|
作者:admin來源:天下數(shù)據(jù) 目前對區(qū)塊鏈網(wǎng)絡安全威脅最大的3種攻擊方式:Sybil攻擊�、Eclipse攻擊和DDoS攻擊����。 本文將重點講解上述三種攻擊方式的原理,以供有關機構(gòu)參考���,在開發(fā)基于區(qū)塊鏈網(wǎng)絡的應用系統(tǒng)時采取措施加強防范�。 基于區(qū)塊鏈網(wǎng)絡的 Sybil攻擊Sybil攻擊最初是由Douceur在點對點網(wǎng)絡環(huán)境中提出的����,他指出這種攻擊破壞了分布式存儲系統(tǒng)中的冗余機制����。 并提出直接身份驗證和間接身份驗證兩種驗證方式�����。后來�����,Chris Karlof等人指出Sybil攻擊對傳感器網(wǎng)絡中的路由機制同樣存在著威脅�����。 Sybil攻擊���,又稱女巫攻擊�����,是指一個惡意結(jié)點非法地對外呈現(xiàn)出多個身份,通常把該結(jié)點的這些身份稱為Sybil結(jié)點�����。Sybil攻擊方式主要有以下幾種類型:直接通信、間接通信�、偽造身份、盜用身份�、同時攻擊、非同時攻擊�����。 在區(qū)塊鏈網(wǎng)絡中����,用戶創(chuàng)建新身份或者新節(jié)點是不需要代價的,攻擊者可以利用這一漏洞發(fā)動Sybil攻擊�,偽造自己的身份加入網(wǎng)絡,在掌握了若干節(jié)點或節(jié)點身份之后�,隨意做出一些惡意的行為。 例如誤導正常節(jié)點的路由表��,降低區(qū)塊鏈網(wǎng)絡節(jié)點的查找效率���;或者在網(wǎng)絡中傳輸非授權(quán)文件�����,破壞網(wǎng)絡中文件共享安全����,消耗節(jié)點間的連接資源等,而且不用擔心自己會受到影響�����。圖2示出了在區(qū)塊鏈網(wǎng)絡中攻擊者進行Sybil攻擊的原理�。 Sybil攻擊對區(qū)塊鏈網(wǎng)絡的影響主要體現(xiàn)在以下幾個方面: 1. 虛假節(jié)點加入:在遵循區(qū)塊鏈網(wǎng)絡協(xié)議的基礎上,任何網(wǎng)絡節(jié)點都可以向區(qū)塊鏈網(wǎng)絡發(fā)送節(jié)點加入請求消息�;收到請求消息的區(qū)塊鏈節(jié)點會立即做出響應,回復其鄰居節(jié)點信息��。 利用這個過程��,Sybil攻擊者就可以獲取大量的區(qū)塊鏈網(wǎng)絡節(jié)點信息來分析區(qū)塊鏈網(wǎng)絡拓撲����,以便更高效地對區(qū)塊鏈網(wǎng)絡進行攻擊或破壞。 2. 誤導區(qū)塊鏈網(wǎng)絡節(jié)點的路由選擇:節(jié)點間路由信息的實時交互是保證區(qū)塊鏈網(wǎng)絡正常運行的關鍵因素之一��。節(jié)點只需定時地向其鄰居節(jié)點宣告自己的在線情況�,就能保證自己被鄰居節(jié)點加入到其路由表中。 惡意的Sybil入侵者通過這個過程�����,可以入侵正常區(qū)塊鏈節(jié)點的路由表����,誤導其路由選擇,大大降低區(qū)塊鏈節(jié)點的路由更新和節(jié)點查找效率��,極端情況下�����,會導致Eclipse攻擊�����。 3. 虛假資源發(fā)布:Sybil攻擊者一旦入侵區(qū)塊鏈網(wǎng)絡節(jié)點的路由表��,就可以隨意發(fā)布自己的虛假資源���。區(qū)塊鏈網(wǎng)絡的目的是實現(xiàn)用戶間資源的分布式共享����,如果網(wǎng)絡中充斥著大量的虛假資源��,那么在用戶看來,這將是無法接受的�。 基于區(qū)塊鏈網(wǎng)絡的Eclipse攻擊Moritz Steiner等人在Kad網(wǎng)絡中提出了Eclipse攻擊,并且給出了該攻擊的原理��。Eclipse攻擊是指攻擊者通過侵占節(jié)點的路由表��,將足夠多的虛假節(jié)點添加到某些節(jié)點的鄰居節(jié)點集合中�����,從而將這些節(jié)點“隔離”于正常區(qū)塊鏈網(wǎng)絡之外�。 當節(jié)點受到Eclipse攻擊時,節(jié)點的大部分對外聯(lián)系都會被惡意節(jié)點所控制����,由此惡意節(jié)點得以進一步實施路由欺騙、存儲污染�����、拒絕服務以及ID劫持等攻擊行為�����。因此,Eclipse攻擊對區(qū)塊鏈網(wǎng)絡的威脅非常嚴重�����。 區(qū)塊鏈網(wǎng)絡的正常運行依賴于區(qū)塊鏈節(jié)點間路由信息的共享�。Eclipse攻擊者通過不斷地向區(qū)塊鏈節(jié)點發(fā)送路由表更新消息來影響區(qū)塊鏈節(jié)點的路由表�����,試圖使普通節(jié)點的路由表充滿虛假節(jié)點�。 當區(qū)塊鏈節(jié)點的路由表中虛假節(jié)點占據(jù)了較高的比例時,它對區(qū)塊鏈網(wǎng)絡的正常行為���,包括路由查找或者資源搜索���,都將被惡意節(jié)點所隔絕開,這也是這種攻擊被稱為月食攻擊的原因����。圖3示出了在區(qū)塊鏈網(wǎng)絡中攻擊者進行Eclipse攻擊的原理。 Eclipse攻擊和Sybil攻擊密切相關����,它需要較多的Sybil攻擊節(jié)點相配合。為了實現(xiàn)對特定區(qū)塊鏈節(jié)點群的Eclipse攻擊,攻擊者必須首先設置足夠多的Sybil攻擊節(jié)點��,并且向區(qū)塊鏈網(wǎng)絡宣稱它們是“正?!钡墓?jié)點,然后使用這些Sybil節(jié)點與正常的區(qū)塊鏈節(jié)點通信�����,入侵其路由表�,最終把它們從區(qū)塊鏈網(wǎng)絡中隔離出去。 Eclipse攻擊對區(qū)塊鏈網(wǎng)絡的影響十分重大�����。對于區(qū)塊鏈網(wǎng)絡來說�,Eclipse攻擊破壞了網(wǎng)絡的拓撲結(jié)構(gòu),減少了節(jié)點數(shù)目��,使得區(qū)塊鏈網(wǎng)絡資源共享的效率大大降低�����,在極端情況下���,它能完全控制整個區(qū)塊鏈網(wǎng)絡���,把它分隔成若干個區(qū)塊鏈網(wǎng)絡區(qū)域����。 對于受害的區(qū)塊鏈節(jié)點來說�����,它們在未知的情況下脫離了區(qū)塊鏈網(wǎng)絡��,所有區(qū)塊鏈網(wǎng)絡請求消息都會被攻擊者劫持�����,所以它們得到的回復信息大部分都是虛假的����,無法進行正常的資源共享或下載�。 基于區(qū)塊鏈網(wǎng)絡的DDoS攻擊DDoS攻擊是一種對區(qū)塊鏈網(wǎng)絡安全威脅最大的攻擊技術之一,它指借助于C/S技術��,將多個計算機聯(lián)合起來作為攻擊平臺����,對一個或多個目標發(fā)動攻擊,從而成倍地提高拒絕服務攻擊的威力。 傳統(tǒng)的DDoS攻擊分為兩步:第一步利用病毒����、木馬、緩沖區(qū)溢出等攻擊手段入侵大量主機�����,形成僵尸網(wǎng)絡�;第二部通過僵尸網(wǎng)絡發(fā)起DoS攻擊。常用的攻擊工具包括:Trinoo�、TFN、TFN2K���、Stacheldraht等����。由于各種條件限制�,攻擊的第一步成為制約DDoS攻擊規(guī)模和效果的關鍵。 新型的DDoS攻擊不需要建立僵尸網(wǎng)絡即可發(fā)動大規(guī)模攻擊��,不僅成本低���、威力巨大��,而且還能確保攻擊者的隱秘性�����。圖4示出了在區(qū)塊鏈網(wǎng)絡中攻擊者進行DDoS攻擊的原理�����。 區(qū)塊鏈網(wǎng)絡中具有數(shù)以百萬計的同時在線用戶數(shù)��,這些節(jié)點提供了大量的可用資源�,例如分布式存儲和網(wǎng)絡帶寬。如果利用這些資源作為一個發(fā)起大型DDoS攻擊的放大平臺�����,就不必入侵區(qū)塊鏈網(wǎng)絡節(jié)點所運行的主機�����,只需要在層疊網(wǎng)絡(應用層)中將其控制即可���。 理論上說,將區(qū)塊鏈網(wǎng)絡作為DDoS攻擊引擎����,如果該網(wǎng)絡中有一百萬個在線用戶���,則可以將攻擊放大一百萬倍甚至更多。 據(jù)攻擊方式的不同�,基于區(qū)塊鏈的DDoS攻擊可分為主動攻擊和被動攻擊兩種?��;趨^(qū)塊鏈的主動DDoS攻擊是通過主動地向網(wǎng)絡節(jié)點發(fā)送大量的虛假信息�,使得針對這些信息的后續(xù)訪問都指向受害者來達到攻擊效果的���,具有可控性較強�����、放大倍數(shù)高等特點�����。 這種攻擊利用區(qū)塊鏈網(wǎng)絡協(xié)議中基于“推(push)”的機制�,反射節(jié)點在短時間內(nèi)會接收到大量的通知信息���,不易于分析和記錄����,并且可以通過假冒源地址避過IP檢查,使得追蹤定位攻擊源更加困難��。 此外�,主動攻擊在區(qū)塊鏈網(wǎng)絡中引入額外流量,會降低區(qū)塊鏈網(wǎng)絡的查找和路由性能����;虛假的索引信息,會影響文件下載速度�����。 基于區(qū)塊鏈的被動DDoS攻擊通過修改區(qū)塊鏈客戶端或者服務器軟件�,被動地等待來自其它節(jié)點的查詢請求,再通過返回虛假響應來達到攻擊效果�。通常情況下����,會采取一些放大措施來增強攻擊效果。 如:部署多個攻擊節(jié)點�����、在一個響應消息中多次包含目標主機、結(jié)合其它協(xié)議或者實現(xiàn)漏洞等��。這種攻擊利用了區(qū)塊鏈網(wǎng)絡協(xié)議中基于“?。╬ull)”的機制。被動攻擊屬于非侵擾式��,對區(qū)塊鏈網(wǎng)絡流量影響不大�,通常只能利用到局部的區(qū)塊鏈節(jié)點。 小結(jié)Sybil攻擊是Eclipse攻擊成功實施的基礎�。Sybil攻擊的目標是單個物理節(jié)點在區(qū)塊鏈網(wǎng)絡上產(chǎn)生大量不同的身份,成功的Sybil攻擊可以使發(fā)動Eclipse攻擊變得更為容易�。 對單個節(jié)點進行DDoS攻擊的前提是向區(qū)塊鏈網(wǎng)絡發(fā)布大量的虛假消息或被動地做出虛假響應,Eclipse攻擊可以幫助攻擊者劫持網(wǎng)絡節(jié)點間傳遞的信息���,增大成功實施DDoS攻擊的可能性���。 Sybil攻擊只是冒充單個區(qū)塊鏈網(wǎng)絡節(jié)點,對區(qū)塊鏈網(wǎng)絡的影響是比較小的�����;Eclipse攻擊使得部分區(qū)塊鏈節(jié)點脫離區(qū)塊鏈網(wǎng)絡���,這對受攻擊的節(jié)點來說是無法接受的�����;DDoS攻擊的目的是大量占用受害節(jié)點的資源��,使其無法正常提供服務�����,因此DDoS攻擊對區(qū)塊鏈網(wǎng)絡的影響是致命的����。 聲明:我們尊重原創(chuàng)者版權(quán),除確實無法確認作者外���,均會注明作者和來源�����。轉(zhuǎn)載文章僅供個人學習研究���,同時向原創(chuàng)作者表示感謝,若涉及版權(quán)問題�����,請及時聯(lián)系小編刪除���! 精彩在后面 Hi����,我是超級盾 更多干貨����,可移步到,微信公眾號:超級盾訂閱號�!精彩與您不見不散! 超級盾:從現(xiàn)在開始�,我的每一句話都是認真的。 如果��,你被攻擊了��,別打110�、119、120�,來這里看著就行。 截至到目前��,超級盾成功抵御史上最大2.47T黑客DDoS攻擊,超級盾具有無限防御DDoS���、100%防CC的優(yōu)勢�����。
|
