Kanal atlama ve komşularla irtibatın yeniden sağlanması

Saldırıların tespit edilmesinden sonra DKA yöntemi devreye girmekte ve düğümler saldırının etkilerinden kurtulmak üzere merkez kanaldan mevcut kanallar içerisindeki en son sırada yer alan kanala atlayarak komşuları ile yeniden irtibata geçmeyi beklemektedir. Saldırı tespiti yapan düğümlerin mevcut en son kanala atlamasının sebebi düğümlerin kanalları sırayla gezen tarama saldırganı etkisinde olabilme ihtimalidir. Tarama saldırganı merkez kanaldaki iletişimin bittiğini anlayınca kanalları sıra ile taramaktadır. Dolayısıyla en son kanala gelene kadar belirli bir süre geçmekte ve bu süre zarfında düğümler yeni kanalda birbirleri ile haberleşebilmektedirler.

Kanal atlama işleminden sonra düğümler komşuları ile irtibata geçmeye çalışmaktadır. Burada komşudan kastedilen ağaç tabanlı yönlendirme protokollerinde kullanıldığı gibi fiziksel komşuluktan ziyade mantıksal komşuluktur. Ağaç tabanlı yönlendirme protokollerinde çıkış düğümü (sink), ağacın kökünde bulunmakta ve düğümler ağacın köküne yani çıkış düğümüne ulaşmak için yönlendirme yolu üzerinde bulunan ve aralarındaki bağlantı kalitesinin en iyi olduğu komşusunu üst düğüm (parent node) olarak seçmektedir. Ayrıca düğümlerin paketlerini gönderdiği üst düğümleri olduğu gibi kendisini üst düğüm olarak seçen alt düğüm (child node) ya da düğümleri olacaktır. DKA yönteminde de düğümden kastedilen fiziksel komşuluktan ziyade sadece üst ve alt düğümlerdir.

125

Yeni kanala geçen düğümler komşuları ile irtibata geçebilmek için taşıyıcı sezme kurallarına da dikkat ederek belirli aralıklarla bu kanalda olduklarını gösteren küçük boyutlu işaret paketleri göndermektedir. Böyle bir paket alan düğüm ise komşusuna cevap vermektedir. Ancak düğümlerin farklı bir kanala geçerek yeniden irtibat kurabilmesinin bazı zorlukları vardır. Şekil 6.2’de bu zorlukları gösteren bazı saldırı senaryoları görülmektedir.

Şekil 6.2. Komşular ile irtibatının sağlanması sırasında karşılaşabilecekleri durumlar

1. D düğümünde olduğu gibi düğümün kendisinin ve tüm komşularının saldırı etkisinde olması durumu

2. F düğümünde olduğu gibi düğümün kendisinin ve üst düğümünün saldırı etkisinde olmasına rağmen alt düğümlerinin saldırıdan etkilenmeme durumu 3. E düğümünde olduğu gibi düğümün kendisinin ve üst düğümünün saldırı

etkisinde olmasına karşın alt düğümlerinden bazılarının saldırılardan etkilenirken bazısının etkilenmeme durumu.

4. C düğümünde olduğu gibi düğümün kendisi ve alt düğümü saldırı altında olmasına karşın üst düğümün saldırılardan etkilenmeme durumu

Birinci durumda söz konusu tüm düğümler saldırı altında olduğu için farklı bir kanala atlama ve O kanalda yeniden irtibata geçme işleminde her hangi bir zorluk yoktur. Çünkü düğümlerin tümü yaklaşık olarak aynı zamanda (dört örnekleme periyodu sonunda) saldırı tespiti yaparak en son kanala geçmektedir. Ancak diğer durumlarda, bazı düğümlerin saldırıdan etkilenirken bazıların etkilenmemesi söz konusu olduğu için bu iki ayrı grup arasında bir ilişki kurulabilmesi gerekmektedir. Örneğin ikinci durumda saldırgan kapsama alanının sınırlarında bulunan F düğümü

B A C D E G H K E ^L E M E :Normal Düğüm Saldırganın etki alanı F :Saldırgan Düğüm

alt düğümleri ile iletişim gerçekleştirebilmesine rağmen üst düğümü (D) ile iletişim yapamamaktadır. D ve F düğümleri saldırılar başladıktan sonra dört örnekleme periyodu içinde saldırı tespitini gerçekleştirmekte ve en son kanala geçmektedir. Ancak G ve H düğümleri saldırıdan etkilenmediği için merkez kanalda kalmaya devam etmektedir. Bu sorunu aşmak için F düğümü saldırıdan etkilenmeyen G ve H düğümlerine merkez kanaldan en son kanala ne zaman atlayacağını gösteren bir paket göndermeli ve bu sayede yeni kanalda yeniden irtibat kurulmasını sağlamalıdır.

Üçüncü durumda saldırganın etkin kapsama alanında bulunan E düğümü, üst düğümü olan D ile ve alt düğümü olan M ile iletişim gerçekleştirememektedir. K ve L düğümleri ise saldırganın etki alanının dışında olmasına karşın üst düğümleri olan E düğümünün saldırganın etkin kapsama alanında olması sebebiyle saldırılardan etkilenmektedir. Geliştirdiğimiz anomali tabanlı tespit sistemi K ve L düğümleri gibi dolaylı yoldan saldırıdan etkilenen düğümlerde de saldırı tespit işlemine olanak sağladığı için E, K, L ve M düğümlerinin tümü dört örnekleme periyodu sonunda merkez kanaldan en son kanala atlamakta ve yeni kanalda irtibata geçebilmektedir.

Son durumda ise C düğümü ile C’nin alt düğümü olan D, saldırı tespiti yaparak merkez kanaldan son kanala geçmekte ancak A düğümü saldırı tespiti yapmadığı için merkez frekansta kalmaktadır. Eğer C düğümünün saldırganın etki alanının sınırında olduğu varsayılırsa C ile A arasında merkez frekansta iletişim kurulabileceğinden ikinci durumdaki gibi (C’nin bildirmesi ile) A düğümü kanal atlama işleminden haberdar olabilir. Ancak C düğümünün saldırganın etkin kapsama alanında olduğu düşünüldüğünde C ve D kanal değiştirirken A düğümü C’nin kanal değiştirdiğinden haberdar olamaz. Böyle bir durumda C ve A hiçbir zaman yeni kanalda irtibata geçmezler. DKA yönteminde bu sorunu aşmak için her bir düğüm alt düğümlerinden sorumlu tutulmaktadır. Eğer bir düğüm alt düğümlerinden birisi ya da daha fazlasından dört örnekleme periyodu boyunca geçerli bir paket alamazsa saldırıya maruz kaldığını/kaldıklarını düşünerek geçici süreliğine en son kanala geçmekte ve kayıp komşularını aramaktadır. Böylelikle yeni kanalda düğümler arası irtibat sağlanabilmektedir.

127