互聯(lián)網(wǎng)構建于開放互聯(lián)的中立原則之上，公平接入，數(shù)據(jù)互聯(lián)互通，流量被無差別對待，這意味著互聯(lián)網(wǎng)本質上是匿名，去中心的，這與我們的現(xiàn)實世界完全不同。

但互聯(lián)網(wǎng)上的主流業(yè)務卻是 c/s 產銷模式，試圖在互聯(lián)網(wǎng)世界復刻現(xiàn)實世界。我們對比開放互聯(lián)的中立原則和現(xiàn)實世界的本質差異，便能發(fā)現(xiàn)互聯(lián)網(wǎng)安全相關問題的原因和解法。

人們在現(xiàn)實世界的行為分兩類，私人行為和公共行為，私人行為需要明確的身份認證，而公共行為則需要為該行為支付成本，無論私密行為還是公共行為，都是曝光的，區(qū)別在于僅曝光身份還是曝光在光天化日之下。

朋友聚餐，大家都相互熟識，購買商品，需要為商品付費，進入場館，需要核驗證件或票據(jù)，在街上毆打他人，會暴露在眾目睽睽之下。在互聯(lián)網(wǎng)的上層，絕大多數(shù)應用模仿了現(xiàn)實世界，比如限制未登錄用戶的操作，要求對服務付費等，簡單將線下服務搬到了線上，就好像用計算器代替算盤。

但在互聯(lián)網(wǎng)本身，ping 某個域名，telnet 某個 ip:port，可以隨時隨地零成本發(fā)生，這是互聯(lián)網(wǎng) ddos 發(fā)生的本質原因。

簡單設想一個類似互聯(lián)網(wǎng)的現(xiàn)實世界，每個人都蒙面潛行，被允許進入任何地方，世界會成為什么樣子。只要行為不曝光，壞事自然而然就會發(fā)生。

看看 ip 報頭里有什么，sip，dip 可以隨意改變，snat，dnat 還竟然利用此靈活性成立 tcp/ip 基礎操作，基于 dip 逐跳轉發(fā)將狀態(tài)從傳輸行為中剝離，這些開放互聯(lián)的中立原則所要求的結果重在讓擴展變得容易，但也是大多數(shù)網(wǎng)絡安全問題的溫床。

安全問題顯而易見的方案是模仿現(xiàn)實世界。稍微擴展一下 ip 報頭的 checksum 字段，讓它不僅對自然誤碼 robust，也對惡意修改 robust。

當終端接入，注冊 ip 被激活，運營商以該 ip 為內容簽一個簽名返還給終端，終端發(fā)送數(shù)據(jù)時將該簽名作為 checksum 置入 ip 報頭。只有運營商設備允許對報文做 snat，而運營商擁有私鑰可以在修改 sip 后重新簽名，而不僅僅是單機計算 checksum。

內容提供商入口設備配置運營商證書鏈以做輔助驗證，只要運營商本身不作惡，此舉將消除包括 ddos 在內的大多數(shù)惡意訪問。

正常時段，任何轉發(fā)設備無需對運營商簽名做任何操作，當流量發(fā)生異常，設備啟用驗證，丟棄并審計所有驗簽不通過的報文。此舉并非將攻擊目標轉移到轉發(fā)設備，有人說驗簽是個耗時操作，這是一種自找的 ddos。但事實上在實際攻擊奏效前，抑制甚至溯源工作就已完成，此舉將大大減輕流量清洗的壓力。

sip 所在的運營商接入網(wǎng)出口設備的驗簽是可選的，此舉進一步加大了 ip 報文偽造的難度，除非從骨干網(wǎng)直接注入偽造報文。運營商有責任對自己客戶的行為負責，攻擊者首先要過自家的關，這是背后的原理。2022 年，出城要驗一次，進入對方地界還要再驗一次，出城核驗不通過不讓出而已，入城核驗不通過再抓人。

這意味著，每個 ip 報文都攜帶了自己的家門信息，曝光于天下，如果惡意攻擊者偽造了簽名，在攻擊端倪出現(xiàn)時，這些報文將成為第一批審計對象。當然，在無事發(fā)生時，沒人在乎這個簽名。

在現(xiàn)實世界，這是常規(guī)操作。在機場，車站和碼頭等樞紐地，隨機的抽查身份證會對惡意行為造成威懾，當有事件發(fā)生時，幾乎在場的每個人都會被查身份證，如果無事發(fā)生，人們會忽略查身份證這件事。

堵門，醫(yī)鬧，發(fā)誹謗傳單，屬于現(xiàn)實世界的 ddos，之所以很容易成功，原因就在于身份不曝光，行為零成本，都是一些無所事事的人，還能賺些錢。而豐巢快遞柜超時收費策略則是針對另一種 ddos 的反制措施，為了防止驛站惡意將空紙箱長期占據(jù)快遞柜而無法存在正常物品，豐巢實施超時收費，讓攻擊者付出成本，攻擊也就緩解了。

在這意思上擴展，可把那些使用激進發(fā)包算法的 tcp 魔改也列入惡意行為，所有此類算法導致的網(wǎng)絡擁塞都可列為 ddos 范疇，而它們在曝光機制下非常容易被審計，比如把操作系統(tǒng)和傳輸算法和 ip 一起置入 “身份證” 被運營商簽名。光天化日之下，信息公開，惡事很難得逞。

然而進一步思考互聯(lián)網(wǎng)安全的本質，為什么會有這些攻擊，無論是 ddos 還是惡意篡改數(shù)據(jù)，難道不是因為它們能得逞才有這些攻擊的么？回到 ip 協(xié)議的最初，它本就構建于開放互聯(lián)的中立原則上，而此原則和我們的現(xiàn)實世界大相徑庭，我們非要在 ip 上模擬一個現(xiàn)實世界，難道這不才是很多惡意攻擊的根源嗎？而我上面提到的 身份曝光 方案，本質上也是在支撐這種開放互聯(lián)的世界對現(xiàn)實世界的模擬，顯然事情搞復雜了。

互聯(lián)網(wǎng)的世界本就去中心化，它有它自己不同于現(xiàn)實世界的玩法。維基百科，以 linux kernel 為代表的開源社區(qū)，區(qū)塊鏈技術均透露了去中心玩法的本質。

數(shù)據(jù)分布式備份在各處，沒有任何一個單獨主體擁有超過 50% 的控制力，信息全部公開透明，這意味著所有針對單點的攻擊都不會起到效果，而又沒人可以實施壓倒性的控制力，這讓任何有效攻擊都難以實施。

如何攻擊 linux kernel，代碼分布在所有社區(qū)成員自己的電腦上，通過 git 合作開發(fā)，提交幾行惡意代碼，需要通過所有妹忒呢兒的 review，所有代碼的修改都在眾目睽睽之下。同樣的道理，攻擊區(qū)塊鏈也很難得逞。去中心化應用本身自帶抗攻擊屬性。

大膽點說，互聯(lián)網(wǎng)一開始就沒考慮安全并不是缺陷，而是構建互聯(lián)網(wǎng)應用的方式不對。我們現(xiàn)在的互聯(lián)網(wǎng)應用無異于將一個珠寶店搬到了一個遍地黑衣潛行無身份村民的村落。

一種有趣的社工學擁塞控制的方法，將每個站點的月流量，峰值流量，平峰流量，均差，占比，用戶數(shù)等信息公示出來并排名，如果出現(xiàn)一個巨無霸流量大戶被曝光，它自行優(yōu)化整改的概率會很大。因為在許諾公平的公開環(huán)境，風頭過于突出往往會帶來內心的焦慮甚至恐懼。去中心化的根基就是曝光，公開。

現(xiàn)實世界的典型去中心化案例，比如宗教社會，恐怖組織。

…

再次強調，目前構建的大多數(shù)互聯(lián)網(wǎng)應用，幾乎在模擬現(xiàn)實世界，這注定它們易于被攻擊。即便摘掉曝光性，成本的差別，互聯(lián)網(wǎng)攻擊也比現(xiàn)實世界的攻擊要容易很多。因為準光速運作的互聯(lián)網(wǎng)是一個四兩撥千斤的放大器。

這很容易理解。

假設分別來自全國 290 個地級市的 290 個人同時步行出發(fā)去往位于深圳的一位經(jīng)理的家門口堵門，每人在經(jīng)理家門口堵 1 天，你覺得經(jīng)理家門口最多會堵多少人，假設是 a，如果步行換成開車，同樣的數(shù)字是 b，可以想象，a < b，如果每人坐飛機前去，這個數(shù)字幾乎就是 290。毫無疑問，速度會削弱距離差異。

在互聯(lián)網(wǎng)世界，排隊時間，事務處理時間均在 100ms~1000ms 級別，這個時間大于絕大多數(shù)傳播時延，有理由認為在世界任何地方同時觸發(fā)的報文幾乎在同一時間到達任何目標，這就是潛在的 ddos 溫床。

互聯(lián)網(wǎng)的各類操作時延之間的占比并沒有恰好平滑掉突發(fā)，它們并不是同質的。信號以準光速傳播，而排隊和處理時延則取決于帶寬和 cpu 以及事務邏輯的復雜程度。反過來看現(xiàn)實世界，各類操作時延即使不是同質，差異也不大。

某個操作時延變快，而其它操作沒有等比例變快，突發(fā)造成的擁塞就會嚴重一些，嚴重到一定程度，就可算為攻擊，我們發(fā)現(xiàn)，汽車提高了出行速度，但辦事速度沒有提升，所以服務大廳排隊就會更嚴重，而互聯(lián)網(wǎng)定制的導航，旅游，購物等行為，會造成更大程度的擁堵，背后也是這個原理。這是中心化 c/s 模式的內在屬性。

下圖是一個同樣的波動在不同基數(shù)下的實際效果，基數(shù)足夠大，波動效果就足夠?。?br>

皮鞋店一個店員，經(jīng)理們從步行來買皮鞋，距離差異會給店員足夠的時間錯開突發(fā)，當經(jīng)理們開車來買皮鞋時，排隊就不可避免了，服務質量就會下降。如果是分布式去中心化皮鞋店，經(jīng)理們自然無需集中到同一個皮鞋店，經(jīng)理速度的提升可用增加分布站點來平滑。

如果有更多的人為 linux kernel 提派池，可以自動涌現(xiàn)出更多的妹忒呢兒，奉獻時間是一個天然的妹忒呢兒度量指標，妹忒呢兒數(shù)量永遠正比例于貢獻者數(shù)量，這一切是自然而然發(fā)生的。去中心化模式天然避免了時延差異對突發(fā)的放大效應。

浙江溫州皮鞋濕，下雨進水不會胖。文章來源地址http://www.zghlxwxcb.cn/news/detail-841504.html

到了這里，關于《互聯(lián)網(wǎng)的世界》第六講-去中心化和安全的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！