Традиционная архитектура сети

Протокол BGP (Border gateway Protocol) отвечает за маршрутизацию данных между устройствами в текущей интернет-системе. Подумайте о BGP как о почтовой службе Интернета: когда данные отправляются по сети, BGP находит все возможные маршруты к месту назначения и выбирает лучший.

Каждое устройство, подключенное к интернету, принадлежит автономной системе (AS), небольшой сети, которая соединяет несколько устройств и обычно управляется одной организацией, такой как школа, компания или правительство. Устройства в одной и той же AS используют одинаковые маршрутные политики, что означает, что если два устройства в одной и той же AS хотят подключиться к внешнему серверу, их данные будут следовать по одному и тому же пути. По сути, AS действуют как региональные почтовые отделения, организуя и маршрутизируя пакеты данных к их месту назначения с использованием BGP.

Однако AS-ы не являются полностью пиринговыми сетями. Каждый AS подключается только к своим соседям и объявляет маршруты, которые он может достичь. Например, если пакет данных должен пройти от AS1 к AS4, существует два возможных маршрута:

1. AS1 → AS2 → AS3 → AS4
2. AS1 → AS5 → AS5

Поскольку путь через Маршрут 2 короче, BGP автоматически выберет этот маршрут. Если маршрут 2 прерывается по какой-либо причине, BGP пересчитает и выберет новый лучший маршрут для передачи данных. BGP функционирует как автоматический навигатор, записывая лучшие маршруты к другим AS, поэтому после инициирования передачи данных терминалом, BGP может автоматически отправить их на место назначения с максимальной скоростью.

Однако BGP изначально разрабатывался таким образом, чтобы позволить обмениваться данными только нескольким компьютерам, без учета таких вопросов, как безопасность и трафик. В связи с этим возникают некоторые опасения по поводу его использования. Во-первых, с точки зрения безопасности, поскольку путь передачи автоматически выбирается BGP, и пользователи не могут его заранее настроить, он становится уязвимым для атак. Например, злоумышленники могут настроить вредоносную AS и объявить неверную информацию о маршрутизации, направляя данные в неправильное место назначения, что приводит к перехвату данных или нарушению работы сети.

С точки зрения эффективности, после изменения общей конфигурации AS, протокол BGP требует некоторого времени для обновления всей маршрутной информации. Во время этого процесса некоторые пути могут стать недоступными, что приводит к задержкам и потере пакетов. Кроме того, BGP не имеет встроенного механизма балансировки нагрузки трафика. Хотя он выбирает кратчайший путь, если пропускная способность этого пути превышает его емкость, BGP не будет равномерно распределять трафик по другим путям, пока не изменится конфигурация AS.

Потенциальные проблемы с BGP вызвали значительные сетевые события. Например, в 2008 году Пакистанская телекоммуникационная компания, находящаяся под юрисдикцией правительства, попыталась цензурировать IP-адрес YouTube внутри страны. Ее верхний поставщик услуг ошибочно передал неверную маршрутную информацию в интернет, что привело к тому, что весь мировой трафик YouTube начал направляться к Пакистанской телекоммуникационной компании, что привело к глобальной проблеме с сервисом YouTube.

Кроме того, помимо компаний Web2, злоумышленники могут также похищать криптовалютные активы пользователей через атаки BGP. В 2018 году злоумышленники запустили атаку по перехвату BGP, перенаправив трафик, посещающий кошелек MyEther, на вредоносный сервер, обманывая пользователей на фишинговый веб-сайт, крадя их кошельковые активы и переводя их на кошельки злоумышленников. Эта атака длилась около двух часов и привела к краже 214 Ether на сумму более 150 000 долларов. Это показывает, что BGP стал одной из самых больших проблем, с которыми сталкиваются предприятия и компании, что привело к разработке нового сетевого протокола, SCION.

Что такое SCION?

SCION (Scalability, Control, and Isolation On Next-Generation Networks) - это архитектура сети, которая улучшает безопасность и производительность Интернета. Она была разработана ETH Zurich и ее аффилированным предприятием Anapaya Systems для решения различных проблем безопасности в существующих архитектурах сети.

Во-первых, SCION вводит концепцию изоляционных доменов (ISD), где каждый ISD состоит из нескольких AS в одной юрисдикции или географической области, и выбирается доверенное лицо для управления основным AS, управляющим ISD. У каждого ISD есть своя инфраструктура открытых ключей (PKI) для проверки идентичности между AS, обеспечивая, что в них нет зловредных AS, и обеспечивая зашифрованное общение для повышения безопасности. Кроме того, обеспечивая доверие к AS в пределах ISD, ISD действуют как брандмауэры в Интернете. Если происходит нарушение безопасности, его влияние ограничивается до затронутого ISD и не распространяется по всей сети, что эффективно предотвращает крупномасштабные сетевые атаки или отключения.

Для передачи данных SCION использует механизм Proof-of-Path, в котором информация о каждом пути шифруется и подписывается, и каждый AS в пути проверяет подлинность маршрута, в котором он участвует, предотвращая несанкционированные изменения. Кроме того, SCION предоставляет несколько вариантов маршрутов для передачи данных, позволяя пользователям оценивать разные пути на основе задержки, пропускной способности, безопасности и т. д., и выбирать наиболее подходящий путь. Таким образом, сетевой трафик не будет заторяться на одном пути, что позволит эффективно повысить эффективность передачи данных.

По сравнению с BGP, ISD SCION позволяет проводить проверку подлинности источника каждого AS, а проблемы безопасности ограничены малым объемом, что значительно повышает безопасность и стабильность сети. Более того, в отличие от BGP, который автоматически выбирает маршруты для пользователей, SCION предоставляет пользователям полный контроль над путем передачи, предлагая несколько вариантов маршрута. Пользователи могут видеть, через какие AS будет проходить путь и встроить выбранный путь в пакеты данных, делая каждый AS по пути осведомленным о следующем переходе, тем самым освобождая пространство хранения маршрутизаторов и избегая задержек, вызванных обновлением таблицы маршрутизации.

Влияние SCION на сеть SUI

В настоящее время все сети блокчейнов, будь то уровень 1, уровень 2 или модульные блокчейны, полагаются на протокол BGP для общения между узлами. Это означает, что все блокчейны подвержены потенциальным рискам безопасности BGP. За годы было несколько крупных атак BGP. Например, в 2018 году злоумышленники использовали BGP для перенаправления трафика на вредоносные серверы, обманывая пользователей, заставляя их посещать фишинговые веб-сайты и крадя активы с их кошельков MyEther, передавая украденные средства злоумышленникам. Эта атака продолжалась два часа и привела к краже 214 Ether на сумму более 150 000 долларов на тот момент. В 2022 году KLAYswap был взломан путем атаки перенаправления BGP, которая изменила сторонние ссылки на фронт-энде, заставляя пользователей авторизовывать зловредные адреса и крадя приблизительно 1,9 миллиона долларов в активах.

Помимо кражи активов, злоумышленники могут манипулировать BGP, чтобы контролировать маршрутизацию, увеличивать задержки в коммуникации между узлами или даже полностью блокировать передачу данных. Это может серьезно повлиять на скорость консенсуса блокчейна, вызывая остановки сети и подрывая безопасность консенсуса. Консенсус необходим для функционирования блокчейнов, предотвращая проблемы вроде двойных трат и вмешательства в реестр, и обеспечивая надежность сети. Например, Solana в прошлом сталкивалась с существенным временем простоя, что вызвало вопросы о ее безопасности.

Для смягчения рисков, связанных с BGP, SUI решила сотрудничать с Anapaya Systems для внедрения инфраструктуры SCION, которая в настоящее время работает на их тестовой сети. Ожидается, что это обновление принесет несколько преимуществ SUI:

1. Более гибкое участие в консенсусе

Если одна сеть подвергается атаке, полные узлы могут быстро переключиться на другую не затронутую сеть, обеспечивая гибкость выбора альтернативного пути для передачи данных и гарантируя, что консенсус не будет нарушен атаками, которые пытаются выключить валидаторов.

2.Более быстрая синхронизация состояния

SCION позволяет полным узлам иметь несколько путей подключения к другим узлам и валидаторам. Это позволяет более быструю синхронизацию состояния, избегая удаленных узлов и обходя узкие места в сети, ускоряя общую синхронизацию сети.

3. Улучшенная устойчивость к IP DDoS-атакам

В случае DDoS-атаки структура ISD ограничивает масштаб атаки до одной сети. Узлы и валидаторы могут легко выбирать альтернативные пути, чтобы обойти злонамеренный трафик, предотвращая его воздействие на них.

В целом, многопутевая маршрутизация и изоляция путей SCION обеспечивают сети Sui большую безопасность и гибкость при обработке внешних сетевых атак, снижая вероятность простоя. Кроме того, внедрение информации о пути непосредственно в пакеты данных SCION улучшает скорость сети. Официальные тесты показали, что задержки между удаленными узлами могут быть сокращены более чем на 10%, повышая производительность сети, что делает Sui ведущей общедоступной цепочкой в отрасли.

Заключение

SUI, восходящая публичная цепочка уровня 1, создана с использованием уникального языка MOVE и представляет собой первую объектно-ориентированную публичную цепочку. Она станет первым блокчейн-протоколом, реализующим архитектуру SCION, отражая приверженность Mysten Lab к технологической инновации и непрерывному улучшению производительности и безопасности SUI. Если обновление SCION окажется успешным, это может побудить другие публичные цепочки принять подобную технологию, что станет значительным скачком вперед для блокчейн-технологии и заложит основу для масштабного принятия в будущем.