版权声明
本文首发自微信公共帐号:
曾老师的黑板报(zenglaoshibanbao)
无需授权即可转载,甚至无需保留以上版权声明
转载时请务必注明作者。
EOS摆脱不了DDoS
作为信息安全从业者,我得出的结论跟金马文章《EOS才不会那么容易被DDoS呢》中的结论是相反的:EOS摆脱不了DDoS。
什么是DDoS
来自维基百科的DDoS解释:
拒绝服务攻击(英语:denial-of-service attack,缩写:DoS attack、DoS)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。
当黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击时,称为分布式拒绝服务攻击(distributed denial-of-service attack,缩写:DDoS attack、DDoS)。
有人的地方就有江湖,有互联网就有DDoS。DDoS永远不会消失,它将伴随互联网诞生到毁灭。区块链同样绕不过这道坎。
中心化时代,DDoS说是网络攻击的“核武器”也不为过。本质上,所有DDoS解决方案只是缓解,无法根除。
当DDoS遇到去中心化
去中心化,从某种程度看,也是缓解DDoS的一种方式。
拿bm的第二个作品steem举例:
steem是去中心化的底层公链,steemit是steem第一个应用:去中心化的社交媒体平台。
steemit历史上发生多次DDoS攻击,造成steemit官方节点访问异常。去中心化的优势就体现出来了:攻击者DDoS攻击steemit官方节点服务器,但用户依然可以通过切换其他节点访问平台。
所以说去中心化,某种程度上,也是缓解DDoS的一种方式。为什么说是“缓解”,而不是“解决”:在去中心化的场景中,DDoS没有被堵住,该被攻击还是被攻击。与中心化场景不同的是,攻击者无法攻陷所有节点使整个系统拒绝服务。
DDoS EOS?
未知攻,焉知防。攻击角度可以从三个层面对EOS发起DDoS:EOS区块链系统层、DAPP层、节点层
EOS区块链系统层
区块链系统层,先看看BTC和ETH是如何考虑DDoS攻击。答案是:
手续费
试想下,没有手续费,攻击者无限次自己给自己转账,或者部署一个死循环的智能合约,所有节点处理他一个人的交易,资源就会被耗尽,无法处理其他用户交易。这就是典型的“拒绝服务”。 当然,手续费没法解决另外一个问题:
某个DAPP过多占用系统资源
比如一款火爆的以太猫游戏DAPP就把ETH系统资源都耗尽了。其他交易只能等着,某种意义上,这也是一种拒绝服务(DoS)。
要注意,EOS可是号称没有手续费。那EOS设计上是怎么考虑DDoS攻击呢?白皮书上给的答案是:
用户所能拥有的带宽资源取决于该用户所拥有的EOS代币
比如DAPP拥有1%的EOS代币,DAPP就拥有百分之一的EOS网络带宽。 这个设计解决了上面说的区块链上层某个DAPP过多占用系统资源问题:DAPP拥有多少代币,就只能使用系统多少资源。
但似乎没有解决攻击者无限交易问题,用户/攻击者有意或无意触发无限交易行为,仍然可能会耗尽自身代币所占的资源,尽管影响范围有限。
还的看看后续官网怎么解决这个问题。
DAPP应用层
EOS免手续费是通过DAPP抵押代币,换取网络资源,使得DAPP上层的用户可以免费使用。 那就要求DAPP开发者要有安全意识,考虑业务层的DDoS,这属于业务层范畴。
如果开发者没有考虑DAPP业务层DDoS(基本可以断定初期绝大部分项目不会考虑这些安全问题),就可能会出现: 攻击者通过无限制调地用DAPP业务,来耗尽DAPP背后对应的EOS系统资源,反正对于攻击者来说是免手续费。
甚至最坏的情况,攻击者通过攻击链上所有DAPP,耗尽他们的资源,间接攻击EOS区块链系统,拒绝服务。例如下面要讲到的国家级的DDoS。
预测这类攻击会变成很常见,DAPP在被攻击时,临时需要更多的资源来抵御。进而我们可以得出以下推论。
推论1:
市场必然衍生出EOS租赁服务
当DAPP被攻击时,临时租用EOS代币增加资源来抵御,等攻击结束后把代币资源还回去。
预测还会出现一类商业模式:
EaaS : EOS-as-a-Service
普通用户将EOS存到EaaS服务商平台,换取利息。EaaS服务商将EOS抵押并提供临时租赁服务。DAPP用完即走。 想象空间很大,现在还是EOS红利期,有对EaaS感兴趣的可以私聊。
节点层
作为单个EOS超级节点,跟中心化的思维一样,需要自行抵御DDoS。上面举的steemit例子就是节点层面的DDoS。
DDoS大都是为了利益 比如
- 备用节点为了上位攻击21个超级节点
- 两个竞争关系的DAPP,为了搞掉对手相互DDoS
- ……
一切均有可能,只要有利益驱使。规则不能完全杜绝这样的行为,要知道:
规则是摆在明面上的,而DDoS却是躲在暗处
DDoS又不一定都是为了利益
或许未来会出现国家级别的DDoS
前些天北大学生公开信被存储到以太坊,传播甚广,感兴趣可以自行百度。内容永久保存在互联网,谁都没办法删除,也无法修改。 这个事件很有意思,很值得思考。相信这仅仅是开始。
区块链不可更改的属性,一旦为误用或恶意利用:非法信息、色情、恐怖、反XX等等不可描述内容出现在区块链。舆情维稳失控,国家层面会采取什么措施?
- 技术上屏蔽访问
- DDoS攻击节点,暂时性转移视线
预测未来会出现国家级的DDoS对EOS发起攻击。请注意,这里说的是各个国家都有可能哦,比如朝鲜,古巴……
成本无底洞
攻击者用500块钱成本发起的DDoS攻击,防御方可能却要花上5万,50万才能抵御。DDoS防御就是个无底洞。
从这个角度看,我赞同奶王梓岑的一个观点,不记得原话,大概意思是
大家对节点收益过于乐观,超级节点可能根本不挣钱!
抗DDoS能力三要素:
- 设备处理能力
- 人员技术能力
- 带宽
能同时满足这三点,能抵抗国家级的DDoS,并且有雄厚的资金支撑,只有大型的云服务商。
现在有些竞选超级节点者可能过于乐观了,没技术,没人员,买个高配置的VPS就来竞选?不存在的。真正的大佬还在后头,现在普通的竞选者可能只是陪练。
推论2:
随着EOS的发展壮大,未来只有类似亚马逊云、阿里云这样的体量组织或公司才有资格竞争上合格的超级节点
或者未来EOS超级节点收购大型云服务商也未可知。对于普通竞选者,现在就考虑EaaS服务或许更有胜算。
总结
目前看到的EOS设计在系统层一定范围内抵御DDoS,节点层和DAPP层得自行解决,DDoS依然会发生,形式依然很严峻。
结论
EOS摆脱不了DDoS攻击困扰
市场必然衍生出EOS租赁服务:EaaS,EOS-as-a-Service
未来不是随便阿三阿四都可以竞争上超级节点,只有类似亚马逊云、阿里云这样的体量组织或公司才有资格竞争上合格的超级节点
DDoS不是坏事,打不倒会使之更强大,DDoS反而会使得EOS生态越来越健壮
以上为个人思考,不构成投资建议。
欢迎关注我的微信公众号:
曾老师的黑板报(zenglaoshibanbao)