để định hủy gói hay khơng, khơng sang chốt kiểm sốt thứ Trong [2], tác giả đưa tiếp cận nhằm cố gắng giảm thiểu việc ngập lụt gói RREQ không cần thiết tiết kiệm lượng cho nút hợp pháp Tiếp cận dựa việc trì bảng lịch sử gói RREQ nhận trước phiên thực mơ phỏng, nhằm mục tiêu xác định gói RREQ gửi nhận từ láng giềng phiên Sau tính tốn giá trị trung bình tất phiên Giới hạn để loại bỏ gói RREQ tính dựa giá trị trung bình 2) Một nút Y nhận RREQ từ láng giềng X, có khả xảy ra: a) X tạo RREQ quảng bá; b) X nút chuyển tiếp gói RREQ Như việc quan tâm tới địa nguồn gói RREQ Nếu X nút tạo RREQ, tần suất tạo/chuyển tiếp gói liên tiếp nhỏ giây (ngưỡng tần suất suất công ngập lụt – theo kết đề tài nghiên cứu khoa học cấp Bộ [7]) Y hủy gói, ngược lại sang chốt kiểm soát số Nếu X nút chuyển tiếp Y nhận gói xử lý thơng thường Trong [3], tác giả đưa kỹ lọc hiệu chống lại công ngập lụt Trong kỹ thuật này, hai tham số ngưỡng RATE_LIMIT BLACKLIST_LIMIT sử dụng để hạn chế lượng thông điệp RREQ Tham số thứ RATE_LIMIT biểu thị số lượng RREQ biết quản trị, Ở nút giám sát RREQ trì bảng đếm RREQ nhận Việc kiểm tra điều kiện tiến hành nhận gói RREQ, tốc độ nhận gói nhỏ ngưỡng RATE_LIMIT RREQ nhận xử lý bình thường, khơng thực kiếm tra điều kiện thứ hai, sử dụng ngưỡng BLACKLIST_LIMIT Nếu tốc độ nhận gói lớn BLACKLIST_LIMIT nút nhận định nút vừa gửi cố gắng làm ngập lụt mạng với gói RREQ giả mạo, ngược lại đưa RREQ vào vào “delay queue” chờ xử lý Mỗi DELAY_TIMEOUT hết hạn, hàng đợi “delay queue” có gói chờ xử lý, theo nguyên lý hàng đợi gói vào trước tiên đưa xử lý Thực nút độc hại có khả cơng cao bị trì hỗn lại mạnh mẽ 3) Chốt kiểm soát số ba nhằm làm thiều tác hại công ngập lụt chốt kiểm sốt khơng phát Theo RFC-3561 nút hợp pháp gửi tối 10 gói RREQ giây Do vậy, đề xuất X xử lý RREQ thông thường theo dõi lượng RREQ khoảng thời gian giây, Nếu vượt ngưỡng 10 RREQ X đưa Y BLACKLIST, gói sau Y X hủy bỏ IV ĐÁNH GIÁ KẾT QUẢ BĂNG MƠ PHỎNG A Lập trình Tham số mô Sử dụng hệ mô OMNeT++[8], tảng INET4 Chúng tơi lập trình xây dựng phiên giao thức AODV gốc, sử dụng để xây dựng nút công độc hại, để chống cơng ngập lụt với kỹ thuật phịng chống đề xuất (đặt tên F3-AODV).[9] Từ chạy mơ đánh giá tác hại việc công ngập lụt vào giao thức AODV, hiệu giao thức cải tiến F3-AODV Trong [4], tác giá đề xuất hệ phát công ngập lụt dựa logic mờ Các tham số mờ trích lấy từ lưu lượng mạng, sau truyền cho giao diện mờ Ở giao diện mờ luật mờ áp dụng từ xác định đượng lượng nút ngập lụt Có hàm thành viên sử dụng hàm theo chi phí định tuyến, hàm theo tỉ lệ gói, hàm theo thơng lượng để dự đốn cấp độ ngập lụt Cấp độ không phụ thuộc vào số lượng nút, số lượng kết nối, thời gian mô mà phụ thuộc vào tham số đo đạc BẢNG GIÁ TRỊ CÁC THAM SỐ MÔ PHỎNG Trong [5], tác giả đề xuất giải pháp phát phịng chống cơng ngập lụt sử dụng học máy có giám sát Cụ thể sử dụng Máy vector hỗ trợ Các số PDR (Packet Delivery Ratio - tỉ lệ chuyển gói thành cơng), CO (Control Overhead - chi phí định tuyến) PMIR (Packet Misroute Rate) sử dụng để dự dốn cơng ngập lụt Tham số Khu vực địa lý Trong [6], tác giả đề xuất giải pháp xây dựng tác tử di động an ninh tên SMAkNN để phát cơng ngập lụt gói RREQ sử dụng thuật toán phân lớp k-láng giềng gần 84 Giá trị 1000 x 700 Tổng số nút 30 Số lượng nút ngập lụt Tốc độ phát gói ngập lụt 0.06s Phạm vi truyền 250m Mơ hình di chuyển Mass mobility Chỉ số hiệu thơng lượng trung bình trình bày Hình Dễ thấy nút cố định, thông lượng giảm tới gần 22Kbit/giây Và mức thông lượng không bị ảnh hưởng nhiều công ngập lụt vào AODV F3-AODV Nguồn phát + thu 5+2 V KẾT LUẬN 512 bytes Bài báo trình bày kết nghiên cứu thử nghiệm đánh giá, phát giảm thiểu ảnh hưởng cơng ngập lụt gói RREQ Kết mô cho thấy giải pháp đề xuất đạt hiệu khía cạnh giảm trễ đầu cuối, tham số hiệu khác chưa cho thấy khác biệt Điều số lý mật độ nút, tần suất công lượng nút công kịch mô chưa đủ lớn để gây tác hại, yếu điểm thuật toán đề xuất Do tập trung nghiên cứu thực nghiệm cải tiến thêm thời gian tới Tham số Giá trị Tốc độ di chuyển 0, 5, 10 m/s Kích thước gói 2Mbps Bitrate 0.25s SendInterval B Kết mơ đánh giá TÀI LIỆU THAM KHẢO [1] S Desilva and R V Boppana, “Mitigating malicious control packet floods in ad hoc networks,” IEEE Wirel Commun Netw Conf WCNC, vol 4, no March, pp 2112–2117, 2005, doi: 10.1109/WCNC.2005.1424844 [2] C Choube and M Murali, “Detection of Route Request Flooding Attack in MANET Using Session Based History Table,” vol 2, no 4, pp 348–352, 2015 [3] S Sanyal et al., “Effective Filtering Scheme against RREQ Flooding Attack in Mobile Ad Hoc,” Proc Seventh IEEE Int Conf Parallel Distrib Comput , Appl Technolo, vol 3326, 2006 [4] A S S B Nithya, Aishwarya Nair, “Detection of RREQ Flooding Attacks in MANETs,” in Advances in Intelligent Systems and Computing, 2019 [5] S S Gaikwad, “Detection and Prevention of Flooding Attack in MANET using Support Vector Machine ( SVM ),” vol 3, no 3, pp 81–85, 2018 [6] L T Ngọc and V T Tú, “GIẢI PHÁP PHÁT HIỆN TẤN CÔNG NGẬP LỤT TRÊN MẠNG MANET,” PROCEEDING Publ House Sci Technol., 2017 [7] L Vũ and L T Ngọc, “Nghiên cứu số giải pháp nâng cao hiệu giao thức định tuyến MANET,” 2019 [8] S Bachmeier, B Jaeger, and K Holzinger, “Network Simulation with OMNet ++,” 2020, doi: 10.2313/NET2020-11-1 [9] L Mészáros, A Varga, and M Kirsche, “INET Framework 4,” in Recent Advances in Network Simulation EAI/Springer Innovations in Communication and Computing, Springer, Cham, 2019, pp 55–106 Hình Trễ đầu cuối trung bình Hình biểu diễn hiệu giao thức AODV không bị công, AODV bị công ngập lụt (AODVfloodRREQ), giao thức AODV cải tiến (F3-AODV) chống công ngập lụt tham số độ trễ truyền đầu-cuối sau chạy mô Kết cho thấy giao thức bị công, trễ đầu cuối tăng mạnh, khắc phục nhờ cài đặt giải pháp chống công đề xuất Khi nút di động nhanh với tốc độ 10m/s mức độ trễ tăng lên khơng đáng kể thuật tốn chống công làm giảm lượng nhỏ Hình Tỉ lệ chuyển gói Hình thể mức độ chuyển gói thành cơng trung bình Ở kịch nút cố định AODV bị công tỉ lệ chuyển gói thành cơng giảm tới gần 20%, giải pháp phịng chống cải thiện khơng nhiều (~5%) Tuy nút di động với tốc độ 10m/s, mức công kịch mô khơng ảnh hưởng nhiều đến tỉ lệ phát gói hai giao thức AODV F3-AODV Hình Thơng lượng trung bình 85 ... hiệu giao thức AODV không bị công, AODV bị công ngập lụt (AODVfloodRREQ), giao thức AODV cải tiến (F3 -AODV) chống công ngập lụt tham số độ trễ truyền đầu-cuối sau chạy mô Kết cho thấy giao thức. .. phiên giao thức AODV gốc, sử dụng để xây dựng nút công độc hại, để chống cơng ngập lụt với kỹ thuật phịng chống đề xuất (đặt tên F3 -AODV) .[9] Từ chạy mơ đánh giá tác hại việc công ngập lụt vào giao. .. vào giao thức AODV, hiệu giao thức cải tiến F3 -AODV Trong [4], tác giá đề xuất hệ phát công ngập lụt dựa logic mờ Các tham số mờ trích lấy từ lưu lượng mạng, sau truyền cho giao diện mờ Ở giao diện