如何利用區(qū)塊鏈技術來抵御DDOS攻擊

區(qū)塊鏈改變了原有的數(shù)據和通信方式，對現(xiàn)有 Internet 架構提出了挑戰(zhàn)，或許我們的架構正在改變。與傳統(tǒng)的 C/S 模型相比，區(qū)塊鏈是一種開放的、分布式的架構。對大多數(shù)人來說，區(qū)塊鏈就是加密貨幣的代稱。

公有 vs. 私有區(qū)塊鏈

事實上有兩種形式的區(qū)塊鏈，一種是公有區(qū)塊鏈，一種是私有區(qū)塊鏈。比特幣就屬于公有區(qū)塊鏈，而一些商業(yè)應用就屬于私有區(qū)塊鏈。與公有云和私有云類似，區(qū)分公有和私有區(qū)塊鏈的就是誰能夠加入到該網絡中，運行一致的協(xié)議和維護共享的分類賬本（ledger）。

透明性是公有區(qū)塊鏈的另一個基本屬性。個體在進行交易時是匿名的，而交易本身是可以被追蹤的。這也就解釋了為什么比特幣注定是 pseudonymous（使用筆名的）而不是 anonymous（匿名的）。透明性意味著可以追蹤可疑的交易并終止洗黑錢這類的服務，包括惡意代理用比特幣進行勒索的活動。

相比而言，私有區(qū)塊鏈是需要每個實體去識別自己的控制網絡。加入私有區(qū)塊鏈需要邀請，而私有區(qū)塊鏈中的交易也是受管理的。與公有區(qū)塊鏈相比，透明性就下降了。

分類賬簿中的信息不向所有參與者公開，也不是所有參與者都可以讀取。許多規(guī)則管理了存儲和達成一致的過程，包括決定節(jié)點的角色。私有區(qū)塊鏈有許多參與的節(jié)點，比如設備和用戶。然而，這些一致性也是區(qū)塊鏈成員進行管理和維護的。

公有區(qū)塊鏈將密碼學、分布式系統(tǒng)、經濟學、博弈論、圖論和政治學結合在一起，在這些學科中有一個微妙的平衡。而私有區(qū)塊鏈對政治學的依賴程度比較低，也沒有確保分類賬簿安全的經濟動機。在私有區(qū)塊鏈中，使用傳統(tǒng)的方法和加密技術來提供安全。

公有區(qū)塊鏈的透明性也提供了一定級別的安全性，網絡實際上是通過工作量證明（Proof of work， POW）來管理的。為了防止其他人向區(qū)塊鏈中加入區(qū)塊，攻擊者必須在區(qū)塊鏈中擁有 51% 以上的計算能力。而 POW 要求參與者解決一個復雜的密碼學難題，才能向鏈中加入新的交易區(qū)塊。

權益證明（proof of stake， POS）算法是用來讓公有區(qū)塊鏈在計算需求上更加高效，也可以減輕對動機的需求?；?POS 的區(qū)塊鏈以一種決定性的方式選擇誰可以添加區(qū)塊。這種方法目前是存有爭議的，一些專家質疑在特定情況下解決爭執(zhí)的能力，也有人質疑 POS 算法抵抗區(qū)塊鏈攻擊的能力。

區(qū)塊鏈和安全

在一項針對采用區(qū)塊鏈技術企業(yè)的調查中，受訪者最主要的安全挑戰(zhàn)是不理解區(qū)塊鏈的工作原理。

在關于區(qū)塊鏈如何影響安全的考慮中，Radware 發(fā)現(xiàn)主要有對 DNS 的影響，基于區(qū)塊鏈的控制和防止 DDOS 攻擊的能力。

對 DNS 的影響

去中心化的，安全的 DNS 系統(tǒng)是 DNS 的改革方向，這主要源于針對 Dyn 的 DDOS 攻擊以及對威脅 landscape 的影響。事實上，基于區(qū)塊鏈的服務可以解決許多互聯(lián)網目前所面臨的可用性和性能的問題。許多前瞻者以及在研究基于區(qū)塊鏈的解決方案來讓 DNS、Web 站點和其他公共服務更加去中心化，更加安全。比如，Namecoin 正在嘗試創(chuàng)建一個基于公有區(qū)塊鏈技術的可選的 DNS 系統(tǒng)。Namecoin 用大量的比特幣礦機來確保它自己可以抵御 51% 的攻擊。Namecoin 背后的思想是一種全分布式的域名事務賬本，每個用戶都可以添加域名，但是該域名的維護也只能由其屬主來維護。這個概念提供一種非監(jiān)管的、開放的 DNS 架構，這種架構也引出一個新的問題。那就是我們如何防止惡意用戶濫用這種服務呢？目前，我們所用的方法就是將 C&C 服務器和其他惡意服務器列入黑名單，但是對于開放的、非監(jiān)管的系統(tǒng)，這并不是一種可以強制的方法。

市場上的網關解決方案選擇將惡意域名加入黑名單。但是不同的網關產品與開放系統(tǒng)是不同步的。這也出現(xiàn)一個問題，那就是誰來維護、執(zhí)行和監(jiān)管這個黑名單。

控制混亂

那么是誰在控制區(qū)塊鏈呢？這是一個非常重要的問題。公有區(qū)塊鏈內在的限制就是不能認為是安全的，直到能夠吸引大量的參與者加入鏈中。在區(qū)塊鏈的工作量證明 Proof of work 中，抵御攻擊的能力被設定為 51% 的計算量閾值。那如果惡意攻擊者在區(qū)塊鏈中獲取了所有權會怎么樣呢？所有鏈中計算量低于攻擊者的都不能低于攻擊。只有當所有區(qū)塊鏈的參與者的計算能力足夠大時，會讓攻擊變得成本極高， 也就能抵御攻擊。

要在新的加密貨幣中建立可信度，首先要利用比特幣中的計算能力。加密貨幣協(xié)作挖礦的邊鏈正在覆蓋出于安全考慮建立的區(qū)塊鏈，但是動機仍然要礦機同意協(xié)作來挖取新貨幣。這就是為什么 Namecoin 一部分是 DNS，一部分是可交易的貨幣。

抵御 DDoS

這種新出現(xiàn)的平臺的主要優(yōu)勢也是劣勢。因為他們是完全分布式的而且本身就可以抵御 DDOS 攻擊。但是，基于區(qū)塊鏈的 DNS 需要每個參與者存儲所有的域名目錄和所有的歷史記錄。這對許多實體來說，是一種不切實際的需求。大家可以想象一個提供 web 服務的系統(tǒng)能夠很容易的被客戶端和設備訪問，但是客戶端系統(tǒng)和設備不想或不能存儲區(qū)塊鏈賬本的所有目錄。這樣的 web 服務將分散的 DNS 服務聚集在一起。

細想加密貨幣，許多人都用手機等移動設備來進行交易。這樣的話，事實上他們是沒有加入在區(qū)塊鏈的節(jié)點。他們使用一種提供對運行在后臺的區(qū)塊鏈的邊界訪問。2017 年，許多加密貨幣交易都成為 DDOS 攻擊的受害者，數(shù)據泄露都集中于這些加密貨幣交易網站的門戶。這些事件說明為了做到完全的分布式并擁抱新的基于區(qū)塊鏈的 Internet，每個設備都要在本地存儲上存儲全部的 Internet DNS 域名和完全的變更歷史。另外一種選擇就是，基于區(qū)塊鏈的 Internet 必須倒退到依然易被攻擊的大規(guī)模數(shù)據泄露和 DDoS 攻擊的門戶和網關。換句話說，變化地越多，可能變化越小。

未來是怎樣？

區(qū)塊鏈是一種新興的技術，正在不斷的發(fā)展中。看起來很適合加密貨幣交易和特定的商業(yè)應用，但是作為新 Internet 來說，還需要打破一個全球的標準，仍有很長一段路要走。

只有時間能告訴我們區(qū)塊鏈是否能夠以及能夠多大程度上改變互聯(lián)網。同時，要在關于區(qū)塊鏈的樂觀和懷疑中有一個平衡，用已有的一些技術來保護自己。