Échange de crypto Échange de crypto
Ctrl+D Échange de crypto
ads
Domicile > SOL > Info

Premier message | Comment un navigateur blockchain empêche-t-il les attaques DoS ?

Author:

Time:

Quand il s'agit de navigateurs, ce qui revient dans tous les esprits doit être "Baidu, tu le sauras", "Internet commence à partir de Sogou"... Ces navigateurs bien connus et même cités par l'oncle sont les porte-parole d'Internet ., est l'entrée d'Internet. Mais s'il y a quelqu'un qui a une relation étroite avec Internet, c'est la technologie blockchain qui bat son plein aujourd'hui. Internet change la vie et la technologie blockchain change Internet. Ensuite, il ne fait aucun doute que, en tant qu'entrée d'Internet, le navigateur doit également être indissociable de la technologie blockchain. Le navigateur blockchain né de cela, en tant que produit d'atterrissage bien connu, a apporté un degré considérable de commodité aux utilisateurs de blockchain. Le navigateur blockchain est un moteur de recherche pour la blockchain, et les utilisateurs peuvent utiliser cet outil pour rechercher des informations spécifiques sur la blockchain. Par exemple, Etherscan est un navigateur blockchain pour Ethereum.Grâce à Etherscan, les utilisateurs peuvent facilement obtenir des informations sur les blocs, les adresses, les transactions et d'autres activités sur Ethereum. En d'autres termes, le navigateur blockchain ressemble plus à un site Web officiel de requête blockchain. Alors qu'en est-il de la sécurité du navigateur blockchain dans le scénario où la plupart des applications blockchain sont confrontées à des menaces de sécurité ? Il existe relativement peu de points d'attaque pour les applications d'exploration de blockchain. Les raisons sont les suivantes : aucune authentification ou autorisation n'est impliquée, donc aucune information privée n'est divulguée ; l'utilisation généralisée de frameworks Web tels que Vue et React rend le XSS (cross-site scripting) moins susceptible de se produire ; L'appareil ne sera-t-il pas attaqué ? Ou est-il normal d'être attaqué? La réponse est : Non Voyons d'abord à quels types d'attaques les navigateurs blockchain peuvent être soumis. Parce que la plupart des fonctions de l'explorateur de blockchain impliquent la recherche de données dans la base de données principale ou l'interrogation de données directement à partir des nœuds de la blockchain. En ce qui concerne la fonction de requête de recherche, les gens pensent généralement à deux échappatoires possibles : LBANK blue shell a lancé DORA à 18h00 le 22 mars et a ouvert les transactions USDT : Selon l'annonce officielle, à 18h00 le 22 mars, LBANK Blue Shell a d'abord lancé DORA (Dora Factory), ouvert des transactions USDT et est maintenant ouvert à la recharge. Selon les données, Dora Factory est une infrastructure DAO-as-a-service basée sur Polkadot, une plate-forme de protocole de gouvernance en chaîne ouverte et programmable basée sur Substrate, et fournit un vote quadratique, des enchères en courbe et Bounty pour une nouvelle génération de organisations et développeurs décentralisés Fonctions de gouvernance enfichables telles que les incitations et la gestion des actifs inter-chaînes. Dans le même temps, les développeurs peuvent soumettre de nouveaux modules de gouvernance à cette plate-forme DAO-as-a-service et recevoir des incitations continues. [2021/3/22 19:07:06] Injection SQL ; DoS (attaque par déni de service par déni de service) ; cependant, lors de l'examen de différents navigateurs, l'équipe technique de CertiK n'a trouvé qu'un seul cas d'injection SQL, et les autres plus de 50% des navigateurs blockchain risquent d'être attaqués par DoS. Pour donner un exemple facile à comprendre, un grand-père à barbe blanche voit que le poulet frit dans la boutique d'un certain oncle clown se vend de mieux en mieux, alors il trouve quelques gangsters pour semer le trouble. Ils se tenaient devant le comptoir de commande, lui parlaient de gauche à droite et soulevaient diverses questions et besoins. Le commis était débordé et il ne savait pas ce que voulait le gangster après avoir commandé pendant deux heures. Les clients affamés ne pouvaient pas ' t attendre plus longtemps et à gauche. Ce n'est pas suffisant, si les vendeurs du magasin d'Oncle Clown ont un mauvais caractère, une fois qu'ils sont intensifiés par des conflits extérieurs, tous les arts martiaux seront mis en scène directement, et le magasin sera en désordre... DoS : Denial L'abréviation de de Service signifie déni de service, et le comportement d'attaque à l'origine du DoS est appelé attaque DoS, qui est souvent utilisée pour empêcher le système de fournir des services aux utilisateurs légitimes. Dans le serveur, il y a un fait que le client peut envoyer des requêtes HTTP sans aucun effort, mais le serveur peut avoir besoin de consommer beaucoup de ressources pour traiter et répondre à la requête. Le DoS de la couche application utilise ces caractéristiques pour attaquer. De manière générale, l'attaque et la défense DoS sont similaires à ce processus, et le résultat final dépend de qui a le plus de ressources. Cependant, si l'implémentation du code backend est boguée, une seule requête peut suffire à planter le serveur. Première publication | Le rapport financier de Baidu reflète que la plateforme blockchain BaaS est devenue un nouvel axe stratégique : Jinse Finance a rapporté que le 28 février 2020, Baidu (code boursier BAIDU) a annoncé son rapport financier, qui décrit séparément les progrès liés à la blockchain BaaS La plateforme blockchain basée sur Baidu Smart Cloud est appelée à devenir un nouveau moteur de croissance dans le sens de l'innovation technologique. En termes de services d'IA, Baidu a conclu une coopération avec la Shanghai Pudong Development Bank pour construire conjointement une alliance blockchain et réaliser la vérification des informations interbancaires sur la plate-forme Baidu Blockchain Service (BaaS). [2020/2/28] Cet article partagera avec vous : certains cas d'attaques DoS, l'impact des attaques DoS et des suggestions connexes pour la protection des applications. Il existe différentes manières d'attaquer un serveur par DoS. D'une manière générale, la cible choisira : Consommer toutes les ressources CPU et mémoire ; Occuper tous les liens réseau ; Ce qui suit est une analyse de cas de certains serveurs qui peuvent être attaqués par DoS, dont certains sont causés par des erreurs d'implémentation de code, tandis que d'autres sont causés par Causé par des erreurs de configuration : 1. L'API d'accès aux ressources n'a pas la limite de nombre https://fake.sample.com/api/v1/blocks?limit=10 La requête ci-dessus obtient des informations de bloc avec le nombre indiqué dans la "limite" paramètre. Lorsque la limite est définie sur 10, il renverra des informations pour les 10 derniers blocs. Lorsque le nombre est petit, la requête fonctionne correctement. Cependant, le backend n'a peut-être pas défini de limite supérieure pour le paramètre "limit". Lorsque l'équipe technique de CertiK a défini le paramètre "limit" sur 9999999 et envoyé la demande, la demande a répondu avec une erreur "504 gateway time-out" longtemps après avoir été traitée. Pendant que le serveur traite les requêtes ci-dessus, le temps de réponse des autres API augmente considérablement. 9999999 dépasse également le nombre total de blocs dans la chaîne. L'hypothèse est que le backend essaie de récupérer des données pour chaque bloc de la blockchain. Si un attaquant envoie un grand nombre de requêtes avec un paramètre "limit" élevé, le serveur ne pourra pas répondre aux requêtes normales et pourra même planter directement. 2. Début des requêtes GraphQL imbriquées | Bithumb lancera un service de transfert d'actifs crypté avec Bithumb Global : des initiés de Bithumb ont révélé à Jinse Finance que Bithumb lancerait un service de transfert rapide d'actifs en devises cryptés entre Bithumb Global et Bithumb Global sans frais de gestion. la limite de transfert est de 2 BTC. La nouvelle sera annoncée au public ce soir. Il est signalé qu'actuellement, seuls les transferts d'actifs BTC et ETH sont pris en charge. [2020/2/26] Au cours de l'enquête, l'équipe technique de CertiK est tombée sur des ressources blockchain utilisant GraphQL. GraphQL est un langage de requête pour les API. Par rapport à une API REST typique qui utilise plusieurs requêtes pour demander plusieurs ressources, GraphQL peut obtenir toutes les données nécessaires à l'application avec une seule requête. GraphQL a un taux d'utilisation élevé, mais si aucune mesure de protection correspondante n'est déployée pendant l'utilisation, il peut y avoir des risques de sécurité. Lors du test des navigateurs blockchain, l'équipe technique de CertiK a découvert que l'un des navigateurs utilise l'interface GraphQL et que les deux types définis par celui-ci ont une relation d'inclusion mutuelle, ce qui permet aux utilisateurs de construire une requête imbriquée très complexe. L'envoi de telles requêtes imbriquées peut entraîner un énorme pic d'utilisation du processeur sur le serveur. Dans des circonstances normales, quelques requêtes de ce type peuvent augmenter l'utilisation du processeur à plus de 100 %, ce qui empêche le serveur de répondre aux requêtes normales des utilisateurs. Le "dos_query" dans la figure ci-dessous montre un exemple de graphql imbriqué : L'impact d'une telle requête GraphQL malveillante sur le serveur dépend de la complexité de la requête et des performances du serveur. Le serveur peut être en Cela prend beaucoup de temps pour enfin répondre avec succès à la requête, mais il est également possible que le serveur se bloque directement en raison d'une utilisation élevée du processeur. Si vous souhaitez en savoir plus sur la sécurité de GraphQL, vous pouvez visiter le lien de référence 1 à la fin de l'article. Nouvelles | Lancement d'une identité numérique éducative crédible dans le district de Baiyun, à Guangzhou Utilisation de la blockchain et d'autres technologies : Le 25 décembre, la cérémonie de lancement et le séminaire d'application du projet pilote d'application de l'identité numérique éducative de confiance (carte d'éducation) de la province du Guangdong se sont tenus dans le district de Baiyun, à Guangzhou. Selon les rapports, l'intégration de l'identité numérique de Trusted Education adopte des technologies de base telles que le cryptage national et la blockchain, et émet de manière innovante des identités numériques intégrées dans l'environnement réseau de "l'informatique en nuage, l'informatique de pointe et l'informatique mobile", réalise la gestion intégrée des clés et construit " Chaîne d'identité éducative de confiance". (China News Network) [2019/12/25] 3. API Cosmos RPC directement exposée https://fake.cosmos.api.com/txs?message.action=send&limit=100&tx.minheight=1 ci-dessus L'API Cosmos recherche 100 transactions envoyées à partir du bloc 1. À l'heure actuelle, il y a 2 712 445 blocs dans le réseau principal de Cosmos. Parmi les nœuds d'API RPC exposés dans CosmosHub, nous n'avons trouvé aucun nœud capable de gérer la requête. Après avoir reçu cette demande, le serveur renverra une erreur "502 Bad Gateway" après un certain temps, indiquant que la demande a échoué. Si le serveur RPC du nœud reçoit des centaines de requêtes de recherche décrites ci-dessus en quelques secondes, il renverra l'erreur suivante pour toutes les requêtes API. Certains serveurs de nœuds peuvent se remettre d'erreurs, tandis que d'autres doivent être redémarrés. Afin que les lecteurs comprennent mieux le problème ci-dessus et démontrent son effet, l'équipe technique de CertiK a mis en place un nœud complet Cosmos entièrement synchronisé et a utilisé la requête mentionnée ci-dessus pour attaquer le nœud : "https://fake.cosmos.api. com /txs?message.action=send&limit=100&tx.minheight=1". Annonce | Huobi Global Première mondiale du projet PAI à 16h00 le 29 juin : Huobi Global lancera le service de dépôt Project PAI (PAI) à 16h00 le 29 juin, heure de Singapour. À 16h00 le 2 juillet, les transactions PAI/BTC, PAI/ETH seront ouvertes dans la zone d'innovation. Le service de retrait PAI sera ouvert à 16h00 le 6 juillet. [2018/6/29]Panneau d'utilisation du processeur Grafana Le graphique peut être divisé en trois étapes : le nœud est opérationnel, l'utilisation du processeur du système est de 35 %, le nœud fait face à une attaque DoS et l'utilisation du processeur de le système atteint 97 % et le nœud plante, incapable de fournir de nouvelles données à Grafana. Le graphique montre que le serveur s'est écrasé en quelques minutes seulement sous une attaque DoS. L'opérateur a dû redémarrer le serveur car il n'a pas pu se connecter au serveur à l'aide de SSH après la panne du serveur. 4. Le gestionnaire de requêtes est défectueux https://fake.sample.com/api/v1?feature=Always_time_outL'équipe technique de CertiK a rencontré une API qui continuait à se charger et à afficher le délai d'attente après un certain temps, mais a envoyé plusieurs requêtes au serveur. affecter le temps de réponse des autres API. Une estimation initiale est que les méthodes de traitement pour cette API particulière ne sont pas intensives en CPU ou en mémoire. Étant donné que ce navigateur blockchain n'est pas open source, il est impossible d'obtenir des informations pertinentes sur la mise en œuvre du code API, et il est également impossible de déterminer l'objectif du point de terminaison API en fonction de son nom. Bien qu'il soit peu probable qu'une attaque contre cette API fasse planter le serveur, un attaquant pourrait empêcher d'autres utilisateurs d'accéder à l'API sur ce serveur en envoyant ce type de requêtes "Toujours raccrocher et expirer" pour bloquer toutes les connexions réseau. A titre d'exemple, la fonction "sleep_to_handle_request" démontre qu'une requête peut consommer peu de CPU et de mémoire, mais prendre beaucoup de temps à charger et à bloquer la connexion réseau. Contrairement aux trois autres cas où le serveur s'est complètement écrasé ou a mis beaucoup de temps à se rétablir, le serveur dans ce cas s'est rétabli immédiatement après l'arrêt de l'attaque. En cas d'attaque DoS, le serveur vulnérable ne pourra pas répondre aux demandes normales des utilisateurs. Certains serveurs peuvent revenir à l'état normal immédiatement ou après un certain temps après l'arrêt de l'attaque, tandis que d'autres planteront complètement et devront être redémarrés. Ne pas pouvoir utiliser un explorateur de blockchain peut causer une grande détresse aux utilisateurs. Parce que les utilisateurs ne peuvent pas facilement obtenir des informations sur les activités en chaîne. De plus, sur une chaîne basée sur Cosmos, si un nœud subit une attaque DoS, non seulement le navigateur blockchain connecté ne peut pas obtenir de données du nœud, mais les utilisateurs ne peuvent pas utiliser l'API pour effectuer des opérations telles que l'envoi de jetons ou la délégation de jetons à des validateurs. Toute application risque d'être attaquée par DoS, et il n'existe aucune solution au monde qui puisse parfaitement empêcher les attaques DoS. Cependant, certaines méthodes peuvent être utilisées pour augmenter le coût de l'attaque afin de rendre difficile pour les attaquants potentiels d'effectuer des opérations d'attaque et de réduire la probabilité de vulnérabilités dans les applications de navigateur blockchain. Ici, l'équipe technique de CertiK énumère quelques suggestions pour minimiser les chances que l'application soit attaquée : 1. Limitation du débit Même si l'API backend est suffisamment sécurisée dans sa mise en œuvre, un attaquant peut également envoyer un grand nombre de requêtes au serveur d'attaque. Par conséquent, les API doivent dans tous les cas être limitées en débit pour bloquer temporairement ou définitivement les adresses IP malveillantes. Bien que la limitation de débit ne puisse pas résoudre complètement le problème, son fonctionnement est relativement pratique et peut constituer la première ligne de défense contre les attaques DoS. 2. Conception et mise en œuvre améliorées Une bonne conception du programme et une bonne mise en œuvre du code peuvent afficher de meilleures performances dans les mêmes conditions matérielles, et cet effet est plus important dans les fonctions liées à la recherche de base de données et au traitement des données. Mais avant de penser aux performances, assurez-vous d'abord que votre code est exempt de bogues. Par conséquent, il vaut la peine d'investir beaucoup de temps dans l'écriture de tests unitaires pour votre API avant de la déployer en production pour vous assurer qu'ils fonctionnent comme prévu. 3. Vérification des entrées et restriction des paramètres Si les variables fournies par l'utilisateur ne sont pas vérifiées et restreintes, l'attaquant peut abuser de l'API

Tags:

SOL
7. Marché du soir le 20  : les devises courantes ont tendance à être stables, de petits avantages en devises sont envoyés

L'article est fourni par Biquan Beiming, le chroniqueur de Jinse Finance and Economics, et ses remarques ne représentent que ses opinions personnelles.

Quand l'application Bitcoin ETF sera-t-elle approuvée ? SEC "Crypto Mom": Soyez optimiste à long terme

Le 3ème Asia Blockchain Summit se tiendra du 15 au 19 juillet 2020. Des professionnels des meilleures start-ups de l'industrie, des sociétés d'investissement, des géants des services financiers, des marques mondiales.

Golden Observation | Les agrégateurs DeFi explosent et pourquoi

On peut dire que les entreprises du 21e siècle sont dominées par les agrégateurs. Amazon et Taobao réunissent consommateurs et vendeurs. Ube et Didi réunissent passagers et chauffeurs. Netflix.

Premier message | Comment un navigateur blockchain empêche-t-il les attaques DoS ?

Quand il s'agit de navigateurs, ce qui revient dans tous les esprits doit être "Baidu, tu le sauras".

Une brève analyse de la répartition de la responsabilité civile entre le vendeur et la victime d'infractions sous-jacentes dans les transactions de gré à gré

Ces dernières années, les transactions de gré à gré de monnaies numériques virtuelles sont devenues le domaine le plus durement touché par le blanchiment d'argent des crimes illégaux tels que la fraude aux télécommuni.

L'accord d'avalanche contre-attaque Gavin Wood : Polkadot n'est qu'un centre de service aux membres fermé

Résumé du prospect Le 28 juillet, un membre de l'Avalanche Protocol a recueilli quelques doutes sur Polkadot au sein de la communauté Avalanche Protocol et les a postés sur le groupe officiel Polkadot Riot. Puis le 29.

Analyse du marché : ETH redevient le leader et devrait bénéficier d'une prime plus élevée

Contrat perpétuel BTC/USDT La nature de chaque niveau : ligne quotidienne - consolidation, 4 heures - consolidation.

ads