关于EOS防范DDOS攻击的思考
EOS 42发布 DDOS 攻击测试结果
IMEOS 报道:英国候选节点 EOS 42 于近日在其官网发布了一份DDOS 攻击测试结果及预防方案。DDOS 攻击测试中,攻击了四个节点,分别是:应用 Azure DDOS 服务的节点,应用Google 云并采用 Google 提供的标准DDOS防卫的节点,应用 AWS 标准DDOS 防卫盾的节点以及应用 Google Load Balancing 服务的节点。测试结果显示,前三个节点抵抗失败,最后一个抵抗成功。测试者也给出了一些建议,例如设定连接限制、源码率过滤等。从现在起至6月2日,EOS 42 将对社区提供免费的 DDOS 防御测试,IMEOS 将进一步跟进。
由此引发了我的疑虑就是BM声称的靠用户所能拥有的带宽资源取决于该用户所拥有的EOS代币是否能解决防范DDOS攻击在原理上是否可行的思考,下面的文章就解释了,BM提出的模式在原理上是缓解了DDOS攻击对EOS网络的影响,并不能真正的解决防范DDOS攻击的问题。
这篇文章详细的介绍了DDOS的概念以及可能存在的DDOS的可能性,从两个两个方面来介绍:
1.基于经济利益DDOS攻击
像两个竞争关系的DAPP互相攻击,备选节点为了上位攻击21节点,EOS代币租赁服务商为了租赁出去更多eos代币偷偷发的DDOS攻击等等,只要发动DDOS的攻击成本大于获得的收益,DDOS攻击肯定一直是存在的,甚至很可能发展到DDOS攻击太多耗尽了整个EOS网络的带宽等资源而使EOS系统崩溃掉。
2.基于其他利益考虑的DDOS攻击
比如因为区块链的不可篡改性,EOS网络上流传了什么影响青少年健康的信息,甚至是国家机密信息导致国家发动DDOS攻击来避免不好的影响发生造成国家的损失。基于此未来超级节点的成本很可能不仅仅是设备,网络成本,安全上的投入很可能也是一个大头,而一旦涉及到防范这种类似于国家层面的DDOS攻击,一般的小节点肯定是难以胜任的,所以未来超级节点的盈利能力可能不容乐观。
金马老师也发表了他对于EOS是否能防范DDOS攻击的思考
1.直接攻击eos网络成本太高而无法实现
金马老师从成本原理上分析了攻击EOS网络不可能性,他认为从直接攻击EOS网络的角度考虑,你首先得持有eos代币才能使用eos网络,然后才能攻击它。
那你至少要拥有全部 Token 的 50% 就是 5 亿 EOS 吧,占满 50%以上的带宽才可能称之为 DDOS 吧。
不过,这就矛盾了,如果所有都是为了利益,那如果你拥有了 5 亿 EOS 之后,你就妥妥是 EOS 的黑庄了,你就完全没有 DDOS 的动机了,同志,了解一个犯罪嫌疑人要了解他的杀人动机,了解 DDOS 也要了解他的攻击动机,在完全没有动机的情况下,根本不可能去攻击
2.通过攻击DAPP来间接影响的EOS网络
按照上面的逻辑,我攻击一个 DApp 不需要持有 EOS,那么如果 EOS 公链上面有 1000 个项目,那么我把这 1000 个项目全部 DDOS,不就是可以达到攻击 EOS 公链的目的了吗?嘿嘿,逻辑正确,但是,你是傻子吗?EOS 是你情敌吗?我真的很怀疑你有这么多钱做这个事情。比特币上面 51% 的攻击不是不可能,而是因为成本和收益相比差太远,完全没必要做这件事情。你也一样,你完全没必要做这件事情。
这个我认为反而是最可能的一种DDOS攻击方式,首先大部分的DAPP开发者的安全意识或能力是欠缺的,再者刚开始的节点在安全上的能力和投入肯定也是不足的,这就给了一些人牟利的机会,毕竟当EOS网络真正成熟起来这样的机会就不多了。所以EOS主网上线肯定是问题频出,并且对于币值的稳定是不好的,所以小伙伴们基于此思考你们对于eos代币的持有是怎么看呢?继续持有,还是趁现在币价高出一部分,等eos主网稳定后再买回来?
3.节点之间的相互攻击
这点金马老师并未做出解读,我从闪电老师其他人的评论处得到一部分解释。
节点互相攻击,怎么攻击?节点是要备案的,是要竞选的,如果有污点,那就会影响形象,以后怎么竞选?节点是要一直竞选的不是无限连任
结论就是通过内部机制设计设立奖惩机制来惩罚恶意上位作恶的节点,还有就是缩短超级节点连任的时间来提高备用节点的为eos系统做贡献的积极性。PS.最近BM把备用节点从100个降低到49个是不是有因为节点备用节点数太多,备用节点收益不高而产生积极性不高甚至作恶的考虑。
闪电老师的关于EOS防范DDOS攻击的文章的也值得一看
闪电老师分别从系统内部、外部、节点资源配置三个方面详细的论述了EOS防范DDOS的可能性
1.系统内部
首先EOS白皮书在摘要里就提供了最简单粗暴的对抗DDOS的方式,老子能承接百万级tps。
但是区块链的不可篡改性是基于它所有的交易记录都是要保存的,那就产生了一个因你高tps交易产生大量存储数据的问题。
但区块链产品不一样,因为区块链产品需要保留所有的历史记录,而非区块链产品是可以删除恶意攻击者的历史数据。所以使用DDOS攻击非区块链产品只会在攻击时对产品产生影响,但攻击区块链,攻击产生的垃圾交易是不能随意删除,从而会导致永久性增加存储负担。
DDOS攻击产生了大量的数据是否会使节点存储容量不可负担,这是一个我们需要关注的问题,暂时我没看到币圈有人解答这个问题。
EOS白皮书提到的第二个对抗DDOS的办法就是抵押币租赁系统资源。用户虽然说是使用EOS网络上的资源是免费的,但却是需要抵押EOS来租用网络资源。比如全网有10亿个EOS,如果你只有一个EOS,那你就只能使用10亿分之一的网络资源。这个具体的资源分配只是一个定性的,定量的计算还是要去看代码。但原理大概就是这样。
还有一个问题就是虽然直接DDOS攻击EOS网络所需的eos代币太多,成本上不经济,但是股票市场是存在做空机制的,那EOS系统如何防范人们通过DDOS攻击EOS来做空获利呢?目前也没看到很好的解释。
超级节点内部竞争可能会导致军备竞赛式的攻击。EOS共121个节点,21个生产者主节点,100个备用节点。这两类节点的收益是不一样的,虽然目前EOS主链还没有上线,不知道最终的利益分配规则,但大概率来说,这两者是收益不一样的,存在竞争关系。备用节点,为了上任为主节点,就有动机去攻击主节点。只要让主节点出几次错,就有机会把它们挤下来,而备用节点上线成为主节点。
解决这个问题的方式是通过不断优化规则来防范节点作恶的问题,但是有规则总归有漏洞,eos系统对于问题的处理速度值得我们关注。
