|
作者:admin來源:天下數(shù)據(jù) 目前對區(qū)塊鏈網(wǎng)絡安全威脅最大的3種攻擊方式:Sybil攻擊��、Eclipse攻擊和DDoS攻擊�����。 本文將重點講解上述三種攻擊方式的原理��,以供有關機構參考����,在開發(fā)基于區(qū)塊鏈網(wǎng)絡的應用系統(tǒng)時采取措施加強防范�����。 基于區(qū)塊鏈網(wǎng)絡的 Sybil攻擊Sybil攻擊最初是由Douceur在點對點網(wǎng)絡環(huán)境中提出的,他指出這種攻擊破壞了分布式存儲系統(tǒng)中的冗余機制�。 并提出直接身份驗證和間接身份驗證兩種驗證方式。后來��,Chris Karlof等人指出Sybil攻擊對傳感器網(wǎng)絡中的路由機制同樣存在著威脅��。 Sybil攻擊��,又稱女巫攻擊�����,是指一個惡意結點非法地對外呈現(xiàn)出多個身份���,通常把該結點的這些身份稱為Sybil結點����。Sybil攻擊方式主要有以下幾種類型:直接通信���、間接通信����、偽造身份、盜用身份����、同時攻擊、非同時攻擊���。 在區(qū)塊鏈網(wǎng)絡中����,用戶創(chuàng)建新身份或者新節(jié)點是不需要代價的�,攻擊者可以利用這一漏洞發(fā)動Sybil攻擊,偽造自己的身份加入網(wǎng)絡�,在掌握了若干節(jié)點或節(jié)點身份之后,隨意做出一些惡意的行為�。 例如誤導正常節(jié)點的路由表,降低區(qū)塊鏈網(wǎng)絡節(jié)點的查找效率�����;或者在網(wǎng)絡中傳輸非授權文件���,破壞網(wǎng)絡中文件共享安全,消耗節(jié)點間的連接資源等�����,而且不用擔心自己會受到影響。圖2示出了在區(qū)塊鏈網(wǎng)絡中攻擊者進行Sybil攻擊的原理��。 Sybil攻擊對區(qū)塊鏈網(wǎng)絡的影響主要體現(xiàn)在以下幾個方面: 1. 虛假節(jié)點加入:在遵循區(qū)塊鏈網(wǎng)絡協(xié)議的基礎上��,任何網(wǎng)絡節(jié)點都可以向區(qū)塊鏈網(wǎng)絡發(fā)送節(jié)點加入請求消息�����;收到請求消息的區(qū)塊鏈節(jié)點會立即做出響應�,回復其鄰居節(jié)點信息。 利用這個過程��,Sybil攻擊者就可以獲取大量的區(qū)塊鏈網(wǎng)絡節(jié)點信息來分析區(qū)塊鏈網(wǎng)絡拓撲����,以便更高效地對區(qū)塊鏈網(wǎng)絡進行攻擊或破壞。 2. 誤導區(qū)塊鏈網(wǎng)絡節(jié)點的路由選擇:節(jié)點間路由信息的實時交互是保證區(qū)塊鏈網(wǎng)絡正常運行的關鍵因素之一��。節(jié)點只需定時地向其鄰居節(jié)點宣告自己的在線情況��,就能保證自己被鄰居節(jié)點加入到其路由表中���。 惡意的Sybil入侵者通過這個過程���,可以入侵正常區(qū)塊鏈節(jié)點的路由表�,誤導其路由選擇��,大大降低區(qū)塊鏈節(jié)點的路由更新和節(jié)點查找效率�����,極端情況下��,會導致Eclipse攻擊��。 3. 虛假資源發(fā)布:Sybil攻擊者一旦入侵區(qū)塊鏈網(wǎng)絡節(jié)點的路由表�����,就可以隨意發(fā)布自己的虛假資源�。區(qū)塊鏈網(wǎng)絡的目的是實現(xiàn)用戶間資源的分布式共享,如果網(wǎng)絡中充斥著大量的虛假資源�,那么在用戶看來,這將是無法接受的����。 基于區(qū)塊鏈網(wǎng)絡的Eclipse攻擊Moritz Steiner等人在Kad網(wǎng)絡中提出了Eclipse攻擊����,并且給出了該攻擊的原理��。Eclipse攻擊是指攻擊者通過侵占節(jié)點的路由表�,將足夠多的虛假節(jié)點添加到某些節(jié)點的鄰居節(jié)點集合中�����,從而將這些節(jié)點“隔離”于正常區(qū)塊鏈網(wǎng)絡之外�����。 當節(jié)點受到Eclipse攻擊時���,節(jié)點的大部分對外聯(lián)系都會被惡意節(jié)點所控制�����,由此惡意節(jié)點得以進一步實施路由欺騙�����、存儲污染����、拒絕服務以及ID劫持等攻擊行為。因此����,Eclipse攻擊對區(qū)塊鏈網(wǎng)絡的威脅非常嚴重。 區(qū)塊鏈網(wǎng)絡的正常運行依賴于區(qū)塊鏈節(jié)點間路由信息的共享����。Eclipse攻擊者通過不斷地向區(qū)塊鏈節(jié)點發(fā)送路由表更新消息來影響區(qū)塊鏈節(jié)點的路由表,試圖使普通節(jié)點的路由表充滿虛假節(jié)點��。 當區(qū)塊鏈節(jié)點的路由表中虛假節(jié)點占據(jù)了較高的比例時��,它對區(qū)塊鏈網(wǎng)絡的正常行為��,包括路由查找或者資源搜索��,都將被惡意節(jié)點所隔絕開����,這也是這種攻擊被稱為月食攻擊的原因。圖3示出了在區(qū)塊鏈網(wǎng)絡中攻擊者進行Eclipse攻擊的原理���。 Eclipse攻擊和Sybil攻擊密切相關����,它需要較多的Sybil攻擊節(jié)點相配合�����。為了實現(xiàn)對特定區(qū)塊鏈節(jié)點群的Eclipse攻擊��,攻擊者必須首先設置足夠多的Sybil攻擊節(jié)點����,并且向區(qū)塊鏈網(wǎng)絡宣稱它們是“正常”的節(jié)點����,然后使用這些Sybil節(jié)點與正常的區(qū)塊鏈節(jié)點通信,入侵其路由表���,最終把它們從區(qū)塊鏈網(wǎng)絡中隔離出去��。 Eclipse攻擊對區(qū)塊鏈網(wǎng)絡的影響十分重大���。對于區(qū)塊鏈網(wǎng)絡來說,Eclipse攻擊破壞了網(wǎng)絡的拓撲結構��,減少了節(jié)點數(shù)目��,使得區(qū)塊鏈網(wǎng)絡資源共享的效率大大降低,在極端情況下����,它能完全控制整個區(qū)塊鏈網(wǎng)絡,把它分隔成若干個區(qū)塊鏈網(wǎng)絡區(qū)域���。 對于受害的區(qū)塊鏈節(jié)點來說���,它們在未知的情況下脫離了區(qū)塊鏈網(wǎng)絡,所有區(qū)塊鏈網(wǎng)絡請求消息都會被攻擊者劫持�����,所以它們得到的回復信息大部分都是虛假的�,無法進行正常的資源共享或下載。 基于區(qū)塊鏈網(wǎng)絡的DDoS攻擊DDoS攻擊是一種對區(qū)塊鏈網(wǎng)絡安全威脅最大的攻擊技術之一�����,它指借助于C/S技術���,將多個計算機聯(lián)合起來作為攻擊平臺���,對一個或多個目標發(fā)動攻擊�,從而成倍地提高拒絕服務攻擊的威力���。 傳統(tǒng)的DDoS攻擊分為兩步:第一步利用病毒���、木馬���、緩沖區(qū)溢出等攻擊手段入侵大量主機�,形成僵尸網(wǎng)絡���;第二部通過僵尸網(wǎng)絡發(fā)起DoS攻擊��。常用的攻擊工具包括:Trinoo����、TFN�、TFN2K、Stacheldraht等���。由于各種條件限制��,攻擊的第一步成為制約DDoS攻擊規(guī)模和效果的關鍵��。 新型的DDoS攻擊不需要建立僵尸網(wǎng)絡即可發(fā)動大規(guī)模攻擊�,不僅成本低、威力巨大��,而且還能確保攻擊者的隱秘性��。圖4示出了在區(qū)塊鏈網(wǎng)絡中攻擊者進行DDoS攻擊的原理�。 區(qū)塊鏈網(wǎng)絡中具有數(shù)以百萬計的同時在線用戶數(shù),這些節(jié)點提供了大量的可用資源���,例如分布式存儲和網(wǎng)絡帶寬����。如果利用這些資源作為一個發(fā)起大型DDoS攻擊的放大平臺�����,就不必入侵區(qū)塊鏈網(wǎng)絡節(jié)點所運行的主機�,只需要在層疊網(wǎng)絡(應用層)中將其控制即可。 理論上說�,將區(qū)塊鏈網(wǎng)絡作為DDoS攻擊引擎,如果該網(wǎng)絡中有一百萬個在線用戶����,則可以將攻擊放大一百萬倍甚至更多����。 據(jù)攻擊方式的不同����,基于區(qū)塊鏈的DDoS攻擊可分為主動攻擊和被動攻擊兩種?��;趨^(qū)塊鏈的主動DDoS攻擊是通過主動地向網(wǎng)絡節(jié)點發(fā)送大量的虛假信息,使得針對這些信息的后續(xù)訪問都指向受害者來達到攻擊效果的��,具有可控性較強���、放大倍數(shù)高等特點���。 這種攻擊利用區(qū)塊鏈網(wǎng)絡協(xié)議中基于“推(push)”的機制,反射節(jié)點在短時間內會接收到大量的通知信息��,不易于分析和記錄�����,并且可以通過假冒源地址避過IP檢查,使得追蹤定位攻擊源更加困難��。 此外�����,主動攻擊在區(qū)塊鏈網(wǎng)絡中引入額外流量�,會降低區(qū)塊鏈網(wǎng)絡的查找和路由性能;虛假的索引信息����,會影響文件下載速度。 基于區(qū)塊鏈的被動DDoS攻擊通過修改區(qū)塊鏈客戶端或者服務器軟件����,被動地等待來自其它節(jié)點的查詢請求,再通過返回虛假響應來達到攻擊效果���。通常情況下���,會采取一些放大措施來增強攻擊效果。 如:部署多個攻擊節(jié)點����、在一個響應消息中多次包含目標主機�、結合其它協(xié)議或者實現(xiàn)漏洞等�。這種攻擊利用了區(qū)塊鏈網(wǎng)絡協(xié)議中基于“取(pull)”的機制���。被動攻擊屬于非侵擾式��,對區(qū)塊鏈網(wǎng)絡流量影響不大�����,通常只能利用到局部的區(qū)塊鏈節(jié)點���。 小結Sybil攻擊是Eclipse攻擊成功實施的基礎。Sybil攻擊的目標是單個物理節(jié)點在區(qū)塊鏈網(wǎng)絡上產(chǎn)生大量不同的身份�����,成功的Sybil攻擊可以使發(fā)動Eclipse攻擊變得更為容易���。 對單個節(jié)點進行DDoS攻擊的前提是向區(qū)塊鏈網(wǎng)絡發(fā)布大量的虛假消息或被動地做出虛假響應,Eclipse攻擊可以幫助攻擊者劫持網(wǎng)絡節(jié)點間傳遞的信息���,增大成功實施DDoS攻擊的可能性��。 Sybil攻擊只是冒充單個區(qū)塊鏈網(wǎng)絡節(jié)點�����,對區(qū)塊鏈網(wǎng)絡的影響是比較小的��;Eclipse攻擊使得部分區(qū)塊鏈節(jié)點脫離區(qū)塊鏈網(wǎng)絡����,這對受攻擊的節(jié)點來說是無法接受的;DDoS攻擊的目的是大量占用受害節(jié)點的資源����,使其無法正常提供服務,因此DDoS攻擊對區(qū)塊鏈網(wǎng)絡的影響是致命的���。 聲明:我們尊重原創(chuàng)者版權�,除確實無法確認作者外��,均會注明作者和來源�����。轉載文章僅供個人學習研究���,同時向原創(chuàng)作者表示感謝����,若涉及版權問題,請及時聯(lián)系小編刪除��! 精彩在后面 Hi����,我是超級盾 更多干貨,可移步到���,微信公眾號:超級盾訂閱號���!精彩與您不見不散! 超級盾:從現(xiàn)在開始���,我的每一句話都是認真的。 如果����,你被攻擊了,別打110��、119、120�,來這里看著就行。 截至到目前����,超級盾成功抵御史上最大2.47T黑客DDoS攻擊,超級盾具有無限防御DDoS�����、100%防CC的優(yōu)勢���。
|
