Skip to content

Latest commit

 

History

History
60 lines (42 loc) · 6.07 KB

区块链与DDOS攻击.md

File metadata and controls

60 lines (42 loc) · 6.07 KB
Raw

今天说说区块链与DDOS攻击

DDOS与区块链

  有了比特币这一成功应用案例,也让业内看到了将其扩展至内容交付、智能电网以及网络安全等领域的可行性,而区块链技术本身也正在推动信息安全技术的新变革。 在黑客众多攻击方式中,DDoS攻击可以说是其中最常见的一个,通过大量合法的请求占用大量网络资源,使网络瘫痪,现在利用区块链技术,则可降低DDoS攻击的发生频率。 区块链初创公司Gladius表示,其去中心化账本系统有助抵御DDoS攻击,该解决方案可通过使客户接入附近防护资源池来提供更好的保护并加速客户内容,以抵御DDoS攻击。 在关于区块链如何影响安全的考虑中,主要有对 DNS 的影响,和基于区块链的控制和防止 DDOS 攻击的能力。去中心化的,安全的 DNS 系统是 DNS 的改革方向,这主要源于针对 Dyn 的 DDOS 攻击以及对威胁 landscape 的影响

区块链域名服务优缺点

  事实上,基于区块链的服务可以解决许多互联网目前所面临的可用性和性能的问题。 许多前瞻者以及在研究基于区块链的解决方案来让 DNS、Web 站点和其他公共服务更加去中心化,更加安全。 比如,Namecoin 正在尝试创建一个基于公有区块链技术的可选的 DNS 系统。 Namecoin 用大量的比特币矿机来确保它自己可以抵御 51% 的攻击。Namecoin 背后的思想是一种全分布式的域名事务账本,每个用户都可以添加域名,但是该域名的维护也只能由其属主来维护。

  这个概念提供一种非监管的、开放的 DNS 架构,这种架构也引出一个新的问题。那就是我们如何防止恶意用户滥用这种服务呢?目前,我们所用的方法就是将 C&C 服务器和其他恶意服务器列入黑名单, 但是对于开放的、非监管的系统,这并不是一种可以强制的方法。 市场上的网关解决方案选择将恶意域名加入黑名单。但是不同的网关产品与开放系统是不同步的。这也出现一个问题,那就是谁来维护、执行和监管这个黑名单。 那么是谁在控制区块链呢?这是一个非常重要的问题。公有区块链内在的限制就是不能认为是安全的,直到能够吸引大量的参与者加入链中。

  在区块链的工作量证明 Proof of work 中,抵御攻击的能力被设定为 51% 的计算量阈值。 那如果恶意攻击者在区块链中获取了所有权会怎么样呢?所有链中计算量低于攻击者的都不能抵御攻击。 只有当所有区块链的参与者的计算能力足够大时,会让攻击变得成本极高, 也就能抵御攻击。 要在新的加密货币中建立可信度,首先要利用比特币中的计算能力。加密货币协作挖矿的边链正在覆盖出于安全考虑建立的区块链,但是动机仍然要矿机同意协作来挖取新货币。

  这种新出现的平台的主要优势也是劣势。因为他们是完全分布式的而且本身就可以抵御 DDOS 攻击。 但是,基于区块链的 DNS 需要每个参与者存储所有的域名目录和所有的历史记录。

  这对许多实体来说,是一种不切实际的需求。大家可以想象一个提供 web 服务的系统能够很容易的被客户端和设备访问,但是客户端系统和设备不想或不能存储区块链账本的所有目录。 这样的 web 服务将分散的 DNS 服务聚集在一起。细想加密货币,许多人都用手机等移动设备来进行交易。这样的话,事实上他们是没有加入在区块链的节点。 他们使用一种提供对运行在后台的区块链的边界访问。

  许多加密货币交易所都成为 DDOS 攻击的受害者,数据泄露都集中于这些加密货币交易网站的门户。 这些事件说明为了做到完全的分布式并拥抱新的基于区块链的 Internet,每个设备都要在本地存储上存储全部的 Internet DNS 域名和完全的变更历史。

  另外一种选择就是,基于区块链的 Internet 必须倒退到依然易被攻击的大规模数据泄露和 DDoS 攻击的门户和网关。换句话说,变化地越多,可能变化越小。

攻击种类

根据攻击方式的不同,基于区块链的DDoS攻击可分为主动攻击和被动攻击两种。

  • 基于区块链的主动DDoS攻击是通过主动地向网络节点发送大量的虚假信息,使得针对这些信息的后续访问都指向受害者来达到攻击效果的, 具有可控性较强、放大倍数高等特点。 这种攻击利用区块链网络协议中基于“推(push)”的机制,反射节点在短时间内会接收到大量的通知信息,不易于分析和记录, 并且可以通过假冒源地址避过IP检查,使得追踪定位攻击源更加困难。 此外,主动攻击在区块链网络中引入额外流量,会降低区块链网络的查找和路由性能;虚假的索引信息,会影响文件下载速度。

  • 基于区块链的被动DDoS攻击通过修改区块链客户端或者服务器软件,被动地等待来自其它节点的查询请求,再通过返回虚假响应来达到攻击效果。 通常情况下,会采取一些放大措施来增强攻击效果,如:部署多个攻击节点、在一个响应消息中多次包含目标主机、结合其它协议或者实现漏洞等。 这种攻击利用了区块链网络协议中基于“取(pull)”的机制。 被动攻击属于非侵扰式,对区块链网络流量影响不大,通常只能利用到局部的区块链节点。

结语

  当然,区块链并不是万灵药。尽管区块链凭其天然的技术特点而具有用户认证、数据保护、防DDoS攻击等安全保证优势,但就目前而言,区块链技术还不够成,在实际应用中还存在安全风险。 例如区块数据的可靠性会随时间降低,配套软件可能存在漏洞,或是造福于安全领域的同时也可能为犯罪分子带来福音,因此待技术成熟之前应用时仍需谨慎行事。