IPFS: Eclipse 攻撃に対抗するためにパブリック DHT を強化する

2020 年の IPFS の主な焦点は、ネットワークの拡大に伴いコンテンツルーティングを改善することです。 DHT のリクエスト速度は大幅に改善されましたが、私たちのもう一つの重要な焦点はネットワークのセキュリティです。

go-ipfs 0.5 のリリースに取り組んでいたとき、A-SIT とグラーツ工科大学の Bernd Prünster 氏と Alexander Marsalek 氏から連絡があり、Go-IPFS 0.4.23 の調査中に、攻撃者が最小限のリソースでパブリック分散ハッシュテーブル上の任意のノードを乗っ取ることができる攻撃を発見したと知らせられました。

私たちは、過去 3 回の go-ipfs マイナーリリース (0.5、0.6、0.7) にわたって Bernd と Alexander と緊密に協力してきました。これにより、初期攻撃を軽減し、そのような攻撃のコストと難易度を数桁増加させる段階的な改善をリリースすることができました。今日は、この攻撃と私たちがリリースしたさまざまな緩和策について詳しく説明します。

攻撃の緩和

Eclipse 攻撃とは、攻撃者がピアをネットワークの残りの部分から分離し、標的のピアが攻撃者によって制御されるピアとのみ通信できるようにする攻撃機能です。この攻撃の目的は、ターゲットピアの DHT ルーティングテーブルを汚染して、攻撃者が制御するピアだけが表示されるようにすることです。

Bernd 氏と Alexander 氏が発見した攻撃では、libp2p と多数の事前生成されたピア ID リスト (合計 29 TB のデータ) を使用して、libp2p の評価システムを悪用してルーティングテーブルを乗っ取る Sybil 攻撃が作成されました。

シビル攻撃についてよく知らない人のために説明すると、シビル攻撃では、ID を持つ単一のピアがレピュテーションシステムを破壊して、ネットワークに影響を与えることができます。この攻撃のコンテキストでは、偽の ID が最終的に、影響を受けるピアのルーティングテーブル内の正当なピアの位置を置き換えます。

この攻撃が成功するために、libp2p のいくつかの脆弱性が露出し、最終的にこの攻撃は go-ipfs 0.4.23 で非常に効果的になりました。この攻撃が発見された時点では、libp2p の大きな問題は、DHT が長期間存続するピアをサポートしておらず、下位のバケット内のピアを保護していなかったことでした。この問題により、攻撃者は不正なピアを優先して、ターゲットのルーティングテーブルから正当なピアを迅速に排除できるようになります。 go-ipfs 0.5 での DHT の全面的な見直しの一環として、ルーティングテーブル内のエントリの管理方法を変更しました。

この操作に影響を与える大きな変更点の 1 つは、まだ利用可能なルーティングテーブルからピアが削除されなくなることです。これを、go-ipfs 0.5 で DHT に加えた他の改善と組み合わせると、この攻撃を実行するのが数桁困難になります。 DHT の詳細な変更については、「IPFS 0.5 コンテンツルーティングの詳細」で読むことができます。

go-ipfs 0.5 の変更に加えて、攻撃の難易度とコストをさらに高めるいくつかの問題にも対処しました。この攻撃が成功した理由の 1 つは、Sybil ノードがリレーとして機能するノードを評価する方法の欠陥を悪用して、貴重な接続の評価システムを騙すことができたためです。この欠陥により、Sybil ノードが後続の Sybil ノードのリレーとして機能する可能性があり、リレーのスコアが増加し続ける可能性があります。これは、単一のピアに対してネストされた Sybil を使用することで実行できます。

この問題に対処するために、リレーに一定のスコアを適用します。これにより、リレーの価値は維持されますが、リレーの評判が過大評価されることはなくなります。社内の評判システムの整合性を改善することで、シビル攻撃の効果を軽減しました。

この種の攻撃のコストを増やすために私たちが行ったもう 1 つの大きな変更は、ルーティングテーブルに IP 多様性要件を導入したことです。 go-ipfs 0.4.23 に対する最初の攻撃は、ルーティングテーブルに単一のホストからのピアのみが含まれる可能性が高いため、単一のマシンで実行でき、比較的安価でした。 IP 多様性要件により、特定のホストからのピアの数が制限されるようになり、単一のマシンから Eclipse 攻撃を実行することが不可能になり、go-ipfs 0.5 への攻撃コストがさらに 2 桁増加します。

緩和策の検証

Bernd および Alexander とのコラボレーションの一環として、私たちは修正を適切にテストして検証できるようにしたいと考え、次の 2 つのアプローチを採用しました。

フィールドテスト。彼らは私たちの許可を得て、パブリックネットワーク上のホストされたブートノードに対して制御された攻撃を実行しました。これにより、リアルタイムのメトリックとログを収集し、当社の可視性と外部の観察の両方から攻撃の有効性を観察できるようになります。 go-ipfs 0.5 以降の IPFS のリリース前に、IPFS の各バージョンに対して制御された攻撃が実行され、本番環境での修正を検証することができました。

テストグラウンドのコピー。 Testground の開発とリリースのおかげで、Bernd と Alexander が攻撃コードを共有し、攻撃のさまざまな部分を再現するテストプランを作成することができました。これにより、制御されたテスト環境で大規模な変更をテストし、攻撃が可能かどうかを確認し、緩和策を検証できるようになります。これらのテストプランの利点は、IPFS と libp2p の両方のバージョンでテストプランを継続的に実行して、回帰が発生しないことを確認できることです。

さらに、これにより、制御された環境でより長い期間にわたって攻撃を実行できるようになり、攻撃の効率とコストをさらに分析できるようになります。

現在の状況

過去 1 年間で、IPFS と libp2p の両方のパフォーマンスとセキュリティが大幅に向上しましたが、この作業の成功にはコラボレーションが重要な要素となっています。 Bernd 氏と Alexander 氏が行った調査と、私たちと緊密に協力する意欲は、ネットワークの安定性を向上させる上で非常に貴重なものでした。一緒に仕事ができる機会をいただき感謝しています。

今年 9 月に go-ipfs 0.7 がリリースされたことにより、IPFS および libp2p に対する eclipse 攻撃および Sybil 攻撃の実行の難易度とコストが、0.4.23 リリースから数桁増加しました。

まだ go-ipfs 0.7 にアップデートしていない場合は、これらの改善点を活用するためにできるだけ早くアップデートすることをお勧めします。

<<: アーケイン・リサーチ：ビットコインは不法移民の母国送金に役立っている

>>: 毎日9%増加！ビットコインが2018年1月以来初めて15,000ドルを突破！