电商网站建设多少钱,策划书word模板范文,网站主体域名,番禺建设网站公司排名互联网构建于开放互联的中立原则之上#xff0c;公平接入#xff0c;数据互联互通#xff0c;流量被无差别对待#xff0c;这意味着互联网本质上是匿名#xff0c;去中心的#xff0c;这与我们的现实世界完全不同。 但互联网上的主流业务却是 c/s 产销模式#xff0c;试…互联网构建于开放互联的中立原则之上公平接入数据互联互通流量被无差别对待这意味着互联网本质上是匿名去中心的这与我们的现实世界完全不同。 但互联网上的主流业务却是 c/s 产销模式试图在互联网世界复刻现实世界。我们对比开放互联的中立原则和现实世界的本质差异便能发现互联网安全相关问题的原因和解法。 人们在现实世界的行为分两类私人行为和公共行为私人行为需要明确的身份认证而公共行为则需要为该行为支付成本无论私密行为还是公共行为都是曝光的区别在于仅曝光身份还是曝光在光天化日之下。 朋友聚餐大家都相互熟识购买商品需要为商品付费进入场馆需要核验证件或票据在街上殴打他人会暴露在众目睽睽之下。在互联网的上层绝大多数应用模仿了现实世界比如限制未登录用户的操作要求对服务付费等简单将线下服务搬到了线上就好像用计算器代替算盘。 但在互联网本身ping 某个域名telnet 某个 ip:port可以随时随地零成本发生这是互联网 ddos 发生的本质原因。 简单设想一个类似互联网的现实世界每个人都蒙面潜行被允许进入任何地方世界会成为什么样子。只要行为不曝光坏事自然而然就会发生。 看看 ip 报头里有什么sipdip 可以随意改变snatdnat 还竟然利用此灵活性成立 tcp/ip 基础操作基于 dip 逐跳转发将状态从传输行为中剥离这些开放互联的中立原则所要求的结果重在让扩展变得容易但也是大多数网络安全问题的温床。 安全问题显而易见的方案是模仿现实世界。稍微扩展一下 ip 报头的 checksum 字段让它不仅对自然误码 robust也对恶意修改 robust。 当终端接入注册 ip 被激活运营商以该 ip 为内容签一个签名返还给终端终端发送数据时将该签名作为 checksum 置入 ip 报头。只有运营商设备允许对报文做 snat而运营商拥有私钥可以在修改 sip 后重新签名而不仅仅是单机计算 checksum。 内容提供商入口设备配置运营商证书链以做辅助验证只要运营商本身不作恶此举将消除包括 ddos 在内的大多数恶意访问。 正常时段任何转发设备无需对运营商签名做任何操作当流量发生异常设备启用验证丢弃并审计所有验签不通过的报文。此举并非将攻击目标转移到转发设备有人说验签是个耗时操作这是一种自找的 ddos。但事实上在实际攻击奏效前抑制甚至溯源工作就已完成此举将大大减轻流量清洗的压力。 sip 所在的运营商接入网出口设备的验签是可选的此举进一步加大了 ip 报文伪造的难度除非从骨干网直接注入伪造报文。运营商有责任对自己客户的行为负责攻击者首先要过自家的关这是背后的原理。2022 年出城要验一次进入对方地界还要再验一次出城核验不通过不让出而已入城核验不通过再抓人。 这意味着每个 ip 报文都携带了自己的家门信息曝光于天下如果恶意攻击者伪造了签名在攻击端倪出现时这些报文将成为第一批审计对象。当然在无事发生时没人在乎这个签名。 在现实世界这是常规操作。在机场车站和码头等枢纽地随机的抽查身份证会对恶意行为造成威慑当有事件发生时几乎在场的每个人都会被查身份证如果无事发生人们会忽略查身份证这件事。 堵门医闹发诽谤传单属于现实世界的 ddos之所以很容易成功原因就在于身份不曝光行为零成本都是一些无所事事的人还能赚些钱。而丰巢快递柜超时收费策略则是针对另一种 ddos 的反制措施为了防止驿站恶意将空纸箱长期占据快递柜而无法存在正常物品丰巢实施超时收费让攻击者付出成本攻击也就缓解了。 在这意思上扩展可把那些使用激进发包算法的 tcp 魔改也列入恶意行为所有此类算法导致的网络拥塞都可列为 ddos 范畴而它们在曝光机制下非常容易被审计比如把操作系统和传输算法和 ip 一起置入 “身份证” 被运营商签名。光天化日之下信息公开恶事很难得逞。 然而进一步思考互联网安全的本质为什么会有这些攻击无论是 ddos 还是恶意篡改数据难道不是因为它们能得逞才有这些攻击的么回到 ip 协议的最初它本就构建于开放互联的中立原则上而此原则和我们的现实世界大相径庭我们非要在 ip 上模拟一个现实世界难道这不才是很多恶意攻击的根源吗而我上面提到的 身份曝光 方案本质上也是在支撑这种开放互联的世界对现实世界的模拟显然事情搞复杂了。 互联网的世界本就去中心化它有它自己不同于现实世界的玩法。维基百科以 linux kernel 为代表的开源社区区块链技术均透露了去中心玩法的本质。 数据分布式备份在各处没有任何一个单独主体拥有超过 50% 的控制力信息全部公开透明这意味着所有针对单点的攻击都不会起到效果而又没人可以实施压倒性的控制力这让任何有效攻击都难以实施。 如何攻击 linux kernel代码分布在所有社区成员自己的电脑上通过 git 合作开发提交几行恶意代码需要通过所有妹忒呢儿的 review所有代码的修改都在众目睽睽之下。同样的道理攻击区块链也很难得逞。去中心化应用本身自带抗攻击属性。 大胆点说互联网一开始就没考虑安全并不是缺陷而是构建互联网应用的方式不对。我们现在的互联网应用无异于将一个珠宝店搬到了一个遍地黑衣潜行无身份村民的村落。 一种有趣的社工学拥塞控制的方法将每个站点的月流量峰值流量平峰流量均差占比用户数等信息公示出来并排名如果出现一个巨无霸流量大户被曝光它自行优化整改的概率会很大。因为在许诺公平的公开环境风头过于突出往往会带来内心的焦虑甚至恐惧。去中心化的根基就是曝光公开。 现实世界的典型去中心化案例比如宗教社会恐怖组织。 … 再次强调目前构建的大多数互联网应用几乎在模拟现实世界这注定它们易于被攻击。即便摘掉曝光性成本的差别互联网攻击也比现实世界的攻击要容易很多。因为准光速运作的互联网是一个四两拨千斤的放大器。 这很容易理解。 假设分别来自全国 290 个地级市的 290 个人同时步行出发去往位于深圳的一位经理的家门口堵门每人在经理家门口堵 1 天你觉得经理家门口最多会堵多少人假设是 a如果步行换成开车同样的数字是 b可以想象a b如果每人坐飞机前去这个数字几乎就是 290。毫无疑问速度会削弱距离差异。 在互联网世界排队时间事务处理时间均在 100ms~1000ms 级别这个时间大于绝大多数传播时延有理由认为在世界任何地方同时触发的报文几乎在同一时间到达任何目标这就是潜在的 ddos 温床。 互联网的各类操作时延之间的占比并没有恰好平滑掉突发它们并不是同质的。信号以准光速传播而排队和处理时延则取决于带宽和 cpu 以及事务逻辑的复杂程度。反过来看现实世界各类操作时延即使不是同质差异也不大。 某个操作时延变快而其它操作没有等比例变快突发造成的拥塞就会严重一些严重到一定程度就可算为攻击我们发现汽车提高了出行速度但办事速度没有提升所以服务大厅排队就会更严重而互联网定制的导航旅游购物等行为会造成更大程度的拥堵背后也是这个原理。这是中心化 c/s 模式的内在属性。 下图是一个同样的波动在不同基数下的实际效果基数足够大波动效果就足够小 皮鞋店一个店员经理们从步行来买皮鞋距离差异会给店员足够的时间错开突发当经理们开车来买皮鞋时排队就不可避免了服务质量就会下降。如果是分布式去中心化皮鞋店经理们自然无需集中到同一个皮鞋店经理速度的提升可用增加分布站点来平滑。 如果有更多的人为 linux kernel 提派池可以自动涌现出更多的妹忒呢儿奉献时间是一个天然的妹忒呢儿度量指标妹忒呢儿数量永远正比例于贡献者数量这一切是自然而然发生的。去中心化模式天然避免了时延差异对突发的放大效应。 浙江温州皮鞋湿下雨进水不会胖。