KHOA HỌC CÔNG NGHỆ

GIẢI PHÁP CÁI TIẾN GIAO THỨC ĐỊNH TUYẾN
THEO YÊU CẦU CHỐNG TẤN CÔNG TRÊN MẠNG
TÙY BIẾN DI ĐỘNG
Lê Đức Huy*

ABSTRACT
The on-demand routing protocol is designed to work with the belief that all nodes in the network
are friendly, so hackers have exploited the security vulnerability to perform some form of network
attack, typically flood attacks. This form of attack is easily accomplished by flooding the route request
packet into the network. Once the attack frequency is large enough, it will hinder the route discovery
process of other network nodes, causing damage to network performance. In this paper, using NS2,
the article will analyze and evaluate the harmful effects of flooding attack on the performance of the
AODV routing protocol, install the improved H(AODV) security protocol from AODV to reduce the
impact of a flood attack. Simulation results show that the improved protocol is very effective to reduce
the harmful effects of flood attack.
Keywords: AODV, H(AODV), MANET, FLOODING.
Received: 18/11/2021; Accepted: 25/11/2021; Published: 12/12/2021

1. Đặt vấn đề
Mạng tùy biến di động MANET là mạng tự
cấu hình của các nút di động kết nối với nhau
thông qua các liên kết không dây tạo nên mạng
độc lập. Các thiết bị trong mạng có thể di chuyển
một cách tự do theo mọi hướng, do đó liên kết
của nó với các thiết bị khác cũng thay đổi một
cách thường xuyên. Với các đặc điểm nổi bật như
hoạt động không phụ thuộc vào cơ sở hạ tầng,
triển khai nhanh, linh hoạt ở nhiều địa hình khác
nhau, mạng MANET đang ngày càng đóng vị trí

quan trọng. MANET có thể ứng dụng vào nhiều
lĩnh vực trong cuộc sống như lĩnh vực quân sự,
truyền thông trong điều kiện thiên tai. [1]
Giao thức AODV được thiết kế với niềm tin
rằng các nút trong mạng là thân thiện. Vì vậy,
chúng chưa được thiết kế nhằm mục đích an ninh.
Những kẻ tấn cơng có thể xâm nhập vào mạng
thơng qua việc tấn cơng các nút, từ đó làm tê liệt
hoạt động của mạng. Một số các cách tấn công
* Trường Đại học Công nghệ và Quản lý Hữu Nghị

được tin tặc sử dụng nhiều nhất như: Blackhole
[2], Grayhole [3], Wormhole [4], Sinkhole [5],
Whirlwind và Flooding. Trong đó tấn công
Flooding rất dễ thực hiện và gây ảnh hưởng nặng
tới hiệu năng mạng, nút độc hại hoạt động gần
như tương tự như nút bình thường chỉ khác ở chổ
là phát gói RREQ với tần suất cao vào mạng.
Có 3 hình thức tấn cơng ngập lụt: ngập lụt gói
RREQ, DATA và HELLO.
2. Nội dung nghiên cứu
2.1. Nghiên cứu liên quan
Trong thời gian qua, các giải pháp an ninh
được công bố theo hướng phát hiện và ngăn chặn.
Nguyên nhân là chúng có ưu điểm là chi phí thấp,
dễ thực hiện, ngược lại giải pháp theo hướng
ngăn chặn tấn công sử dụng cơ chế xác thực giữa
các nút dựa trên nền tảng chữ ký số nên khả năng
an ninh rất cao, nhưng có nhược điểm là chi phí
khám phá tuyến lớn.

Tác giả đề xuất một hệ thống tường vệ kép
(DDWS) dựa trên kỹ thuật tiết kiệm năng lượng
nhằm giảm thiểu tác động của các cuộc tấn cơng

TẠP CHÍ QUẢN LÝ VÀ CƠNG NGHỆ - Số 19 Quý 4/2021

45


KHOA HỌC CÔNG NGHỆ
ngập lụt trong giao thức
định tuyến AODV. Tác giả
đã trình bày giải pháp thêm
thành phần mới vào mỗi nút
có nhiệm vụ theo dõi ngưỡng
giới hạn số gói tin yêu cầu
tuyến của tất cả láng giềng.
Giải pháp này đã giải quyết
vấn đề phát hiện tấn cơng
ngập lụt gói RREQ, nhưng
chưa giải quyết vấn đề tấn
cơng ngập lụt gói DATA.
Một số nghiên cứu công
bố nhằm phát hiện tấn công
ngập lụt. Các giải pháp này
chủ yếu dựa vào tần suất phát gói RREQ (số
lượng gói RREQ trên một đơn vị thời gian) để
phát hiện tấn công. Một nút thực hiện phát gói
RREQ quá nhiều sẽ được cho là độc hại nếu vượt
quá giá trị ngưỡng. Hạn chế của các giải pháp nếu

nút độc hại phát gói với tần suất thấp hơn ngưỡng
thì sẽ tránh được bị phát hiện. Hạn chế này được
khắc phục bằng các giải pháp dựa trên lĩnh vực
khai phá dữ liệu.
2.2. Giải pháp an ninh sử dụng cơ chế xác
thực OTP
Phần này mô tả cơ chế hoạt động của giao
thức AODV, cơ chế xác thực OTP và giao thức
an ninh H(AODV).
2.2.1. Giao thức AODV
Giao thức định tuyến theo yêu cầu dựa trên
véc-tơ khoảng cách (AODV) được đề xuất để
sử dụng trong mạng MANET. AODV sử dụng
cơ chế khám phá tuyến khi cần thiết, quá trình
tìm đường được khởi tạo bất cứ khi nào một nút
cần truyền gói tin với một nút khác mà khơng
tìm thấy tuyến đường đến đích trong bảng định
tuyến. Nút nguồn phát quảng bá một gói u cầu
tìm đường (RREQ) đến các nút lân cận. Các nút
lân cận này sau đó sẽ chuyển tiếp gói yêu cầu đến
nút lân cận khác của chúng. Quá trình cứ tiếp tục
như thế cho đến khi có một nút trung gian nào
đó xác định được một tuyến “đủ tươi” để đạt đến
đích hoặc gói tin tìm đường được tìm đến đích.

46

2.2.2. Cơ chế xác thực OTP
Thuật tốn tạo OTP thực hiện theo các bước
như sau:

Hai nút Ni và Nj sử dụng một khóa Ψ được tạo
ngẫu nhiên và chia sẽ cho nhau.
Nút Ni tạo và lưu các OTP từ 1 đến MAX.
i, j
OTP1 = f1 = f (ψ )

OTP2

i, j

= f 2 = f ( f (ψ ))

…
i, j
OTPMAX
= f MAX = f ( f MAX −1 )

Bước 2. Nút Nj tạo và lưu các khóa kiểm tra
CK từ 0 đến MAX-1.

…
Hình 2 mơ tả việc xác thực OTP giữa hai nút
Ni và Nj. Nút Ni gửi gói P kèm OTPki , j đến Nj,
j ,i

nút Nj sử dụng hàm f để băm giá trị OTPk −1 và so

sánh kết quả băm với OTP trong gói P. Nếu hai
giá trị này trùng khớp nhau thì OTP của trong gói
P là hợp lệ, gói P được chấp nhận, Nj lưu lại OTP

đã sử dụng để loại bỏ. Mỗi nút trong mạng lưu trữ
bộ đếm UO để loại bỏ các OTP đã sử dụng trong
lần khám phá tiếp theo.

TẠP CHÍ QUẢN LÝ VÀ CÔNG NGHỆ - Số 19 Quý 4/2021


KHOA HỌC CƠNG NGHỆ

Hình 2. Mơ tả q trình xác thực OTP tại nút
Nj khi nhận gói P từ nút Ni
2.2.3. Giải pháp an ninh H(AODV)
Giao thức H(AODV) được đề xuất vào năm
2015 để giải quyết vấn đề an ninh trong mạng
MANET. H(AODV) là một giao thức mở rộng
của giao thức AODV. Hình 3 mơ tả cấu trúc hai
gói u cầu tuyến H(RREQ) và trả lời tuyến
H(RREP).
Gói RREQ

Gói RREP

OTP(128 bit)

OTP(128 bit)

a) Gói

b) Gói


H(RREQ)

H(RREP)

Hình 3. Cấu trúc gói tin điều khiển của giao
thức an ninh H(AODV)
Giao thức H(AODV) giả định rằng mỗi nút
trong hệ thống mạng đều có một bảng băm cung
cấp từ một hệ thống mật mã khóa bất đối xứng để
bảo mật các thông điệp định tuyến AODV. Mỗi
nút có khả năng xác minh mối liên hệ giữa địa
chỉ của nút và khóa cơng khai của nút đó. Q
trình khám phá đường đi giao thức
H(AODV) tương tự AODV như mơ
tả trong Hình 4, nút nguồn NS đến
nút đích ND trong sơ đồ được mô tả
như sau:
Đầu tiên, nút nguồn NS phát gói
tin quảng bá H(RREQ) kèm với OTP
thứ k lần lược đến các nút trung gian
Ni (N1, N2, N3). Khi nhận được gói
tin yêu cầu tuyến từ nút nguồn NS, N1
sử dụng hàm f để băm giá trị OTPkvà so sánh kết quả băm với OTP
1
trong gói H(RREQ). Nếu OTP khơng giống với
kết quả băm thì gói H(RREQ) của nút nguồn NS

khơng hợp lệ, N1 hủy
gói H(RREQ), ngược
lại N1 chấp nhận gói

H(RREQ) và tiếp tục
quảng bá đến các nút
láng giềng khác, đồng
thời lưu tuyến ngược
về nguồn. Quá trình
kiểm tra này được thực hiện tại các nút N2 và N3
cho đến khi nút đích nhận được gói H(RREQ)
hoặc gói khơng đến được nút đích. Nút đích ND
kiểm tra OTP trong gói H(RREQ) trước khi chấp
nhận gói để thiết lập tuyến và gửi gói trả lời tuyến
về nguồn NS.
Khi nhận được gói H(RREQ), nút đích ND gửi
trả lời gói H(RREP) về nguồn thông qua nút N6,
dựa vào tuyến đường đi ngược đã được lưu trước
đó khi xử lý gói H(RREQ), gói H(RREP) được
gửi kèm OTPn. Khi nhận được gói H(RREP),
nút trung gian N6 kiểm tra giá trị OTP trong gói
trả lời tuyến. Hàm f được sử dụng để băm giá trị
OTPn-1 và so sánh kết quả băm với OTP trong
gói H(RREP). Nếu OTP khơng giống với kết quả
băm thì gói H(RREP) của nút đích ND khơng hợp
lệ, N6 hủy gói H(RREP), ngược lại N6 chấp nhận
gói H(RREP) và tiếp tục chuyển tiếp về nguồn
thông qua nút N1, đồng thời lưu tuyến đến đích
ND. Q trình kiểm tra này được thực hiện tại nút
N1 cho đến khi nút NS nhận được gói H(RREP).
Nút nguồn kiểm tra OTP trong gói H(RREP)
trước khi chấp nhận gói để thiết lập tuyến đến ND.

Hình 4. Mơ tả cơ chế khám phá tuyến của giao

thức H(AODV)

TẠP CHÍ QUẢN LÝ VÀ CÔNG NGHỆ - Số 19 Quý 4/2021

47


KHOA HỌC CƠNG NGHỆ
2.3. Đánh giá kết quả mơ phỏng
Phần này, bài báo sử dụng hệ
mô phỏng NS-2.35 để mô phỏng
tấn công ngập lụt trong giao thức
AODV, so sánh giữa hai giao thức
về số gói tin bị mất, độ trễ trung bình
của gói tin, tỉ lệ gói tin gửi thành
cơng, số gói định tuyến, phụ tải định
tuyến. Các thơng số mơ phỏng được
tổng hợp trong Bảng 2.1, trong đó
số nút tham gia mô phỏng là 100
nút, tốc độ di chuyển từ 0,1 m/s tới 20m/s, với
vùng mơ phỏng 2000 m×2000 m và thời gian mô
phỏng là 200s. Nút độc hại sẽ gửi tràn ngập gói
u cầu tuyến RREQ tới tồn bộ các nút trong
mạng, tần suất tấn công ngập lụt gói RREQ lần
lượt là 10, 20, 30 và 40 gói mỗi giây.
Bảng 2.1: Chi tiết tham số mô phỏng
Tham số

Giá trị


Số nút tham gia mô phỏng

100 nodes

Giao thức định tuyến

AODV, H(AODV)

Nút tấn công

1 node

Tần suất tấn công

10, 20, 30 và 40 pkt/s

Vùng mơ phỏng

2000 m × 2000 m

Thời gian mơ phỏng

200 s

Tốc độ di chuyển

[1..20] m/s

Dạng truyền thơng


CBR

Số nguồn phát

20

Kích thước gói tin

512 bytes

Hình 5. Tỉ lệ gói tin gửi thành cơng
Hình 5 mơ tả tỉ lệ gói tin gửi thành công khi
tấn công ngập lụt. Ta thấy rằng giao thức AODV
bị ảnh hưởng lớn nguyên nhân là do AODV chỉ
sử dụng một tuyến duy nhất để định tuyến gói dữ
liệu. Tấn công với tần suất thấp 10pkt/s không
ảnh hưởng nhiều đến hiệu năng hệ thống. Khi
tần suất gói tấn công trên 20 pkt/s, giao thức trên
càng bị ảnh hưởng nặng nề. Giao thức an ninh
H(AODV) có tỉ lệ gửi gói tin đều trên 99% kể cả
khi nút độc hại tấn công tần suất lớn, giảm nhẹ
so với khi không bị tấn công mạng (0pkt/s), điều
này cho thấy giao thức an ninh chống tấn công
ngập lụt với hiệu quả cao.

Số liệu chi tiết tác hại của tấn công ngập lụt
đến hiệu năng giao thức AODV và hiệu năng của
giao thức an ninh H(AODV) được tổng hợp trong
bảng 2.2
Bảng 2.2: Kết quả mô phỏng chống tấn công

ngập lụt
Tần suất tấn công (gói/giây)
Tỉ lệ gửi gói tin
thành cơng (%)
Phụ tải định tuyến
(pkt)
Thời gian trễ trung
bình (ms)

48

0

AODV

99,84

H(AODV)
AODV
H(AODV)
AODV

99,82
0,55
0,55
68,47

H(AODV)

66,04


Hình 6. Phụ tải định tuyến
Hình 6 cho ta thấy phụ tải định tuyến khi bị
nút độc hại tấn công ngập lụt. Khi tần suất tăng
cao lớn hơn 20 pkt/s thì tỉ lệ gói điều khiển hao
phí trên một gói tin
10
20
30
40
truyền thành cơng
99,62 96,36
32,18
23,46
tăng mạnh. Với
99,66
99,8
99,61
99,57 tần suất tấn công
33,34 70,88
414,04 630,29 là 40pkt/s, phụ tải
1,07
1,2
1,82
2,11 định tuyến của giao
96,62 178,78 2318,00 3065,56 thức AODV tăng
68,09 69,77
90,50
77,72 lên
630,29pkt/s.


TẠP CHÍ QUẢN LÝ VÀ CƠNG NGHỆ - Số 19 Quý 4/2021


KHOA HỌC CÔNG NGHỆ
Giao thức an ninh H(AODV) hầu như không bị
ảnh hưởng nên phụ tải định tuyến tăng rất nhỏ cho
thấy tấn công ngập lụt ảnh hưởng không nhiều tới
giao thức này. Với tần suất tấn công là 40pkt/s,
phụ tải định tuyến của giao thức H(AODV) tăng
lên 2.11pkt/s.

Hình 7. Độ trễ trung bình
Hình 7 cho chúng ta thấy độ trễ trung bình
khi nút độc hại thực hiện tấn cơng ngập lụt của
2 giao thức đều bị ảnh hưởng. Tuy nhiên, khi tần
suất tấn công tăng cao giao thức AODV bị ảnh
hưởng nặng nề. Với tần suất tấn công là 40pkt/s,
độ trễ trung bình của giao thức AODV tăng lên
gần 3,07s. Giao thức AODV có độ trễ trung bình
trên 3s cho thấy đã xuất hiện gây tắc ngẽn mạng
khi bị tấn cơng với tần suất trên 40pkt/s. Giao
thức H(AODV) có tăng độ trễ trung bình nhưng
khơng lớn, cho thấy giao thức có độ an tồn cao
khi nút độc hại thực hiện tấn công ngập lụt kể cả
với tần suất lớn. Với tần suất tấn cơng là 40pkt/s,
độ trễ trung bình của giao thức H(AODV) tăng
lên gần 0.078s.
3. Kết luận
Như vậy, tấn công ngập lụt đã ảnh hưởng đến

hiệu năng giao thức định tuyến AODV. Kết quả
mô phỏng cho thấy rằng giao thức AODV bị ảnh
hưởng nhiều nhất là với tần suất tấn cơng trên 20
gói. Giao thức H(AODV) có khả năng phát hiện
và loại bỏ tấn công ngập lụt hiệu quả. Tuy nhiên,
hạn chế của cơ chế an ninh được sử dụng là quá
trình cấp OTP được thực hiện thủ cơng, gây khó
khăn một khi OTP được sử dụng hết.
***Nghiên cứu đề tài mã số DT.2103. Trân
trọng cảm ơn Trường Đại học Công nghệ và

Quản lý Hữu Nghị đã hỗ trợ cho nghiên cứu
này.
Tài liệu tham khảo
1. H. Jeroen, M. Ingrid, D. Bart, and
D. Piet, “An overview of Mobile Ad hoc
Networks: Applications and
challenges,” Journal of the
Communications Network,
vol. 3, no. 3, pp. 60–66, 2004.
2. M. Salehi,A. Boukerche,
and A. Darehshoorzadeh,
“Modeling and performance
evaluation of security attacks
on opportunistic routing
protocols
for
multihop
wireless networks,” Ad Hoc
Networks, 2016.

3. X. Gao and W. Chen, “A novel Gray hole
attack detection scheme for Mobile Ad-hoc
Networks,” in IFIP International Conference on
Network and Parallel Computing Workshops,
2007, pp. 209–214.
4. T. T. Vo, N. T. Luong, and D. Hoang,
“MLAMAN: a novel multi-level authentication
model and protocol for preventing wormhole
attack in mobile ad hoc network,” Wireless
Networks, vol. 25, no. 7, pp. 4115–4132, 2019.
5. L. Sánchez-Casado, G. Maciá-Fernández,
P. García-Teodoro, and N. Aschenbruck,
“Identification of contamination zones for
Sinkhole detection in MANETs,” Journal of
Network and Computer Applications, vol. 54, pp.
62–77, 2015.
6. Raj PN, Swadas PB (2009), “DPRAODV:
A Dynamic Learning System Against Blackhole
Attack in AODV based MANET”, International
Journal of Computer Science 2:54–59. doi:
abs/0909.2371
7. Sanjay Ramaswamy, Huirong Fu, Manohar
Sreekantaradhya, John Dixon, and Kendall
Nygard, “Prevention of Cooperative Black Hole
Attack in Wireless Ad Hoc Networks”, 2003
International Conference on Wireless Networks
(ICWN’03), Las Vegas, Nevada, USA

TẠP CHÍ QUẢN LÝ VÀ CÔNG NGHỆ - Số 19 Quý 4/2021


49