随着下一代结合了安全与性能的“分布式共识”算法的到来,企业组织,甚至那些利用物联网的设备,都已经能够抵御DDoS攻击。
2016年10月21日,一种叫做Mirai僵尸网络的新型流氓软件武器对DNS服务商Dyn进行了猛烈的DDoS攻击,使许多网站的访问出现了严重问题。这其中包括众多欧洲和美国的网站:如推特,卫报,Netflix, Reddit, 美国有线电视新闻网等。
Mirai僵尸网络十分特殊,它很大程度上由物联网设备及DVR播放器所组成。由于僵尸网络本身有许多互联网连接设备的选择,所以Mirai的攻击性远远大于从前的DDoS攻击。Dyn估计此次攻击涉及到100000个速率为1.2Tbps的恶意终端。对比来看,10月21日的这次攻击的强度是以往记录中任何类似攻击的2倍。
此后,Mirai的源代码在黑客论坛中公开,这种技术如今已经被其他恶意软件项目所采用,此外,网络威胁者会更快地学习类似Mirai的技术,因此今后我们可能会更加频繁地看到这些攻击。当出现类似僵尸网络攻击DNS系统的情况时,公司服务器和传统的DDoS防御方法是远远不够的。
要想防御一大群攻击者针对单一目标发起的攻击是很困难的。所以,我们必须要找到相应的处理办法。假设我们有多个保护目标,那么攻击者不得不分散力量,而每一组的力量都不如原来的整体强。分布式共识技术能够取代中央服务器,所以攻击者攻击单一目标已经不可能实现他的目的,除非他至少成功地攻击3分之1的网络节点。
分布式共识算法(例如区块链和hashgraph)能够保证互不了解互不信任的社区人员之间相互协作的安全性,不需要第三方担保。换句话说,它不需要中央服务器就可以使众多开发参与人员的操作和一般目标下的应用程序得以有效地执行。社区的每个成员运行的是应用程序的本地副本。共识算法确保所有应用程序的实例能够准确反应社区所有成员的变化,同时确保没有任何成员能够进行欺诈行为。
当前已经有两种类型的共识技术可以从中选择:
1) 公共网络,例如需要工作量证明的比特币和以太坊,它们性能较差,效率低下。
2)私人许可下的解决方案,例如 HyperLedger Fabric,和不需要工作量证明的比特币或以太坊。(在这种情况下网络节点轮流处理某一部分交易。)
就交易吞吐量和共识下的交易延迟来说,公共网络相比较而言安全性更好但性能较差,因为在这个过程中交易参与人员需要花费时间来确定交易顺序并达成共识。这种技术的短板极大地限制了该技术的实际应用。例如,比特币区块链每秒可处理7笔交易,然而它使社区成员花费1小时去决定这些交易的顺序。当前,还没有太多应用程序能够使用具备这些性能的数据库。
一些用户选择降低分布式共识算法的安全性要求,并限制使用对象为受信任参与者的专用网络算法。这大大提高了性能,实现了用很短的时间就能达成交易共识,但这是以牺牲安全为代价的,如果其中某个单一的网络成员受到损害,那么攻击者可以通过发动DoS攻击破坏整个网络交易。
来源于各种供应商,包括 Swirlds公司的一种全新的分布式共识模式提供了第三种可以选择的方案:即同时具备高安全性和高性能的算法。对于许多应用程序来说,这二者结合起来能够有效抵御DDoS的攻击,甚至利用物联网设备的攻击也不存在任何问题。
为了证明这一点,我们来想想当今流行的在线游戏,魔兽世界(WoW)。当前的游戏系统有一个中央服务器,确保所有玩家都存在于一个共同的世界之中,并且不能欺骗。然而,当DDoS攻击服务器后,将扰乱大家的游戏进程。此外,存在恶意的内部人员或远程攻击者也会破坏游戏的完整性和可用性。
对这种类型的攻击,分布式版本的WoW能够提供防御层。在这种分布式技术下,每个玩家都是网络中的节点,同时共识技术保证了玩家共同的“世界观”,并防止作弊。有效抵御了中央服务器攻击,DDoS攻击或许可以破坏某几个玩家的游戏系统,但其他玩家不会受到影响,仍然可以继续使用。
比特币区块链向我们介绍了现代分布式共识的模式,但它还远远不够。新兴的下一代分布式共识技术会给我们提供性能和安全的双重组合。相信最终我们会形成全新的DDoS防御系统,最终每个行业都会有网络化的分布式应用,这将从根本上实现互联网安全。
Mance Harmon是swirlds联合创始人兼首席执行官,也是一位有经验的和具有20年以上战略领导能力的企业家。他具有在跨国企业,政府机构和高科技创业公司工作的经验.
原文:
http://www.darkreading.com/iot/blockchains-new-role-in-the-internet-of-things/a/d-id/1328239作者:Mance Harmon
译者:王二