1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Бакалавр
  4. 125 — Кібербезпека, Кібербезпека та захист інформації (бакалаври)
Utilize este identificador para referenciar este registo: http://elartu.tntu.edu.ua/handle/lib/49985
Título: Аналіз безпеки протоколу MQTT у IoT-комунікаціях
Outros títulos: Security Analysis of MQTT Protocol in IoT Communications
Autor: Горин, Іван Стефанович
Horyn, Ivan
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Горин І. С. Аналіз безпеки протоколу MQTT у IoT-комунікаціях : робота на здобуття кваліфікаційного ступеня бакалавра : спец. 125 - кібербезпека / наук. кер. Деркач М. В. Тернопіль : Тернопільський національний технічний університет імені Івана Пулюя, 2025. 101 с.
Data: 27-Jun-2025
Submitted date: 13-Jun-2025
Date of entry: 26-Ago-2025
Country (code): UA
Place of the edition/event: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor: Деркач, Марина Володимирівна
Derkach, Maryna
Committee members: Паламар, Андрій Михайлович
Palamar, Andriy
UDC: 004.56
Palavras-chave: протокол MQTT
MQTT protocol
Інтернет Речей (IoT)
Internet of Things (IoT)
мережева безпека
network security
IoT-безпека
IoT security
комунікаційні протоколи
communication protocols
Resumo: Кваліфікаційна робота представляє всебічний аналіз безпеки протоколу передачі телеметричних повідомлень (Message Queing Telemetry Transport, MQTT) у комунікаціях Інтернету речей (IoT). Робота відповідає на критичну потребу в оцінці безпеки IoT-екосистем, де MQTT виконує роль фундаментального протоколу обміну повідомленнями, забезпечуючи комунікацію між пристроями та хмарними платформами. Кваліфікаційна робота починається з детального розгляду специфікацій протоколу MQTT, зосереджуючись на його архітектурних компонентах, механізмах безпеки. Практична частина роботи включає розробку та тестування для оцінки безпеки MQTT у IoT-середовищах. Це охоплює процедури тестування на проникнення, оцінку засобів безпеки. У дослідженні використовується MQTT-брокер з політикою відкритого коду, що забезпечує всебічний огляд наслідків для безпеки. Основні внески цієї роботи включають: систематичну класифікацію специфічних вразливостей протоколу MQTT, розробку практичної системи тестування безпеки для розгортання MQTT, аналіз ефективності існуючих заходів безпеки.
The qualification thesis presents a comprehensive security analysis of the Message Queuing Telemetry Transport (MQTT) protocol within Internet of Things (IoT) communications. The research addresses the critical need for robust security assessment in IoT ecosystems, where MQTT serves as a fundamental messaging protocol facilitating device-to-device and device-to-cloud communications. The study begins with a detailed examination of MQTT protocol specifications, focusing on its architectural components, built-in security mechanisms. The practical component of the thesis involves the development and execution of a testing methodology to evaluate MQTT security in IoT deployments. This includes penetration testing procedures and security control assessments. The research utilizes open-source MQTT broker to provide a comprehensive view of security implications. Key contributions of this work include: a systematic classification of MQTT-specific security vulnerabilities, development of a practical security testing framework for MQTT deployments, analysis of the effectiveness of existing security controls.
Content: ВСТУП 10 РОЗДІЛ 1 РОЛЬ ПРОТОКОЛУ MQTT У СИСТЕМАХ IOT 12 1.1 ЗРОСТАЮЧІ ЗАГРОЗИ БЕЗПЕКИ У ЗВ’ЯЗКУ З ПОШИРЕННЯМ IOT-ПРИСТРОЇВ 12 1.2 НЕОБХІДНІСТЬ ЗАБЕЗПЕЧЕННЯ ЗАХИЩЕНОСТІ КОМУНІКАЦІЙ У IOT-СИСТЕМАХ 16 1.3 ПРИНЦИП РОБОТИ ТА ОСОБЛИВОСТІ ВИКОРИСТАННЯ ПРОТОКОЛУ MQTT У IOT-СИСТЕМАХ 20 РОЗДІЛ 2 МЕХАНІЗМИ ЗАХИСТУ КОМУНІКАЦІЙ НА БАЗІ MQTT 23 2.1 АНАЛІЗ ВРАЗЛИВОСТЕЙ ПРОТОКОЛУ MQTT 23 2.1.1 Відсутність автентифікації та авторизації за замовчуванням 23 2.1.2 Відсутність шифрування за замовчуванням та ризики для конфіденційності даних 25 2.1.3 Відкриті порти 27 2.1.4 Схильність до атак типу "відмова в обслуговуванні" (DoS) 28 2.2 АНАЛІЗ МЕХАНІЗМІВ ЗАХИСТУ КОМУНІКАЦІЙ 32 2.2.1 Використання сертифікатів SSL/TLS для захисту комунікацій та шифрування даних під час передачі 32 2.2.2 Використання механізмів автентифікації 34 2.2.3 Використання обмежень на підключення та формування трафіку для захисту від DoS-атак 39 2.2.4 Моніторинг та виявлення аномалій у мережах MQTT 40 РОЗДІЛ 3 ТЕСТУВАННЯ ЗАХИЩЕНОСТІ MQTT ЧЕРЕЗ ЕМУЛЯЦІЮ АТАК 42 3.1 НАЛАШТУВАННЯ СЕРЕДОВИЩА ДЛЯ ТЕСТУВАННЯ 42 3.2 ЕМУЛЯЦІЯ АТАК НА MQTT-БРОКЕР 43 3.3 ТЕСТУВАННЯ ЕФЕКТИВНОСТІ ЗАХИСТУ В УМОВАХ АТАК 49 3.3.1 Захист за допомогою автентифікації 50 3.3.2 Комплексний захист 54 РОЗДІЛ 4 БЕЗПЕКА ЖИТТЄДІЯЛЬНОСТІ, ОСНОВИ ОХОРОНИ ПРАЦІ 58 4.1 ЗНАЧЕННЯ АДАПТАЦІЇ В ТРУДОВОМУ ПРОЦЕСІ 58 4.2 ЗАХОДИ ЩОДО ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ПРИ ПРОВЕДЕННІ ДОСЛІДНИХ РОБІТ 60 ВИСНОВКИ 63 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 65 ДОДАТОК А ЛІСТИНГ ФАЙЛУ DOCKER-COMPOSE.YAML 69 ДОДАТОК Б ЛІСТИНГ ФАЙЛУ PUBLISHER.PY 72 ДОДАТОК В ЛІСТИНГ ФАЙЛУ SUBSCRIBER.PY 78 ДОДАТОК Г ЛІСТИНГ ФАЙЛУ MQTT_LOGIN.RB 84 ДОДАТОК Е ЛІСТИНГ ФАЙЛУ MQTT_MITM.PY 93
URI: http://elartu.tntu.edu.ua/handle/lib/49985
Copyright owner: © Горин Іван Стефанович, 2025
References (Ukraine): 1. Laghari, S. u. A., Li, W., Manickam, S., Nanda, P., Al-Ani, A. K., & Karuppayah, S. (2024). Securing MQTT Ecosystem: Exploring Vulnerabilities, Mitigations, and Future Trajectories. IEEE Access, 1.
2. Hassija, V., Chamola, V., Saxena, V., Jain, D., Goyal, P., & Sikdar, B. (2019). A survey on IoT security: Application areas, security threats, and solution architectures. IEEE Access, 7, 82721-82743.
3. Neshenko, N., Bou-Harb, E., Crichigno, J., Kaddoum, G., & Ghani, N. (2019). Demystifying IoT security: An exhaustive survey on IoT vulnerabilities and a first empirical look on Internet-scale IoT exploitations. IEEE Communications Surveys & Tutorials, 21(3), 2702-2733.
4. Mitchell, R. 33 Critical Vulnerabilities Found in Popular IoT Protocol MQTT. Electronics News & Component Trends for Engineers | Electropages. https://www.electropages.com/blog/2022/02/researchers-find-mqtt-have-33-vulnerabilities
5. Dadkhah, S., Neto, E. C. P., Ferreira, R., Molokwu, R. C., Sadeghi, S., & Ghorbani, A. A. (2024). CICIoMT2024: A benchmark dataset for multi-protocol security assessment in IoMT. Internet of Things, 101351.
6. Skarga-Bandurova, I., Derkach, M., & Velykzhanin, A. (2022). A framework for real-time public transport information acquisition and arrival time prediction based on GPS data. In Dependable IoT for Human and Industry (pp. 411-431). River Publishers.
7. Harsha, M. S., Bhavani, B. M., & Kundhavai, K. R. (2018). Analysis of vulnerabilities in MQTT security using Shodan API and implementation of its countermeasures via authentication and ACLs. 2018 International Conference on Advances in Computing, Communications and Informatics (ICACCI). IEEE.
8. Jyothis, K., Ramyashree, R., & Divya, S. (2025). Securing MQTT-based communication for the automobile and medical industries against man-in-the-middle attacks. International Research Journal of Modernization in Engineering Technology and Science, 7(2), 299-303.
9. Saez-de-Camara, X., Flores, J. L., Arellano, C., Urbieta, A., & Zurutuza, U. (2023). Gotham Testbed: A Reproducible IoT Testbed for Security Experiments and Dataset Generation.
10. Andy, S., Rahardjo, B., & Hanindhito, B. (2017). Attack scenarios and security analysis of MQTT communication protocol in IoT system. У 2017 4th International Conference on Electrical Engineering, Computer Science and Informatics (EECSI).
11. Mazurczyk, W., et al. (2021). Comprehensive analysis of MQTT 5.0 susceptibility to network covert channels. In Proceedings of the 16th International Conference on Availability, Reliability and Security.
12. Shahri, E., Pedreiras, P., & Almeida, L. (2022). Extending MQTT with Real-Time Communication Services Based on SDN. Sensors, 22(9), 3162.
13. Al-amri, F., Al-zain, M. A., Ahmad, I., Boulila, W., & Baz, A. (2024). Effective feature engineering framework for securing MQTT protocol in IoT environments. Sensors, 24(6), 1782.
14. Han, J., & Kim, W. Y. (2024). Designing a secure and scalable service agent for IoT transmission through blockchain and MQTT fusion. Applied Sciences, 14(7), 2975.
15. MQTT – The Standard for IoT Messaging. (б. д.). MQTT – The Standard for IoT Messaging. https://mqtt.org/
16. MQTT Essentials: Your 2025 Learning Hub for IoT & IIoT Data Streaming. HiveMQ – Unlock the value of your data with MQTT. https://www.hivemq.com/mqtt/
17. Salama, M., & Raslen, B. (2024). MQTT in Action: Building Reliable and Scalable Home Automation Systems. Sakarya University Journal of Computer and Information Sciences.
18. Gavrilov, A., Bergaliyev, M., Tinyakov, S., Krinkin, K., & Popov, P. (2022). Using IoT Protocols in Real-Time Systems: Protocol Analysis and Evaluation of Data Transmission Characteristics. Journal of Computer Networks and Communications, 2022, 1-18.
19. Perrone, G., Vecchio, M., Pecori, R., & Giaffreda, R. (2017). The Day After Mirai: A Survey on MQTT Security Solutions After the Largest Cyber-attack Carried Out through an Army of IoT Devices. 2nd International Conference on Internet of Things, Big Data and Security. SCITEPRESS - Science and Technology Publications.
20. Prantl, T., Iffländer, L., Herrnleben, S., Engel, S., Kounev, S., & Krupitzer, C. (2021). Performance Impact Analysis of Securing MQTT Using TLS. У ICPE '21: ACM/SPEC International Conference on Performance Engineering. ACM.
21. IIoT World. (2023, October 18). Securing MQTT: Best practices for safe IIoT communication.
22. Aroon, N., Kane, L., Liu, V., & Li, Y. (2025). Detection of TCP and MQTT-Based DoS/DDoS Attacks on MUD IoT Networks. Electronics, 14(8), 1653.
23. Freitas, A. V., de Araújo Júnior, S. R., & Silva, H. (2024). MQTT-VET: Exploring MQTT Protocol Vulnerabilities. LADC 2024: 13th Latin-American Symposium on Dependable and Secure Computing (с. 111-113). ACM.
24. Cedalo. (2023, May 12). Using JWT for the Mosquitto MQTT broker authentication. https://cedalo.com/blog/mosquitto-mqtt-jwt/
25. Bhagyashri, H. K., et al. (2025, February). Study on supervised anomaly detection model for MQTT-based IoT data for DoS attacks. International Journal for Multidisciplinary Research, 7(2).
26. SACHENKO, A. O., et al. Internet of Things for intelligent transport systems.
27. Babakov, R. M., et al. "Internet of Things for Industry and Human Application. Vol. 3." (2019): 1-917.
28. Tymoshchuk, D., & Yatskiv, V. (2024). Slowloris ddos detection and prevention in real-time. Collection of scientific papers «ΛΌГOΣ», (August 16, 2024; Oxford, UK), 171-176.
29. Mishko, O., Matiuk, D., & Derkach, M. (2024). Security of remote iot system management by integrating firewall configuration into tunneled traffic. Вісник Тернопільського національного технічного університету, 115(3), 122-129.
30. Stanko, A., Wieczorek, W., Mykytyshyn, A., Holotenko, O., & Lechachenko, T. (2024). Realtime air quality management: Integrating IoT and Fog computing for effective urban monitoring. CITI, 2024, 2nd.
31. Derkach, M., Matiuk, D., Skarga-Bandurova, I., Biloborodova, T., & Zagorodna, N. (2024, October). A Robust Brain-Computer Interface for Reliable Cognitive State Classification and Device Control. In 2024 14th International Conference on Dependable Systems, Services and Technologies (DESSERT) (pp. 1-9). IEEE.
32. Гандзюк, М. П., Желібо, Є. П., & Халімовський, М. О. (2011). Основи охорони праці (5-е вид.) / За ред. М. П. Гандзюка. Київ: Каравела.
33. Санітарні норми мікроклімату виробничих приміщень ДСН 3.3.6.042-99, МОЗ України, Голов.державн.санітарний лікар; Постанова № 42 (1999) (Україна). https://zakon.rada.gov.ua/rada/show/va042282-99#Text
34. Науково-дослідний інститут будівельного виробництва (НДІБВ). (2007). Система стандартів безпеки праці. Настанова щодо визначення небезпечних і шкідливих факторів та захисту від їх впливу при виробництві будівельних матеріалів і виробів та їх використанні в процесі зведення та експлуатації об`єктів будівництва (ДСТУ-Н Б А.3.2-1:2007).
35. Атаманчук, П. С., Мендерецький, В. В., Панчук, О. П., & Чорна, О. Г. (2011). Безпека життєдіяльності. Центр учбової літератури.
36. Про затвердження Порядку розслідування та обліку нещасних випадків, професійних захворювань та аварій на виробництві, Постанова Кабінету Міністрів України № 337 (2025) (Україна). https://zakon.rada.gov.ua/laws/show/337-2019-п#Text
37. Про затвердження Типового положення про порядок проведення навчання і перевірки знань з питань охорони праці (НПАОП 0.00-4.12-05) та Переліку робіт з підвищеною небезпекою, Наказ Державного комітету України з нагляду за охороною праці № 15 (2024) (Україна). https://zakon.rada.gov.ua/laws/show/z0231-05#Text
Content type: Bachelor Thesis
Aparece nas colecções:125 — Кібербезпека, Кібербезпека та захист інформації (бакалаври)

Ficheiros deste registo:
Ficheiro Descrição TamanhoFormato 
Horyn_Ivan_СБ-41_2025.pdf3,16 MBAdobe PDFVer/Abrir
Mostrar registo em formato completo Visualizar estatísticas


Todos os registos no repositório estão protegidos por leis de copyright, com todos os direitos reservados.

Ferramentas administrativas