DOS:CertiK：區塊鏈瀏覽器如何防止被DoS攻擊？_區塊鏈技術通俗講解舉例

說到瀏覽器，大家腦海里蹦出來的一定是“百度一下，你就知道”、“上網從搜狗開始”......

這些家喻戶曉甚至大爺都說的上來的瀏覽器，是互聯網的代言人，更是互聯網的入口。但是如果說有誰和互聯網是勾肩搭背的關系，那就是現今如日中天的區塊鏈技術了。互聯網改變生活，區塊鏈技術改變互聯網。那么毫無疑問，作為互聯網的入口，瀏覽器必然也與區塊鏈技術脫不開關系。由此誕生的區塊鏈瀏覽器，作為大家耳熟能詳的落地產品，更是為區塊鏈用戶帶來了相當程度的便利。區塊鏈瀏覽器安全性如何

區塊鏈瀏覽器是區塊鏈的搜索引擎，用戶可使用此工具搜索區塊鏈上的特定信息。舉個例子，Etherscan是以太坊的區塊鏈瀏覽器，通過Etherscan，用戶可以輕松獲取以以太坊上的區塊、地址、交易和其他活動的信息。也就是說，區塊鏈瀏覽器，更像是一個區塊鏈官方查詢網站。那么在如今大部分區塊鏈應用都面臨安全威脅的場景下，區塊鏈瀏覽器的安全性又如何呢？

區塊鏈瀏覽器應用程序的可被攻擊點相對較少。原因如下：不涉及身份驗證或授權，因此不會泄漏任何私人信息；Web框架的廣泛使用使得XSS的發生可能性降低；這代表著區塊鏈瀏覽器不會受到攻擊嗎？還是說，被攻擊了也沒事？答案是：No區塊鏈瀏覽器攻擊類型分類

BNB Chain將通過Fjord啟動Balancer流動性引導池:12月19日消息，BNB Chain通過Fjord啟動Balancer流動性引導池，將允許新項目無縫且公平地產生流動性。流動性引導池最初將支持ERC-20代幣，并將于2023年通過Fjord NFT在BNB Chain上公平發布NFT。[2022/12/19 21:54:21]

先來看看區塊鏈瀏覽器可能會受到什么類型的攻擊。因為區塊鏈瀏覽器中的大多數功能都涉及從后端數據庫中搜索數據，或直接從區塊鏈節點中查詢數據。而當提到搜索查詢功能時，大家一般會想到兩個可能存在的漏洞：SQL注入；DoS；然而，在考察不同的瀏覽器時，CertiK技術團隊僅發現一例SQL注入,另外超過50%的區塊鏈瀏覽器面臨著被DoS攻擊的危險。DoS攻擊是什么

舉個通俗易懂的例子，某白胡子爺爺眼看某小丑大叔店的炸雞越賣越好，因此找了幾個混混去搞事情。他們站在點餐臺前，顧左右而言他，提出了各種問題和需求，店員焦頭爛額，點了兩個小時的餐也不知道混混到底想要什么，饑腸轆轆的客人等不下去紛紛離店了。這還不夠，如果小丑大叔店內部本來店員脾氣就不好，一旦被外部矛盾激化，直接上演全武行，店鋪一片狼藉..................

DoS：DenialofService的簡稱，既拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，往往是被用來阻止系統向合法用戶提供服務。在服務器里，有一個事實就是：客戶端可以不費任何力氣發送HTTP請求，但是服務器可能需要消耗大量資源對請求進行處理和響應。應用層DoS正是利用這樣的特性來進行攻擊。一般來說，DoS攻防類似于就像是這樣的過程，最終結果取決于誰擁有更多的資源。但是，如果后端代碼實現有漏洞，單個請求就足以讓服務器崩潰了。本文即將為你分享：DoS攻擊的一些案例、DoS攻擊的影響以及保護應用程序的相關建議。DoS攻擊案例分析

隱私及數據保護平臺HOPR利用Ceramic提供數據可驗證性:9月10日消息，隱私及數據保護平臺HOPR宣布，已經開始使用去中心化網絡存儲協議Ceramic向節點運行者提供鏈下日志信息，同時保持其數據的隱私性。HOPR協議是新一代去中心化應用程序的第0層隱私基礎。HOPR激勵混合網允許任何應用程序發送數據，而不會泄露數據或元數據。HOPR節點將依靠Ceramic來追蹤節點支付，而不會犧牲用戶隱私。[2021/9/10 23:16:21]

對服務器進行DoS攻擊的途徑多種多樣。一般來說，目標會選擇：消耗所有CPU和內存資源；占用所有的網絡鏈接；下面對一些可被DoS攻擊的服務器進行案例分析，其中一些是由于代碼實現錯誤引起的，而另一些是由于配置錯誤而引起的：1.資源訪問API缺少數量限制https://fake.sample.com/api/v1/blocks?limit=10以上請求以“limit”參數中指示的數量獲取區塊信息。當限制設置為10時，它將返回最后10個區塊的信息。當數字較小時，該請求可以正常工作。但是，后端可能沒有對“limit”參數設置上限。當CertiK技術團隊將“limit”參數設置為9999999并發送請求時，請求在被處理很久之后回復了“504gatewaytime-out”錯誤。在服務器處理以上請求的同時，其他API的響應時間顯著增加。9999999也超過了該鏈中的區塊總數。假設是后端嘗試獲取區塊鏈中每個區塊的數據。如果攻擊者發送了大量的高“limit”參數的請求，該服務器會無法對正常請求進行響應甚至可能直接崩潰。2.嵌套的GraphQL查詢在調查過程中，CertiK技術團隊遇到了一些使用GraphQL的區塊鏈資源。GraphQL是一種用于API的查詢語言。相比于典型的RESTAPI使用多個請求來請求多個資源，GraphQL以通過一次請求就獲取應用所需的所有數據。GraphQL的使用率很高，但是如果使用過程中沒有部署相應的保護措施，很可能會存在安全隱患。測試區塊鏈瀏覽器時，CertiK技術團隊發現了其中一個瀏覽器使用了GraphQL接口，其定義的兩個類型存在著相互包含的關系，這就允許用戶構造一個非常復雜的的嵌套查詢。發送這樣的嵌套查詢可能會導致服務器上的CPU使用率大幅上升。一般情況下，幾個這樣的請求就能使CPU使用率提高到100％以上，從而導致服務器無法響應正常用戶的請求。

Balancer V2上線，或將為DeFi交易者降低Gas費用:Balancer Labs發布了其自動做市商(AMM) 2.0版。Balancer表示，此舉將降低用戶的以太坊Gas費用。（CoinDesk）[2021/5/11 21:50:17]

當服務器處理此類Graphql請求時的CPU使用率下圖的“dos_query”展示了嵌套graphql的例子：

這樣惡意的GraphQL請求對服務器造成的影響取決于查詢的復雜性和服務器的性能，服務器可能在花費很多時間之后最終能夠成功響應查詢，但也有可能由于CPU使用率過高，服務器直接崩潰。如果你想了解有關GraphQL安全性的更多信息，可以訪問文章末尾的參考鏈接1。3.直接暴露的CosmosRPCAPIhttps://fake.cosmos.api.com/上面的CosmosAPI從區塊1開始搜索100筆發送出去的交易。截至目前，Cosmos主網中已經有2712445個區塊。在CosmosHub中暴露了RPCAPI節點里，我們找不到任何節點可以處理該請求。接受到此請求的服務器在一段時間后，將返回“502BadGateway”錯誤，表明請求失敗。節點的RPC服務器如果在幾秒鐘內收到數百個上面描述的搜索請求，將會對所有的API請求返回以下錯誤。一些節點服務器可以錯誤中自行恢復，而另一些則需要被重啟。

YFII Pool2 收到首批Balancer（BAL）獎勵，社區將提案分配方式:9月3日，聚合器項目DFI.Money（YFII）收到首批Balancer（BAL）獎勵，共計BAL 679.83個，價值21814美元。該獎勵來源于YFII/DAI礦池，后續每周都將收到。社區目前正在商討獎勵分派方式。此前消息，在DFI.Money（YFII）Pool2提供流動性進行挖礦，可以同時獲得YFII和BAL獎勵。[2020/9/3]

為了使讀者更好地理解上述問題并演示其效果，CertiK技術團隊設置了一個完全同步的Cosmos全節點，并使用上面提到的查詢攻擊該節點：“https://fake.cosmos.api.com/”。GrafanaCPU使用率面板：

該圖可以分為三個階段：節點已啟動并正在運行，系統的CPU使用率為35％節點面臨DoS攻擊，系統CPU使用率達到97％節點崩潰，無法將新數據提供給Grafana該圖顯示在DoS攻擊下，服務器在短短幾分鐘內就崩潰了。由于服務器崩潰后無法使用SSH連接到服務器，操作員不得不重新啟動服務器。4.請求處理程序有缺陷https://fake.sample.com/CertiK技術團隊遇到了一個會不停加載，過了一會兒就顯示超時的API，但是向服務器發送多個請求并不會影響其他API的響應時間。初步猜測是該特定API的處理方法不占用CPU或內存。由于此區塊鏈瀏覽器不是開源的，因此無法獲得有關API代碼實現的相關信息，也無法根據其名稱確定該API端點的用途。盡管攻擊此API不太可能使服務器崩潰，但攻擊者可以通過發送這類“Alwayshangandtimeout”請求來占用所有網絡連接，從而阻止其他用戶訪問此服務器上的API。舉個例子，“sleep_to_handle_request”函數演示了一個請求可以消耗很少的CPU和內存，但是會加載很長時間并占用網絡連接的情況。

yinsure.finance將提供Balancer等相關保險產品，無需KYC/AML:yearn.finance在推特發布yinsure.finance更新信息（目前請勿使用）：涵蓋Balancer、Compound、Curve、Synthetix和yearn.finance的保險合約部署，無需KYC/AML。以NFT（基于ERC721）的形式將保險單代幣化。承保人是Nexus Mutual。根據官方昨日的推文，yinsure.finance正在針對這些產品完成測試和實際演練，然后將面向有限的用戶開放。

yearn創始人Andre Cronje表示，保險單代幣化意味著可以由一般市場進行風險調整。這也意味著分銷商可以在二級市場上購買和轉售，同時允許將來有其他基于保險的衍生產品。

據此前報道，8月17日，Cronje宣布推出去中心化的保險類服務原型yinsure.finance，將于接下來的幾周里系統性地發布產品。該產品將包含三個核心部分：承保人金庫、投保人金庫和索賠治理。承保人金庫的保險服務是由流動性提供方（LP）提供的，但是可以獲得相關的費用作為收入。首個上線的承保人金庫是yiUSDC，首個提供的投保人金庫是yVault中的yUSD（包裹的yCRV）資產。[2020/8/30]

與其他三個服務器完全崩潰，或需要很長時間才能恢復的案例相比，此案例中的服務器在攻擊停止后立即恢復了。DoS攻擊的影響

遇到DoS攻擊時，易受攻擊的服務器將無法響應正常的用戶請求。一些服務器可以在攻擊停止后立即或在一段時間后恢復到正常狀態，而另一些服務器將完全崩潰并需要重新啟動。無法使用區塊鏈瀏覽器會給用戶帶來很大的困擾。因為用戶無法輕易的獲取有關鏈上活動的信息。此外，在基于Cosmos的鏈上，如果節點遭受DoS攻擊，不僅連接的區塊鏈瀏覽器無法從該節點獲取數據，用戶也無法使用API執行諸如發送代幣或將代幣委托給驗證者的操作。建議

任何應用程序都存在被DoS攻擊的威脅，世界上不存在一種解決方案可以完美的防范DoS攻擊。但有些方法可以用來增加攻擊成本從而使潛在的攻擊者難以執行攻擊操作，并降低區塊鏈瀏覽器應用中的存在漏洞的概率。在這里，CertiK技術團隊列出了一些建議，以最大程度地減少應用程序被攻擊的機率：1.速率限制即使后端API在實現上足夠安全，攻擊者也可以通過向服務器發送大量請求來進行攻擊。因此，API在任何情況下都應該設置速率限制來暫時或永久屏蔽惡意IP。雖然速率限制并不能完全解決問題，但操作起來相對便捷，可以構成針對DoS攻擊的第一道防線。2.改良設計和實現良好的程序設計和代碼實現能在相同的硬件條件下表現出更好的性能，這種效果在與數據庫搜索和數據處理相關的功能方面表現得更加突出。但是在考慮性能之前，首先要確保代碼沒有錯誤。因此，在API部署到生產環境前編寫單元測試上投入大量時間是非常值得的，以此來確保它們能夠按預期工作。3.輸入驗證和參數限制不對用戶提供的變量進行驗證和限制，那么攻擊者就可以濫用API。在確定代碼能夠按預期工作之后，下一步要做的是確保攻擊者不能利用非常規的輸入濫用API。類似于獲取9999999區塊的數據或處理1000級循環的GraphQL查詢的請求不應該被允許。因此，所有用戶輸入均應被視為不可信的，服務器應在處理用戶輸入之前對其進行驗證。在上文提到的案例中，GraphQLAPI可以設置最大層數限度以有效防御循環查詢的DoS攻擊，而塊數據獲取API則可以將最大塊數限制為像50這樣的合理數值。開發人員可以根據代碼實現和程序設計，總結出最合適當前程序的的輸入驗證和限制的方案。4.不要暴露節點RPC并非所有API的代碼實現都在開發人員的控制之下。比如，開發人員并不推薦去改CosmosRPCAPI的代碼。CosmosSDK中某些搜索查詢的性能不是很好，那么該怎么辦？解決方案之一：圍繞CosmosRPCAPI創建一層包裝API，并創建一個存儲區塊鏈數據的數據庫，該數據庫從節點同步區塊鏈數據。外層的包裝API向公眾公開，并接收和處理用戶請求，隨后再將請求傳遞到CosmosRPC或在后端數據庫中搜索數據。添加外層API有效地防止了用戶直接與節點RPCAPI進行交互。數據庫可以防止節點被搜索查詢請求所淹沒，并且開發人員可以按照他們所希望的方式優化數據庫。在Cosmos論壇上，用戶“kwunyeung”也提出了一種解決方案：使用HTTP代理來保護RPC端口。總的來說想表達的觀點是一致的：RPC端口不能直接向公眾公開，同時還要采取保護措施。

5.符合建議的硬件要求即使部署了上述所有防御機制，用戶還是需要注意運行API服務器或例如Tendermint(詳見參考鏈接2)這樣的穩定節點對硬件的最低要求。如果服務器在處理來自普通用戶訪問網站所產生請求就有困難的時候，那么管理員需要考慮升級硬件了。附錄

這是一個示例腳本，用于測試Cosmos節點是否容易受到DOS攻擊。通過修改“url”變量可以測試不同的應用程序。請不要對未經許可的應用程序運行。

參考鏈接：1.https://www.apollographql.com/2.https://github.com/tendermint/

Tags：API區塊鏈DOSCERHAPI價格區塊鏈技術通俗講解舉例Aidos KuneenAnimal Concerts

酷幣下載