การพัฒนาระบบทดสอบตัวเลีบนแบบโครงข่ายเพื่อศึกษาการป้องกันการโจมตีแบบลอบดักฟังด้วยเทคโนโลยีโครงข่ายที่กำหนดโดยซอฟต์แวร์

Other Title (Parallel Title in Other Language of ETD)

Development of Network Emulator Testbed to Study Eavesdropping Attack Prevention with Software-De ned Network Technology

Author

ภัทรศักดิ์ นามศรี, คณะวิศวกรรมศาสตร์

Year (A.D.)

2022

Document Type

Thesis

First Advisor

เชาวน์ดิศ อัศวกุล

Faculty/College

Faculty of Engineering (คณะวิศวกรรมศาสตร์)

Department (if any)

Department of Electrical Engineering (ภาควิชาวิศวกรรมไฟฟ้า)

Degree Name

วิศวกรรมศาสตรมหาบัณฑิต

Degree Level

ปริญญาโท

Degree Discipline

วิศวกรรมไฟฟ้า

DOI

10.58837/CHULA.THE.2022.1433

Abstract

วิทยานิพนธ์ฉบับนี้มีจุดประสงค์เพื่อเสนอการพัฒนาระบบทดสอบตัวเลียนแบบของโครงข่ายที่กำหนดโดยซอฟต์แวร์สำหรับ ศึกษาการป้องกันการโจมตีรูปแบบการลอบดักฟังบนระบบโครงข่ายด้วยการใช้โครงข่ายที่กำหนดโดยซอฟต์แวร์ ในระบบทดสอบ นี้พฤติกรรมของสวิตช์เสมือนจะถูกกำหนดด้วยตัวควบคุม ODL. (OpenDaylight) (11) เพื่อใช้ในการส่งแพ็กเกตบนระนาบ ข้อมูลด้วยการจัดหาเส้นทางแบบพหุวิถี นอกจากนี้ข้อมูลดังกล่าวจะถูกส่งไปยังมิตเติลบอกซ์ (middle-box) เพื่อแบ่งเป็นแพ็ก เกตย่อย (chunked packet) และเพื่อสร้างแพ็กเกตหลอก (fake packet) ก่อนจะส่งบ่นไปกับแพ็กเกตย่อยที่มาจากข้อมูลจริง เพื่อทำให้ผู้ลอบดักฟังสับสน ทั้งนี้เพื่อให้มั่นใจได้ว่าผู้รับข้อมูลจะได้เพียงข้อมูลที่ถูกต้องเท่านั้นสวิตช์ปลายทางจะทิ้งแพ็กเกต หลอกตามไฟลว์เอนทรีที่ถูกติดตั้งไว้ด้วยตัวควบคุม ODL โดยการทดลองจะถูกแบ่งเป็น 2 ช่วงดังต่อไปนี้ การทดลองระบบทดสอบที่พัฒนาขึ้นบนโครงข่ายอย่างง่ายเป็นการทดลองบนโครงข่ายเสมือนขนาดเล็กโดยมีวิถีที่ส่งข้อมูล 2 วิถีเท่านั้น โดยใช้วิธีในการกำหนดโฟลว์แบบคงตัว (static flow) ในการควบคุมการส่งข้อมูลในระบบ จากผลการทดสอบ แสดงให้เห็นว่าการใช้ตารางโฟลว์ที่เสนอนั้น สามารถตอบสนองค่าสั่งปิงที่ระบุอายุของแพ็กเกตในระดับมิลลิวินาที แม้ว่าแพ็กเกตปิงเกิดการสูญหายเมื่อกำหนดให้อายุของแพ็กเกตปิงเป็น 1, 3, 5, 7 มิลลิวินาที แต่เมื่อกำาหนดให้อายุแพ็กเกตปิง 9 มิลลิ วินาทีแล้วพบว่าไม่มีการสูญหายของแพ็กเกตเกิดขึ้น นอกจากนี้ผลการทดลองยังแสดงให้เห็นถึงการกระจายตัวของแพ็กเกตว่า ยิ่งมีการส่งแพ็กเกตของข้อมูลจริงมากเท่าใด แพ็กเกตย่อยและแพ็กเกตหลอกก็จะมีอัตราส่วนการกระจายตัวที่สม่ำเสมอมากขึ้น จึงกล่าวได้ว่าระบบที่ได้นำเสนอสามารถส่งข้อมูล UDP บนเส้นทางแบบพหุวิถีที่ควบคุมโดยโครงข่ายที่กำหนดโดยซอฟต์แวร์ และป้องกันการโจมตีแบบลอบดักฟังได้ในระบบโครงข่ายเสมือนมินิเน็ต นอกจากนี้จากผลการทดลองการทดสอบความคงทน ต่อการถอดข้อความจากผู้โจมตีจะเห็นได้ว่าจำนวนรอบในการเรียงสับเปลี่ยนเพื่อหาลำดับที่ถูกต้องของแพ็กเกตย่อยที่เป็นข้อมูล ตั้งต้น (Nerm) ที่มากที่สุดที่ได้มาจากการทดลองจริงมีความใกล้เคียงกับค่า จากกราฟเส้นตรงที่ได้จากการคำนวณ สมการคณิตศาสตร์ที่เสนอในวิทยานิพนธ์ อย่างไรก็ตามค่า Neyma ยังมีความไม่แน่นอนอยู่ซึ่งในบางครั้งของการทดลองจะ มีค่า Narmy ที่ต่ากว่าค่าเฉลี่ยอย่างมากซึ่งแสดงให้เห็นว่าบางครั้งของการส่งข้อมูลก็อาจมีกรณีที่ผู้โจมตีสามารถถอดข้อความ โดยใช้จำนวนรอบการสับเปลี่ยนที่น้อยกว่าค่า ทดลองระบบทดสอบที่พัฒนาขึ้นบนโครงข่ายที่เพิ่มความซับซ้อนซึ่งเป็นการทดลองบนโครงข่ายอย่างสุ่มที่สร้างขึ้นด้วย อัลกอลิทีม Erdos-Renyi ที่มีตัวแปรในการกำหนดรูปแบบโครงข่ายคือจำนวนในด (de) และความน่าจะเป็นในการกำหนด เส้นทางการเชื่อมต่อระหว่างคู่ในตที่สร้างขึ้น (1) เนื่องจากโครงข่ายมีการเปลี่ยนแปลงอยู่เสมอในการทดลองดังนั้นจึงใช้โฟลว์ แบบพลวัดในการควบคุมเส้นทางการส่งข้อมูลผ่านวิถีที่สั้นที่สุดโดยใช้เน็ตเวิร์คเอกซ์ในการคำนวน จากผลการทดสอบแสดงให้ เห็นว่าระบบทดสอบที่พัฒนาขึ้นโดยใช้เน็ตเวิร์คเอกซ์ในการหาวิถีที่สั้นที่สุดสามารถใช้งานได้กับโครงข่ายใด ๆ ที่สร้างแบบสุน ด้วยอัลกอลิทึม Endos-Reayi จากการทดสอบวัดค่าโอเวอร์เฮดของระบบผ่านเวลาที่แพ็กเกตใช้เดินทางจากโนลต้นทางไปยังโนด ปลายทาง (transmission) พบว่าผลกระทบที่เกิดขึ้นต่อระบบจากระยะทางที่ใช้ในการส่งข้อมูลจากโนดต้นทางไปยังโนดปลายทาง ซึ่งสามารถนับจากจำนวนฮอปที่ใช้ในการส่งข้อมูล โดยหากระยะทางที่ใช้ในการส่งเพิ่มขึ้นก็จะส่งผลให้โอเวอร์เฮดเพิ่มขึ้นด้วย เช่นกัน โดยผลกระทบดังกล่าวอยู่ในหน่วยของวินาทีซึ่งสามารถเปลี่ยนแปลงขึ้นอยู่กับการกำหนดตัวแปร nfake nchuck และ npath เมื่อพิจารณาถึงระดับความปลอดภัยของระบบที่นำเสนอขึ้นแล้ว ด้วยจำนวนโอเวอร์เฮดที่เกิดขึ้นในหน่วยวินาทีนั้นสามารถพิจารณาได้ว่าเป็นการเพิ่มระดับความปลอดภัยอย่างคุ้มค่าจากการโจมตีแบบลอบดักฟังบนทุกวิถีการส่งข้อมูลที่สามารถต่อยอดการนำไปใช้ในทางปฏิบัติได้ในอนาคต

Other Abstract (Other language abstract of ETD)

This thesis presents the development of a network emulator testbed to study eavesdropping attack prevention with software-defined network technology. In the testbed, the activity of the virtual switch is defined by ODL (OpenDaylight) controller [11] for sending the packets over the data plane with a multi-path routing method. The data will be sent to the middle-box for chunking as chunked packets and creating the fake packets before mixing all packets together to confuse the attacker. To ensure that only the proper receiver can receive only the correct packets, the neighbor switch of the destination host will drop the fake packets following the flow entry, which is installed by the ODL controller. The experiments are reported in two parts as follows. The development of the testbed emulator for the simple network is the experiment on a small network containing only two paths using static flow to control network traffic. The experiment result illustrates that the proposed flow table can respond to ping commands that have been configured with the expired time of packet in milliseconds. Although ping packet loss occurs after the expired time defined as 1, 3, 5, or 7 milliseconds, there is no loss after the expired time is sufficiently incremented to 9 milliseconds. Moreover, the experiment result shows from the packet distribution that the more real packets are sent, the better fake and chunked packets are evenly distributed. Thus, the proposed testbed emulator can send the UDP data over the muli-path routing, which is controlled by software-defined network and this can prevent the virtual network in mininet from eavesdropping attacks. Furthermore, the experiment results from the resistance of the packet transcription from the attacker show that the maximum value Nmax permu of the number of packets that must be read to find the original sequence of the chunked packet (Npermu) can be calculated from the proposed mathematical equation in this thesis. However, the value of Npermu is fluctuating. At times, the value of Npermu can be significantly lower than the mean value. In this case, it can be interpreted that the attacker can transcript the meaning of the packet by suffering only a few times of packet reading trails. The development of the testbed emulator for the complicated network on a random network has also been created by the Erdos-Renyi algorithm. Erdos-Renyi algorithm can be configured by two variables which are the number of nodes in the network (nnode) and the probability of edge creation between each node pair in the network (p). With the randomness of the networks that can be tested in the experiment, the dynamic flow assignment is used to control the network traffic via shortest path routing calculated by using networkX library. The experiment result shows that the testbed emulator developed using networkX to find shortest paths can be applied to the arbitrary networks created by the Erdos-Renyi algorithm. The reported result of overhead measurement through the time duration of packet travelling from source node to destination node (ttrasmission) suggests that the distance which can be counted from the number of hops between a source node and destination nodes can affect to this overhead. If the route distance is increased, then the overhead value will also be increased. The impact of the route distance can affect this overhead within only seconds depending on variables nfake nchunk and npath. Considering the security level of the proposed testbed, this amount of overhead in only seconds could be considered worth fully a security improvement against eavesdropping attacks over all the routing paths, and hence a suggestion for further extension of proposed algorithm for future practical uses.

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-No Derivative Works 4.0 International License.

Recommended Citation

นามศรี, ภัทรศักดิ์, "การพัฒนาระบบทดสอบตัวเลีบนแบบโครงข่ายเพื่อศึกษาการป้องกันการโจมตีแบบลอบดักฟังด้วยเทคโนโลยีโครงข่ายที่กำหนดโดยซอฟต์แวร์" (2022). Chulalongkorn University Theses and Dissertations (Chula ETD). 74856.
https://digital.car.chula.ac.th/chulaetd/74856