隨著下一代結(jié)合了安全與性能的“分布式共識”算法的到來,企業(yè)組織,甚至那些利用物聯(lián)網(wǎng)的設(shè)備,都已經(jīng)能夠抵御DDoS攻擊。
2016年10月21日,一種叫做Mirai僵尸網(wǎng)絡(luò)的新型流氓軟件武器對DNS服務(wù)商Dyn進行了猛烈的DDoS攻擊,使許多網(wǎng)站的訪問出現(xiàn)了嚴重問題。這其中包括眾多歐洲和美國的網(wǎng)站:如推特,衛(wèi)報,Netflix, Reddit, 美國有線電視新聞網(wǎng)等。
Mirai僵尸網(wǎng)絡(luò)十分特殊,它很大程度上由物聯(lián)網(wǎng)設(shè)備及DVR播放器所組成。由于僵尸網(wǎng)絡(luò)本身有許多互聯(lián)網(wǎng)連接設(shè)備的選擇,所以Mirai的攻擊性遠遠大于從前的DDoS攻擊。Dyn估計此次攻擊涉及到100000個速率為1.2Tbps的惡意終端。對比來看,10月21日的這次攻擊的強度是以往記錄中任何類似攻擊的2倍。
此后,Mirai的源代碼在黑客論壇中公開,這種技術(shù)如今已經(jīng)被其他惡意軟件項目所采用,此外,網(wǎng)絡(luò)威脅者會更快地學(xué)習(xí)類似Mirai的技術(shù),因此今后我們可能會更加頻繁地看到這些攻擊。當出現(xiàn)類似僵尸網(wǎng)絡(luò)攻擊DNS系統(tǒng)的情況時,公司服務(wù)器和傳統(tǒng)的DDoS防御方法是遠遠不夠的。
要想防御一大群攻擊者針對單一目標發(fā)起的攻擊是很困難的。所以,我們必須要找到相應(yīng)的處理辦法。假設(shè)我們有多個保護目標,那么攻擊者不得不分散力量,而每一組的力量都不如原來的整體強。分布式共識技術(shù)能夠取代中央服務(wù)器,所以攻擊者攻擊單一目標已經(jīng)不可能實現(xiàn)他的目的,除非他至少成功地攻擊3分之1的網(wǎng)絡(luò)節(jié)點。
分布式共識算法(例如區(qū)塊鏈和hashgraph)能夠保證互不了解互不信任的社區(qū)人員之間相互協(xié)作的安全性,不需要第三方擔保。換句話說,它不需要中央服務(wù)器就可以使眾多開發(fā)參與人員的操作和一般目標下的應(yīng)用程序得以有效地執(zhí)行。社區(qū)的每個成員運行的是應(yīng)用程序的本地副本。共識算法確保所有應(yīng)用程序的實例能夠準確反應(yīng)社區(qū)所有成員的變化,同時確保沒有任何成員能夠進行欺詐行為。
當前已經(jīng)有兩種類型的共識技術(shù)可以從中選擇:
1) 公共網(wǎng)絡(luò),例如需要工作量證明的比特幣和以太坊,它們性能較差,效率低下。
2)私人許可下的解決方案,例如 HyperLedger Fabric,和不需要工作量證明的比特幣或以太坊。(在這種情況下網(wǎng)絡(luò)節(jié)點輪流處理某一部分交易。)
就交易吞吐量和共識下的交易延遲來說,公共網(wǎng)絡(luò)相比較而言安全性更好但性能較差,因為在這個過程中交易參與人員需要花費時間來確定交易順序并達成共識。這種技術(shù)的短板極大地限制了該技術(shù)的實際應(yīng)用。例如,比特幣區(qū)塊鏈每秒可處理7筆交易,然而它使社區(qū)成員花費1小時去決定這些交易的順序。當前,還沒有太多應(yīng)用程序能夠使用具備這些性能的數(shù)據(jù)庫。
一些用戶選擇降低分布式共識算法的安全性要求,并限制使用對象為受信任參與者的專用網(wǎng)絡(luò)算法。這大大提高了性能,實現(xiàn)了用很短的時間就能達成交易共識,但這是以犧牲安全為代價的,如果其中某個單一的網(wǎng)絡(luò)成員受到損害,那么攻擊者可以通過發(fā)動DoS攻擊破壞整個網(wǎng)絡(luò)交易。
來源于各種供應(yīng)商,包括 Swirlds公司的一種全新的分布式共識模式提供了第三種可以選擇的方案:即同時具備高安全性和高性能的算法。對于許多應(yīng)用程序來說,這二者結(jié)合起來能夠有效抵御DDoS的攻擊,甚至利用物聯(lián)網(wǎng)設(shè)備的攻擊也不存在任何問題。
為了證明這一點,我們來想想當今流行的在線游戲,魔獸世界(WoW)。當前的游戲系統(tǒng)有一個中央服務(wù)器,確保所有玩家都存在于一個共同的世界之中,并且不能欺騙。然而,當DDoS攻擊服務(wù)器后,將擾亂大家的游戲進程。此外,存在惡意的內(nèi)部人員或遠程攻擊者也會破壞游戲的完整性和可用性。
對這種類型的攻擊,分布式版本的WoW能夠提供防御層。在這種分布式技術(shù)下,每個玩家都是網(wǎng)絡(luò)中的節(jié)點,同時共識技術(shù)保證了玩家共同的“世界觀”,并防止作弊。有效抵御了中央服務(wù)器攻擊,DDoS攻擊或許可以破壞某幾個玩家的游戲系統(tǒng),但其他玩家不會受到影響,仍然可以繼續(xù)使用。
比特幣區(qū)塊鏈向我們介紹了現(xiàn)代分布式共識的模式,但它還遠遠不夠。新興的下一代分布式共識技術(shù)會給我們提供性能和安全的雙重組合。相信最終我們會形成全新的DDoS防御系統(tǒng),最終每個行業(yè)都會有網(wǎng)絡(luò)化的分布式應(yīng)用,這將從根本上實現(xiàn)互聯(lián)網(wǎng)安全。