以太坊支持RPC模式,以太坊账户开启这种模式后,就可以自动化完成某些操作,比如矿池挖出币之后自动向钱包转账。攻击者主要利用RPC开放端口,所以只要限制RPC端口就可以做到防护。
下面主要攻击手段分析:
1.批量扫描8485端口或8100端口等常用开放RPC端口
2.当扫描到开放的端口之后,使用eth.getBlockByNumber(查询区块高度)、eth.accounts(查询钱包地址)、eth.getBalance(查询钱包余额)三个命令来做相应动作。
3.不断尝试发送eth.sendTransaction命令,该命令如果生效,则会把钱包中的余额转移到攻击者的钱包.有人会问,转账需要密钥参与,黑客是怎么绕开密钥呢?
原来,以太坊账户支持unlockAccount命令,这个命令是为了方便某些机械化交易提供的。在代币交易中,有些人使用电脑进行高频交易,以此来获取波动价差(股票高频交易也是这么做,有时候一分钟来回买卖几十次)。
以太坊在高频交易中(或者矿池自动转账)可以设置一段时间内无需输入密码,时间长短由用户自己指定。如果黑客正好在这段时间之内发来了“余额转移”的指令,以太坊账户(钱包或web账户)就会自动执行该操作,将钱包里的以太坊转到黑客钱包中。
那么,用户应该如何防止此类攻击?专家建议用户应如下操作:
1、更改默认的 RPC API 端口,配置方法如:--rpcport 8988 或 --wsport 8678 (让端口扫描无法生效)
2、更改 RPC API 监听地址为内网,配置方法如:--rpcaddr 192.168.1.100 或 --wsaddr 192.168.1.100
3、配置 iptables 限制对 RPC API 端口的访问,举例:只允许 192.168.1.101 访问 8545 端口(只接受特定IP发来的命令):
iptables -A INPUT -s 192.168.1.101 -p TCP --dport 8545 -j ACCEPT
iptables -A INPUT -p TCP --dport 8545 -j DROP
或者使用UFW防火墙,UFW或Uncomplicated Firewall是iptables的一个接口,旨在简化配置防火墙的过程
1.安装UFW sudo apt-get install ufw
2.设置默认策略
$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing
3.允许以太网网络端口
我们还将启用以太坊网络,以便我们的节点能够与公共区块链网络进行通信和同步。以太坊网络端口是30303,$ sudo ufw allow 30303
4.启用RPC端口 我们只允许从我们的可信节点连接到我们的以太坊客户端。以太坊端口的默认RPC端口为8545。
$ sudo ufw allow from <IP addr> to any port 8545
例如,如果我的外部服务器IP地址是192.168.1.9,设置:sudo ufw allow from 192.168.1.9 to any port 8545
如果你使用的是与8545不同的不同RPC端口,则应指定它。
5.启用UFW sudo ufw enable
6.允许其他连接,你也可以根据需要启用其他端口,例如:HTTP 端口80,使用此命令可以允许HTTP连接(未加密的Web服务器使用的连接):sudo ufw allow http
你的防火墙现在应配置为允许连接到以太坊RPC和网络端口。确保允许服务器需要的任何其他传入连接,同时限制任何不必要的连接,以便你的服务器功能和安全。
4、账户信息(keystore)不要存放在节点上 (因为账户不在节点上,所以就不会用到 unlockAccount 了)
5、任何转账均用 web3 的 sendTransaction 和 sendRawTransaction 发送私钥签名过的 transaction(限制不安全的转账命令)
6、私钥物理隔离(如冷钱包、手工抄写)或者高强度加密存储并保障密钥的安全
如果geth节点不得不暴露在公网上面,则会面临很多安全风险。一个可能的补救措施是对RPC访问进行加密。通过nginx的HTTP basic Auth(Http基本认证)技术,可以实现更高的安全。
原理:通过配置nginx的反向代理和加密技术,可以给运行在linux上的应用程序分配一个新的url,访问应用程序就相当于访问这个url。外部用户想访问这个url,必须输入用户名和密码,否则访问会被拒绝。对于geth节点,以前必须对所有用户暴露rpc端口,采用NBHA技术,则给geth分配一个对于的url,需要用户名和密码才能访问geth节点。这个时候,geth节点不必对外开放RPC端口。
安装nginx软件,关键创建认证用户名和密码 sudo htpasswd -c /etc/nginx/geth.htpasswd nginx
将在/etc/nginx下创建名为geth.htpasswd的密码文件,用户名设置为nginx。输入上面命令,会提示用户输入俩次密码。 修改nginx配置,打开文件 /etc/nginx/sites-enabled/default文件,将里面的内容修改成这样:
server {
listen 80 default_server;
listen [::]:80 default_server;
root /var/www/html;
# Add index.php to the list if you are using PHP
index index.html index.htm index.nginx-debian.html;
server_name localhost;
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
try_files $uri $uri/ =404;
}
location /eth {
#try_files $uri $uri/ =404;
auth_basic "Restricted Area";
auth_basic_user_file /etc/nginx/geth.htpasswd;
proxy_pass http://localhost:8100;
}
}在这里将服务器的名字设为localhost,geth对应的url为localhost/eth,其对应的密码文件通过auth_basic_user_file指令进行制定。
更新nginx服务 sudo service nginx reload
启动节点:geth --rpc --rpcapi db,eth,net,web3,personal --rpcport 8100 --datadir data0 --networkid 11 console
此时可以用浏览器中访问127.0.0.1/eth看什么效果,当输入正确的用户名和密码后点击OK,如果没有出现错误,这说明配置成功。
到现在为止,已经成功的用nginx为geth构建了一层安全防护,并给geth映射了一个外部访问的url,现在访问geth不必通过http://<ip>:<port>的方式,而是直接访问映射的url。如geth attach http://username:password@ip/eth 所以现在是时候把geth暴露出去的rpc端口采取禁止外部访问的操作了。腾讯云阿里云都有安全组可以实现这个操作。
web3j使用的Http模块为OkHttp3,认证需要的用户名和密码信息可以按照OkHttp3添加认证的方式来添加。没使用Http认证时,web3j构建Admin对象的方式是:
Admin ethClient;
ethClient = Admin.build(new HttpService(url));
加入认证用户名和密码的方式:
private static OkHttpClient buildBasicAuthClient() {
return new OkHttpClient.Builder().authenticator(new Authenticator() {
@Override
public Request authenticate(Route route, Response response) throws IOException {
String credential = okhttp3.Credentials.basic(Define.userName, Define.passwd);
return response.request().newBuilder().header("Authorization", credential).build();
}
}).build();
}
Admin ethClient;
ethClient = Admin.build(new HttpService(url,buildBasicAuthClient(),false));OK,现在可以用Web3j访问加入了Http认证保护的geth节点了。
上面适合安卓客户端,而ios端调用web3.js来访问Http Basic Authentication保护资源的问题
ios客户端访问geth的方式跟安卓端不一样。由于没有开源成熟的OC语言的类似于web3j的库,ios端只有通过webview的方式建立一个Html页面,在页面里通过js来调用web3.js的API函数来访问geth。在浏览器里面访问有Http Basic Authentication的geth节点,会报错,这是浏览器在报js跨域访问的问题。一番谷歌后仿照网上解决CROS的方法,通过添加配置nginx的配置文件添加,最终的配置:
server {
listen 80 default_server;
listen [::]:80 default_server;
root /var/www/html;
# Add index.php to the list if you are using PHP
index index.html index.htm index.nginx-debian.html;
server_name localhost;
location / {
# First attempt to serve request as file, then
# as directory, then fall back to displaying a 404.
try_files $uri $uri/ =404;
}
location /eth {
#try_files $uri $uri/ =404;
auth_basic "Restricted Area";
auth_basic_user_file /etc/nginx/geth.htpasswd;
proxy_pass http://localhost:8100;
if ($request_method = 'OPTIONS') {
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';
#
# Tell client that this pre-flight info is valid for 20 days
#
add_header 'Access-Control-Max-Age' 1728000;
add_header 'Content-Type' 'text/plain charset=UTF-8';
add_header 'Content-Length' 0;
return 204;
}
}
}2.当然除了HTTP基本认证还可以配置带证书保护的Https,这个更安全。
Http协议的传输过程是明文,因此使用HTTP协议传输隐私信息非常不安全。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。它能够对传输内容进行加密。HTTPS需要申请一个CA证书,阿里云上面可以申请免费的Symantec证书。阿里云证书需要先有一个可用的域名,该域名映射到节点的ip。申请证书后再下载到节点中,然后在nginx的配置文件中进行配置。
nginx配置HTTPS,以ubuntu16.04为例,打开配置文件/etc/nginx/sites-enabled/default文件:
server {
listen 80 default_server;
listen [::]:80 default_server;
SSL configuration
#
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
ssl on;
ssl_certificate /cert/xxx.crt;
ssl_certificate_key /cert/xxx.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
ssl_prefer_server_ciphers on;
.......
} 重启nginx服务既可以使用https了