区块链安全之区块链网络攻击的方式原理详解

区块链安全之区块链网络攻击的方式原理详解

新闻资讯   2019-02-12 14:27

目前对区块链应用开发网络安全威胁最大的3种进犯方式:Sybil进犯、Eclipse进犯和DDoS进犯。

本文将要点解说上述三种进犯方式的原理,以供有关组织参考,在开发根据区块链网络的使用系统时采纳措施加强防范。

1根据区块链网络的 Sybil进犯

Sybil进犯开始是由Douceur在点对点网络环境中提出的,他指出这种进犯损坏了分布式存储系统中的冗余机制,并提出直接身份验证和直接身份验证两种验证方式。后来,Chris Karlof等人指出Sybil进犯对传感器网络中的路由机制同样存在着威胁。

Sybil进犯,又称女巫进犯,是指一个歹意结点不合法地对外呈现出多个身份,一般把该结点的这些身份称为Sybil结点。Sybil进犯方式主要有以下几种类型:直接通讯、直接通讯、假造身份、盗用身份、同时进犯、非同时进犯。

区块链应用开发网络中,用户创建新身份或许新节点是不需要代价的,进犯者能够使用这一缝隙建议Sybil进犯,假造自己的身份参加网络,在掌握了若干节点或节点身份之后,随意做出一些歹意的行为。例如误导正常节点的路由表,下降区块链网络节点的查找功率;或许在网络中传输非授权文件,损坏网络中文件同享安全,耗费节点间的连接资源等,并且不用忧虑自己会受到影响。图2示出了在区块链网络中进犯者进行Sybil进犯的原理。

区块链安全之区块链网络攻击的方式原理详解

Sybil进犯对区块链网络的影响主要体现在以下几个方面:

1. 虚伪节点参加:在遵从区块链网络协议的根底上,任何网络节点都能够向区块链网络发送节点参加恳求音讯;收到恳求音讯的区块链节点会立即做出呼应,回复其街坊节点信息。使用这个进程,Sybil进犯者就能够获取很多的区块链网络节点信息来剖析区块链网络拓扑,以便更高效地对区块链网络进行进犯或损坏。

2. 误导区块链网络节点的路由挑选:节点间路由信息的实时交互是保证区块链网络正常运转的要害因素之一。节点只需守时地向其街坊节点宣告自己的在线情况,就能保证自己被街坊节点参加到其路由表中。歹意的Sybil侵略者经过这个进程,能够侵略正常区块链节点的路由表,误导其路由挑选,大大下降区块链节点的路由更新和节点查找功率,极点情况下,会导致Eclipse进犯。

3. 虚伪资源发布:Sybil进犯者一旦侵略区块链网络节点的路由表,就能够随意发布自己的虚伪资源。区块链网络的意图是完成用户间资源的分布式同享,假如网络中充满着很多的虚伪资源,那么在用户看来,这将是无法接受的。

2根据区块链网络的Eclipse进犯

Moritz Steiner等人在Kad网络中提出了Eclipse进犯,并且给出了该进犯的原理。Eclipse进犯是指进犯者经过侵吞节点的路由表,将足够多的虚伪节点添加到某些节点的街坊节点集合中,从而将这些节点“阻隔”于正常区块链网络之外。当节点受到Eclipse进犯时,节点的大部分对外联系都会被歹意节点所操控,由此歹意节点得以进一步施行路由欺骗、存储污染、拒绝服务以及ID绑架等进犯行为。因而,Eclipse进犯对区块链网络的威胁十分严峻。

区块链网络的正常运转依赖于区块链节点间路由信息的同享。Eclipse进犯者经过不断地向区块链节点发送路由表更新音讯来影响区块链节点的路由表,试图使一般节点的路由表充满虚伪节点。当区块链节点的路由表中虚伪节点占有了较高的份额时,它对区块链网络的正常行为,包含路由查找或许资源搜索,都将被歹意节点所隔绝开,这也是这种进犯被称为月食进犯的原因。图3示出了在区块链网络中进犯者进行

Eclipse进犯的原理。

区块链安全之区块链网络攻击的方式原理详解

Eclipse进犯和Sybil进犯密切相关,它需要较多的Sybil进犯节点相配合。为了完成对特定区块链节点群的Eclipse进犯,进犯者有必要首要设置足够多的Sybil进犯节点,并且向区块链网络宣称它们是“正常”的节点,然后使用这些Sybil节点与正常的区块链节点通讯,侵略其路由表,终究把它们从区块链网络中阻隔出去。

Eclipse进犯对区块链网络的影响十分重大。关于区块链网络来说,Eclipse进犯损坏了网络的拓扑结构,减少了节点数目,使得区块链网络资源同享的功率大大下降,在极点情况下,它能彻底操控整个区块链网络,把它分隔成若干个区块链网络区域。关于受害的区块链节点来说,它们在不知道的情况下脱离了区块链网络,所有区块链网络恳求音讯都会被进犯者绑架,所以它们得到的回复信息大部分都是虚伪的,无法进行正常的资源同享或下载。

3根据区块链网络的DDoS进犯

DDoS进犯是一种对区块链网络安全威胁最大的进犯技术之一,它指借助于C/S技术,将多个计算机联合起来作为进犯平台,对一个或多个方针建议进犯,从而成倍地进步拒绝服务进犯的威力。

传统的DDoS进犯分为两步:第一步使用病毒、木马、缓冲区溢出等进犯手法侵略很多主机,形成僵尸网络;第二部经过僵尸网络建议DoS进犯。常用的进犯工具包含:Trinoo、TFN、TFN2K、Stacheldraht等。因为各种条件限制,进犯的第一步成为限制DDoS进犯规划和作用的要害。

新式的DDoS进犯不需要树立僵尸网络即可建议大规划进犯,不仅成本低、威力巨大,并且还能保证进犯者的隐秘性。图4示出了在区块链网络中进犯者进行DDoS进犯的原理。

区块链安全之区块链网络攻击的方式原理详解

区块链网络中具有数以百万计的同时在线用户数,这些节点供给了很多的可用资源,例如分布式存储和网络带宽。假如使用这些资源作为一个建议大型DDoS进犯的扩大平台,就不必侵略区块链网络节点所运转的主机,只需要在层叠网络(使用层)中将其操控即可。理论上说,将区块链网络作为DDoS进犯引擎,假如该网络中有一百万个在线用户,则能够将进犯扩大一百万倍乃至更多。

根据进犯方式的不同,根据区块链的DDoS进犯可分为主动进犯和被迫进犯两种。根据区块链的主动DDoS进犯是经过主动地向网络节点发送很多的虚伪信息,使得针对这些信息的后续拜访都指向受害者来到达进犯作用的,具有可控性较强、扩大倍数高等特色。这种进犯使用区块链网络协议中根据“推(push)”的机制,反射节点在短时间内会接收到很多的告诉信息,不易于剖析和记载,并且能够经过假冒源地址避过IP查看,使得追踪定位进犯源更加困难。此外,主动进犯在区块链网络中引入额定流量,会下降区块链网络的查找和路由性能;虚伪的索引信息,会影响文件下载速度。

根据区块链的被迫DDoS进犯经过修改区块链客户端或许服务器软件,被迫地等待来自其它节点的查询恳求,再经过回来虚伪呼应来到达进犯作用。一般情况下,会采纳一些扩大措施来增强进犯作用,如:部署多个进犯节点、在一个呼应音讯中屡次包含方针主机、结合其它协议或许完成缝隙等。这种进犯使用了区块链网络协议中根据“取(pull)”的机制。被迫进犯归于非侵扰式,对区块链网络流量影响不大,一般只能使用到部分的区块链节点。

4小结

Sybil进犯是Eclipse进犯成功施行的根底。Sybil进犯的方针是单个物理节点在区块链网络上产生很多不同的身份,成功的Sybil进犯能够使建议Eclipse进犯变得更为简单。对单个节点进行DDoS进犯的前提是向区块链网络发布很多的虚伪音讯或被迫地做出虚伪呼应,Eclipse进犯能够帮助进犯者绑架网络节点间传递的信息,增大成功施行DDoS进犯的可能性。

Sybil进犯仅仅假充单个区块链网络节点,对区块链网络的影响是比较小的;Eclipse进犯使得部分区块链节点脱离区块链网络,这对受进犯的节点来说是无法接受的;DDoS进犯的意图是很多占用受害节点的资源,使其无法正常供给服务,因而DDoS进犯对区块链网络的影响是致命的。

相关新闻