New lightweight DoS attack mitigation techniques for RPL based IoT networks

thumbnail.default.placeholder
Tarih
2019
Yazarlar
Arış, Ahmet
Süreli Yayın başlığı
Süreli Yayın ISSN
Cilt Başlığı
Yayınevi
Fen Bilimleri Enstitüsü
Institute of Science and Technology
Özet
Bilişim teknolojileri günden güne insan hayatının her alanını akıllı bir hale getiriyor. Bu değişimin gerçekleşmesinde Nesnelerin İnterneti (Internet of Things - IoT) şu anda en umut vadeden teknoloji olarak Makine Öğrenmesi, Büyük Veri Analitiği, Bulut ve Sınırda Hesaplama teknolojileriyle iş birliği içinde bulunuyor. IoT milyarlarca ~\emph{nesne}siyle bu değişimde en temel veri kaynağı olarak görev alıyor. Binaları, evleri, fabrikaları, şehirleri, kırsal alanları ve daha birçok ortamı internete bağlanan akıllı ortamlara dönüştürmekte hem şu anda, hem de gelecekte aktif bir rol alacak gibi görünüyor. IoT, algılama ve/veya eyleme yeteneği olan nesnelerin oluşturduğu, internete bağlanabilen ve bilgi alışverişi yapabilen bir ağ olarak tanımlanabilir. Bunlarla sınırlı olmamakla beraber duyargalar, eyleyiciler, gömülü ve giyilebilen cihazlar IoT'nin temel bileşenlerini oluşturmaktadır. Bu cihazlar birçok iletişim teknolojisi (IEEE 802.15.4, Bluetooth, WiFi, LoRa, hücresel ağlar, vb.) kullanarak farklı topolojilerde (yıldız, örgü) IoT ağları oluşturabilirler. IoT geleceğin Servislerin İnterneti'ni ve Endüstri 4.0 devrimini gerçekleştirmek için aday bir teknolojidir. Ancak IoT'ye yönelik ağ performansını düşürmeyi, cihazların pillerini tüketmeyi, paket kayıplarına ve gecikmelere neden olmayı hedefleyen çok ciddi tehditler bulunmaktadır. Bu tehditler halihazırdaki ağları ve sistemleri etkileyen ve adından sıkça söz ettiren Servis Engelleme Saldırıları'dır (Denial of Service - DoS). IoT cihazlarının büyük bir bölümünde güç, işleme, bellek ve haberleşme kaynaklarının kısıtlı olması bu kaynakların daha güvenilir ve her zaman erişilebilir IoT ağları için mümkün olduğunca verimli kullanılmalarını şart koşmaktadır. Fakat DoS ve Dağıtık DoS (DDoS) saldırıları kaynakları kötücül kullanmayı, hizmet kesintilerine, gecikmelere ve paket kayıplarına neden olmayı ve böylece IoT ağlarının verdikleri hizmetlerin performansını düşürmeyi amaçlamaktadır. Yüksek seviyede güvenilir ve erişilebilir IoT ağları için bu saldırıların otonom bir şekilde engellenmesi, tespit edilmesi ya da etkilerinin azaltılması gerekmektedir. Bu tezin amacı D/DoS saldırılarına karşı IoT ağlarının nasıl korunabileceğini araştırmaktır. Bu amaçla tezde IoT ağlarının bir alt sınıfı olan Düşük Güçlü ve Kayıplı Ağlar'a (Low Power and Lossy Networks - LLNs) odaklandık. Bu tür ağlarda cihazlar kaynak kısıtlarına (kısıtlı işlem birimi, bellek ve depolama, iletişim arayüzü ve güç kaynakları) sahip olmakta ve iletişimin gerçekleştiği ortamda paket kayıpları yaşanabilmektedir. IETF ve IEEE organizasyonları böyle ağları internete bağlayabilmek ve birçok uygulamanın verimli bir şekilde çalışmasını sağlayabilmek için bir dizi standart önermişlerdir. Bu standartlar kümesine \emph{standartlaşmış protokol yığını} adı verilmektedir. Sırasıyla fiziksel katman ve MAC katmanı için IEEE 802.15.4, MAC ve ağ katmanları arasına IETF 6LoWPAN adaptasyon katmanı, ağ katmanı için IETF Düşük Güçlü ve Kayıplı Ağlar için IPv6 Yönlendirme Protokolü (IPv6 Routing Protocol for Low Power and Lossy Networks - RPL), iletim katmanı için UDP ve uygulama katmanı için de IETF Kısıtlı Uygulama Protokolü (Constrained Application Protocol - CoAP) standartlaşmış protokol yığınını oluşturmaktadır. Tez çalışmasında LLN'leri çalışmayı düşündük. Çünkü IoT'yi meydana getirecek cihazların büyük bir bölümünün LLN sınıfını oluşturan cihazlar olacağına inanıyoruz. Bu tür ağlarda kaynakların kısıtlı olması, iletişim ortamının kayıplı olması ve cihazların hareketli olabilmesi böyle ortamlarda çalışmayı ve sağlam güvenlik çözümleri sunabilmeyi zorlaştırmaktadır. Bu ağlardaki cihazların internete bağlanabileceği de düşünülürse, LLN'leri saldırganlara karşı korumak çok daha zor bir problem haline gelmektedir. Bu bağlamda tez çalışmamız LLN'leri mimari yapıları, ağ bileşenleri ve iletişim protokolleri açılarından anlamayla başladı. LLN'lerin güvenliğini çalıştığımız için standardizasyon kurumlarının bu ağlar için önerdikleri güvenlik çözümlerini inceledik. Önerilen güvenlik çözümlerinin artı ve eksilerini, cihazların kaynak kısıtlarını, servis kalitesi (Quality of Service - QoS) gereksinimlerini, güvenlik çözümlerinin doğru gerçeklenmelerinde karşılaşılan sorunları, cihazların çalışma ortamlarını, kullanıcıları, internet bağlantısı yoluyla ağın dışarıya açılabilmesini ve halihazırdaki D/DoS saldırılarını göz önüne aldığımızda LLN'lerin saldırılara karşı korunmalarının bir ihtiyaç olduğuna inandık. Buradan yola çıkarak LLN'leri hedef alabilecek D/DoS saldırılarını araştırdık. Araştırmalarımız bu ağların hem yeni saldırıların (bu ağlar için önerilen yeni standartlar nedeniyle), hem de bilinen saldırıların (halihazırdaki ağlara yapılan D/DoS saldırıları) hedefi olabileceğini ortaya çıkardı. LLN'leri hedef alabilecek saldırıların etkilerini inceleyen çalışmaları, bu saldırılardan korunmak için kriptografi-temelli güvenlik çözümleri öneren çalışmaları, standartlaşmış protokol yığınındaki protokollerin güvenlik açıklarını kapatmayı hedefleyen çalışmaları, LLN'ye özel saldırı tespit ve etki azaltma çalışmalarını analiz ettik. LLN'leri hedef alabilecek saldırıları ve bu saldırılara karşı koymayı hedefleyen çalışmaları inceledikten sonra standartlaşmış protokol yığınının ağ katmanına odaklandık. Buradaki odak noktamız RPL yönlendirme protokolüydü. RPL'i hedef alan saldırıların arasından Versiyon Numarası Saldırısı'na (Version Number Attack - VNA) yöneldik. VNA'da saldırgan kötücül bir şekilde RPL ağının versiyon numarasını değiştirerek global onarım işlemini başlatır. Ancak normal bir RPL ağında bu işlemi sadece RPL ağını kuran ve Hedef-Odaklı Yönlü Çevrimsiz Çizge'nin (Destination Oriented Directed Acyclic Graph - DODAG) kökü olan düğüm gerçekleştirebilmektedir. RPL'i hedef alan birçok saldırının arasından VNA'yı seçmemizin arkasında birden fazla neden bulunuyordu. Bunlardan ilki, VNA'nın oldukça yeni bir DoS saldırısı olması ve üzerinde çok az çalışılmış olmasıydı. Yeni bir saldırı olması nedeniyle de henüz derinlemesine bir analiz çalışması, bu saldırıya yönelik bir tespit sistemi ya da etkisini azaltmayı hedefleyen bir çalışma bulunmamaktaydı. VNA'nın bize ayrıca ilginç gelen diğer bir yönü de, klasik saldırıların aksine, tek bir saldırgan düğümün bu saldırıyı gerçekleştirmek için yeterli oluşu ve bütün bir RPL ağını tek başına etkileyebilme şansına sahip olmasıydı. VNA'nın RPL üzerindeki etkisini inceleyebilmek için IETF'in yönlendirme protokol gereksinimleri dökümanlarından yola çıkarak gerçekçi bir benzetim topolojisi oluşturduk. Contiki işletim sisteminin Cooja benzetim ortamını kullanarak topoloji üzerinde tek bir saldırganı farklı pozisyonlara yerleştirerek benzetimler yaptık. Oluşturduğumuz topolojide hareketli düğümler de yer aldığı için bazı saldırı benzetimlerinde saldırganı hareketli olan düğümlerden de seçtik. Saldırgan modelimizi oluştururken olasılığa göre saldırı gerçekleştiren bir yapı geliştirdik. Böylelikle saldırgan açısından sadece en iyi saldırı pozisyonlarını değil, saldırı olasılıklarını da belirlemeyi hedefledik. Paket başarım oranı, RPL kontrol mesajları sayısı, ortalama ağ gecikmesi ve ortalama güç tüketimi metriklerine göre analizler yaptığımızda kontrol mesajları sayısı ve paket başarım oranının saldırı pozisyonuyla ilişkili olduklarını gördük. Saldırgan DODAG kök düğümünden uzaklaştıkça saldırının etkisinin arttığını anladık. Saldırı olasılığı açısındansa olasılık arttıkça, ağ performansının daha da kötüleştiğini gördük. Saldırının hareketlilikle ilişkisini incelediğimizde ise hareketli saldırganların en etkili hareketsiz saldırganlar kadar ciddi bir şekilde ağ performansını etkilediklerini gözlemledik. Tek saldırgan ile yaptığımız benzetimlerin sonuçları VNA'nın RPL-temelli LLN'ler için çok ciddi bir tehdit olduğunu ortaya çıkardı. Bu saldırıda global onarım mekanizması kötücül bir şekilde kullanılıyor ve tüm RPL ağı tekrar ve tekrar yeniden oluşturulmaya zorlanıyor. Bu sıradaysa aşırı derecede çok RPL kontrol mesajı üretiliyor, uygulamanın paketlerinin büyük bir bölümü kayboluyor, ortalama ağ gecikmesi ve güç tüketimi değerleri kötü bir şekilde etkileniyor. En etkili saldırı pozisyonları ve RPL dökümanında belirtilen global onarım mekanizmasının beklenen işleyişini göz önüne alarak basit bir saldırı etkisi azaltma yöntemi geliştirdik. \emph{Eleme} (Elimination) adını verdiğimiz bu yöntem sadece DODAG kökü tarafından gelen version numarası güncellemelerine izin verirken (RPL dökümanında belirtilen beklenen global onarım işleyişi), saldırının en etkili olduğu tam tersi yönden (DODAG yaprakları yönü) gelen güncellemelerine ise izin vermiyor. Bu amaçla şu andakinden daha yüksek bir version numarasıyla gelen DIO (RPL kontrol mesajı) mesajlarında gönderenin \emph{sıra}sına (rank) bakıyor ve versiyon numarası güncellemesinin yönünü kolaylıkla tespit edebiliyor. Eğer gönderen düğüm daha kötü bir sıra değerine sahipse, bu onun DODAG üzerinde daha altlarda, yapraklar tarafında, olduğunu belirtiyor. Böyle versiyon güncellemelerine izin verilmemesi gerekiyor, çünkü RPL dökümanına göre böyle güncellemeler sadece DODAG kökü tarafından, yani sıra bilgisi daha iyi olan düğümlerden gelebilir. Eleme tekniğinin saldırının en etkili olduğu noktalardan gelecek saldırıları engellediği için VNA için oldukça etkili bir çözüm olacağına inandık. En etkili saldırı pozisyonlarının etkisi eleme tekniğiyle azaltılsa da saldırganın ağın iç kesimlerinde olduğu durumlarda, ne kadar en etkili saldırı noktaları olmasa da, saldırı hala RPL ağını olumsuz yönde etkileyebilir. Dolayısıyla eleme yöntemi saldırının etkisini azaltsa da tam bir çözüm oluşturamayacağı ortadaydı. VNA için tam bir çözüm bulabilmek için eleme tekniğini baz alan \emph{kalkan} (shield) adını verdiğimiz yeni bir yöntem geliştirdik. Kalkan'da her düğüm diğerlerinden bağımsız bir şekilde hareket ediyor ve çevresinde bulunan ve ondan daha iyi bir sıra değerine sahip olan düğümleri Kalkan Tablosu'nda tutuyor. Bu tablodaki düğümler kendisine göre DODAG köküne daha yakın pozisyonda olan düğümleri belirtiyor. Dolayısıyla versiyon numarası daha yüksek bir DIO'yu sadece bu düğümlerden almayı, aldığında da sadece bir düğümün sözüne inanmayarak tablosundaki düğümlerin çoğunluğunun aynı güncellemeyi iddia etmesini bekliyor. Anlaşılacağı gibi Kalkan yöntemi eleme tekniği ile bir güven yöntemini birleştirerek VNA için tam bir çözüm olmayı amaçlıyor. Eleme tekniği ile saldırının en etkili pozisyonlarını eliyor, güven yöntemiyle de DODAG içinde yer alabilecek saldırıları da etkisizleştirmiş oluyor. Önerdiğimiz iki yeni yöntemin verimliliğini benzetim ortamında yaptığımız testlerle inceledik ve bu yöntemlerin VNA'nın etkisini büyük bir başarımla azalttığını tespit ettik. Tez çalışmamızın son bölümünde ise çok saldırganlı VNA'ya odaklandık. Çok sayıda saldırganların ağın performansını nasıl etkilediğini incelemek için iki ayrı analiz yaptık. İlk analizimizde saldırgan sayısının artmasının RPL'in performansını nasıl etkilediğini araştırdık. İkinci incelememizdeyse çok sayıda saldırganları, her bir saldırgan sayısını kendi içinde olmak üzere, pozisyon kombinasyonları açısından test ettik. Benzetimlerimizden elde ettiğimiz sonuçlar saldırgan sayısını arttırmanın sadece paket başarımını etkilediğini gösterdi. Saldırganların pozisyonları için yaptığımız testlerse başarı ile ulaştırılan paket başına harcanan güç açısından ağın köşelerinde (edge) yer alan saldırganların diğer saldırı pozisyonlarına göre daha az güç tüketimine neden olduğunu gösterdi. Ağın merkezinde yer alan saldırganların ise başarıyla ulaştırılan paket başına harcanan güç değerini diğer pozisyonlara göre daha çok arttırdığını gördük. Paket başarım oranı ve ortalama ağ gecikmesi metrikleri içinse sonuçlar ağın merkezinde yer alan düğümlerin daha çok paket kayıplarına ve daha uzun ortalama ağ gecikmelerine neden olduğunu gösterdi. Benzetimlerimizden elde ettiğimiz sonuçlar bizim için oldukça ilginç sonuçlardı. Çünkü tek saldırganlı benzetimlerimizden aynı yönde sonuçlar almamıştık. Bu sorunu çözebilmek adına bir dizi analiz gerçekleştirdik. Bu amaçla iki benzetimde kullanılan DODAG topoloji farklılıklarını inceledik, performans ölçümü için kullandığımız log alma yöntemine ve performans metriği farklılıklarına baktık ve işletim sistemi güncellemelerini analiz ettik. Tüm tetkiklerimiz alınan farklı sonuçların işletim sistemindeki güncellemelerden kaynaklandığını gösterdi. Son olarak bu tez çalışmasında önerdiğimiz Eleme ve Kalkan tekniklerini çok saldırganlı durumlar için paket başarım oranı açısından inceledik. Elde ettiğimiz sonuçlar bize önerdiğimiz tekniklerin çok saldırganlı durumlarda da saldırı etkisini başarıyla azalttığını gösterdi.
The information technology is converting every aspect of human life to smart day by day. Currently, the Internet of Things (IoT) is the most promising technology in accordance with Machine Learning, Big Data Analytics, Cloud and Edge Computing to realize such a change. IoT, with its billions of \emph{things}, acting as the primary data source, is and will continue to be playing a crucial role to transform buildings, houses, factories, cities, suburban areas and many places to Internet-connected smart environments. IoT can be defined as a network of \emph{things} with sensing and/or actuating capabilities that can connect to the Internet and exchange information. The elements of the IoT include but not limited to, sensors, actuators, embedded and wearable devices. These devices form networks with different topologies (e.g., star, mesh) using various communication technologies (e.g., IEEE 802.15.4, Bluetooth, WiFi, LoRa, cellular, etc.). IoT is a candidate technology in order to realize the future Internet of Services and Industry $4.0$ revolution. However, there are serious threats for IoT, which aim to degrade the performance of the network, deplete the batteries of the devices and cause packet losses and delays. These attacks are called as Denial of Service (DoS) attacks, which are already notorious for their effects in existing communication systems. Limited power, processing, storage and radio dictate extremely efficient usage of these resources to achieve high reliability and availability in IoT. However, DoS and Distributed DoS (DDoS) attacks aim to misuse the resources and cause interruptions, delays, losses and degrade the offered services in IoT. For highly reliable and available IoT, such attacks have to be prevented, detected or mitigated autonomously. The goal of this thesis is to investigate how IoT networks can be secured against D/DoS attacks. For this aim, we focused on a subclass of IoT, namely the Low Power and Lossy Networks (LLNs). In LLNs, elements of the network are resource-constrained (i.e., limited processing, storage, communication and power sources) and the environment is lossy. The IETF and the IEEE proposed several standards to connect such networks to the Internet and allow various applications to be supported efficiently. The set of protocols are called as the \emph{standardized protocol stack}, which includes the IEEE 802.15.4 for PHY and MAC layer, 6LoWPAN adaptation layer between MAC and network layers, IPv6 Routing Protocol for Low Power and Lossy Networks (RPL) for network layer, UDP for transport layer and CoAP for application layer. We considered to study LLNs, because we believe that majority of the devices in IoT will be within the concept of LLNs. Limited resources, lossy environments and possibly mobility make such networks challenging to incorporate robust security solutions. Considering these devices are capable of connecting to the Internet, the task of protecting such networks against attackers gets more challenging. In this respect, we started our thesis journey with understanding the LLNs with its architectural design, elements and communication protocols. As we study the security of the LLNs, we analyzed the standardization efforts to secure the LLN-based IoT networks. Considering the pros and cons of the security solutions, resource-constraints, QoS requirements, implementation challenges, deployment environments and users, the Internet connectivity and the D/DoS attacks targeting the existing computer networks, we believed that there is a need for the LLNs to be secured against such attacks. Hence, we researched the D/DoS attacks which may target the LLNs. Our research revealed that, the LLNs can be the target of D/DoS attacks which can be either new (due to new protocols and standards) or old (attacks that have been targeting the existing networks). We analyzed the works that investigate the effects of the attacks, cryptography-based security solutions, protocol security studies and intrusion detection and mitigation systems that are specifically designed for the LLNs. We continued our journey with focusing on the network layer of the LLNs and specifically to the IPv6 Routing Protocol for Low Power and Lossy Networks (RPL) that was proposed by the IETF. Among the set of attacks, we targeted the Version Number Attack (VNA). In VNA, an attacker maliciously changes the VN, thus initiates an illegitimate global repair operation in RPL. However, in an ordinary RPL network, global repair operation can be started only by the DODAG root. Our motivation to choose the VNA among the other attacks were manifold. First of all, it was a pretty new DoS attack and it was not studied much in the literature. Since it was new, there was no detection or mitigation study or any in-depth analysis. It was also an interesting attack for us that, it did not need thousands of attackers, but only a single attacker was enough to affect the whole network. In order to analyze the effect of the VNA, we created a realistic topology considering the IETF's routing requirements documents for the LLNs. Using the Contiki Cooja, we simulated a single attacker at several positions within the RPL DODAG. Our topology had mobile nodes and hence, mobile attackers. We employed a probabilistic attacker model to identify the best setting for an attacker, not only in terms of the position, but also the attacking probability. Our analysis with respect to packet delivery ratio, RPL control message overhead, average network delay and average power consumption metrics showed that, control message overhead and packet delivery ratio results are highly correlated to the position of the attacker. Effect of the attack gets stronger as the attacker gets farther from the DODAG root. In terms of the attacking probability and the effect of the attack, we figured out that, performance of the network gets worse as the probability of attacking increases. Simulation results for mobile attackers show that, mobile attackers have nearly the same detrimental effects on the network as the best attacking positions for a static attacker. Our analysis with a single attacker revealed that, the VNA is a very serious threat for the RPL-based LLNs. It misuses the global repair operation of the RPL protocol and forces the complete network to be rebuilt over and over again. During this time, an excess amount of RPL control messages are generated, majority of the application data packets are lost, average network delay and power consumption are severely increased. Based on our observations for the strongest attacking positions and the ordinary global repair operation explained in the RPL specification, we came up with a simple mitigation mechanism for VNA, namely \emph{elimination}, that allows the VN updates coming from the direction of the DODAG root and stops the VN updates coming from the opposite direction (i.e., from the direction of leaf nodes). Elimination technique checks the sender of the incoming DIO (DIO with a greater VN). If the sender has a worse rank than the receiver node, which shows that it is positioned at the lower portions of the DODAG, the DIO is discarded since such an update should not come from that portions of the DODAG. We believed that the elimination technique would be very efficient to mitigate the effect of the VNA consisting of a single attacker. Since it eliminates the VN updates started from the direction of leaf nodes (positions at which VNA is the strongest) towards the DODAG root, the strongest attacking positions could be eliminated by this way. However, if the attacker is not far from the root, in other words, if the attacker is an intermediate node within the DODAG, then it can still affect the lower portions of the DODAG since the elimination technique will allow it. In order to overcome this issue and propose a complete solution, we came up with \emph{shield} mechanism that is based on the elimination technique. In shield, every node works on its own and keeps a list of its neighbors that have a better rank value than itself in a table, which we call as \emph{ShieldList}. If it receives a DIO with a greater VN (which signifies that a VN update is taking place), it firstly checks whether the DIO sender is in its ShieldList or not. If it does not exist within the table, then it discards the DIO. Because, such a DIO can come only from the direction of the DODAG root and possible senders are already listed in the ShieldList table. However, if the DIO sender exists within the table, then comes a trust mechanism, in which the receiving node expects other neighboring nodes (nodes within the ShieldList table) to announce such an update. It waits until majority of the ShieldList entries claim a VN update. Hence, it does not trust a single neighbor claiming a VN update, but trusts more neighbors announcing the same update. Thus, it can provide a solution not only against the attackers at the leaf nodes, but also attackers at the intermediate positions. We analyzed the performance of our new mitigation techniques by means of simulations. Simulation results show that, our novel mitigation techniques can effectively mitigate the effect of the VNA. In the last part of our thesis study, we focused on multiple VN attackers. We performed two sets of comparisons. In the first set of comparisons, we investigated the effect of increasing the number of attackers. In the second set of comparisons, we analyzed the effect of multiple attackers positions. Simulation results showed that, increasing the number of attackers affects only the packet delivery ratios. In terms power consumption per successfully delivered packets, the lowest values were obtained for the positions that are at the edges of the topology. In terms of distance to the DODAG root, closer positions seem to cause more power consumption per successfully delivered packets values than the farther positions. For packet delivery ratio and average network delay results, attackers at the center of the network caused the highest packet losses and longest delays. These results were interesting for us since our earlier study and a predecessor study had not realized such affects. Therefore, we conducted analysis to find out the underlying reasons. We considered topological differences, logging mechanisms and operating system changes. We concluded that, OS updates are the underlying reason for us to obtain different results for an RPL network under the VNA. Finally, we evaluated the performance of our mitigation techniques against multiple attackers based on packet delivery ratio results. We found out that our mitigation techniques successfully mitigate the effect of multiple attackers.
Açıklama
Tez (Doktora) -- İstanbul Teknik Üniversitesi, Fen Bilimleri Enstitüsü, 2019
Theses (Ph.D.) -- İstanbul Technical University, Institute of Science and Technology, 2019
Anahtar kelimeler
Nesnelerin interneti, Bilgisayar güvenliği, Siber terörizmden Korunma, Teknolojik yenilikler, Internet of things, Denial of service attacks, Computer security, cyber terrorism protection, Technological innovations
Alıntı