分布式系统安全之协调类和可攻击性

中断的分布一般类别

分布式系统中的攻击面涉及资源，通信 ，式系接口和/或数据的统安中断，这些中断要么损害资源可用性，协调要么破坏将资源连接到的类和通信层影响整个系统及其服务的机密性、可用性或完整性。可攻中断可能是击性由于设计不当、操作条件或蓄意攻击造成的分布。资源泄露或中断构成了基本攻击目标 
。式系但是服务器租用统安，分布式系统的协调功能来自分布式资源之间的交互。如第1.2节所述  ，类和分布式系统中的可攻资源和服务（包括复制管理）主要通过通信基础结构进行链接。这些跨越了直接消息交换的击性范围，或通过中间件架构（如发布-订阅或基于事件的分布触发等）进行
。

存在许多不同的术语 ，以涵盖崩溃 、遗漏、时间 、模板下载价值中断、欺骗
 、病毒、活板门等操作和故意干扰的范围。

由于分布式系统主要依靠消息传递进行数据传输和协调，因此我们将扰动分组在消息传递级别6 。故意使用术语“扰动或中断”，因为异常操作可能是由操作问题（可靠性）或恶意意图（安全性）引起的。这些扰动对系统操作的表现会导致偏离系统的指定行为。作为访问控制  、数据分发、云计算接口1.2节中提到的漏洞的补充 
，通信级扰动可以大致分为：

1.基于时间：这包括消息的遗漏 、早期 、延迟或无序消息传递。崩溃和拒绝服务也属于这一组，因为它们通常表现为通过阻止对通信通道或资源的访问来中断消息的正确临时传递。

2.基于价值/信息：欺骗攻击
、模仿、复制、信息泄露（如隐蔽通道攻击或侧信道攻击）以及内容操纵攻击大致属于这一类 。对消息内容的香港云服务器操纵表现为拜占庭行为。仅当一组资源使用交换消息来构建其系统的全局视图时 ，此攻击才可行。恶意实体可以向不同的资源组发送故意调制的信息（例如，正确和不正确值的混合），从而导致系统状态分区视图
。因此，基于不同节点接收的不同值
，各个节点无法构成系统状态的“一致”和正确视图 。违反一致性的源码库程度（强–所有人对价值和秩序的完全一致–弱  、部分、最终）构成了破坏的程度 。底层交易服务的性质（例如 ，区块链中的分布式账本）决定了违反功能的类型
。与漏洞组相关，拜占庭攻击可能会滥用访问控制、消息传递和协调服务或数据本身（病毒、破坏移动代码，蠕虫）来危害系统
。

应该注意的建站模板是 ，扰动还包括持久性的性质，即扰动的持续时间可以是短暂的
、偶发的 、间歇性的或永久性的 。此外，攻击通常需要多个同时发生的事件，这些事件涉及时间 、值、持久性和分散位置的组合，这可能是由于多个攻击实体之间的串通。

攻击和影响

在这个一般背景下 ，我们现在详细介绍了基于协调模式（资源和服务协调）的分布式系统的两类突出类。这也将形成考虑攻击的安全表现形式的系统分组。

我们使用经典的CIA（机密性、完整性和可用性）术语 ，尽管这些术语的含义通常因系统和服务类型而异。对于每个类 ，其功能规范决定了攻击的类型以及由此产生的对服务交付产生不利影响的危害。

如第1.2节所述，分布式系统的威胁面包括对资源  、准入控制 、通信架构、协调机制和数据的攻击。同样，攻击旨在颠覆资源、服务和底层协调架构功能背后的假设。

在下面的小节中，我们将枚举资源/基础结构和服务/应用程序类协调的一些攻击场景。鉴于基于资源的类型和服务的分布式系统种类繁多 ，这些示例的目的只是说明一些潜在的场景  。还值得强调的是 ，资源攻击通常不会损害资源本身 ，但主要影响在资源上执行的服务。