Kiến trúc mạng truyền thống

Border gateway Protocol (BGP) là trách nhiệm định tuyến dữ liệu giữa các thiết bị trong hệ thống internet hiện tại. Hãy nghĩ về BGP như dịch vụ bưu chính của internet: khi dữ liệu được gửi qua mạng, BGP tìm tất cả các tuyến đường có thể đến điểm đích và chọn tuyến đường tốt nhất.

Mỗi thiết bị kết nối với internet thuộc về một Hệ thống Tự trị (AS), một mạng nhỏ kết nối nhiều thiết bị và thường được quản lý bởi một tổ chức duy nhất, như một trường học, công ty hoặc chính phủ. Các thiết bị trong cùng một AS chia sẻ cùng các chính sách định tuyến, có nghĩa là nếu hai thiết bị trong cùng một AS muốn kết nối với một máy chủ bên ngoài, dữ liệu của họ sẽ đi theo cùng một con đường. Theo cách này, các AS hoạt động giống như các bưu điện khu vực, tổ chức và định tuyến gói dữ liệu đến điểm đến của chúng bằng cách sử dụng BGP.

Tuy nhiên, ASs không hoàn toàn là mạng người dùng ngang hàng. Một AS kết nối chỉ với các hòa với và công bộ các tuyến đưồng nó có thể đến. Ví dụ, nếu gói dữ liệu cần di chuyển từ AS1 đến AS4, có hai tuyến đưồng có thể:

1. AS1 → AS2 → AS3 → AS4
2. AS1 → AS5 → AS5

Vì con đường qua Tuyến 2 ngắn hơn, BGP sẽ tự động chọn tuyến đường này. Nếu tuyến 2 bị gián đoạn vì bất kỳ lý do gì, BGP sẽ tính toán lại và chọn một tuyến đường mới tốt nhất để truyền dữ liệu. BGP hoạt động giống như một bộ điều hướng tự động, ghi lại các tuyến đường tốt nhất đến các AS khác, vì vậy khi thiết bị đầu cuối bắt đầu truyền dữ liệu, BGP có thể tự động gửi nó đến đích với tốc độ nhanh nhất.

Tuy nhiên, BGP ban đầu được phát triển để chỉ cho phép một vài máy tính trao đổi dữ liệu, mà không xem xét các vấn đề như bảo mật và lưu lượng truy cập. Kết quả là, có một số lo ngại về việc sử dụng nó. Thứ nhất, từ góc độ bảo mật, vì đường truyền được BGP tự động chọn và người dùng không thể điều chỉnh nó một cách chủ động, nó trở nên dễ bị tấn công. Ví dụ: kẻ tấn công có thể thiết lập AS độc hại và thông báo thông tin định tuyến không chính xác, dẫn dữ liệu đến sai đích và dẫn đến chặn dữ liệu hoặc gián đoạn mạng.

Từ quan điểm hiệu suất, khi có thay đổi trong cấu hình tổng thể của một AS, BGP cần một thời gian để cập nhật tất cả thông tin định tuyến. Một số đường đi có thể trở nên không khả dụng trong quá trình này, dẫn đến độ trễ và mất gói tin. Ngoài ra, BGP không có cơ chế cân bằng tải lưu lượng tích hợp sẵn. Mặc dù nó chọn đường đi ngắn nhất, nếu lưu lượng của đường đi đó vượt quá khả năng của nó, BGP sẽ không phân phối đều lưu lượng qua các đường đi khác trừ khi cấu hình AS thay đổi.

Các vấn đề tiềm ẩn của BGP đã gây ra các sự kiện mạng đáng kể. Ví dụ, vào năm 2008, Công ty Viễn thông Pakistan, dưới sự kiểm soát của chính phủ, đã cố gắng kiểm duyệt địa chỉ IP của YouTube trong nước. Nhà cung cấp dịch vụ Internet của họ đã vô tình phát sóng thông tin định tuyến không chính xác lên internet, khiến cho toàn bộ lưu lượng YouTube toàn cầu được điều hướng đến Công ty Viễn thông Pakistan, dẫn đến sự cố toàn cầu về dịch vụ YouTube.

Ngoài ra, ngoài các công ty Web2, kẻ tấn công cũng có thể đánh cắp tài sản tiền điện tử của người dùng thông qua các cuộc tấn công BGP. Năm 2018, kẻ tấn công đã thực hiện một cuộc tấn công chiếm đường BGP đã chuyển hướng lưu lượng truy cập vào ví MyEther đến một máy chủ độc hại, lừa người dùng vào một trang web lừa đảo, đánh cắp tài sản ví của họ và chuyển chúng vào ví của kẻ tấn công. Cuộc tấn công này kéo dài khoảng hai giờ và dẫn đến việc đánh cắp 214 Ether, có giá trị hơn 150.000 đô la. Điều này cho thấy rằng BGP đã trở thành một trong những vấn đề lớn nhất mà các doanh nghiệp và công ty phải đối mặt, dẫn đến việc phát triển một giao thức mạng mới, SCION.

SCION là gì?

SCION (Scalability, Control, and Isolation On Next-Generation Networks) là một kiến trúc mạng cải thiện an ninh và hiệu suất internet. Nó được phát triển bởi ETH Zurich và công ty liên kết Anapaya Systems để giải quyết các vấn đề an ninh khác nhau trong các kiến trúc mạng hiện có.

Đầu tiên, SCION giới thiệu khái niệm Isolation Domains (ISDs), trong đó mỗi ISD được tạo thành từ một số AS trong cùng một quyền hạn hoặc khu vực địa lý, và một thực thể đáng tin cậy được chọn để vận hành AS trung tâm quản lý ISD. Mỗi ISD có cơ sở hạ tầng khóa công khai (PKI) riêng để xác minh danh tính giữa các AS, đảm bảo không có AS độc hại được bao gồm và cho phép giao tiếp được mã hóa để nâng cao bảo mật. Ngoài việc đảm bảo các AS trong một ISD đáng tin cậy, ISDs hoạt động như các tường lửa trên internet. Nếu xảy ra việc vi phạm bảo mật, tác động của nó chỉ giới hạn trong ISD bị ảnh hưởng và sẽ không lan tỏa trên toàn mạng, hiệu quả ngăn chặn các cuộc tấn công hoặc tạm dừng mạng quy mô lớn.

Đối với việc truyền dữ liệu, SCION có cơ chế Proof-of-Path, trong đó thông tin của mỗi đường đi được mã hóa và ký, và mỗi AS trong đường đi xác minh tính xác thực của tuyến đường mà nó tham gia, ngăn chặn bất kỳ sự thay đổi trái phép nào. Ngoài ra, SCION cung cấp nhiều lựa chọn tuyến đường cho việc truyền dữ liệu, cho phép người dùng đánh giá các đường đi khác nhau dựa trên độ trễ, băng thông, bảo mật, v.v., và chọn tuyến đường phù hợp nhất. Như vậy, lưu lượng mạng sẽ không bị tắc nghẽn trên một đường đi duy nhất, hiệu quả cải thiện hiệu suất truyền dữ liệu.

So với BGP, ISD của SCION cho phép kiểm tra nguồn gốc và độ xác thực của mỗi AS, và các vấn đề bảo mật được giới hạn trong phạm vi nhỏ, tăng cường đáng kể bảo mật và ổn định mạng. Hơn nữa, khác với BGP, mà tự động chọn tuyến đường cho người dùng, SCION cho phép người dùng điều khiển hoàn toàn đường truyền, cung cấp nhiều lựa chọn tuyến đường. Người dùng có thể xem qua các AS mà đường truyền sẽ đi qua và nhúng đường truyền đã chọn trong các gói dữ liệu, làm cho mỗi AS trên đường truyền nhận biết được bước nhảy tiếp theo, từ đó giải phóng không gian lưu trữ của bộ định tuyến và tránh trì hoãn do cập nhật bảng định tuyến.

Tác động của SCION đối với Mạng Sui

Hiện tại, tất cả các mạng blockchain, cho dù là Lớp 1, Lớp 2 hay blockchain mô-đun, đều dựa vào giao thức BGP để giao tiếp giữa các nút. Điều này có nghĩa là tất cả các blockchain đều phải đối mặt với các rủi ro bảo mật tiềm ẩn của BGP. Trong những năm qua, đã có một số cuộc tấn công BGP cao cấp. Chẳng hạn, vào năm 2018, những kẻ tấn công đã chiếm quyền điều khiển BGP để chuyển hướng lưu lượng truy cập đến các máy chủ độc hại, lừa người dùng truy cập các trang web lừa đảo và đánh cắp tài sản từ ví MyEther của họ, chuyển tiền bị đánh cắp cho những kẻ tấn công. Cuộc tấn công này kéo dài trong hai giờ và dẫn đến vụ trộm 214 Ether, trị giá hơn 150.000 đô la vào thời điểm đó. Vào năm 2022, KLAYswap đã bị tấn công thông qua một cuộc tấn công chiếm quyền điều khiển BGP làm thay đổi các liên kết của bên thứ ba ở giao diện người dùng, khiến người dùng ủy quyền cho các địa chỉ độc hại và đánh cắp khoảng 1,9 triệu USD tài sản.

Ngoài việc đánh cắp tài sản, kẻ tấn công còn có thể thao túng BGP để kiểm soát định tuyến, tăng độ trễ trong giao tiếp giữa các nút, hoặc thậm chí hoàn toàn chặn đường truyền. Điều này có thể ảnh hưởng nghiêm trọng đến tốc độ của sự đồng thuận blockchain, gây ra sự tạm dừng mạng và làm suy yếu an ninh đồng thuận. Đồng thuận là rất quan trọng đối với hoạt động của blockchain, ngăn chặn các vấn đề như chi tiêu gấp đôi và làm giả sổ cái, và đảm bảo mạng lưới vẫn đáng tin cậy. Ví dụ, Solana đã từng trải qua thời gian hoạt động không ổn định đáng kể trong quá khứ, dẫn đến nhiều câu hỏi về an ninh của nó.

Để giảm thiểu các rủi ro do BGP gây ra, Sui đã quyết định hợp tác với Anapaya Systems để triển khai cơ sở hạ tầng SCION, hiện đang chạy trên mạng thử nghiệm của họ. Việc nâng cấp này dự kiến sẽ mang lại nhiều lợi ích cho Sui:

1. Tham gia Hiệp đồng Linh hoạt hơn

Nếu một mạng bị tấn công, các nút đầy đủ có thể nhanh chóng chuyển sang mạng không bị ảnh hưởng khác, cung cấp tính linh hoạt để lựa chọn một đường dẫn thay thế cho việc truyền dữ liệu và đảm bảo sự đồng thuận không bị gián đoạn do các cuộc tấn công cố gắng đưa các máy chủ xác nhận offline.

2. Đồng bộ trạng thái nhanh hơn

SCION cho phép các nút đầy đủ kết nối đa đường dẫn đến các nút và xác minh viên khác. Điều này cho phép đồng bộ trạng thái nhanh hơn bằng cách tránh xa các nút và vượt qua các ch bottlenecks, tăng tốc độ đồng bộ hóa mạng toàn cầu.

3. Khả năng chống chịu tấn công IP DDoS được cải thiện

Trong trường hợp bị tấn công DDoS, cấu trúc ISD giới hạn phạm vi của cuộc tấn công chỉ đến một mạng duy nhất. Các nút và người xác minh có thể dễ dàng chọn các đường dẫn thay thế để tránh lưu lượng độc hại, ngăn chặn cuộc tấn công DDoS ảnh hưởng đến họ.

Nói chung, việc định tuyến đa đường và cách ly đường đi của SCION cung cấp cho mạng Sui tính bảo mật và linh hoạt cao hơn khi xử lý các cuộc tấn công từ mạng bên ngoài, giảm khả năng gián đoạn. Ngoài ra, việc nhúng thông tin đường đi trực tiếp vào gói dữ liệu của SCION cải thiện tốc độ mạng. Các bài kiểm tra chính thức đã chỉ ra rằng độ trễ giữa các nút xa nhau có thể giảm đi hơn 10%, nâng cao hiệu suất mạng, đồng thời đưa Sui trở thành một chuỗi công cộng hàng đầu trong ngành.

Kết luận

Sui, một chuỗi công cộng Layer 1 đang trỗi dậy, được xây dựng với ngôn ngữ MOVE độc đáo và đại diện cho chuỗi công cộng hướng đối tượng đầu tiên. Nó sẽ trở thành giao thức blockchain đầu tiên triển khai kiến trúc SCION, phản ánh cam kết của Mysten Lab đối với sáng tạo công nghệ và cải thiện liên tục hiệu suất và bảo mật của Sui. Nếu việc nâng cấp SCION thành công, nó có thể khuyến khích các chuỗi công cộng khác áp dụng công nghệ tương tự, đánh dấu một bước tiến quan trọng cho công nghệ blockchain và đặt nền móng cho việc áp dụng quy mô lớn vào tương lai.