IPFS技术最新进展：抵抗eclipse攻击能力，一路支持Filecoin前行

IPFS2020年的一个主要焦点是随着网络规模的不断扩大而改进内容路由。虽然我们已经对DHT上的请求速度做出了重大改进，但我们的另一个关键关注点是网络的安全性。

在我们工作go-ipfs0.5的发布，A-SIT的BerndPrünster和AlexanderMarsalek和格拉茨科技大学联系了我们，告诉我们他们在研究Go-IPFS0.4.23期间发现了一种攻击，可以让攻击者用最少的资源使公共分布式哈希表上的任何节点黯然失色。

在过去的3个go-ipfs小版本中，我们一直与Bernd和Alexander密切合作，这使我们能够发布增量改进，减轻了他们最初的攻击，并将此类攻击的成本和难度提高了几个数量级。今天我们将深入探讨攻击和我们已经发布的各种缓解措施。如果你想阅读全文，“全蚀的心脏-扰乱星际文件系统”，你可以在TUGraz研究门户网站上找到它。

成都凯斯人工智能研究院罗祖脉：IPFS&Filecoin分布式存储是天然的数据存储和交易的基础设施:金色财经现场报道，4月23日，数御未来—2021数据与存储产业峰会在成都举办。在会议现场，成都凯斯人工智能研究院技术顾问罗祖脉表示，IPFS&Filecoin分布式存储是天然的数据存储和交易的基础设施，但存储的成本很高，如何将数据转化更加简单，让数据价值、算法变现更加快速是我们要研究的。基于Filecoin和IPFS的特点，我们计划建立一个以提供四大数据服务为主要业务的大数据存储交易平台SmartCity Network，这四大数据服务是：数据存储服务、数据检索服务、数据算法服务、数据交易服务。[2021/4/23 20:50:43]

●减轻攻击●Vzhang228289

促进存储领域(IPFS)快速成长 OKEx即将上线filecoin (FIL):10月10日官方公告显示，OKEx将于Filecoin主网启动后的第一时间（预计时间10月15日）上线Filecoin (FIL)交易，并开启充值和提币服务，详细时间节点以OKEx官网公告为准。此举旨在进一步促进存储领域（IPFS）的快速成长，推动区块链行业的发展繁荣。

据了解，filecoin (FIL)是一个面向全球的、点对点的分布式版本文件系统，目标是为了补充目前传统互联网的超文本传输协议HTTP，实现让网页的速度更快、更安全、更健壮、更持久。Filecoin是在IPFS上的激励层，通过Token激励模式在IPFS上构建了一个去中心化存储市场。[2020/10/10]

Eclipse攻击是指攻击者将对等设备与网络的其余部分隔离，以便目标对等设备仅与攻击者控制的对等设备通信的能力。此攻击的目标是污染目标对等点DHT路由表，以便只显示攻击者控制的对等点。

时空云Vincent：早期投入看准时机，目前还不到投入IPFS&Filecoin生态的时候:2020年6月22日，由金色财经主办，节点咨询、IPFS100.com承办，星际特工、麦客存储联合主办的“星际漫游指南——IPFS技术与应用研讨论坛”在深圳拉开帷幕。时空云科技联合创始人Vincent，在主题为《IPFS与区块链：原理与实践》的圆桌论坛中指出，早期投入一定看准时机，太早去投，行业基础都没有，根本不可能实现。这个项目还没有稳定到可以体验跟正常互联网的app一样，所以投资机会在目前来看只有挖矿。挖矿这个项目都没有实现，怎么敢贸然投入它的生态呢？[2020/6/22]

在Bernd和Alexander发现的攻击中，他们使用libp2p和大量预生成的Peerid列表创建了Sybil攻击，在libp2p中对声誉系统进行博弈，以接管路由表。

IPFS原力区柏礼：Filecoin将改变互联网寡头垄断的格局:IPFS原力区柏礼认为：“在当下Web2.0时代，我们通过互联网工作和娱乐的时间占比越来越大，使用着基于HTTP文件传输协议进行数据的上传和下载。HTTP的缺陷逐渐开始暴露，比如服务高度依赖中心网络，中心无法承载经济成本或流量压力；中心数据库/服务器受损的可逆和修复性弱；宽带利用率低。同HTTP一样，IPFS也可以定义为应用层协议，IPFS创造的是点对点的网络拓扑，基于文件内容哈希标识的唯一性，节约了空间消耗和运维成本。IPFS广受关注的原因在于它的目标是补充甚至替代我们熟知的HTTP协议，提供出了一种点对点、文件内容寻址、技术栈完善的存储解决方案。”[2020/6/13]

如果您不熟悉Sybil攻击，其想法是您可以使用具有大量假名ID的单个对等点来颠覆信誉系统，以增加对网络的影响力。在此攻击的上下文中，虚假ID最终取代了受影响对等点的路由表中诚实对等点的位置。

为了使这次攻击成功，暴露了libp2p中的一些漏洞，这最终导致这次攻击在go-ipfs0.4.23中非常有效。在此攻击被发现时，libp2p的一个主要问题是DHT不支持长寿命的对等点，而且它没有保护其较低桶中的对等点。这个问题允许攻击者快速地从目标的路由表中驱逐诚实的对等点，以使其支持不诚实的对等点。作为对go-ipfs0.5中DHT的彻底修改工作的一部分，我们改变了路由表中条目的管理方式。

影响此操作的主要变化之一是，我们将不再从仍可用的路由表中逐出对等点。再加上我们对go-ipfs0.5中DHT所做的其他改进，使得攻击的执行难度增加了几个数量级。您可以在IPFS0.5内容路由深入介绍中了解对DHT的详细更改。

除了go-ipfs0.5中的变化之外，我们还解决了几个进一步增加攻击难度和成本的问题。这次攻击成功的部分原因是，一个Sybil节点通过滥用对作为中继的节点的评分的缺陷来有价值连接的信誉系统。该缺陷可能允许一个Sybil节点作为后续Sybil节点的中继，这将继续提高中继的分数。这可以通过使用嵌套Sybils为单个对等点完成，从而迅速获得大量不可靠的声誉。

为了解决这个问题，我们对继电器应用了一个不变的分数，这允许我们仍然重视他们，但避免他们能够夸大他们的声誉。通过提高内部信誉系统的完整性，我们已经降低了西比尔攻击的效力。

为了增加这类攻击的成本，我们所做的另一个重大改变是在路由表中引入IP多样性需求。最初对go-ipfs0.4.23的攻击能够在一台机器上运行，而且成本相对较低，因为路由表可能只包含来自单个主机的对等点。IP多样性要求现在限制了来自任何给定主机的对等点的数量，这使得从单台机器执行eclipse攻击变得不可行，进一步增加了go-ipfs0.5攻击成本的两个数量级。

●验证缓解措施●

作为与Bernd和Alexander合作的一部分，我们希望确保能够适当地测试和验证我们的修复，我们采取了两种方法:

现场测试。在我们的允许下，他们对公共网络上的一个托管引导节点执行了一次受控攻击。这使我们能够收集实时度量和日志，从我们的可见性和它们的外部观察观察攻击的有效性。在从go-ipfs0.5开始的IPFS发行版之前，在IPFS的每个版本上都执行了受控攻击，这使我们能够在生产环境中验证修复程序。

Testground复制。多亏了Testground的开发和发布，Bernd和Alexander共享了他们的攻击代码，我们能够创建测试计划来复制攻击的各个部分。这使我们能够在受控的测试环境中对变更进行大规模测试，以验证攻击是可能的，并验证我们的缓解措施。拥有这些测试计划的好处是，我们可以在IPFS和libp2p版本上继续运行它们，以确保不会引入回归。

此外，这确保了我们可以在受控的环境中更长时间地运行攻击，从而进一步分析攻击的效率和成本。

●我们今天所处的位置●Vzhang228289

在过去的一年里，我们对IPFS和libp2p的性能和安全性都有了显著的改进，协作是这项工作成功的重要因素。Bernd和Alexander所做的研究以及他们与我们如此紧密合作的意愿对于帮助我们改善网络的稳定性具有不可估量的价值。我们很感激有机会一起工作。Vzhang228289

随着今年9月go-ipfs0.7的发布，我们将执行针对IPFS和libp2p的eclipse和Sybil攻击的难度和成本从它的0.4.23增加了几个数量级。

如果您还没有更新到go-ipfs0.7，我们建议您尽快更新，以便充分利用这些改进。查阅go-ipfs0.7更新指南，了解如何更新的细节！

标签：FILCOICOINFilecoinDEFILANCERsmartcoinsLitecoin TokenQFilecoin

币赢热门资讯