隨著網絡規模的不斷擴大,2020年IPFS的一個主要重點是改進內容路由。雖然官方對DHT上的請求速度進行了重大改進,但另一個關鍵重點是網絡的安全性。
在發布go-ipfs0.5之前的工作中,A-SIT和Graz科技大學的BerndPrünster和AlexanderMarsalek聯系了協議實驗室,告知官方他們在針對go-ipfs0.4.23的研究中發現的一種攻擊,這種攻擊可以讓攻擊者用最少的資源吃掉公共DHT上的任何節點。
在過去3個小版本的go-ipfs中,官方一直與Bernd和Alexander密切合作,發布增量改進,減輕了他們的原始攻擊,并將此類攻擊的成本和難度提高了幾個數量級。今天這篇文章將深入研究該攻擊和官方發布的各種緩解措施。
動態 | 思科新專利將通過區塊鏈保護5G網絡安全:金色財經報道,網絡技術巨頭思科贏得了一項專利,該專利詳細說明了如何利用區塊鏈來保護5G電信網絡中的數據。根據11月26日在美國專利商標局(USPTO)備案的文件,思科于2018年6月提交了一份有關可集成在無線網絡中的區塊鏈平臺的專利申請。該區塊鏈平臺旨在管理設備(如電話或筆記本電腦)與虛擬網絡之間的數據會話。換句話說,新技術可以通過區塊鏈接口管理網絡和連接設備之間的部分數據交換。[2019/11/30]
如果你想閱讀完整的論文,“全部的Eclipse病——擾亂破壞IPFS系統”,你可以在TUGraz研究門戶網站上找到它。
緩解攻擊
Eclipse攻擊指的是攻擊者將對等體與網絡其他部分隔離開來,使目標對等體只與攻擊者控制的對等體通信的能力。這種攻擊的目標是污染目標對等體的DHT路由表,使只有攻擊者控制的對等體存在。在Bernd和Alexander發現的攻擊中,他們利用libp2p和大量預先生成的PeerID列表,創建了一個Sybil攻擊,共計29TB的數據,以libp2p中的信譽系統,從而接管路由表。
動態 | 網絡安全咨詢公司TBG Security推出區塊鏈安全測試服務以降低網絡風險:8月29日消息,網絡安全咨詢公司TBG Security(TBG)宣布推出一系列新的TBG服務:區塊鏈安全測試。這些服務為TBG客戶提供實用的安全專業知識,使他們的區塊鏈能夠抵御危害,無論威脅的是代理內部還是外部。[2018/8/29]
如果你對Sybil攻擊不熟悉的話,其原理是利用單個Peer的大量假名ID來顛覆信譽系統,以增加對網絡的影響力。在這種攻擊的背景下,假ID最終會在受影響對等體的路由表中取代對等體的位置。
為了使這種攻擊成功,libp2p中的一些漏洞被暴露出來,最終導致這種攻擊在go-ipfs0.4.23中非常有效。在這次攻擊被發現的時候,libp2p存在的一個主要問題是,DHT并沒有偏向于長壽的對等體,它并沒有保護其下層桶中的對等體。這個問題使得攻擊者可以快速地將誠實的對等體從目標的路由表中驅逐出去,以支持其不誠實的對等體。作為go-ipfs0.5中DHT大修工作的一部分,官方改變了路由表中條目的管理方式。其中一個主要的影響變化是,官方將不再從路由表中驅逐仍然可用的對等體。這加上官方在go-ipfs0.5中對DHT所做的其他改進,使得攻擊的執行難度增加了幾個數量級。你可以在IPFS0.5內容路由深挖中閱讀關于DHT的詳細變化。
網絡安全公司Palo Alto Networks(PANW) 調查發現 現流通的5%的門羅幣來自于惡意挖礦:據Cointelegraph消息,美國網絡安全公司Palo Alto Networks(PANW) 于11日發表的報告中,發現現流通的5%的門羅幣來自于惡意挖礦,價值為1.75億美元。據該調查顯示,此種惡意挖礦是通過利用他人的計算機處理能力,在沒有得到所有者許可的情況下自行運行coinhive惡意挖礦軟件進行的。[2018/6/14]
除了go-ipfs0.5中的改動,官方還修復了幾個問題,進一步增加了這次攻擊的難度和成本。攻擊成功的部分原因是由于Sybil節點能夠通過濫用對作為中繼的對等體的評分方式的缺陷來攻擊有價值連接的信譽系統。該缺陷可以讓一個Sybil節點充當后續Sybil對等體的中繼,從而繼續提升中繼的得分。這可以為單個對等體使用嵌套的Sybils快速獲得大量的不正當的聲譽。為了解決這個問題,官方對中繼應用了一個恒定的分數,這使得官方仍然可以重視它們,但避免它們能夠夸大自己的聲譽。通過提高內部聲譽系統的完整性,官方降低了Sybil攻擊的功效。
美國麻省理工學院預測2018年主要網絡安全威脅:美國麻省理工學院報告稱,2018年全球將面臨六大網絡安全威脅:一是持有公眾敏感信息的企業將成為黑客重點攻擊目標;二是云端勒索軟件可能更加猖獗;三是人工智能和機器學習技術將提升黑客投放假消息的能力;四是針對電網、運輸系統等國家關鍵基礎設施的網絡攻擊將會增多;五是大量電腦可能被黑客軟件綁架,用于挖掘比特幣等加密貨幣;六是美國中期選舉即將到來,黑客可能對電子投票系統發起攻擊。[2018/1/7]
官方為增加這類攻擊的成本所做的另一個重大改變是在路由表中引入IP多樣性要求。最初的go-ipfs0.4.23攻擊能夠以相對較低的費用在單臺機器上運行,因為路由表有可能只包含來自單一主機的對等體。現在,IP多樣性的要求限制了來自任何主機的對等體數量,這使得從單臺機器上執行日蝕攻擊變得不可行,進一步將攻擊成本從go-ipfs0.5提高了兩個數量級以上。
驗證緩解措施
作為與Bernd和Alexander合作的一部分,官方希望確保能夠正確地測試和驗證修復,采取了兩種方法。
現場測試:在官方的允許下,他們對官方在公共網絡上的一個托管引導節點進行了控制攻擊。這使官方能夠收集實時指標和日志,從可見性和他們的外部觀察中觀察攻擊的有效性。受控攻擊是在IPFS發布之前的每個版本上進行的,從go-ipfs0.5開始,這使官方能夠在生產環境中驗證修復。
在Testground上進行復制:由于Testground的開發和發布,以及Bernd和Alexander分享他們的攻擊代碼,能夠創建測試計劃來復制攻擊的各個部分。這使官方能夠在一個受控的測試環境中做大規模測試的變化,既驗證攻擊是可能的,并驗證官方的緩解措施。擁有這些測試計劃的好處是,官方可以繼續在IPFS和libp2p的版本上運行它們,以確保官方不會引入回歸。此外,這確保了官方可以在受控的環境中更長時間地運行攻擊,以進一步分析攻擊的有效性和成本。
IPFS目前的情況
在這一年里,官方對IPFS和libp2p的性能和安全性都做了重大改進,而合作是這項工作成功的重要組成部分。Bernd和Alexander所做的研究,以及他們與協議實驗室緊密合作的意愿,對幫助提高網絡的穩定性是非常寶貴的。
隨著9月份go-ipfs0.7的發布,官方在IPFS和libp2p上執行eclipse和Sybil攻擊的難度和成本較其0.4.23的前身增加了幾個數量級。如果你還沒有更新到go-ipfs0.7,建議你盡快更新,以利用這些改進的全部范圍。
本期投票上幣活動已圓滿結束,感謝廣大用戶的參與和支持。Gate.io投票上幣活動將持續帶來更多有潛力的優質項目,敬請期待.
1900/1/1 0:00:00什么是IPFS? IPFS又稱星際文件系統,是一種點到點的分布式文件系統,與傳統的http協議中心化存儲方式不同,IPFS真正實現分布式存儲,用戶需要在IPFS上存儲一段視頻.
1900/1/1 0:00:00親愛的用戶: 根據AxieInfinity的搖號中簽規則,幣安將于2020年11月03日14:00開啟簽號申購,用戶可于網頁申購頁面或APP客戶端中查看申購資格并進行申購.
1900/1/1 0:00:00尊敬的中幣用戶: BitcoinCash網絡預計將于1605441600區塊進行硬分叉協議升級,目前存在BitcoinCashABC和BitcoinCashNode兩個節點方案.
1900/1/1 0:00:00啟明老師認為比特幣已迅速超過了金融業中許多現有公司的發展速度,多次反映出比特幣作為具有重大價值資產的發展路徑.
1900/1/1 0:00:001.香港擬建立虛擬資產服務提供者發牌制度一文看懂要點2020年11月3日香港證監會行政總裁歐達禮在香港金融科技周表示,香港證監會將公布全新虛擬資產交易平臺發牌制度.
1900/1/1 0:00:00