Primera publicación | ¿Cómo previene un navegador blockchain los ataques DoS?

Cuando se trata de navegadores, lo que salta a la mente de todos debe ser "Baidu, lo sabrás", "Internet comienza desde Sogou"... Estos navegadores que son muy conocidos e incluso mencionados por el tío son los portavoces de Internet. ., es la entrada a Internet. Pero si hay alguien que tiene una estrecha relación con Internet es la tecnología blockchain que hoy en día está en pleno apogeo. Internet cambia la vida y la tecnología blockchain cambia Internet. Entonces no cabe duda de que, como puerta de entrada a Internet, el navegador también debe ser inseparable de la tecnología blockchain. El navegador de cadena de bloques que nació de esto, como un producto de aterrizaje muy conocido, ha brindado un grado considerable de comodidad a los usuarios de cadena de bloques. El navegador de la cadena de bloques es un motor de búsqueda de la cadena de bloques y los usuarios pueden utilizar esta herramienta para buscar información específica sobre la cadena de bloques. Por ejemplo, Etherscan es un navegador de cadena de bloques para Ethereum. A través de Etherscan, los usuarios pueden obtener fácilmente información sobre bloques, direcciones, transacciones y otras actividades en Ethereum. En otras palabras, el navegador de blockchain se parece más a un sitio web oficial de consulta de blockchain. Entonces, ¿qué pasa con la seguridad del navegador blockchain en el escenario donde la mayoría de las aplicaciones blockchain enfrentan amenazas de seguridad? Hay relativamente pocos puntos de ataque para las aplicaciones de exploración de blockchain. Las razones son las siguientes: no se requiere autenticación ni autorización, por lo que no se filtra información privada; el uso generalizado de marcos web como Vue y React hace que sea menos probable que ocurra XSS (cross-site scripting); ¿no será atacado el dispositivo? ? ¿O está bien ser atacado? La respuesta es: No. Veamos primero a qué tipos de ataques pueden estar sujetos los navegadores de blockchain. Porque la mayoría de las funciones en el explorador de blockchain involucran la búsqueda de datos de la base de datos back-end o la consulta de datos directamente desde los nodos de blockchain. Cuando se trata de la función de consulta de búsqueda, la gente generalmente piensa en dos posibles lagunas: Baidu Apollo estrena la serie "Apollo 001" de colecciones digitales conmemorativas: Golden Finance informó que, según la cuenta pública oficial de conducción inteligente de Baidu Apollo, Baidu Apollo debutó en toda la red La primera colección digital conmemorativa de la serie "Apollo 001", con el robot de automóvil Baidu como imagen principal, cada uno correspondiente a un evento importante de la conducción automática Baidu Apollo. Se informa que la colección digital lanzará el lanzamiento aéreo del retrato familiar de la familia de robots de automóviles a las 09:55 el 8 de julio de 2022. [2022/7/7 1:58:19] Inyección SQL; DoS (ataque de denegación de servicio por denegación de servicio); sin embargo, al examinar diferentes navegadores, el equipo técnico de CertiK solo encontró un caso de inyección SQL y más de El 50% de los navegadores de blockchain corren el riesgo de ser atacados por DoS. Por poner un ejemplo fácil de entender, un abuelo de barba blanca ve que el pollo frito de la tienda de cierto tío payaso se vende cada vez mejor, por lo que busca unos cuantos mafiosos para armar lío. Se pararon frente al mostrador de pedidos, hablaron con él de izquierda a derecha y plantearon varias preguntas y necesidades. El empleado estaba abrumado y no sabía qué quería el gángster después de ordenar durante dos horas. Los clientes hambrientos no podían. No esperé más y me fui. Esto no es suficiente, si los empleados de la tienda del Tío Payaso tienen mal genio, una vez que se intensifiquen por conflictos externos, todas las artes marciales se escenificarán directamente, y la tienda será un desastre... DoS: Negación La abreviatura de de Servicio significa denegación de servicio, y el comportamiento de ataque que causa DoS se denomina ataque DoS, que a menudo se usa para evitar que el sistema brinde servicios a usuarios legítimos. En el servidor, existe el hecho de que el cliente puede enviar solicitudes HTTP sin ningún esfuerzo, pero es posible que el servidor necesite consumir muchos recursos para procesar y responder a la solicitud. La capa de aplicación DoS utiliza tales características para atacar. En términos generales, el ataque y la defensa DoS son similares a este proceso, y el resultado final depende de quién tenga más recursos. Sin embargo, si la implementación del código de back-end tiene errores, una sola solicitud puede ser suficiente para bloquear el servidor. Este artículo compartirá con usted: algunos ejemplos de ataques DoS, el impacto de los ataques DoS y recomendaciones relacionadas para proteger aplicaciones. Hay varias formas de atacar DoS a un servidor. En términos generales, se elegirá el objetivo: LBank Blue Shell lanzará CSPR (Casper) a las 20:00 el 3 de mayo y abrirá transacciones en USDT: Según el anuncio oficial, LBank Blue Shell lanzará CSPR (Casper) a las 20:00 el 3 de mayo, transacciones abiertas de USDT y recarga abierta al mismo tiempo Según los datos, la red Casper es la primera cadena de bloques de prueba de participación en tiempo real basada en la especificación CasperCBC. Casper está diseñado para acelerar la adopción de la tecnología blockchain por parte de las empresas y los desarrolladores en la actualidad, al tiempo que garantiza su rendimiento en el futuro a medida que evolucionan las necesidades de los participantes de la red. [2021/5/3 21:19:51] Consumir todos los recursos de CPU y memoria; Ocupar todos los enlaces de red; El siguiente es un análisis de caso de algunos servidores que pueden ser atacados por DoS, algunos de los cuales son causados ​​por errores de implementación de código, y Otros son causados ​​por una configuración incorrecta: 1. La API de acceso a recursos carece del límite de número https://fake.sample.com/api/v1/blocks?limit=10 Las solicitudes anteriores obtienen bloques con el número indicado en el "límite" información del bloque de parámetros. Cuando el límite se establece en 10, devolverá información de los últimos 10 bloques. Cuando el número es pequeño, la solicitud funciona bien. Sin embargo, es posible que el backend no haya establecido un límite superior en el parámetro "límite". Cuando el equipo técnico de CertiK estableció el parámetro "límite" en 9999999 y envió la solicitud, la solicitud respondió con un error de "tiempo de espera de puerta de enlace 504" mucho después de ser procesada. Mientras el servidor procesa las solicitudes anteriores, el tiempo de respuesta de otras API aumenta significativamente. 9999999 también supera el número total de bloques en la cadena. La suposición es que el backend intenta obtener datos para cada bloque en la cadena de bloques. Si un atacante envía una gran cantidad de solicitudes con un parámetro de "límite" alto, el servidor no podrá responder a las solicitudes normales e incluso puede bloquearse directamente. 2. Consultas GraphQL anidadas Durante la investigación, el equipo técnico de CertiK encontró algunos recursos de blockchain que utilizan GraphQL. GraphQL es un lenguaje de consulta para API. En comparación con una API REST típica que usa múltiples solicitudes para solicitar múltiples recursos, GraphQL puede obtener todos los datos que necesita la aplicación con una sola solicitud. GraphQL tiene una alta tasa de uso, pero si no se implementan las medidas de protección correspondientes durante el uso, puede haber riesgos de seguridad. Primer lanzamiento | Okey Cloud Chain lanzó la "Solución Eye of the Sky" para promover la actualización del sistema de seguridad en la cadena: el 28 de agosto, el grupo de la industria blockchain Okey Cloud Chain anunció el lanzamiento de la "Solución Eye of the Sky" para la cadena de bloques, principalmente a través del sistema de seguimiento de datos en la cadena. La investigación y el desarrollo, el soporte técnico externo y la recopilación de la fuerza de las empresas ayudarán de manera integral a la mejora de la seguridad de la cadena de bloques y al desarrollo estable y saludable de la industria. Se entiende que bajo el "Programa Eye of the Sky", Okey Cloud Chain Group construirá un sistema de seguimiento de datos en la cadena para frenar el lavado de dinero y otras actividades ilegales al rastrear activos digitales, monitorear transacciones ilegales y otros medios; ayudar a la ley organismos encargados de hacer cumplir la ley en el manejo de casos, y crear soporte técnico legal para tales sistemas de cadena de bloques; proporcionar soluciones de cadena de bloques + big data para cadenas de alianzas y datos en cadena basados ​​en varios negocios. [2020/8/28] Al probar los navegadores blockchain, el equipo técnico de CertiK descubrió que uno de los navegadores usa la interfaz GraphQL, y los dos tipos definidos por él tienen una relación de inclusión mutua, lo que permite a los usuarios construir un muy complejo de anidado consultas El envío de consultas anidadas de este tipo puede causar un gran aumento en el uso de la CPU en el servidor. En circunstancias normales, algunas de estas solicitudes pueden aumentar el uso de la CPU a más del 100 %, lo que hace que el servidor no responda a las solicitudes normales de los usuarios. El "dos_query" en la figura a continuación muestra un ejemplo de graphql anidado: El impacto de una solicitud de GraphQL tan maliciosa en el servidor depende de la complejidad de la consulta y el rendimiento del servidor. El servidor puede estar en Se necesita mucho tiempo tiempo para finalmente responder a la consulta con éxito, pero también es posible que el servidor se bloquee directamente debido al alto uso de la CPU. Si desea obtener más información sobre la seguridad de GraphQL, puede visitar el enlace de referencia 1 al final del artículo 3. API RPC de Cosmos expuesta directamente https://fake.cosmos.api.com/txs?message.action=send& ;limit =100&tx.minheight=1 primer lanzamiento | DVP: el intercambio de Bitstamp tiene una vulnerabilidad que puede llevar a que se filtre una gran cantidad de KYC y otra información: Golden Finance News, recientemente, DVP recibió una vulnerabilidad del mundialmente conocido Exchange Bitstamp enviado por el personal de seguridad, el atacante puede usar esta vulnerabilidad para ver una gran cantidad de información confidencial, como ID de usuario y tarjetas bancarias, lo que amenaza seriamente la seguridad de la información del usuario. Para evitar el vicioso incidente de la fuga de KYC, el equipo de seguridad de DVP notificó a la plataforma que lo reparara lo antes posible después de recibir la vulnerabilidad, pero no recibió respuesta. DVP recuerda a los usuarios relevantes que presten atención a la seguridad de la información personal para evitar pérdidas. [2019/8/13] La API de Cosmos anterior busca 100 transacciones enviadas a partir del bloque 1. A partir de ahora, hay 2.712.445 bloques en la red principal de Cosmos. Entre los nodos de la API de RPC expuestos en CosmosHub, no pudimos encontrar ningún nodo que pudiera manejar la solicitud. Después de recibir esta solicitud, el servidor devolverá un error "502 Bad Gateway" después de un período de tiempo, lo que indica que la solicitud falló. Si el servidor RPC del nodo recibe cientos de solicitudes de búsqueda descritas anteriormente en unos pocos segundos, devolverá el siguiente error para todas las solicitudes de API. Algunos servidores de nodos pueden recuperarse de los errores, mientras que otros deben reiniciarse. Para que los lectores comprendan mejor el problema anterior y demuestren su efecto, el equipo técnico de CertiK configuró un nodo completo de Cosmos completamente sincronizado y utilizó la consulta mencionada anteriormente para atacar el nodo: "https://fake.cosmos.api. com /txs?message.action=send&limit=100&tx.minheight=1". Panel de uso de la CPU de Grafana El gráfico se puede dividir en tres etapas: el nodo está en funcionamiento y la tasa de uso de la CPU del sistema es del 35 %.Hace unos días, se expuso el rendimiento de la próxima máquina de minería de hormigas S17 de Bitmain. Según Moments, gerente de producto de Antminer S17, el nuevo producto adoptará una nueva generación de tecnología de disipación de calor y soluciones globales de optimización y personalización. Se entiende que la tecnología de disipación de calor puede referirse a la tecnología de empaque del chip, o puede ser el diseño de la estructura de disipación de calor de la máquina. En cuanto al plan de "optimización y personalización global" del producto S17, no se revelaron detalles. Hay voces que comentan que esto puede ser una preparación para la batalla decisiva de la temporada de lluvias. [2019/3/22] El nodo se enfrentó a un ataque DoS y el uso de la CPU del sistema alcanzó el 97%. El nodo se bloqueó y no pudo proporcionar nuevos datos a Grafana. La figura muestra que bajo el ataque DoS, el servidor se bloqueó en solo pocos minutos. El operador tuvo que reiniciar el servidor porque no pudo conectarse al servidor usando SSH después de que el servidor fallara. 4. El controlador de solicitudes tiene fallas https://fake.sample.com/api/v1?feature=Always_time_out El equipo técnico de CertiK encontró una API que seguía cargándose y mostrando el tiempo de espera después de un tiempo, pero envió varias solicitudes al servidor No lo hará afectar el tiempo de respuesta de otras API. Una conjetura inicial es que los métodos de procesamiento para esa API en particular no requieren mucha CPU o memoria. Dado que este navegador de cadena de bloques no es de código abierto, es imposible obtener información relevante sobre la implementación del código API, y también es imposible determinar el propósito del punto final de la API en función de su nombre. Si bien es poco probable que el ataque a esta API bloquee el servidor, un atacante podría impedir que otros usuarios accedan a la API en este servidor enviando este tipo de solicitudes "Always hang and time out" para bloquear todas las conexiones de red. Como ejemplo, la función "sleep_to_handle_request" demuestra que una solicitud puede consumir poca CPU y memoria, pero demora mucho en cargarse y vincularse a la conexión de red. A diferencia de los otros tres casos en los que el servidor colapsó por completo o tardó mucho tiempo en recuperarse, en este caso el servidor se recuperó inmediatamente después de que se detuvo el ataque. Al encontrarse con un ataque DoS, el servidor vulnerable no podrá responder a las solicitudes normales de los usuarios. Algunos servidores pueden volver al estado normal inmediatamente o después de un período de tiempo después de que se detenga el ataque, mientras que otros se bloquearán por completo y deberán reiniciarse. No poder usar un explorador de blockchain puede causar una gran angustia a los usuarios. Porque los usuarios no pueden obtener fácilmente información sobre las actividades en cadena. Además, en una cadena basada en Cosmos, si un nodo sufre un ataque DoS, no solo el navegador de cadena de bloques conectado no puede obtener datos del nodo, sino que los usuarios no pueden usar la API para realizar operaciones como enviar tokens o delegar tokens a validadores. Cualquier aplicación tiene la amenaza de ser atacada por DoS, y no existe una solución en el mundo que pueda prevenir perfectamente los ataques DoS. Sin embargo, se pueden usar algunos métodos para aumentar el costo del ataque para dificultar que los atacantes potenciales realicen operaciones de ataque y reducir la probabilidad de vulnerabilidades en las aplicaciones de navegador de blockchain. Aquí, el equipo técnico de CertiK enumera algunas sugerencias para minimizar las posibilidades de que la aplicación sea atacada: 1. Limitación de velocidad Incluso si la API de backend es lo suficientemente segura en la implementación, un atacante también puede enviar una gran cantidad de solicitudes al servidor. Por lo tanto, las API deben, en cualquier caso, tener una tasa limitada para bloquear de forma temporal o permanente las IP maliciosas. Aunque la limitación de velocidad no puede resolver completamente el problema, es relativamente conveniente de operar y puede constituir la primera línea de defensa contra los ataques DoS. 2. Diseño e implementación mejorados El buen diseño del programa y la implementación del código pueden mostrar un mejor rendimiento bajo las mismas condiciones de hardware, y este efecto es más prominente en las funciones relacionadas con la búsqueda de bases de datos y el procesamiento de datos. Pero antes de pensar en el rendimiento, primero asegúrese de que el código no tenga errores

Tags：

LTC