才发现IPFS原来还有这功能

IPFS年的一个主要焦点是随着网络规模的不断扩大而改进内容路由。虽然我们已经对DHT上的请求速度做出了重大改进，但我们的另一个关键关注点是网络的安全性。

在我们工作go-ipfs 0.5的发布，A-SIT的Bernd Prünster 和 Alexander Marsalek 和格拉茨科技大学联系了我们，告诉我们他们在研究Go-IPFS0.4.23期间发现了一种攻击，可以让攻击者用最少的资源使公共分布式哈希表上的任何节点黯然失色。

在过去的3个go-ipfs小版本(0.5、0.6和07）中，我们一直与Bernd和Alexander密切合作，这使我们能够发布增量改进，减轻了他们最初的攻击，并将此类攻击的成本和又度提高了几个数量级。今天我们将深入探攻击和我们已经发布的各种缓解措施。

减轻攻击

Eclipse 攻击是指攻击者将对等设备与网络的其余部分隔离，以便目标对等设备仅与攻击者控制的对等设备通信的能力。此攻击的目标是污染目标对等点DHT路由表，以便只显示攻击者控制的对等点。

在Bernd和Alexander发现的攻击中，他们使用libp2p和大量预生成的Peer id列表（总计29TB数据）创建了Sybil攻击，在libp2p中对声誉系统进行博弈，以接管路由如果您不熟悉Sybil攻击，您可以使用具有lD的单个对等点来颠覆信誉系统，以增加对网络的影响力。在此攻击的上下文中，虚假lD最终取代了受影响对等点的路由表中诚实为了使这次攻击成功，暴露了libp2p中的一些漏洞，这最终导致这次攻击在go-ipfs 0.4.23中非常有效。在此攻击被发现时，libp2p的一个主要问题是 DHT不支持长寿命的对等点，而且它没有保护其较低桶中的对等点。

这个问题允许攻击者快速地从目标的路由表中驱逐诚实的对等点，以使其支持不诚实的对等点。作为对 go-ipfs 0.5中DHT的彻底修改工作的一部分，我们改变了路由表中条目影响此操作的主要变化之一是，我们将不再从仍可用的路由表中逐出对等点。再加上我们对go-ipfs 0.5中DHT所做的其他改进，使得攻击的执行难度增加了几个数量级。您可以在IPFS 0.5内容路由深入介绍中了解对D

除了go-ipfs 0.5中的变化之外，我们还解决了几个进一步增加攻击难度和成本的问题。这次攻击成功的部分原因是，一个Sybil节点通过滥用对作为中继的节点的评分的缺陷来欺骗有价值连接的信誉系统。该缺陷可能允许一个Svbil节点作为后续Svbil节占的中

为了解决这个问题，我们对继电器应用了一个不变的分数，这允许我们仍然重视他们，但避免他们能够夸大他们的声誉。通过提高内部信誉系统的完整性，我们已经降低了西比尔攻击的效力。

为了增加这类攻击的成本，我们所做的另一个重大改变是在路由表中引入IP多样性需求。最初对go-ipfs 0.4.23的攻击能够在一台机器上运行，而且成本相对较低，因为路由表可能只包含来自单个主机的对等点。IP多样性要求现在限制了来自任何给定主机的对等点的数量，这使得从单台机器执行eclipse攻击变得不可行，进一步增加了go-ipfs 0.5攻击成本的两个数量级。

—-

编译者/作者：链通三界

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。