Tải bản đầy đủ (.pdf) (72 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Giải pháp kỹ thuật ngăn chặn tấn công manet

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.46 MB, 72 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
ĐẠI HỌC ĐÀ NẴNG

VĂN CAO TRUNG

GIẢI PHÁP KỸ THUẬT NGĂN CHẶN
TẤN CÔNG MANET

LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN

Đà Nẵng – Năm 2016


BỘ GIÁO DỤC VÀ ĐÀO TẠO
ĐẠI HỌC ĐÀ NẴNG

VĂN CAO TRUNG

GIẢI PHÁP KỸ THUẬT NGĂN CHẶN
TẤN CÔNG MANET

Chuyên ngành : HỆ THỐNG THÔNG TIN
Mã số

: 60.48.01.04

LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN

Ngƣời hƣớng dẫn khoa học: PGS.TS. LÊ VĂN SƠN

Đà Nẵng - Năm 2016




LỜI CAM ĐOAN

Tôi xin cam đoan luận văn “Giải pháp giải pháp kỹ thuật ngăn chặn tấn công
MANET” là do tơi tự nghiên cứu và hồn thành dƣới sự hƣớng dẫn của PGS.TS Lê
Văn Sơn
Tơi xin chịu hồn tồn trách nhiệm về lời cam đoan này.
Tác giả luận văn

VĂN CAO TRUNG


MỤC LỤC
MỞ ĐẦU .......................................................................................................... 1
1. Lý do chon đề tài ................................................................................... 1
2. Mục tiêu nghiên cứu ............................................................................. 2
3. Đối tƣợng và phạm vi nghiên cứu......................................................... 2
4. Phƣơng pháp nghiên cứu ...................................................................... 2
5. Ý nghĩa khoa học và thực tiễn của đề tài .............................................. 3
6. Bố cục luận văn ..................................................................................... 3
CHƢƠNG 1. TỔNG QUAN ........................................................................... 4
1.1. GIỚI THIỆU MANET ............................................................................... 4
1.1.1. Giới thiệu chung .............................................................................. 4
1.1.2. Định Tuyến trong MANET ............................................................. 4
1.2. TỔNG QUAN MỘT SỐ VẤN ĐỀ AN NINH TRONG MANET ............ 9
1.2.1. Tiêu chí an tồn trong MANET ...................................................... 9
1.2.2. Thách thức an ninh trong MANET ................................................. 9
1.2.3. Các mối đe dọa an ninh trong MANET ........................................ 11
1.2.4. Một số giải pháp tăng cƣờng an ninh trong MANET ................... 16

1.3. CƠNG CỤ NGHIÊN CỨU CHÍNH NS-2 ............................................... 18
1.3.1. Giới thiệu về NS-2 ........................................................................ 18
1.3.2. Kiến trúc của NS-2 ........................................................................ 18
1.4. KẾT LUẬN .............................................................................................. 20
CHƢƠNG 2. GIẢI PHÁP KỸ THUẬT NGĂN CHẶN TẤN CÔNG
MANET .......................................................................................................... 21
2.1. TỔNG QUAN CHUẨN MÃ DỮ LIỆU AES.......................................... 22
2.1.1. Giới thiệu về chuẩn mã dữ liệu tiên tiến AES. ............................. 22
2.1.2. Quy trình mã hóa AES. ................................................................. 23


2.1.3. Phép biến đổi SubBytes ................................................................ 24
2.1.4 Phép biến đổi ShiftRows ................................................................ 25
2.1.5 Quy trình giải mã ........................................................................... 26
2.1.6. Ý nghĩa .......................................................................................... 27
2.1.7. Ứng dụng của AES ....................................................................... 27
2.2. GIAO THỨC THỎA THUẬN KHÓA DIFFIE HELLMAN (DH) ........ 27
2.2.1. Khái niệm thỏa thuận khóa. .......................................................... 29
2.2.2. Giao thức thỏa thuận khóa Diffie - Hellman. ............................... 29
2.2.3. Cách thiết lập giao thức thỏa thuận khóa Diffie - Hellman. ......... 29
2.2.5. Ví dụ bằng số minh họa. ............................................................... 31
2.3 . GIẢI PHÁP XÁC THỰC THÔNG TIN ĐỊNH TUYẾN – GIAO THỨC
AODVNEW .................................................................................................... 35
2.3 . MỨC ĐỘ AN NINH CỦA GIAO THỨC ĐỊNH TUYẾN AODVNEW 42
2.3.1. Đối với kiểu tấn công sửa đổi (Attack using Modification) ......... 43
2.3.2. Đối với kiểu tấn công đóng giả (Attacks using Impersonation) ... 43
2.3.3. Đối với kiểu tấn công chế tạo (Attacks using Fabrication) .......... 43
2.3.4. Đối với kiểu tấn công lỗ đen (Worm attack) ................................ 43
2.3.5. Đối với kiểu tấn công grayhole ..................................................... 44
2.3.6. Đối với kiểu tấn cơng flooding ..................................................... 44

CHƢƠNG 3. CÀI ĐẶT MƠ PHỎNG, ĐÁNH GIÁ HIỆU SUẤT CỦA
GIAO THỨC AODVNEW ........................................................................... 45
3.1. PHÂN TÍCH THIẾT KẾ.......................................................................... 45
3.1.1. Phân tích thƣ viện dùng để mơ phỏng .......................................... 45
3.1.2. Cơng cụ phân tích và biểu diễn kết quả mô phỏng ....................... 45
3.1.3. Các tham số hiệu suất cần đƣợc đánh giá giao thức AODVNEW ........46
3.1.4. Cách thức phân tích tệp vết ........................................................... 47
3.2. CHƢƠNG TRÌNH MƠ PHỎNG ............................................................. 49


3.2.1. Thiết lập mạng mô phỏng giao thức ............................................. 49
3.2.2. Luận văn quan tâm thực hiện mô phỏng các kịch bản.................. 50
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ................................................... 60
TÀI LIỆU THAM KHẢO
QUYẾT ĐỊNH GIAO ĐỀ TÀI LUẬN VĂN (Bản sao)


DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
AODV

Adhoc On-demand Distance Vector

ARAN

Authenticated Routing for Adhoc Networks

AODV-WADR

AODV Worm attack detection reaction


CA

Certificate authority

DOS

Denial of Service

DSDV

Destination-Sequenced Distance Vector

DDOS

Distributed Denial of Service

EDRI

Extended Data Routing Information

IEEE

Institute of Electrical and Electronics Engineers

MANET

Mobile Adhoc NETwork

NS-2


Network Simulator 2

NS-2

Network Simulator 2

RREQ

Route Request

RREP

Route Reply

RERR

Route error

SSL

Secure socket layer

SAODV

Secure Adhoc On-demand Distance Vector


DANH MỤC CÁC BẢNG
Số hiệu


Tên bảng

Trang

Các kiểu tấn công cơ bản trong MANETtrên các tầng

12

bảng
1.1.

khác nhau
3.1.

Bảng các tham số cấu hình chung cho việc mơ phỏng

51

3.2.

Kết quả tỉ lệ phân phát gói tin của giao thức

52

3.3.

Kết quả thời gian trung bình phản ứng

53


3.4.

Kết quả độ trễ trung bình của giao thức

54

3.5.

Kết quả Số gói tin bị mất

54

3.6.

Kết quả Tỉ lệ phân phát gói tin thành cơng

55

3.7.

Kết quả độ trễ trung bình của các gói tin CBR

56

3.8.

Kết quả số gói tin bị mất

57



DANH MỤC CÁC HÌNH

Số hiệu

Tên hình

hình

Trang

1.1.

Phân loại các giao thức định tuyến trong MANET

6

1.2.

Quá trình tìm đƣờng trong AODV

7

1.3.

Phân loại tấn công trong giao thức định tuyến MANET

13

1.4.


Mô tả tấn công sửa đổi nguồn

14

1.5.

Mô tả tấn công giả mạo

15

1.6.

Mô tả tấn công chế tạo

15

1.7.

Mô tả tấn công worm

16

1.8.

Tổng quan về NS-2 dƣới góc độ ngƣời dùng

18

1.9.


Luồng các sự kiện cho file Tcl chạy trong NS

20

2.1.

Quy trình mã hóa và giải mã AES

24

2.2.

Thao tác SubBytes tác động trên từng byte của trạng thái

25

2.3.

Thao tác ShiftRows tác động trên từng dòng của trạng thái

25

2.4.

Sơ đồ giao thức thỏa thuận khóa Diffie – Hellman

31

2.5.


Mô tả cuộc tấn công worm

36

3.1.

Cấu trúc của tệp vết mạng không dây trong NS2

47

3.2.

Biểu đồ thể hiện tỉ lệ phân phát gói tin của giao thức

53

3.3.

Biểu đồ thể hiện thời gian trung bình phản ứng

53

3.4.

Biểu đồ thể hiện độ trễ trung bình

54

3.5.


Biểu đồ thể hiện số gói tin bị mất trong giao thức

55

3.6.

Biểu đồ thể hiện tỉ lệ phân phát gói tin thành cơng

56

3.7.

Biểu đồ thể hiện độ trễ trung bình của các gói tin CBR

56

3.8.

Biểu đồ thể hiện số gói tin bị mất

57


1

MỞ ĐẦU
1. Lý do chon đề tài
MANET là một hệ thống mạng bao gồm các node mạng không dây,
chẳng hạn nhƣ laptop, điện thoại di động.... Chúng có khả năng tự vận hành

trong một mơ hình mạng động. Sự khác nhau giữa MANET và các hệ thống
mạng không dây di động truyền thống chính là việc chúng khơng phụ thuộc
vào bất kỳ hạ tầng cố định nào. Thực chất, các node mạng di động phụ thuộc
lẫn nhau trong việc giữ kết nối trong mạng MANET. Đặc tính này giúp chúng
trở thành một giải pháp hữu dụng trong việc cung cấp dịch vụ truyền thơng
trong các tình huống khẩn cấp, khi mà việc triển khai một hệ thống hạ tầng
mạng một cách nhanh chóng và hiệu quả là bất khả thi.
Tác giả sử dụng cụm từ eMANET để miêu tả các MANET đƣợc triển
khai trong các trƣờng hợp đặc biệt nguy cấp. Trong các trƣờng hợp thảm họa,
ngay cả khi không có bất kỳ một kết nối truyền thơng nào khác, các điểm truy
cập không dây nhƣ điện thoại hay laptop vẫn có thể kết nối lẫn nhau để thiết
lập một eMANET nhằm cung cấp một giải pháp truyền thông đa phƣơng tiện
an toàn cho các dịch vụ khẩn cấp. Trong các trƣờng hợp này, eMANET bao
gồm tính năng tự bảo vệ. Những node di động có trách nhiệm phối hợp với
nhau để hoàn thành nhiệm vụ. Yếu tố an ninh trong MANETs tồn tại nhiều
thử thách hơn trong các hệ thống mạng có dây. Ngun nhân đến từ tính chất
phát sóng quảng bá của các thiết bị khơng dây cũng nhƣ việc thƣờng xun
thay đổi mơ hình mạng. Hơn nữa, do các yếu tố nhƣ thiếu hạ tầng, mơ hình
mạng động, và mối quan hệ tin tƣởng giữa các node là không chặt chẽ, dẫn
đến việc các giao thức đã đƣợc đề xuất trƣớc đó cho MANET cịn nhiều lỏng
lẻo và không chắc chắn đối với một số loại tấn cơng.
Ngồi ra, trong MANET các node hình thành một hệ thống mạng thông


2

qua các giao thức định tuyến phổ biến nhƣ AODV, DSR hay OLSR. Tuy
nhiên, trong mơi trƣờng di động thì việc phát hiện kẻ xâm nhập sẽ trở nên khó
khăn hơn. Trong luận văn này sẽ xem xét một cuộc tấn công worm, cuộc tấn
công này diễn ra khi 2 kẻ tấn công cách xa nhau về mặt địa lý đã tạo một

đƣờng hầm (tunnel) worm tunnel. Mục tiêu của cuộc tấn cơng chính là việc
tạo ra một hình thức tấn công man – in – the – middle (nghe lén) hoặc phá
hủy quá trình hoạt động của AODV trong eMANET, bằng cách quảng bá các
tuyến định tuyến ngắn hơn để tới đích và việc nghiên cứu giải pháp ngăn chặn
tấn công trong MANET trở nên cấp thiết, đây cũng chính là lý do chon đề tài
“Giải pháp kỹ thuật ngăn chặn tấn công MANET”. Cụ thể là bổ sung cơ
chế an ninh cho giao thức định tuyến AODV tạm đặt là giao thức
AODVNEW.
2. Mục tiêu nghiên cứu
Mục tiêu của đề tài là áp dụng chuẩn mã dữ liệu tiên tiến AES và Giao
thức thỏa thuận khóa Diffie – Hellman áp dụng vào phát hiện ra tấn công
worm và sẽ không bao giờ cập nhật bản định tuyến của chúng với đƣờng định
tuyến đƣợc liệt kê trong danh sách đen của chúng.
3. Đối tƣợng và phạm vi nghiên cứu
Đối tƣợng nghiên cứu của đề tài gồm: Công nghệ chuẩn mã dữ liệu tiên
tiến AES, Giao thức thỏa thuận khóa Diffie – Hellman để, Các kỹ thuật liên
quan đến công nghệ mã hóa, Một số bài báo đƣợc cơng báo.
4. Phƣơng pháp nghiên cứu
Trong q trình thực hiện đề tài, tơi đã sử dụng một số phƣơng pháp
nhƣ sau: Phƣơng pháp tài liệu: tìm hiểu phân tích các tài liệu liên quan đến đề
tài, nghiên cứu tài liệu, lựa chọn hƣớng giải quyết vấn đề, viết chƣơng trình
kiểm nghiệm kết quả, nhận xét và đánh giá kết quả; Phƣơng pháp thực


3

nghiệm: Chƣơng trình mơ phỏng Network Simulator (NS2), kiểm tra, thực
nghiệm chƣơng trình và đánh giá kết quả.
5. Ý nghĩa khoa học và thực tiễn của đề tài
Về khoa học: Là một tài liệu đáng tin cậy đê tham khảo cho những

nguời muốn tìn hiểu về mạng MANET và các vấn để bảo mật trên mạng
MANET, đồng thồi đây cũng là một tài liệu tham khảo cho những ngƣời
trong linh vực truyền thơng trong mạng máy tính.
Về thực tiễn: Sử dụng giao thức AODV để định tuyến và bằng cách áp
dụng chuẩn mã dữ liệu tiên tiến AES và Giao thức thỏa thuận khóa Diffie –
Hellman áp dụng vào phát hiện ra tấn công worm
6. Bố cục luận văn
Báo cáo luận văn đƣợc tổ chức thành 3 chƣơng chính:
Chương 1: Tổng Quan
Giới thiệu MANET, các thách thức an ninh, các mối đe dọa an ninh và
một số giải pháp an ninh đã đƣợc nghiên cứu.
Chương 2: Giải pháp chống tấn công trong MANET
Các vấn đề mật mã liên quan đến luận văn, đƣa ra giải pháp xác thực
thông tin định tuyến, giao thức AODVNEW, giải pháp giám sát chống tấn
công worm – giao thức AODVNEW.
Chương 3: Cài đặt mô phỏng, đánh giá hiệu suất của giao thức
AODVNEW
Cài đặt mô phỏng giao thức AODVNEW, xây dựng các kịch bản mô
phỏng các tham số hiệu suất cho giao thức AODVNEW, so sánh hiệu suất với
giao thức AODV qua biểu đồ.


4

CHƢƠNG 1
TỔNG QUAN
1.1. GIỚI THIỆU MANET
1.1.1. Giới thiệu chung
Với sự phát triển của công nghệ truyền thông không dây. Internet đƣợc
truy cập bất cứ bất cứ lúc nào, bất cứ nơi nào. MANET là mạng dựa trên mơ

hình độc lập Ad hoc, các nút trong mơ hình này giao tiếp trực tiếp với nhau
mà không sử dụng một điểm truy cập nào. Do việc kết hợp giữa tính di động
với mạng Ad hoc nên ngƣời ta thƣờng gọi là MANET (Mobile Ad-hocNetwork).
MANET có các đặc điểm chính sau:
- Cấu hình mạng động: Các nút có thể tự do di chuyển theo mọi hƣớng
và khơng thể đốn trƣớc đƣợc.
- Băng thơng hạn chế: Các liên kết khơng dây có băng thơng thấp hơn
so với đƣờng truyền cáp và chúng còn chịu ảnh hƣởng của nhiễu, suy giảm tín
hiệu vì thế mà thƣờng nhỏ hơn tốc độ truyền lớn nhất của sóng vô tuyến.
- Năng lƣợng hạn chế: Một số hoặc tất cả các nút trong MANET hoạt
động phụ thuộc vào pin nên chúng bị hạn chế về khả năng xử lý và bộ nhớ.
- Bảo mật kém: Do đặc điểm của MANET là truyền sóng vơ tuyến nên
cơ chế bảo mật của mạng là kém hơn so với các mạng truyền cáp. Chúng tiềm
ẩn nhiều nghi cơ bị tấn công đặc biệt là nghe nén, giả mạo hay tấn công
DDOS….
1.1.2. Định Tuyến trong MANET
Các yêu cầu quan trọng đối với giao thức định tuyến trong MANET:
- Thích ứng nhanh khi tơ-pơ thay đổi: Do các nút trong mạng di
chuyển liên tục, nhanh và khơng thể đốn trƣớc nên phải tốn nhiều thời gian
để có thể tìm ra tuyến đƣờng đi, dẫn tới việc phải phát lại các gói tin tìm
đƣờng.


5

- Thuật tốn tìm đƣờng thơng minh, tránh tình trạng lặp định tuyến.
- Đảm bảo cơ chế duy trì tuyến mạng trong điều kiện bình thƣờng.
- Bảo mật: Do truyền tín hiệu trong khơng khí và dễ bị tấn cơng theo
các phƣơng thức nghe lén, giả mạo và DDOS, nên các giao thức định tuyến
cần phải đƣợc bổ sung cơ chế phát hiện, ngăn chặn và chống lại các kiểu tấn

cơng.
Các giao thức định tuyến chính trong MANET: Một trong những
phƣơng pháp phổ biến để phân loại các giao thức định tuyến cho MANET là
dựa trên cách thức trao đổi thông tin định tuyến giữa các nút trong mạng.
Theo phƣơng pháp này thì giao thức định tuyến trong MANET đƣợc chia
thành các loại sau: Các giao thức định tuyến theo yêu cầu, định tuyến theo
bảng và định tuyến lai ghép.
- Các giao thức định tuyến theo yêu cầu (on-demand). Quá trình khám
phá tuyến bắt đầu khi có u cầu và kết thúc khi có tuyến đƣờng đƣợc tìm ra
hoặc khơng tìm ra đƣợc tuyến do sự di chuyển của nút. Việc duy trì tuyến là
một hoạt động quan trọng của định tuyến theo yêu cầu. So với định tuyến theo
bảng, ít tiêu đề định tuyến là ƣu điểm của định tuyến theo yêu cầu nhƣng việc
phải bắt đầu lại quá trình khám phá tuyến trƣớc khi truyền dữ liệu gây trễ
trong mạng. Các giao thức chính dạng này nhƣ: Giao thức định tuyến vector
khoảng cách theo yêu cầu AODV (Ad hoc On-demand Distance Vector
Routing) và giao thức định tuyến định tuyến nguồn động DSR (Dynamic
Source Routing), giao thức định tuyến theo thứ tự tạm thời TORA
(Temporally Ordered Routing Algorithm).
- Các giao thức định tuyến theo bảng. Mỗi nút luôn lƣu trữ một bảng
định tuyến chứa các tuyến đƣờng tới các nút khác trong mạng. Định kỳ mỗi
nút đánh giá các tuyến tới các nút trong mạng để duy trì trạng thái kết nối.
Khi có sự thay đổi cấu hình, các thơng báo đƣợc truyền quảng bá trong tồn


6

mạng để thông báo cho các nút cập nhật lại bảng định tuyến của mình. Với
việc lƣu trữ sẵn có tuyến đƣờng làm cho tốc độ hội tụ mạng nhanh, tuy nhiên
cơ chế định kỳ phát quảng bá thông tin tuyến làm tăng tải trong mạng. Các
giao thức định tuyến theo bảng: Giao thức định tuyến không dây WRP

(Wireless Routing Protocol), giao thức định tuyến vector khoảng cách tuần tự
đích DSDV (Dynamic Destination-Sequenced Distance-Vector Routing), giao
thức định tuyến trạng thái liên kết tối ƣu OLSR (Optimized Link State
Routing).
- Các giao thức định tuyến lai ghép (hybrid) để kết hợp ƣu điểm của
hai loại giao thức trên và khắc phục các nhƣợc điểm của chúng.

Hình 1.1. Phân loại các giao thức định tuyến trong MANET
Giao thức định tuyến AODV: Là giao thức dựa trên thuật toán vector
khoảng cách. Giao thức AODV tối thiểu hoá số bản tin quảng bá cần thiết
bằng cách tạo ra các tuyến trên cơ sở theo yêu cầu.


7

Hình 1.2. Quá trình tìm đường trong AODV
Quá trình tìm đƣờng đƣợc khởi tạo bất cứ khi nào một nút cần truyền
tin với một nút khác trong mạng mà không tìm thấy tuyến đƣờng liên kết tới
đích trong bảng định tuyến. Nó phát quảng bá một gói u cầu tìm đƣờng
(RREQ) đến các nút lân cận. Các nút lân cận này sau đó sẽ chuyển tiếp gói
yêu cầu đến nút lân cận khác của chúng. Quá trình cứ tiếp tục nhƣ thế cho đến
khi có một nút trung gian nào đó xác định đƣợc một tuyến “đủ mới” để đạt
đến đích hoặc gói tin tìm đƣờng đƣợc tìm đến đích. AODV sử dụng số thứ tự
đích để đảm bảo rằng tất cả các tuyến không bị lặp và chứa hầu hết thơng tin
tuyến hiện tại. Mỗi nút duy trì số tuần tự của nó cùng với ID quảng bá. ID
quảng bá đƣợc tăng lên mỗi khi nút khởi đầu một RREQ và cùng với địa chỉ
IP của nút, xác định duy nhất một RREQ. Cùng với số tuần tự và ID quảng
bá, nút nguồn bao gồm trong RREQ hầu hết số tuần tự hiện tại của đích mà nó
có. Các nút trung gian trả lời RREQ chỉ khi chúng có một tuyến đến đích mà
số tuần tự đích lớn hơn hoặc bằng số tuần tự chứa trong RREQ.

Trong quá trình chuyển tiếp RREQ, các nút trung gian ghi vào Bảng
định tuyến của chúng địa chỉ của các nút lân cận khi nhận đƣợc bản sao đầu
tiên của gói quảng bá, từ đó thiết lập đƣợc một đƣờng dẫn theo thời gian. Nếu
các bản sao của cùng một RREQ đƣợc nhận sau đó, các gói tin này sẽ bị huỷ.
Khi RREQ đã đạt đến đích hay một nút trung gian với tuyến “đủ tƣơi”, nút
đích (hoặc nút trung gian) đáp ứng lại bằng cách phát unicast một gói tin trả


8

lời (RREP) ngƣợc trở về nút lân cận mà tƣ đó nó nhận đƣợc RREQ. Khi
RREP đƣợc định tuyến ngƣợc theo đƣờng dẫn, các nút trên đƣờng dẫn đó
thiết lập các thực thể tuyến chuyển tiếp trong Bảng định tuyến của chỉ nút mà
nó nhận đƣợc RREP. Các thực thể tuyến chuyển tiếp này chỉ thị tuyến chuyển
tiếp. Cùng với mỗi thực thể tuyến là một bộ định tuyến có nhiệm vụ xố các
thực thể nếu nó khơng đƣợc sử dụng trong một thời hạn xác định.
Giao thức AODV sử dụng bản tin HELLO đƣợc phát quảng bá định kỳ
bởi một nút để thông báo cho tất cả các nút khác về những nút lân cận của nó.
Các bản tin HELLO đƣợc sử dụng để duy trì khả năng kết nối cục bộ của một
nút. Tuy nhiên, việc sử dụng bản tin HELLO là không cần thiết. Các nút lắng
nghe việc truyền lại gói dữ liệu để đảm bảo rằng vẫn đạt đến chặng kế tiếp.
Nếu không nghe đƣợc việc truyền lại nhƣ thế, nút có thể sử dụng một trong số
các kỹ thuật, kể cả việc tiếp nhận bản tin HELLO. Các bản tin HELLO có thể
liệt kê các nút khác mà tƣ đó nút di động đã nghe tin báo, do đó tạo ra khả
năng liên kết lớn hơn cho mạng.
Giao thức AODV không hỗ trợ bất kỳ cơ chế an ninh nào để chống lại
các cuộc tấn cơng. Điểm yếu chính của giao thức AODV :
- Kẻ tấn cơng có thể đóng giả một nút nguồn S bằng cách phát quảng
bá gói RREQ với địa chỉ IP nhƣ là địa chỉ của nút nguồn S.
- Kẻ tấn cơng có thể giả làm nút đích D bằng cách phát quảng bá gói

RREP với địa chỉ nhƣ là địa chỉ của nút đích D.
- Kẻ tấn cơng có thể giảm giá trị trƣờng hop count trong RREQ và
RREP để các nút nguồn cho rằng nó có tuyến đƣờng đi ngắn nhất tới đích.
- Kẻ tấn cơng có thể tăng giá trị trƣờng sequence number trong RREQ và
RREP làm các nút nguồn cho rằng nó có tuyến đƣờng đi mới nhất đi tới đích.


9

- Kẻ tấn cơng có thể phát ra gói tin thông báo tuyến đƣờng bị lỗi làm
sai lệch thông tin bảng định tuyến trong mạng.
Nhƣ vậy giao thức AODV cần thiết ít nhất hai cơ chế: Chứng thực dữ
liệu tại mỗi nút nhận và đảm bảo tính tồn vẹn của thông điệp định tuyến.
1.2. TỔNG QUAN MỘT SỐ VẤN ĐỀ AN NINH TRONG MANET
1.2.1. Tiêu chí an tồn trong MANET
Tính sẵn sàng: Đảm bảo cho mạng và các dich vụ trong mạng luôn hoạt
động kể cả khi bị tấn công tƣ chối dịch vụ. Tại tầng vật lý và liên kết dữ liệu
kẻ tấn cơng có thể sử dụng các kỹ thuật gây nhiễu, gây trở ngại cho giao tiếp.
Trên tầng mạng, kẻ tấn cơng có thể phá vỡ các giao thức định tuyến….
Tính tồn vẹn: Đảm bảo dữ liệu truyền thơng khơng bị sửa đổi tƣ
nguồn đến đích.
Tính bí mật: Đảm bảo thông tin chỉ đƣợc biết bởi những ngƣời đƣợc
phép, không bị tiết lộ cho các tổ chức trái phép.
Tính xác thực: Đảm bảo một nút phải xác định đƣợc danh tính rõ ràng
của một nút khác trong q trình truyền dữ liệu với nó. Nếu khơng có tính xác
thực một kẻ tấn cơng có thể mạo danh một nút, do đó đạt đƣợc quyền truy cập
trái phép vào tài nguyên, thông tin nhạy cảm và ảnh hƣởng đến hoạt động của
các nút khác.
Tính khơng chối bỏ: Đảm bảo một nút khi nhận đƣợc một thơng điệp
có thể biết chắc rằng thơng điệp đó đƣợc gửi tƣ một nút nguồn nào đó. Và

cũng đảm bảo nút nguồn khơng thể phủ nhận thơng điệp mà nó đã gửi hay
hành động mà nó đã thực hiện.
1.2.2. Thách thức an ninh trong MANET
Những điểm yếu cơ bản của MANET [4] đến tƣ kiến trúc mở peer- topeer. Không giống nhƣ mạng có dây là nó có các routers, mỗi nút trong mạng
ad hoc có chức năng nhƣ một router và chuyển tiếp gói tin cho những nút


10

khác. Việc truyền tin trong khơng khí là nguy cơ của việc nghe nén thơng tin.
Khó kiểm sốt việc một nút bên ngồi tham gia vào mạng. Khơng có cơ sở hạ
tầng để có thể triển khai một giải pháp an ninh. Những kẻ tấn cơng có thể xâm
nhập vào mạng thơng qua việc tấn cơng các nút, tƣ đó làm tê liệt hoạt động
của mạng. Việc giới hạn về tài nguyên trong MANET cũng là một thách thức
cho việc thiết kế bảo mật. Giới hạn băng thông của kênh truyền không dây và
chia sẻ qua nhiều thực thể mạng. Khả năng tính tốn của một nút cũng bị giới
hạn.
Các thiết bị không dây di chuyển nhiều hơn so với các thiết bị có dây.
Hình trạng mạng thay đổi liên tục do sự di chuyển, tham gia hay rời khỏi
mạng của các nút. Ngồi ra cịn có nhiễu trong các kênh không dây làm ảnh
hƣởng tới băng thông và độ trễ. Do các nút di chuyển liên tục nên đòi hỏi các
giải pháp an ninh cũng phải đáp ứng tại bất kỳ đâu, bất kỳ lúc nào khi chúng
di chuyển tƣ chỗ này đến chỗ khác.
Những đặc điểm trên của MANET chỉ ra phải xây dựng lên giải pháp
an ninh mà đáp ứng cả về an ninh và hiệu suất của mạng.
- Giải pháp an ninh nên đƣợc cài đặt ở nhiều thực thể nút để cho hỗ trợ
bảo vệ tồn mạng. Trong đó phải đáp ứng khả năng tính toán liên quan tới
việc tiết kiệm năng lƣợng, bộ nhớ cũng nhƣ hiệu năng truyền thông của mỗi
nút.
- Giải pháp an ninh cần phải hỗ trợ ở nhiều tầng giao thức, mỗi tầng

cung cấp một một tuyến phịng thủ. Khơng có giải pháp ở một tầng duy nhất
có khả năng ngăn chặn tất cả các nguy cơ tấn công.
- Giải pháp an ninh cần phải ngăn chặn những nguy cơ tấn cơng tƣ bên
ngồi và tƣ bên trong mạng.
- Giải pháp an ninh cần phải có khả năng ngăn chặn, phát hiện và
chống lại cuộc tấn công.


11

- Cuối cùng, giải pháp an ninh cần phải phù hợp với thực tiễn và chi
phí thấp.
1.2.3. Các mối đe dọa an ninh trong MANET
Do những đặc điểm của MANET nên chúng có những điểm yếu cố hữu
và tiềm ẩn các nguy cơ đe dọa an ninh tƣ các cuộc tấn công. Các cuộc tấn
công trong MANET thƣờng đƣợc chia thành hai nhóm.
Các cuộc tấn cơng tư bên trong mạng:
- Chủ động: Kẻ tấn công chủ động tham gia tấn cơng vào hoạt động
bình thƣờng của dịch vụ mạng, có thể là hủy gói tin, chỉnh sửa gói tin, phát lại
gói tin, giả mạo gói tin, hay giả một nút nào đó để thực hiện gửi gói tin….
- Bị động: Kẻ tấn công không làm tê liệt hoạt động của mạng mà chỉ
thực hiện các hành vi nghe trộm các thơng tin trên đƣờng truyền. Kiểu tấn
cơng này rất khó phát hiện vì khơng có bất cứ việc chỉnh sửa hay làm thay đổi
hoạt động bình thƣờng của mạng.
Các cuộc tấn cơng tư bên ngồi mạng: Mục đích thƣờng nhắm đến
của các cuộc tấn cơng tƣ bên ngồi có thể là gây ùn tắc, làm sai lệch thông tin
định tuyến, ngăn chặn các dịch vụ hoặc làm tê liệt chúng. Các cuộc tấn cơng
tƣ bên ngồi có thể đƣợc ngăn ngƣa bằng cách sử dụng các giải pháp mã hóa,
IDS, IPS, firewall….
Ảnh hƣởng của các cuộc tấn công tƣ bên trong thƣờng lớn hơn so với

các cuộc tấn công diễn ra tƣ bên ngồi mạng. Vì giả sử một nút độc hại khi đã
tham gia vào bên trong mạng thì nó sẽ có đầy các quyền tham gia vào dịch vụ
mạng, cũng nhƣ các chính sách an ninh bên trong mạng. Nên việc tấn công
nhƣ nghe lén, sửa đổi, hủy bỏ hay chỉnh sửa thông tin mạng là rất dễ dàng.


12

Bảng 1.1. Các kiểu tấn công cơ bản trong MANETtrên các tầng khác nhau
Tầng

Tấn công

Tầng ứng dụng

Repudiation, data corruption

Tầng giao vận

Session hijacking, SYN flooding
Spoofing, fabrication, worm, modification,

Tầng mạng

Denial of Service, sinkholes, sybil,
Eavesdropping, traffic analysis, monitoring

Tầng liên kết dữ liệu

Traffic analysis, monitoring, disruption MAC


Tầng vật lý

(802.11),
weaknesseavesdropping
Jamming,WEP
interceptions,

Nhƣ bảng 1.1, chúng ta thấy các cuộc tấn cơng trong MANET có thể
diễn ra ở bất kỳ tầng nào và mỗi tầng với những hình thức khác nhau có thể là
tấn cơng chủ động hoặc tấn công bị động. Trong khuôn khổ luận văn, tác giả
sẽ tập trung nghiên cứu các hình thức tấn cơng trong tầng mạng, cụ thể là các
cuộc tấn công trong giao thức định tuyến MANET. Từ đó đƣa ra giải pháp cụ
thể để có thể ngăn ngƣa, hạn chế và chống lại các cuộc tấn công.
Sau đây là một số kiểu tấn công cơ bản vào giao thức định tuyến
MANET.


13

MANET routing Attack

Attack using
Modification

Attack using
Impersonation

Attack using
Fabrication


Redirection
by modified
route sequence
no’s
Redirection
by modified
hop count
Redirection
by modified
source route

- Redirection
by spoofing

Route Cache
poisoning
Falsifying
route error

Special attacks

Worm hole
Black hole
Gray hole

Hình 1.3. Phân loại tấn công trong giao thức định tuyến MANET
a. Tấn công sửa đổi (Attack using Modification)
Trong kiểu tấn công này một số trƣờng trong bản tin của giao thức bị sửa
đổi và sau đó thơng điệp đƣợc forward qua nhiều nút. Điều này trở thành nguyên

nhân phá vỡ tuyến đƣờng, cũng nhƣ chuyển hƣớng tuyến hay gây ra một cuộc
tấn công tƣ chối dịch vụ (Denial of Service attacks). Một vài kiểu tấn công
thuộc kiểu này:
Tấn công sửa đổi sequence numbers (Route sequence numbers
modification)
Kiểu tấn công này thể hiện rõ ràng nhất ở giao thức AODV. Trong kiểu
tấn công này kẻ tấn công thực hiện sửa đổi số sequence number trong gói tin
RREQ hoặc RREP đi qua chúng để tạo ra tuyến đƣờng mới có hiệu lực nhất. Tƣ
đó có thể tham gia đƣợc vào tuyến đƣờng truyền dữ liệu tƣ nguồn tới đích.
Tấn cơng sửa đổi trƣờng Hop count
Kiểu tấn công này cũng chủ yếu diễn ra trong giao thức AODV. Trong


14

kiểu tấn công này, kẻ tấn công thực hiện sửa đổi trƣờng hop count trong gói tin
RREQ, RREP, dẫn tới nút nguồn tƣởng rằng đó là tuyến đƣờng ngắn nhất và
thực hiện truyền dữ liệu qua nó.
Tấn cơng sửa đổi nguồn (Source route modification attack)
Kiểu tấn công này cũng chủ yếu diễn ra trong giao thức đinh tuyến nguồn
DSR. Kẻ tấn công chặn thông điệp sửa đổi danh sách các nguồn trƣớc khi gửi
tới nút đích trong q trình truyền. Ví dụ: Trong hình bên dƣới, tuyến đƣờng
ngắn nhất giữa nút nguồn S và đích X là (S – A – B – C – D – X). S và X không
thể truyền dữ liệu trực tiếp cho nhau và kịch bản nhƣ sau: Nút M là nút độc hại
cố gắng thực hiện tấn công tƣ chối dịch vụ. Giả sử nút nguồn S cố gắng gửi dữ
liệu tới nút X nhƣng nút M chặn gói tin và bỏ đi nút D trong danh sách và gói
tin đƣợc chuyển tiếp đến nút C, nút C cố gắng gửi gói tin đến nút X nhƣng
khơng thể vì nút C khơng thể truyền tin trực tiếp tới nút X. Dẫn tới nút M thực
hiện thành cơng cuộc tấn cơng DDOS trên X.


B

B

C

C

Hình1.4. Mơ tả tấn cơng sửa đổi nguồn
b. Tấn cơng đóng giả (Attacks using Impersonation)
Trong kiểu tấn công này kẻ tấn cơng tấn cơng vào tính xác thực và tính bí
mật của mạng. Kẻ tấn cơng đóng giả địa chỉ của một nút khác để thay đổi hình
trạng của mạng.


15

B

C

X’

Hình1.5. Mơ tả tấn cơng giả mạo
Theo hình 1.5 nút S muốn gửi dữ liệu tới nút X và trƣớc khi gửi dữ liệu
tới nút X, nó khởi động quá trình tìm đƣờng tới X. Nút M là nút độc hại, khi nút
M nhận đƣợc gói tin tìm đƣờng tới X, M thực hiện sửa đổi địa chỉ của nó thành
địa chỉ của X, đóng giả nó thành nút X’. Sau đó nó gửi gói tin trả lời rằng nó
chính là X tới nút nguồn S. Khi S nhận đƣợc gói tin trả lời từ M, nó khơng
chứng thực và chấp nhận tuyến đƣờng và gửi dữ liệu tới nút độc hại. Kiểu tấn

công này cũng đƣợc gọi là tấn công lặp định tuyến trong mạng.
c.Tấn công chế tạo (Attacks using Fabrication)
Trong kiểu tấn công này, kẻ tấn công chèn vào mạng những thơng điệp
giả mạo hoặc gói tin định tuyến sai (fake routing packet) để đánh sập quá trình
định tuyến. Kiểu tấn cơng giả mạo này rất khó phát hiện trong MANET. Ví dụ:

B

C

Att

Hình 1.6. Mơ tả tấn cơng chế tạo
Theo hình trên, nút nguồn S muốn gửi dữ liệu tới nút X, nó khởi động
q trình tìm đƣờng tới X. Nút M là nút độc hại cố gắng chỉnh sửa tuyến đƣờng
và trả gửi gói tin trả lời tới nút S. Hơn nữa, một nút độc hại có thể giả mạo gói
RERR để thơng báo sự tuyến đƣờng hỏng.


16

d. Tấn công đặc biệt
Tấn công worm: Kẻ tấn công nhận những gói tin tại một nút trong mạng,
thực hiện “tunnels” những gói tin này tới một nút khác trong mạng và sau đó
phát lại chúng vào mạng. Bởi vì khoảng cách “tunneled” dài hơn khoảng cách
một chặng bình thƣờng nên kẻ tấn cơng có thể “tunneled” gói tin đạt metric tốt
hơn những tuyến đƣờng khác. VD:

Hình 1.7. Mơ tả tấn công worm
Nút X và nút Y là hai đầu của kiểu tấn cơng worm. Nút X phát lại mọi

gói tin trong vùng A mà nút Y nhận đƣợc trong vùng B và ngƣợc lại. Dẫn tới
việc tất cả các nút trong vùng A cho rằng là hàng xóm của các nút trong vùng B
và ngƣớc lại. Kết quả là, nút X và nút Y dễ dàng tham gia vào tuyến đƣờng
truyền dữ liệu. Khi đó chúng chỉ việc hủy bỏ mọi gói tin truyền qua chúng và
nhƣ thế chúng đánh sập mạng.
1.2.4. Một số giải pháp tăng cƣờng an ninh trong MANET
An ninh trong MANET là khái niệm liên quan tới việc đảm bảo cho việc
giao tiếp an toàn giữa các thực thể tham gia trong mạng. Ở tầng mạng nó đảm
bảo cho các chức năng nhƣ định tuyến và chuyển tiếp gói tin. Hoạt động mạng
có thể dễ dàng bị nguy hại nếu khơng có một biện pháp phòng chống đƣợc
nhúng vào trong các chức năng cơ bản của mạng khi thiết kế. Kể tƣ đó đã xuất
hiện nhiều các kỹ thuật đƣợc phát triển để chống lại các cuộc tấn cơng. Có hai
kỹ thuật chính để chống lại các cuộc tấn công:


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×