Conference PaperPDF Available

Implementación de un ataque DoS a redes WPAN 802.15.4

Authors:

Abstract and Figures

Las redes industriales y, concretamente, las redes de sensores son hoy en día una realidad emergente y con muchas expectativas de cara al futuro sobre todo en entornos empresariales o públicos. Los grandes ayuntamientos están creando las smart-cities con este tipo de estructuras. Entre los estándares que existen parece que hay dos que se imponen, los estándares 802.15.4 y ZigBee. Conjuntamente proporcionan un conjunto de protocolos y servicios a los usuarios para permitir una comunicación fiable y segura. Todo y eso, como la mayoría de redes inalámbricas, estas redes no están exentas de potenciales peligros que pueden ponerlas en un compromiso. El objetivo de este artículo es mostrar la implementación de un ataque de denegación de servicio mediante un caso real. Como prueba de concepto, se muestra como dejar inhabilitado un nodo de una red que utiliza la especificación 802.15.4.
Content may be subject to copyright.
RECSI 2014, Alicante, 2-5 septiembre 2014
Implementaci´
on de un ataque DoS a redes WPAN
802.15.4
Aleix Dorca
Estudis d’Inform`
atica,
multimedia i Teleciomunicaci´
o
Universitat Oberta de Catalunya
Email: adorca@uoc.edu
Jordi Serra-Ruiz
Estudis d’Inform`
atica,
multimedia i Teleciomunicaci´
o
Universitat Oberta de Catalunya
Email: jserrai@uoc.edu
Resumen—Las redes industriales y, concretamente, las redes
de sensores son hoy en d´
ıa una realidad emergente y con muchas
expectativas de cara al futuro sobre todo en entornos empresa-
riales o p´
ublicos. Los grandes ayuntamientos est´
an creando las
smart cities con este tipo de estructuras. Entre los est´
andares
que existen parece que hay dos que se imponen, los est´
andares
802.15.4 y ZigBee. Conjuntamente proporcionan un conjunto
de protocolos y servicios a los usuarios para permitir una
comunicaci´
on fiable y segura. Todo y eso, como la mayor´
ıa de
redes inal´
ambricas, estas redes no est´
an exentas de potenciales
peligros que pueden ponerlas en un compromiso. El objetivo
de este art´
ıculo es mostrar la implementaci´
on de un ataque de
denegaci´
on de servicio mediante un caso real. Como prueba de
concepto, se muestra como dejar inhabilitado un nodo de una
red que utiliza la especificaci´
on 802.15.4.
Palabras clave—Seguridad (security), Wi-Fi, 802.15.4, ZigBee,
Smart Cities, DOS.
I. INTRODUCCI ´
ON
Antes de tratar espec´
ıficamente los est´
andares que son
el objeto de este art´
ıculo es interesante hacer una breve
presentaci´
on de lo que son las redes adhoc y, como caso
especial, las redes de sensores que se utilizan es este tipo
concreto de infraestructuras. Estos dos tipos de redes tienen
muchas similitudes pero a la vez tambi´
en presentan algunas
diferencias importantes.
[1] describe una red adhoc como un conjunto de nodos que
se comunican entre s´
ı mediante unos enlaces radioel´
ectricos.
Cada dispositivo de esta red tiene libertad total de movimientos
por el espacio, y eso hace que la red se tenga que adaptar
a los cambios de manera aut´
onoma y autom´
atica. Los nodos
pueden aparecer y desaparecer en cualquier momento. Por eso
cada nodo se tiene que comportar como un encaminador de la
informaci´
on para el resto de los nodos, ya que los cambios en
la estructura de la red pueden necesitar de esa caracter´
ıstica,
y tiene que hacer circular por la red el tr´
ansito que recibe y
del cual no es el destinatario final.
Las redes de sensores son una particularidad formada por
dispositivos aut´
onomos que por lo general se encargan de
monitorizar condiciones ambientales o f´
ısicas. As´
ı, por ejem-
plo, podemos encontrar sensores destinados en el control de
temperatura, presi´
on, peso, sonido, vibraciones, etc. Estos dis-
positivos inal´
ambricos env´
ıan la informaci´
on que sus sensores
detectan a trav´
es de la red hacia nodos de control. Estas redes
son interesantes puesto que implementar una soluci´
on similar
utilizando redes cableadas podr´
ıa suponer un problema de
presupuesto y un problema de log´
ıstica haci´
endola inviable
en la mayor´
ıa de casos. Utilizando el aire como medio de
comunicaci´
on da la posibilidad de instalar todos aquellos
dispositivos o nodos necesarios a un precio muy econ´
omico
en comparaci´
on con levantar toda una calle para colocar unos
sensores de presencia de veh´
ıculos estacionados.
A grandes rasgos, los dos tipos de redes presentan las
siguientes similitudes:
Permiten la comunicaci´
on entre dispositivos mediante el
env´
ıo de datos con encaminamiento multi-salto (multi-
hop).
Lo m´
as usual es tratar con dispositivos que disponen de
recursos m´
ınimos, ya sea de proceso, memoria o almace-
namiento, en los dos casos. Los dispositivos acostumbran
a ser peque˜
nos y alimentados con peque˜
nas bater´
ıas que
con el tiempo hay que reemplazar.
Las principales diferencias son las siguientes:
Las redes adhoc permiten la comunicaci´
on entre cual-
quier par de dispositivos mientras que las redes de
sensores definen tipos de encaminamiento espec´
ıficos.
A pesar de que los dispositivos acostumbran a tener
recursos m´
ınimos, esta caracter´
ıstica se hace todav´
ıa m´
as
patente en las redes de sensores donde los dispositivos,
una vez asociados a la red, han que estar largos per´
ıodos
tiempos (meses o a˜
nos) sin ser recargados o reempla-
zados. Es evidente que la gesti´
on de la energ´
ıa es un
punto clave en la gesti´
on y dise˜
no de estas redes. Algunos
ejemplos podr´
ıan ser:
Calles donde los sensores de ocupaci´
on de plazas de
estacionamiento se encuentran bajo tierra.
Monitorizaci´
on de espacios naturales. (humedad,
luz, lluvia...)
Detecci´
on de incendios, terremotos o inundaciones.
Control del tr´
afico.
Los nodos en redes de sensores a menudo tienen relacio-
nes de confianza entre nodos cercanos puesto que no es
extra˜
no que todos ellos recojan informaci´
on similar o re-
dundante, por lo que enviarla por la red ser´
ıa una p´
erdida
de recursos. Este comportamiento de complicidad no se
ISBN: 978-84-9717-323-0
328 A. Dorca, J. Serra-Ruiz
encuentra en las redes adhoc.
I-A. Protocolo 802.15.4 y ZigBee
En esta secci´
on se mostrar´
a el comportamiento general
del est´
andar 802.15.4 y el protocolo ZigBee, que permiten
comunicar dispositivos remotos de bajo rendimiento.
I-A1. Est´
andar 802.15.4: El est´
andar 802.15.4 define las
capas de comunicaci´
on f´
ısica y de acceso al medio de la pila de
protocolos. Otras caracter´
ısticas de este est´
andar son el hecho
que presenta una alta flexibilidad en cuanto a la configuraci´
on
de red, un bajo coste computacional y a la vez un muy bajo
consumo [3].
La capa f´
ısica adem´
as de enviar y recibir paquetes a la red
se encarga de toda una serie de tareas como por ejemplo la
activaci´
on del enlace, la detecci´
on de energ´
ıa o el indicador
de baja calidad.
Canales de transmisi´
on
La capa f´
ısica se puede configurar para transmitir en di-
ferentes canales o bandas de frecuencia dependiendo de las
necesidades de cada caso. Se definen los siguientes canales:
Banda de 2450 MHz de 16 canales con una velocidad m´
axima
de 250 kbps. Banda de 915 MHz de 10 canales con una
velocidad m´
axima de 40 kbps y banda de 868 MHz de 1
canal con una velocidad m´
axima de 20 kbps.
Se ha que tener en cuenta que la comunicaci´
on en la banda
de 2450 MHz trabaja en el misma zona de frecuencia que
los dispositivos Wi-Fin 802.11. Es por eso que se recomienda
escoger los canales 15, 20, 25 o 26 del est´
andar 802.15.4 para
no provocar interferencias.
Capa de acceso al medio
Esta capa define como se realiza la comunicaci´
on a bajo
nivel entre dispositivos. Se definen aspectos como la ge-
neraci´
on de los beacons, la duraci´
on de la transmisi´
on de
estos, el establecimiento de una pol´
ıtica de slots equitativa,
la asociaci´
on de nodos y la validaci´
on de las tramas [4].
El protocolo de acceso al medio se implementa mediante el
algoritmo CSMA-CA.
La capa de control de acceso al medio define dos tipos de
dispositivos que se pueden encontrar en una red 802.15.4 [5]:
Los nodos de funci´
on completa (Full Function Device
FFD): Estos vienen equipados con una serie completa de
funciones en la capa de acceso al medio, cosa que les
permite actuar como coordinadores de la red o como
dispositivos finales. Cuando estos nodos act´
uan como
coordinadores pueden enviar beacons, o se˜
nalizaciones
para proveer la red de servicios de sincron´
ıa, comunica-
ci´
on y procesos de acceso a la misma.
Los nodos de funci´
on reducida (Reduced Function De-
vice–RFD): Este tipo de nodos solo pueden actuar como
nodos finales y no como coordinadores. Vienen equipa-
dos con sensores, actuadores, transductores, interrupto-
res, etc. Y solo pueden interactuar con dispositivos que
sean nodos de funci´
on completa.
Todas las redes 802.15.4 han de tener como m´
ınimo un
dispositivo FFD que act´
ue como coordinador. Uno de estos
dispositivos es elegido coordinador de la PAN (Personal Area
Network), responsable de las tareas de control de la red y de
la seguridad.
Cualquier dispositivo RFD siempre tiene que estar asociado
a un FFD para el correcto funcionamiento de la red. En el
apartado de topolog´
ıa de la red de ZigBee se ven algunos
ejemplo de asociaci´
on de nodos.
Formato de trama
La tabla Imuestra el esquema de la estructura del formato
de una trama MAC.
Donde: MHR es la cabecera, MSDU los datos (o Payload)
y un final de trama (MFR)
Campo de control: Este campo de longitud 16 bits
contiene toda la informaci´
on de control del paquete.
Eso incluye el tipo de trama (Datos, ACK, etc.), si
la seguridad est´
a habilitada, si se necesario un ACK
para esta trama. Adem´
as se define si los campos de
direccionamiento estar´
an todos presentes y la longitud
de estos. Por ejemplo, si el campo Intra-PAN est´
a activo
entonces el campo de PAN origen no estar´
a presente. La
tabla II muestra la estructura de estos campos.
Control de secuencia: Este campo se utiliza para veri-
ficar el orden de llegada de los paquetes y para evitar
ataques de reenv´
ıo. Este valor aparecer´
a en los paquetes
ACK conforme el paquete con el c´
odigo de secuencia
especificado ha sido recibido.
Campos de direccionamiento: Estos cuatro valores no
son siempre obligatorios y depender´
a del tipo de trama.
Existen cuatro campos que corresponden a las PAN de
origen y destino y la direcci´
on origen y destino a nivel
MAC. Las direcciones MAC pueden tener diferentes
medidas seg´
un los est´
andares IEEE: 16 o 64 bits.
Carga (Payload): En este campo se almacena los datos
del paquete, concretamente, estar´
a los datos del protocolo
ZigBee, a pesar de que no tendr´
ıa que ser siempre
as´
ı puesto que este est´
andar est´
a preparado para en-
capsular otros protocolos. La longitud de este campo
es variable siempre y cuando no sobrepase la longitud
m´
axima de una trama MAC (127 bytes).
C´
odigo de verificaci´
on (FCS): 16 bits que almacenan los
datos de verificaci´
on de la trama. Se utiliza un algoritmo
CRC de 16 bits.
I-A2. La especificaci´
on ZigBee: La especificaci´
on ZigBee
se encarga de definir en detalle las capas superiores de la pila
de protocolos. Concretamente se trata de las capas de red y
de aplicaci´
on. Adem´
as, ZigBee tambi´
en define los siguientes
aspectos:
Tipo de dispositivos descritos en el apartado I-A1
Topolog´
ıa de la red.
Procedimiento para acceder o abandonar la red.
Algoritmos de encaminamiento.
Topolog´
ıa
En en cuanto a la topolog´
ıa de la red se definen tres tipos de
distribuci´
on de los nodos [5]. Se pueden apreciar en la figura 1
Estrella: Existe un nodo central que a la vez act´
ua de
coordinador y gestor. El nodo central es un dispositivo
Implementaci´
on de un ataque DoS a redes WPAN 802.15.4 329
Bytes:2 1 0/2 0/2/8 0/2 0/2/8 variable 2
Control Secuencia PAN destino Destino PAN origen Origen Datos FCS
Campos de direccionamiento
MHR MSDU MFR
Tabla I
FOR MATO DE L A TRA MA MAC
Bits: 0-2 3 4 5 6 7-9 10-11 12-13 14-15
Tipo de trama Segur. habilitada Trama pendiente ACK necesario Intra PAN Reser. Tipo direc. destino Reser.o Tipo direc. origen
Tabla II
FOR MATO DE L CAM PO D E CON TRO L DE L A CAPA MAC
Coordinador de la xarxa
Dispositiu de funcionalitats completes
Dispositiu de funcionalitats reduïdes
Estrella Malla Grup d'arbres (Cluster Tree)
Figura 3: Topologies de xarxa en ZigBee.
El paquet ´es per a mi? S´
I: Passa’l a una capa superior de la pila de protocols; NO:
continua...
El paquet ´es per a un node fill meu? S´
I: Envia’l al node; NO: continua...
Existeix un ruta pel paquet? S´
I: Envia’l al seg¨uent salt; NO: continua...
Hi ha recursos per realitzar una descoberta de ruta? S´
I: Procedeix amb el proc´es
de descoberta; NO: Envia’l per l’arbre a la branca superior.
Per tal de realitzar una descoberta de ruta s’utilitza l’algorisme AODV (AdHoc On
Demand Distance Vector Routing)[10] que, resumidament, consisteix en enviar un paquet
a tots els nodes ve¨ıns, el quals tamb´e el propagaran, amb la finalitat d’arribar al dest´ı. A
mesura que el paquet passa per tots els nodes s’actualitza el cost de la ruta per la qual
el paquet a passat. Quan el paquet finalment arriba al dest´ı s’envia una resposta al no de
origen amb la ruta que ha estat m´es `optima. El no de origen, aleshores, actualitza la seva
taula de rutes.
2 Aspectes de seguretat
A part d’aquestes caracter´ıstiques b`asiques s’ha posat especial `emfasi en la seguretat
dels est`andards. D’entrada tots dos protocols estableixen tota una s`erie d’opcions que fan
que la seguretat ja no depengui del propi codi de l’aplicaci´o. El propi protocol pot xifrar,
per exemple, el contingut de les trames. Vegem les diferents opcions que els protocols
ofereixen.
2.1 Seguretat en IEEE 802.15.4
L’est`andard 802.15.4 defineix tres modes de seguretat[2][7]:
1. Sense seguretat
6
Figura 1. Topolog´
ıa de las redes de sensores
FFD mientras que el resto son, o pueden ser, RFD.
Malla: Este tipo de topolog´
ıa permite que entre en-
caminadores FFD del tipo Cluster Tree tambi´
en haya
comunicaci´
on sin tener que depender del nodo central.
Grupo de ´
arboles: En este tipo de topolog´
ıa existe un
nodo central que a la vez act´
ua como coordinador de
la red y gestor. De este nodo dependen toda otra serie
de nodos que pueden ser tanto FFD como RFD. En este
caso los nodos FFD actuar´
an como encaminadores para
otros dispositivos RFD. Es escalable siempre y cuando
los encaminadores sean FFD.
Encaminamiento
El encaminamiento en las redes ZigBee se realiza depen-
diendo del tipo de topolog´
ıa que se ha escogido. En cualquier
caso intervienen procesos de descubrimiento de rutas as´
ı como
encaminamiento mediante tablas de rutas. El algoritmo de
encaminamiento es sencillo y se puede resumir en que si
la informaci´
on es para el propio nodo se pasa a la pila de
protocolos, sino se mira si es para un nodo hijo y se env´
ıa al
nodo o a la ruta preestablecida.
Para realizar el descubrimiento de la ruta id´
onea se utiliza
el algoritmo AODV (AdHoc on Demand Distance Vector
Routing) que consiste en enviar un paquete a todos los nodos
vecinos, que tambi´
en propagar´
an, con el fin de llegar al nodo
destino. A medida que el paquete pasa por los nodos se
actualiza el coste de la ruta por la cual el paquete ha pasado.
Y cuando el paquete llega al destino se env´
ıa una respuesta al
nodo origen con la ruta m´
as ´
optima.
II. AS PE CTOS DE SEGUR IDAD
Aparte de estas caracter´
ısticas b´
asicas se ha puesto especial
´
enfasis en la seguridad de los est´
andares. Las dos especifi-
caciones establecen una serie de opciones que hacen que la
seguridad ya no dependa del propio c´
odigo de la aplicaci´
on.
El protocolo puede cifrar, por ejemplo, el contenido de las
tramas.
II-A. Seguridad en IEEE 802.15.4
El est´
andar 802.15.4 define tres modos de seguridad [5]–[6]:
1. Sin seguridad.
2. Modo ACL (Access Control Lists). No presenta cifrado
pero solo se aceptan paquetes de dispositivos en listas
de control de acceso.
3. Modo Seguro. Algunas de las caracter´
ısticas que pue-
de incluir este modo son: Integridad, Confidencialidad,
Control de acceso, etc.
A la vez se definen cuatro servicios de seguridad:
1. Control de acceso v´
ıa ACL.
2. Cifrado de datos mediante el algoritmo AES de 128bits.
3. Integridad de las tramas.
4. Control de secuencia para evitar ataques de reenv´
ıo.
Finalmente se definen ocho configuraciones de seguridad
posibles en las que se puede escoger el algoritmo de cifrado
as´
ı como el modo y la longitud del c´
odigo de integridad.
Algunas configuraciones incluyen solo autenticaci´
on de las
tramas mientras que otras m´
as completas a˜
naden la opci´
on
de cifrado seg´
un los requerimientos de la aplicaci´
on.
II-B. Seguridad en ZigBee
Aparte de los elementos de seguridad del est´
andar 802.15.4
de los que ZigBee tambi´
en se puede beneficiar, define toda
una serie de conceptos orientados a la seguridad. De entrada
la seguridad en ZigBee se basa en los siguientes principios [7]:
Simplicidad: Cada capa se encarga de su seguridad.
Es directa: Las claves de cifrado se intercambian direc-
tamente entre origen y destino.
Extremo a extremo: Los datos circulan cifrados de origen
a destino sin tener que ser descifrados en cada salto.
ZigBee define tres tipos diferentes de claves de cifrado que
se utilizan, cada una de ellas, en casos muy diferenciados [5].
Los tres tipos de claves son:
330 A. Dorca, J. Serra-Ruiz
1. Clave maestra: esta clave no se utiliza para cifrar in-
formaci´
on, sino para la generaci´
on de otras claves. Esta
clave se establece en el momento de la construcci´
on,
pero puede ser entrada por el propio usuario o bien asig-
nada por un centro de confianza. Todos los dispositivos
disponen de una clave maestra propia y ´
unica.
2. Clave de red: la disponen todos los dispositivos de la
red y se utiliza para enviar mensajes a toda la red.
Los mensajes cifrados broadcast se cifran y se descifran
mediante esta clave cuando la seguridad est´
a habilitada.
Esta clave se establece en el momento de la uni´
on a la
red o bien mediante procesos de renovaci´
on de claves.
3. Clave de enlace: se utiliza para establecer comunicacio-
nes seguras entre dos dispositivos. Se obtiene a partir de
la clave maestra mediante un proceso llamado SKKE.
Los servicios de seguridad en ZigBee incluyen m´
etodos
para el establecimiento de claves, el env´
ıo de estas claves,
la protecci´
on de tramas y la gesti´
on de dispositivos. Como
el control de secuencia (freshness), que mediante contadores
que se regeneran cada vez que se renuevan las claves se
permite controlar la secuencia de los mensajes para que no se
realicen ataques de reenv´
ıo. La integridad de los mensajes, que
asegura que los mensajes enviados no han sido modificados
durante la transmisi´
on por ning´
un tercero. La autenticaci´
on,
que mediante claves de red o enlace, los dispositivos pueden
estar seguros que el origen de los mensajes es de qui´
en dicen
ser, evitando la suplantaci´
on por parte de intrusos. El cifrado,
que mediante el algoritmo AES de 128 bits la protecci´
on se
extiende a nivel de red o dispositivo. El cifrado es opcional
sin necesidad de afectar otras caracter´
ısticas de seguridad. Las
tramas est´
an encapsuladas en la especificaci´
on 802.15.4, por
lo que las cabeceras no van cifradas, como se puede observar
en la tabla I
II-C. Vulnerabilidades
Las redes adhoc y, por extensi´
on, las redes de sensores
pueden ser vulnerables a toda una serie de ataques que se
pueden categorizar de la siguiente manera [2]–[5]:
1. Denegaci´
on de servicio (Denial of Service-DOS): Estos
ataques hacen que un nodo deje de funcionar mientras
dura el ataque o indefinidamente.
2. Escucha de la red (eavesdropping): Como su nombre
indica, un dispositivo escucha la red a la espera de
recibir informaci´
on. Evidentemente utilizando cifrado en
la red o sobre los datos este ataque pasa a ser in´
util,
siempre y cuando no se combine con alg´
un ataque para
obtener las claves de cifrado.
3. Usurpaci´
on de identidad (spoofinng): Este ataque con-
siste al hacerse pasar por otro dispositivo, ya sea a nivel
MAC, de red u otras. De este modo se pueden obtener
paquetes por el dispositivo atacante. Si este usurpa un
encaminador y act´
ua de manera ”legal”, podr´
a capturar
toda la informaci´
on que encamine.
4. Reenv´
ıo de paquetes (replay): Este ataque consiste a
reenviar paquetes capturados para que el destino act´
ue
de manera err´
onea. Por ejemplo, si un sensor manda un
mensaje de incremento de temperatura, el nodo atacante
podr´
ıa reenviar un decremento del valor provocando que
el nodo destino act´
ue de manera inversa a la deseada.
Para evitar este tipo de ataques se utilizan los c´
odigos
de secuencia, el cifrado, etc.
III. ATAQUE S
En esta secci´
on se muestran la descripci´
on de los ataques
que se han realizado en este trabajo.
III-A. Ataques de denegaci´
on de servicio
Los ataques de denegaci´
on de servicio se pueden categorizar
seg´
un la capa de la pila de protocolos a la que van dirigidos [8].
Posibles ataques a la capa f´
ısica:
Interferencias (Jamming): consiste en saturar un canal de
comunicaci´
on con informaci´
on err´
onea para que ning´
un
otro dispositivo pueda utilizarlo. En general este tipo de
ataque se cancela mediante diferentes canales en los que
transmitir.
Alteraci´
on de datos (Data tampering): consiste en mo-
dificar la informaci´
on que circula por la red, capturando
los datos y modific´
andolos. Este tipo de ataque se puede
frenar con c´
odigos de verificaci´
on de datos.
Posibles ataques a la capa de enlace:
Colisi´
on: en este caso, similar al jamming, se modifica
cierta informaci´
on del origen provocando que la veri-
ficaci´
on del paquete provoque un error. De este modo
se provoca un reenv´
ıo de los paquetes que puede llevar
al l´
ımite los recursos. No se conoce un procedimiento
totalmente fiable para evitar este tipo de ataques.
Ruido en el canal: existen muchos errores en la trans-
misi´
on que implican un gran reenv´
ıo de paquetes. Si
se consigue que un dispositivo agote todos sus recursos
y quede aislado o inoperativo el ataque se considera
satisfactorio. Para evitarlo se puede establecer un umbral
a partir del cual no se retransmite.
Longitud de las tramas: este ataque deja la red inservible
ocupando el canal enviando muy poca informaci´
on a
intervalos regulares y constantes.
Posibles ataques a la capa de red y encaminamiento:
Homing: este ataque obtiene informaci´
on sobre nodos
que son de especial importancia en la red. En las redes
ZigBee, el ataque se centra en el PAN Coordinator. El
cifrado de datos puede mitigar el ataque.
Encaminamientos err´
oneos o selectivos: se implementa
sobre encaminadores que rechazan o encaminan err´
onea-
mente paquetes. Para evitar este tipo de ataques el
dispositivo puede probar de encaminar los paquetes por
otra ruta.
Agujeros negros (Black holes) y agujeros de gusano
(Wormholes): en las redes que utilizan el protocolo de
descubrimiento de rutas basado en el coste del enlace,
este ataque puede provocar la construcci´
on de rutas
err´
oneas si un dispositivo siempre anuncia la calidad de
su enlace como la mejor. De este modo la mayor´
ıa de
Implementaci´
on de un ataque DoS a redes WPAN 802.15.4 331
Figura 2. mota Z1 de Zolertia
paquetes ser´
an enviados a trav´
es de ´
el y este podr´
a aplicar
decisiones de encaminamiento err´
oneas o simplemente
descartarlos.
Sybil: se basa en que un nodo pueda presentar varias
identidades a la vez. As´
ı se pueden romper esquemas
de encaminamiento m´
ultiple o bien causar problemas en
entornos geogr´
aficamente dispares.
Posibles ataques a la capa de aplicaci´
on:
Inundar la red (Flooding), HELLO attacks: una vez
introducido el nodo malicioso en la red, env´
ıa peticiones
de conexi´
on que pueden llevar al nodo remoto a agotar
los recursos y quedar inoperantivo. Para evitar este ataque
se presentan soluciones del tipo limitar el n´
umero de
conexiones establecidas o presentar rompecabezas al
cliente que tiene que resolver antes no se le otorgue el
recurso.
De-sincronizaci´
on: Mediante el env´
ıo con c´
odigos de
secuencia err´
oneos a nodos que ha establecido conexi´
on
con un tercero se puede forzar el reenv´
ıo de tramas.
Si adem´
as se sigue el ataque con insistencia se pueden
agotar sus recursos. Estos ataques no tienen sentido si
los nodos pueden comprobar la veracidad de los paquetes
mediante cifrado o c´
odigos MAC.
IV. RESULTADOS EXPERIMENTALES
Este apartado pretende mostrar una prueba de concepto en el
que se ha llevado a cabo un ataque de denegaci´
on de servicio
sobre una red 802.15.4/ZigBee. El proceso que se ha seguido
es muy simple y lo que se desea mostrar es la facilidad con
la que ha sido posible dejar sin recursos un nodo de la red.
Entre los posibles ataques que se han mostrado, este ataque
recaer´
ıa sobre el agotamiento de recursos en la capa de
aplicaci´
on y la capa de enlace puesto que ambos tienen gran
parte de implicaci´
on.
Para montar la red ZigBee se han utilizado dos sensores o
motas. Concretamente se ha utilizado la plataforma Z1 de la
marca Zolertia [9], mostrada en la figura 2.
Por otro lado, para simular el dispositivo atacante se ha
utilizado un sniffer/inyector de la marca Atmel: el dispositivo
RZUSBSTICK [10].
En esta prueba de concepto es necesario que un sensor act´
ue
como nodo encaminador (llamado M1 en la figura 3) y que
el otro act´
ue como dispositivo RFD hoja (M2). La topolog´
ıa
escogida es la de estrella. Y el nodo al que se atacar´
a agotando
los recursos es el que act´
ua como encaminador (la mota M1).
Por lo que en el caso de tener m´
as sensores conectados
NOTA: Per tal de programar una mota aquesta s’ha de connectar a la m`aquina Debian
amb un cable USB/MicroUSB.
Amb les aplicacions base que hi ha disponibles la mota M1 s’ha programat amb la
IPBaseStation, mentre que la mota M2 utilitza el servei TCPEcho.
Per dur a terme la programaci´o de la mota M1 s’ha de fer el seg¨uent[16]:
$ cd /opt/tinyos-2.1.1/apps/IPBaseStation
$ make z1 blip install
$ cd /opt/tinyos-2.1.1/support/sdk/c/sf
$ ./bootstrap
$ ./configure
$ make
$ cd /opt/tinyos-2.1.1/support/sdk/c/blip
$ ./bootstrap.sh
$ ./configure
$ make
Per programar la M2 amb el servei TCPEcho s’ha dut a terme el seg¨uent:
$ cd /opt/tinyos-2.1.1/apps/TCPEcho
$ make z1 blip install
3.3 Arrencant el sistema
Un cop programades les motes s’ha de posar en funcionament el sistema. La figu-
ra 5 mostra com s’han connectat els dispositius per arrencar el sistema. Seguidament
s’ha executat la seg¨uent comanda al sistema Debian per tal de posar en funcionament
l’encaminador de la mota M1:
$ cd /opt/tinyos-2.x/support/sdk/c/blip
$ driver/ip-driver /dev/ttyUSB0 115200
Debian 6.0
M1
USB
M2
Figura 5: Diagrama de muntatge.
NOTA: El dispositiu /dev/ttyUSB0 correspon a la mota M1. Per saber quin ´es l’enlla¸c
en un entorn de desenvolupament es pot executar la comanda que ens retorna la llista de
motes connectades i les dades per accedir-hi:
12
Figura 3. Esquema de montaje
a la mota M1, todos dejar´
ıan de poderse comunicar. Para
programar las motas se han de conectar inicialmente a la
m´
aquina Debian con un cable USB/MicroUSB, despu´
es ya
no es necesario esa conexi´
on y pueden operar mediante pilas
y por tanto ser un nodo completamente aut´
onomo. Con las
aplicaciones base que hay disponibles, la mota M1 se ha
programado con la aplicaci´
on IPBaseStation, mientras que la
mota M2 utiliza el servicio TCPEcho.
El siguiente paso consiste en examinar los paquetes que se
env´
ıan en el momento de la asociaci´
on de la mota M2 en la
red y los que se env´
ıan durante la transmisi´
on de paquetes al
servicio Echo para poder, posteriormente, inyectar los paquetes
previamente modificados desde el dispositivo atacante.
Para averiguar qu´
e paquetes circulan por la red durante
las fases de asociaci´
on de dispositivos y la conexi´
on al
servicio Echo se ha utilizado el software Wireshark y la
herramienta zbdump. Y para escuchar la red mediante el
dispositivo RZUSBSTICK son necesarias las herramientas
que se encuentran en KillerBee [11]. Eso es debido a que
una simple tarjeta WiFi convencional no puede escuchar las
frecuencias de las redes 802.15.4
Mediante el dispositivo RZUSBSTICK, el software Wi-
reshark y la herramienta zbdump se ha determinado cu´
ales
son los paquetes esenciales y necesarios para llevar a cabo
la asociaci´
on de un dispositivo al encaminador. Y al mismo
tiempo se ha obtenido el paquete que se env´
ıa cuando se
solicita un Echo al servicio de la mota M2. Esta informaci´
on
se ha utilizado para construir posteriormente unos paquetes
espec´
ıficos con los que atacar el sistema.
IV-A. Atacando al sistema
El ataque desarrollado se basa en dos scripts que por un
lado asocian una serie de nodos falsos al encaminador M1 y
de la otra env´
ıan paquetes al servicio TCPEcho de la mota
M2 de manera ininterrumpida mediante el encaminador M1.
Los paquetes de la Mota M2 con las respuestas solicitadas
pasan a trav´
es de M1 y llegan a los nodos falsos maliciosos
que est´
an programados especialmente para no responder a las
peticiones ACK que solicita M2 de sus respuestas. Como el
n´
umero de nuevas peticiones por parte de los nodos falsos
no cesa y la mota M2 est´
a continuamente enviando los datos
que supone no han llegado a los nodos destino, la tabla del
encaminador se satura y se queda sin recursos, lo que hace
bloquear completamente el encaminador, dejando a todos los
332 A. Dorca, J. Serra-Ruiz
Figura 4. Captura de red, ACK
sensores aislados de la red.
La programaci´
on del capturador de tr´
afico es relativamente
sencilla, ya que se aprovecha las tramas reales para inyectar
el c´
odigo modificado y no contestar a los ACK. B´
asicamente
se realizan los siguientes pasos:
1. Inicializaci´
on: utilizando la API de Killerbee se define
en qu´
e canal retransmitir y el per´
ıodo de tiempo que se
dejar´
a pasar entre paquetes. Las herramientas KillerBee
todav´
ıa no disponen de un programa que escuche todos
los canales a la vez por el que se ha de determinar. Para
este escenario se ha fijado el canal.
2. Bucle principal: para cada dispositivo se genera el valor
del paquete en la variable origen. La posici´
on donde se
ha de poner este valor se ha determinado del estudio
de los paquetes capturados con zbdump y Wireshark
y de la especificaci´
on del formato de trama MAC. En
la figura 4se puede ver un ejemplo de los paquetes
capturados, concretamente, el Ack correspondiente en
formato Daintree mediante la herramienta zbdump.
3. Inyecci´
on: el paquete se env´
ıa a la red(inject).
4. Se duerme el sensor los segundos especificados.
5. El script acaba con la limpieza de la trama enviada.
En el caso del ataque con el env´
ıo de solicitudes el script
que hace las peticiones al servicio Echo es similar al anterior
caso, cambiando ´
unicamente las variables utilizadas de la API.
Una vez ejecutado el ataque el nodo falso env´
ıa paquetes
de solicitud de Echo de manera indiscriminada desde direc-
ciones falsas de dispositivo asociados a la M1 que no existen
provocando que la M1 tenga que responder a todos los Ack
solicitados, as´
ı como a la propia respuesta del protocolo. Como
el nodo falso malicioso no responde a ning´
un paquete, se crea
una situaci´
on en la que la mota M1 tiene que reenviar paquetes
varias veces.
Cuando se desea realizar una comunicaci´
on con la mota
M2 esta responde correctamente a algunas peticiones pero a
medida que el ataque progresa ´
esta dejar´
a de responder. Pero
en realidad la mota M1 ha dejado de encaminar paquetes. El
n´
umero de paquetes necesario para que la mota M1 deje de
responder var´
ıa en cada ejecuci´
on y depende de la cantidad
de env´
ıos correctos realizados y del tiempo transcurrido antes
del ataque.
En general, seg´
un las pruebas llevadas a cabo, la mota M2
responde una decena de peticiones de Echo antes de que la
mota M1 deje de responder. El bloqueo de la mota M1 es
absoluto siendo necesario un reinicio completo del dispositivo
para que vuelva a funcionar la comunicaci´
on con la mota M2.
El env´
ıo de paquetes por parte del nodo malicioso no es en
ning´
un caso exhaustivo. En este caso cada paquete se env´
ıa
con un retraso de 0.5 segundos respeto la anterior cosa que
permite un tiempo suficiente a todas las partes del sistema a
responder sin provocar un bloqueo del medio. A pesar de que
el ataque de saturaci´
on del medio es igualmente factible, este
no es demasiado interesante para los protocolos.
V. CONCLUSI ´
ON
En este art´
ıculo se ha descrito el funcionamiento y las
caracter´
ısticas b´
asicas de los est´
andares 802.15.4 y ZigBee,
el montaje y puesta en funcionamiento de redes de sensores
utilizados en redes de ”Smart Cities”.
A continuaci´
on se han descrito las opciones de seguridad
que estos dos protocolos ofrecen, describiendo cuales son los
casos de ataque m´
as comunes en este tipo de redes y dedicando
un apartado especial a los ataques de denegaci´
on de servicio
en el que se basa la prueba de concepto de ataque sobre una
red 802.15.4/ZigBee.
Finalmente se ha ejemplificado un caso real en el que es
posible dejar sin recursos un dispositivo 802.15.4 mediante
´
unicamente herramientas de libre distribuci´
on y la programa-
ci´
on en Python de un script que env´
ıa solicitudes Echo de
manera indefinida hasta que el dispositivo se satura y deja de
funcionar.
Como trabajo futuro est´
a el estudio m´
as detallado de las
posibles mejoras al protocolo est´
andar para que no se puedan
realizar este tipo de ataques sobre las cabeceras no cifradas.
AGRADECIMIENTOS
This work was partly funded by the Spanish Government th-
rough projects TIN2011-27076-C03-02 “CO-PRIVACY” and
CONSOLIDER INGENIO 2010 CSD2007-0004 “ARES”.
REFERENCIAS
[1] E. Peig, “Redes abiertas (Cuando los usuarios forman parte de la red),”
Barcelona, Ed. UOC, 2012.
[2] C. Karlof, D. Wagner, “Secure routing in wireless sensor networks:
Attacks and countermeasures,” en IEEE SPNA, 2002.
[3] S. Coleri Ergen, “ZigBee/IEEE 802.15.4 summary,” Unknown, 2004.
[4] IEEE, “802.15.4,” http://www.ieee802.org/15/pub/TG4.html.
[5] P. Baronti, P. Pillai, V.W.C. Chook, S. Chessa, A. Gotta, and Y. Fun
Hu, “Wireless sensor networks: A survey on the state of the art and the
802.15.4 and ZigBee standards,” Computer Comunications, vol 30(7),
pp. 1655–1695, 2007.
[6] H. Li, B. Xue, W. Song, “Application and Analysis of IEEE 802.14.5
Security Services.” en 2nd International Conference on Networking and
Digital Society (ICNDS), pp. 139–142, 2010.
[7] H. Li, Z. Jia, X. Xue, “Application and Analysis of Zigbee Security
Services Specication,” en Networks Security Wireless Communications
and Trusted Computing (NSWCTC), pp.494–497, 2010.
[8] A.D. Wood, J.A. Stankovic, “Denial of service in sensor networks”,
Computer, vol.35(10), pp.54–62, 2002.
[9] Zolertia, “Platform Z1”, http://www.zolertia.com/ti
[10] Atmel, “Rzusbstick”, http://www.atmel.com/tools/rzusbstick.aspx
[11] KillerBee, “Homepage”, http://code.google.com/p/killerbee/
ResearchGate has not been able to resolve any citations for this publication.
Article
Full-text available
Sensor networks hold the promise of facilitating large-scale, real-time data processing in complex environments, helping to protect and monitor military, environmental, safety-critical, or domestic infrastructures and resources, Denial-of-service attacks against such networks, however, may permit real world damage to public health and safety. Without proper security mechanisms, networks will be confined to limited, controlled environments, negating much of the promise they hold. The limited ability of individual sensor nodes to thwart failure or attack makes ensuring network availability more difficult. To identify denial-of-service vulnerabilities, the authors analyzed two effective sensor network protocols that did not initially consider security. These examples demonstrate that consideration of security at design time is the best way to ensure successful network deployment.
Article
With the application of wireless sensor networks, many applications not only have ease of installation, reliable data transfer, short-range operation, and extremely low cost and reasonable battery life, whilst maintaining a simple and flexible protocol, but also should have high confidentiality. So the research of the security of the IEEE 802.15.4 is becoming very important. The IEEE 802.15.4 specification describes wireless and media access protocols for personal area networking devices. In this paper, we mainly discuss IEEE 802.14.5 data transmission security services, the encryption techniques, security key, secured Frames Format. At last we introduce the security application based on IEEE 802.15.4.
Article
ZigBee is a wireless technology developed as an open global standard. With the application of wireless sensor networks, many applications not only have low-power, low-complexity and cost-effective, but also should have high confidentiality. So the research of the security of ZigBee is becoming very important. Based on the ZigBee network protocol stack structure, in this paper, we mainly discuss the ZigBee data transmission security services, the encryption techniques, security key, the trust center, secured Frames Format and security Level. At last we introduce the security application in the ZigBee application layer.
Article
We consider routing security in wireless sensor networks. Many sensor network routing protocols have been proposed, but none of them have been designed with security as a goal. We propose security goals for routing in sensor networks, show how attacks against ad-hoc and peer-to-peer networks can be adapted into powerful attacks against sensor networks, introduce two classes of novel attacks against sensor networks––sinkholes and HELLO floods, and analyze the security of all the major sensor network routing protocols. We describe crippling attacks against all of them and suggest countermeasures and design considerations. This is the first such analysis of secure routing in sensor networks.
Article
Wireless sensor networks are an emerging technology for low-cost, unattended monitoring of a wide range of environments. Their importance has been enforced by the recent delivery of the IEEE 802.15.4 standard for the physical and MAC layers and the forthcoming ZigBee standard for the network and application layers. The fast progress of research on energy efficiency, networking, data management and security in wireless sensor networks, and the need to compare with the solutions adopted in the standards motivates the need for a survey on this field.
Conference Paper
We consider routing security in wireless sensor networks. Many sensor network routing protocols have been proposed, but none of them have been designed with security as a goal. We propose security goals for routing in sensor networks, show how attacks against ad-hoc and peer-to-peer networks can be adapted into powerful attacks against sensor networks, introduce two classes of novel attacks against sensor networks sinkholes and HELLO floods, and analyze the security of all the major sensor network routing protocols. We describe crippling attacks against all of them and suggest countermeasures and design considerations. This is the first such analysis of secure routing in sensor networks.
Redes abiertas (Cuando los usuarios forman parte de la red)
  • E Peig
E. Peig, "Redes abiertas (Cuando los usuarios forman parte de la red)," Barcelona, Ed. UOC, 2012.
Application and Analysis of IEEE 802
  • H Li
  • B Xue
  • W Song
H. Li, B. Xue, W. Song, "Application and Analysis of IEEE 802.14.5
  • P Baronti
  • P Pillai
  • V W C Chook
  • S Chessa
  • A Gotta
  • Y Fun Hu
P. Baronti, P. Pillai, V.W.C. Chook, S. Chessa, A. Gotta, and Y. Fun Hu, " Wireless sensor networks: A survey on the state of the art and the 802.15.4 and ZigBee standards, " Computer Comunications, vol 30(7), pp. 1655–1695, 2007.