Relay Attacks over the Internet : Anomaly Detection using Time Measurement - Institut de Recherche en Informatique et Systèmes Aléatoires - Composante INSA Rennes Accéder directement au contenu
Thèse Année : 2023

Relay Attacks over the Internet : Anomaly Detection using Time Measurement

Attaques par Relais sur Internet : Détection d’Anomalie par Mesures de Temps

Olivier Gimenez
  • Fonction : Auteur
  • PersonId : 1379619
  • IdRef : 277431824
Institut de Recherche en Informatique et Systèmes Aléatoires

Résumé

The Internet has grown to become a massive communication tool, spreading out knowledge, offering entertainment and services, and connecting billions of people worldwide. The challenge of properly routing information over such a network infers an unprecedentedly complex topology depending non-exhaustively on geographical position of the nodes, commercial or governmental alliances, or construction cost of physical links... Nowadays, this challenge is overcome by a collaborative approach in which a permanent pear to pear communication allows to construct global routing tables linking every connected equipment together. In this context, a family of attacks rapidly emerged: the hijacking attacks. An hijacking attack is defined by any malicious alteration of the standard construction of one or several routes. Such attacks can be derivated in 3 main categories: Black hole, the packets are thrown before reaching their destination, Redirection, the packets are routed to the wrong destination, Relay, the packets travel through an undesired set of nodes before reaching their destination. Whether intentional or accidental, hijacking events have become more and more frequent over the last decades, highlighting a clear need to rethink the way we supervise our communications. The responses on that matter are focusing on mitigation, whether by adding security layers to the current protocols, or by designing novel routing architecture from scratch. For the former, it requires providing a flawless protection without introducing latencies. For the latter, it requires a very long process of standardization, assuming the entire world agrees on one given architecture.\\ During these 3 years, we have decided to explore a third option, aiming to efficiently and quickly detect when a relay hijacking attack is ongoing. The goal of this research is to construct a protocol, simple in its design, that does not need to consider the topology of the Internet, and that could be deployed regardless of the underlying routing process. Our proposal relies on a distance-bounding mechanism that performs interactive authentication with a ``Challenge-Response'' exchange, and measures the round-trip time of messages to decide whether an attack is ongoing. Over the course of this manuscript, we explore the adaptability of the idea of distance bounding in the far more dynamic environment that is the Internet. Our construction is supported by worldwide experiments on communication time between multiple nodes, allowing us to both demonstrate its applicability and evaluate its performances. The final protocol is efficient - it requires only two cryptographic operations per execution, inducing negligible workload for users and very few losses of throughput, scalable - no software updates are required for intermediate network nodes, routing protocol independent - this means that any future update of the route selection process will not induce changes on our scheme, network friendly - the added volume of transiting data is only about 1.5%, and secure - we provide a complete security proof in the random oracle model.
Le réseau Internet est rapidement devenu un outil permettant le partage des connaissances, la distribution de services et de divertissements, et la connexion de plusieurs milliards d'utilisateurs dans le monde entier. Le défi de correctement acheminer des informations sur un tels réseaux implique une topologie complexe sans précédent. Sans pouvoir être exhaustif, cette topologie dépend de la position géographique des nœuds, d'alliances commerciales ou gouvernementales, ou encore du coût de construction et d'installation des câbles... De nos jours, ce défi est relevé par une approche collaborative dans laquelle une communication de pair à pair permet la construction de table de routage reliant chaque équipement connecté. Dans ce contexte, une famille d'attaque a rapidement émergé : les attaques par détournement de trafic. Une attaque par détournement de trafic est définie par l'altération malveillante d'une ou plusieurs routes. Ce genre d'attaques peut être dérivé en 3 catégories principales : les attaques Trou noir, dans lesquelles les paquets sont détruits ou jetés avant d'atteindre leur destination, les attaques de Redirection, dans lesquelles les paquets sont routés vers la mauvaise destination, et les attaques par Relai, dans lesquelles les paquets traversent un ensemble de nœuds illégitimes avant d'arriver à leur destination. Qu'elles soient intentionnelles ou accidentelles, les occurrences de détournements de trafic sont de plus en plus fréquentes depuis quelques décennies. Ceci met clairement en évidence un besoin de repenser la façon dont sont supervisées nos communications. Sur ce sujet, le monde de la recherche concentre ses efforts sur des solutions visant à empêcher ces attaques, soit en ajoutant des couches sécuritaires aux protocoles existants, soit en proposant une architecture de routage complètement nouvelle. Dans le premier cas, l'enjeu est de fournir une protection sans faille, tout en n'introduisant aucune latence supplémentaire. Le deuxième cas, quant à lui, implique un très long processus de standardisation, et surtout le besoin de convaincre le monde de passer d'une architecture à une autre. Durant ces 3 ans, nous avons exploré une troisième option, visant à détecter rapidement et efficacement une attaque par relai. L'objectif est de construire un protocole au design simple, sans prise en compte la complexité de la topologie d'Internet, et pouvant être déployé quel que soit le protocole de routage sous-jacent. Notre proposition s'inspire d'un mécanisme dit de « distance bounding », une famille de protocoles permettant une authentification interactive, mesurant le temps aller-retours des messages pour décider si une attaque est en cours. Notre construction est soutenue par des mesures de temps à l'échelle mondiale, permettant aussi bien de montrer son applicabilité pratique que d'en évaluer les performances. Le protocole proposé est efficace - il n'utilise que 2 opérations cryptographiques par exécution, impliquant une charge négligeable pour les utilisateurs, et de faibles pertes en termes de débit, applicable - aucune mise à jour n'est requise pour les nœuds du réseau, indépendant du protocole de routage - la méthode de routage n'a pas d'impact sur notre schéma, sans impact sur les performances réseau - le volume de données supplémentaires en transit n'est que de l'ordre de 1.5%, et sécurisé - nous fournissons une preuve de sécurité complète dans le modèle de l'oracle aléatoire.

Domaines

Cryptographie et sécurité [cs.CR]
Fichier principal
Vignette du fichier
TheseDEF_Olivier_GIMENEZ.pdf (5.7 Mo) Télécharger le fichier
Origine : Version validée par le jury (STAR)

ABES STAR  :  Contact

https://theses.hal.science/tel-04564337

Soumis le : mardi 30 avril 2024-15:25:08

Dernière modification le : jeudi 2 mai 2024-03:11:30

Télécharger pour visualiser

Dates et versions

tel-04564337 , version 1 (30-04-2024)

Identifiants

  • HAL Id : tel-04564337 , version 1

Citer

Olivier Gimenez. Relay Attacks over the Internet : Anomaly Detection using Time Measurement. Cryptography and Security [cs.CR]. INSA de Rennes, 2023. English. ⟨NNT : 2023ISAR0007⟩. ⟨tel-04564337⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite

Collections

INSTITUT-TELECOM UNIV-RENNES1 CNRS INRIA INSA-RENNES IRISA STAR IRISA-INSA-R CENTRALESUPELEC UR1-THESES UR1-MATH-STIC UR1-UFR-ISTIC UNIV-RENNES INSA-GROUPE UR1-MATH-NUM
0 Consultations
0 Téléchargements

Partager

Gmail Facebook X LinkedIn More