作者:陳建民 指導教授:蘇民揚 教授 報告者 : 李承駿 AD HOC 網路中監聽節點之 偵測與反制 作者:陳建民 指導教授:蘇民揚 教授 報告者 : 李承駿 2006/11/02
Abstract 在無線網路下,因為是使用無線電波來通訊以及傳送資料,使得竊聽網路更加的容易。因此資料的安全性將比在傳統有線網路上的安全性還要薄弱。 由於目前所提出的偵測方式,在AD HOC中並不適用,因為本論文設計一個可用於AD HOC的自我偵測方式,用來解決AD HOC上的監聽問題。 2006/11/02
Outline 研究背景/動機 文獻探討 研究方法 實驗說明及數據 結論 目前有線上的偵測方式 在AD HOC中隔離節點 系統環境 偵測監聽方式 隔離節點方式 實驗說明及數據 結論 2006/11/02
研究背景/動機 區域網路上的攻擊方式有很多種類,主要分成主動式與被動式,主動式攻擊因為會造成直接的危害,所以往往會被受害者發現;而被動式攻擊則不一定會被發現。 被動式攻擊有兩種,一種是丟棄封包,另一種則是監聽封包,而被動式攻擊往往難以查覺,且主動式攻擊常要先經由監聽封包來取得受害主機資訊之後才能進一步加以攻擊。 2006/11/02
所以能有效偵測是否有人正在監聽網路,能決定網路的安全性。 而且由於無線網路天生的缺陷,使其安全性遠比有線網路較低許多,開放性的電波使得竊聽網路更加的容易,資料的安全性將遭受巨大的打擊。 2006/11/02
文獻探討 目前偵測監聽的方式有下列幾種: ARP / ICMP 偵測[2004/1998] RTT (Round trip time)偵測[2004] DNS 偵測[1998] 負載偵測[1998] 2006/11/02
2006/11/02
在AD HOC中隔離節點 在AD HOC中我們可以經由修改一些控制封包,使受害節點無法接收到其他正常節點所送出的封包。 這個方法是利用修改RREQ封包來達到目的。 2006/11/02
修改欄位 把rreq_id 增加一小數目 把dst_ip 的欄位填入一個不存在的IP位置 把src_seq 增加至少1以上 在IP標頭中把來源IP換成一個不存在的IP位置 2006/11/02
研究方法--系統環境 我們的偵測機制是使用分散式的偵測方式,每個節點各自負責自己周圍節點的偵測與隔離。 我們所提出的AODV版本與原本的AODV版本並不相容,必須使用我們的AODV版本才能達到偵測與隔離的目標。 我們在各個AODV的控制封包中加入了判斷版本所需要的欄位。原本的AODV若收到我們版本的AODV控制封包將無法正常回應而不予理會,反之亦然。 2006/11/02
偵測監聽方式 我們在AODV中新增了一個封包類型PORD (promiscuous mode detect),其格式如下: 每個節點定期廣播此封包到相臨節點(hop=1),其Status欄位的值則為Request,當節點收到此封包時,會利用自我偵測模組(Self detect module)來測試節點本身的網路卡。 2006/11/02
當節點偵測到有相臨節點處於錯亂模式中時,則將該節點加入自己的黑名單行列中,進而進行隔離的動作。 若是網路卡設定在錯亂模式,則會回應另一個PROD封包,其Status欄位的值則為Promiscuous;若為正常模式,其Status欄位的值則為Normal。 當節點偵測到有相臨節點處於錯亂模式中時,則將該節點加入自己的黑名單行列中,進而進行隔離的動作。 2006/11/02
自我偵測機制架構 2006/11/02
隔離節點方式 隔離的方式是利用先前的方式可偵測出惡意節點之IP位置。並將此IP位置放入黑名單中,並搜尋自己的Routing Table,將惡意節點已建立之路徑刪除,並且在往後收到該節點所發出之任何訊息皆不予理會。 2006/11/02
2006/11/02
實驗說明及數據 我們使用Ns-2 (Network Simulation-2)來進行模擬,環境設定如下: 30個節點隨機分布在600x600公尺的範圍中 每個節點以0~10m/s的速度隨機移動 30個點中任意挑出20個節點分為10組進行UDP連線,封包大小為512 bytes,速率為每秒2Kb資料。 剩餘10個節點任意挑出0、2、4、8個節點當做監聽節點 總模擬時間為1000秒 實驗數據以10次實驗取平均值 2006/11/02
實驗一: 設定停留時間(pause time)為0秒、50秒、100秒及150秒,計算封包之延遲時間(delay time)與監聽節點多寡及停留時間之關係。 2006/11/02
2006/11/02
2006/11/02
實驗二: 設定移動速度為10m/s、30m/s以及50m/s,停留時間為10秒,計算封包延遲時間與監聽節點多寡及移動速度之關係 2006/11/02
2006/11/02
2006/11/02
實驗三 設定移動速度為10m/s、50m/s,停留時間為10秒,計算封包送達率與監聽節點多寡及移動速度之關係 2006/11/02
2006/11/02
結論 節省了另外增加IDS主機的成本,增加每個節點的工作量以及功率消耗。 若節點是使用原本的AODV協定,則在收到我們版本的AODV的控制封包時,將不于理會,同時也無法辨識其中的內容。因此,能夠減少許多因為AODV本身的弱點所造成的攻擊。 惡意節點若想要攻擊就必須參與繞路,就必須要使用我們版本的AODV協定才行。 2006/11/02