顺着链上应用的普及态势,针对区块链节点的分布式拒绝服务攻击的场景逐年呈现增多趋势,此类攻击借由耗尽节点的算力、网络带宽或者存储资源,致使节点没法对合法的链上来请求作出响应,进而直接对整条区块链网络的稳定运行产生影响。普通的开发者以及运维人员通常易于忽略这类攻击所潜藏的隐患,一直到节点大规模掉线了才匆忙进行补救,本文会依照行业通用的技术逻辑,将区块链DOS攻击的防护相关的核心要点讲述明白。
区块链DOS攻击有什么危害
通常情况下的区块链DOS攻击大体上会将着眼点放在共识节点以及rpc服务端点,数量众多的无效区块同步请求、反复进行的交易广播会在刹那间把节点的对外服务带宽占满,致使诸如持币转账、合约调用等正常的transaction请求没办法达成。相当多的中小型公链与联盟链曾经遭受过具有针对性的DOS攻击,在短时间之内网络出块处于停滞状态,DAPP应用服务完全陷入中断,甚至造成部分共识分叉偏离原本的主链。
长期不间断的DOS攻击,会消耗节点服务器的资源配额,致使运维团队不得不反复进行扩容,进而使得服务器硬件成本投入增加,一些未做防护的公开rpc节点,遭受攻击之后,甚至会被链浏览器标记成无效节点,失去在网络里的服务权重,影响后续参与共识出块的收益获取。
区块链DOS攻击常见类型有哪些
最常出现的是带宽耗尽型DOS攻击,攻击者操控许多边缘节点,朝着目标区块链节点发送海量的无效广播报文,直接将节点的入网带宽占满,致使正常的区块同步数据包不能被及时接收,这种攻击对于家用级节点以及低配置云服务器节点的破坏效果格外显著。
另外还存在状态耗尽型DOS攻击,攻击者造出许多不符合共识校验准则的恶意交易请求,将其发送给节点,节点得反复校验这些数量浩大的无效请求的签名、格式与链上状态,很快就会耗尽CPU算力以及内存资源,停止对正常合法用户交易的处理响应,这类攻击的隐蔽性更强,常常被判定为节点自身性能无法支撑业务。
怎么搭建节点防护DOS攻击
最直截的方案便是于区块链节点前端置放流量清洗组件,针对所有入站的节点连接请求先行开展合法性校验,径直丢弃未通过基础共识格式校验的恶意数据包,仅仅将合法的区块同步、合法节点交互的流量转送至后方的服务节点,滤除掉90%以上的无效恶意流量,与此同时配置节点的白名单机制,限定集群内参与共识的对等节点的IP段接入范畴,屏蔽陌生地址非必要的连接尝试。
在运维阶段,要对节点的每秒请求量进行实时监控,还要监控对外带宽使用率以及负载算力指标,一旦觉察到突发的流量峰值,便暂时截断非核心的rpc开放端口,优先确保节点的共识同步流程稳定地运行。行业内不少已经上线的联盟链服务,会采用多集群节点分布式分担请求的方式,当单节点被DOS攻击打垮后,剩余集群里的健康节点能够快速实现补位并继续提供服务,不会出现全链崩溃的状况。
有关于区块链DOS防护方面的日常运维安排,你另外还有哪些具备实用性的小技巧能够进行分享呢?
转载请注明出处:imtoken,如有疑问,请联系()。
本文地址:https://www.zmdyd.cn/imgfb/7190.html