網絡安全的重要性:增強公共DHT,抵御Eclipse攻擊!

隨著網絡規模的不斷擴大，2020年IPFS的一個主要重點是改進內容路由。雖然官方對DHT上的請求速度進行了重大改進，但另一個關鍵重點是網絡的安全性。

在發布go-ipfs0.5之前的工作中，A-SIT和Graz科技大學的BerndPrünster和AlexanderMarsalek聯系了協議實驗室，告知官方他們在針對go-ipfs0.4.23的研究中發現的一種攻擊，這種攻擊可以讓攻擊者用最少的資源吃掉公共DHT上的任何節點。

在過去3個小版本的go-ipfs中，官方一直與Bernd和Alexander密切合作，發布增量改進，減輕了他們的原始攻擊，并將此類攻擊的成本和難度提高了幾個數量級。今天這篇文章將深入研究該攻擊和官方發布的各種緩解措施。

埃塞俄比亞：加密公司需要向該國網絡安全機構申請注冊:金色財經報道，據近期的一份報告稱，在埃塞俄比亞運營的加密貨幣公司需要向該國的網絡安全機構信息網絡安全管理局(INSA)申請注冊。該機構表示，將對未遵守其注冊要求的加密公司，采取相應的法律措施。

據悉，由于新修訂的一項法律，埃塞俄比亞網絡安全機構信息網絡安全管理局(INSA)已經開始為在該國運營的加密公司提供注冊服務。修訂后的法律還將賦予INSA監管加密產品和相關交易的權力。此外，INSA還將負責開發操作程序以及加密基礎設施。（News.Bitcoin）[2022/8/28 12:54:05]

如果你想閱讀完整的論文，“全部的Eclipse病——擾亂破壞IPFS系統”，你可以在TUGraz研究門戶網站上找到它。

緬甸軍政府提出網絡安全法，尋求禁止使用VPN和數字貨幣:1月24日消息，緬甸軍政府提出一項網絡安全法，該法將禁止使用虛擬私人網絡（VPN），違者將被處以監禁和/或罰款，這讓數字權利組織擔心進一步將該國與外部世界數字隔離的影響。

這份日期為1月13日的法案草案由軍方交通運輸部常務秘書Soe Thein簽署，并將于1月28日之前征求意見。一旦通過，它將對VPN用戶處以1年至3年監禁，以及高達500萬緬甸元（約合2800美元）的罰款。

該法案還將禁止使用數字貨幣，處以6個月至1年的監禁，并處以高達500萬緬甸元（約合2800美元）的罰款。此外，它還要求服務提供商根據要求向當局提供用戶的個人信息，如姓名、地址和訪問歷史。此前類似的規定導致Telenor等電信運營商離開該地區。（The Register）[2022/1/24 9:09:23]

緩解攻擊

聲音 | 鄭建華：區塊鏈等技術快速發展對網絡安全提出了一些新問題:據人民網報道，中國科學院院士鄭建華指出，網絡安全的新形勢有三方面特點。一是網絡攻防水平水漲船高；二是攻防從信息的攻防到設備、設施的攻防，隨著人工智能的應用，智能駕駛、智能交通、智能家居的應用，可能最后會直接影響到人；三是新技術發展，特別是以信息技術為牽引的新技術，像云計算、大數據、人工智能、區塊鏈技術在快速發展，對網絡安全提出了一些新問題。[2019/9/17]

Eclipse攻擊指的是攻擊者將對等體與網絡其他部分隔離開來，使目標對等體只與攻擊者控制的對等體通信的能力。這種攻擊的目標是污染目標對等體的DHT路由表，使只有攻擊者控制的對等體存在。在Bernd和Alexander發現的攻擊中，他們利用libp2p和大量預先生成的PeerID列表，創建了一個Sybil攻擊，共計29TB的數據，以libp2p中的信譽系統，從而接管路由表。

動態 | 網絡安全公司Forcepoint已獲區塊鏈相關專利:據Cointelegraph報道，美國合眾國專利商標局（USPTO）4月16日公布的文件顯示，總部位于德克薩斯州的網絡安全公司Forcepoint已經獲得了區塊鏈相關專利。根據文件描述，該專利是一個用戶行為監控和管理系統，目標是存儲用戶交互數據，并利用此數據對用戶行為進行識別從而提升網絡安全性。據悉，Forcepoint由美國國防承包商Raytheon和私募股權公司Vista Equity Partners所有，Crunchbase估計其年收入為6億美元。[2019/4/22]

如果你對Sybil攻擊不熟悉的話，其原理是利用單個Peer的大量假名ID來顛覆信譽系統，以增加對網絡的影響力。在這種攻擊的背景下，假ID最終會在受影響對等體的路由表中取代對等體的位置。

為了使這種攻擊成功，libp2p中的一些漏洞被暴露出來，最終導致這種攻擊在go-ipfs0.4.23中非常有效。在這次攻擊被發現的時候，libp2p存在的一個主要問題是，DHT并沒有偏向于長壽的對等體，它并沒有保護其下層桶中的對等體。這個問題使得攻擊者可以快速地將誠實的對等體從目標的路由表中驅逐出去，以支持其不誠實的對等體。作為go-ipfs0.5中DHT大修工作的一部分，官方改變了路由表中條目的管理方式。其中一個主要的影響變化是，官方將不再從路由表中驅逐仍然可用的對等體。這加上官方在go-ipfs0.5中對DHT所做的其他改進，使得攻擊的執行難度增加了幾個數量級。你可以在IPFS0.5內容路由深挖中閱讀關于DHT的詳細變化。

除了go-ipfs0.5中的改動，官方還修復了幾個問題，進一步增加了這次攻擊的難度和成本。攻擊成功的部分原因是由于Sybil節點能夠通過濫用對作為中繼的對等體的評分方式的缺陷來攻擊有價值連接的信譽系統。該缺陷可以讓一個Sybil節點充當后續Sybil對等體的中繼，從而繼續提升中繼的得分。這可以為單個對等體使用嵌套的Sybils快速獲得大量的不正當的聲譽。為了解決這個問題，官方對中繼應用了一個恒定的分數，這使得官方仍然可以重視它們，但避免它們能夠夸大自己的聲譽。通過提高內部聲譽系統的完整性，官方降低了Sybil攻擊的功效。

官方為增加這類攻擊的成本所做的另一個重大改變是在路由表中引入IP多樣性要求。最初的go-ipfs0.4.23攻擊能夠以相對較低的費用在單臺機器上運行，因為路由表有可能只包含來自單一主機的對等體。現在，IP多樣性的要求限制了來自任何主機的對等體數量，這使得從單臺機器上執行日蝕攻擊變得不可行，進一步將攻擊成本從go-ipfs0.5提高了兩個數量級以上。

驗證緩解措施

作為與Bernd和Alexander合作的一部分，官方希望確保能夠正確地測試和驗證修復，采取了兩種方法。

現場測試：在官方的允許下，他們對官方在公共網絡上的一個托管引導節點進行了控制攻擊。這使官方能夠收集實時指標和日志，從可見性和他們的外部觀察中觀察攻擊的有效性。受控攻擊是在IPFS發布之前的每個版本上進行的，從go-ipfs0.5開始，這使官方能夠在生產環境中驗證修復。

在Testground上進行復制：由于Testground的開發和發布，以及Bernd和Alexander分享他們的攻擊代碼，能夠創建測試計劃來復制攻擊的各個部分。這使官方能夠在一個受控的測試環境中做大規模測試的變化，既驗證攻擊是可能的，并驗證官方的緩解措施。擁有這些測試計劃的好處是，官方可以繼續在IPFS和libp2p的版本上運行它們，以確保官方不會引入回歸。此外，這確保了官方可以在受控的環境中更長時間地運行攻擊，以進一步分析攻擊的有效性和成本。

IPFS目前的情況

在這一年里，官方對IPFS和libp2p的性能和安全性都做了重大改進，而合作是這項工作成功的重要組成部分。Bernd和Alexander所做的研究，以及他們與協議實驗室緊密合作的意愿，對幫助提高網絡的穩定性是非常寶貴的。

隨著9月份go-ipfs0.7的發布，官方在IPFS和libp2p上執行eclipse和Sybil攻擊的難度和成本較其0.4.23的前身增加了幾個數量級。如果你還沒有更新到go-ipfs0.7，建議你盡快更新，以利用這些改進的全部范圍。

Tags：DHTIBPLIBANDdht幣前景怎么樣SHIBPFLIBEROcandy幣怎么賣

火幣下載