Palvelunestohyökkäykseen osallistuvan IoT-laitteen havaitseminen tukiasemassa
Hilke, Joonas; Moberg, Santeri; Säärelä, Juuso (2019-01-16)
J. Hilke; S. Moberg; J. Säärelä
16.01.2019
© 2019 Joonas Hilke, Santeri Moberg, Juuso Säärelä. Tämä Kohde on tekijänoikeuden ja/tai lähioikeuksien suojaama. Voit käyttää Kohdetta käyttöösi sovellettavan tekijänoikeutta ja lähioikeuksia koskevan lainsäädännön sallimilla tavoilla. Muunlaista käyttöä varten tarvitset oikeudenhaltijoiden luvan.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:oulu-201901171072
https://urn.fi/URN:NBN:fi:oulu-201901171072
Tiivistelmä
Esineiden internet (Internet of things, IoT) tulee kasvamaan huomattavasti tulevaisuudessa ja markkinoille ilmestyy jatkuvasti heikolla tietoturvalla varustettuja IoT-laitteita. Palvelunestohyökkäyksiä tekevät bottiverkot ovat alkaneet suosimaan niitä ja ne koostuvatkin suurimmaksi osaksi saastuneista IoT-laitteista. Tällaisten IoT-laitteiden tietoturvan parantamiseen tarvitaan jatkuvasti uusia tietoturvaratkaisuja, joiden avulla voidaan ehkäistä palvelunestohyökkäyksiä ja siten suojata sekä internetin käyttäjiä että palveluita bottiverkkojen luomalta kasvavalta uhalta.
Työssä toteutettiin langattomassa tukiasemassa ajettava ohjelma, jonka tarkoitus on havaita palvelunestohyökkäykseen osallistuva tukiasemaan yhdistetty IoT-laite. Ohjelma suunniteltiin havaitsemaan UDP-, TCP SYN-, DNS- ja ICMP-tulva-hyökkäykset. Havaitseminen tapahtuu tarkkailemalla ja analysoimalla tukiasemaan yhdistyneiden IoT-laitteiden verkkoliikennettä. Havaittuaan hyökkäävän laitteen, ohjelma ilmoittaa hyökkäyksestä tallentamalla hyökkäykseen liittyvät tiedot paikalliselle verkkosivulle.
Ohjelmaa testattiin simuloimalla edellä mainittuja palvelunestohyökkäystyyppejä itsetehdyillä DoS-työkaluilla. Testien perusteella todettiin, että ohjelma pystyy onnistuneesti havaitsemaan kaikki testeissä simuloidut palvelunestohyökkäystyypit, vaikka ohjelman rajallinen suorituskyky vaikutti negatiivisesti ohjelman kapasiteettiin analysoida verkkoliikennettä. Lisäksi huomattiin, että ohjelma voi tulkita suuren määrän normaalia UDP-verkkoliikennettä palvelunestohyökkäykseksi.
Työssä toteutettiin langattomassa tukiasemassa ajettava ohjelma, jonka tarkoitus on havaita palvelunestohyökkäykseen osallistuva tukiasemaan yhdistetty IoT-laite. Ohjelma suunniteltiin havaitsemaan UDP-, TCP SYN-, DNS- ja ICMP-tulva-hyökkäykset. Havaitseminen tapahtuu tarkkailemalla ja analysoimalla tukiasemaan yhdistyneiden IoT-laitteiden verkkoliikennettä. Havaittuaan hyökkäävän laitteen, ohjelma ilmoittaa hyökkäyksestä tallentamalla hyökkäykseen liittyvät tiedot paikalliselle verkkosivulle.
Ohjelmaa testattiin simuloimalla edellä mainittuja palvelunestohyökkäystyyppejä itsetehdyillä DoS-työkaluilla. Testien perusteella todettiin, että ohjelma pystyy onnistuneesti havaitsemaan kaikki testeissä simuloidut palvelunestohyökkäystyypit, vaikka ohjelman rajallinen suorituskyky vaikutti negatiivisesti ohjelman kapasiteettiin analysoida verkkoliikennettä. Lisäksi huomattiin, että ohjelma voi tulkita suuren määrän normaalia UDP-verkkoliikennettä palvelunestohyökkäykseksi.
Kokoelmat
- Avoin saatavuus [38618]