home iconホーム / tezos / DDOSのような攻撃からベーキングノードを保護する方法は?

DDOSのような攻撃からベーキングノードを保護する方法は?

    • vote up icon 19 vote down icon
    • translation icon
    • view icon373 calendar icon2019-01-31

    tezos-nodeとbakerが使用するポートとプロトコルを知りたいので、ファイアウォール設定でそれらのポートとプロトコルのみを有効にして、サーバーへのDDos攻撃を防ぐことができます.

    node setup baking-node

3  回答

  • 投票
    • accept answer icon
    • translation icon
    • calendar icon 2019-01-31
    • 9732はP2P接続のデフォルトのポートであり、ノードの起動時に--net-addr=ADDR:PORTで上書きできます
    • 8732はRPC接続のデフォルトのポートであり、--rpc-addr=ADDR:PORT
      • で上書きできます.
    • すべてのネットワークはTCPを使用します.

    iptablesを使用する場合、特にtezosには以下のルールで十分です.

    構成に応じて、DNS、NTP、DHCPなどの他の非tezosネットワークサービスを許可する必要があることに注意してください.

     # Allow Tezos RPC
iptables -A INPUT -p tcp --dport 8732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 8732 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# Allow Tezos P2P connections
iptables -A INPUT -p tcp --dport 9732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9732 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 9732 -m conntrack --ctstate ESTABLISHED -j ACCEPT
    • しかし、未使用のポートを閉じることは、パン屋をDDOSから保護しませんか?これを行う標準的な方法は、(プライベートノード構成で)ベイカーを多数のパブリックノードの背後に隠すことです.そうすることは、ベイカーを直接ターゲットにすることができず、アクティブなDDOSがある場合はパブリックノードをスワップアウトできることを意味します.
    • あなたは正しいです、私はOPが実際に答えられるべき2つの質問を持っていると思います-1つはDDOSとTezosポートに関するものです.それに応じて、質問は2つに分割する必要があります.
    • ノードがプライベートモードの場合、ポート9732での着信接続を許可せず、関連する確立された着信接続のみを許可することもできます.プライベートノードはとにかく信頼できるノードへの接続を確立するだけで、他の信頼できないノードは接続できません.
    • translation icon
    • calendar icon 2019-02-01

    @xtzbakerは、ノードが使用するポートにスポットを当てています.ベーキングノードのDDoSを防止することも、ベーキングの最も一般的なセットアップが、信頼できるパブリックノードを持つプライベートベーキングノードを持つことである理由の1つです.

    基本的に、パン屋と承認者が使用する単一のノードがあり、プライベートモード.プライベートモードでは、他のユーザーからの接続が禁止され、ノードの存在をピアにブロードキャストしないようにピアに指示されます.プライベートノードを本当にプライベートに保つには、プライベートノードのピアが信頼されてプライベートノードのIPが公開されないようにする必要があります.これは、プライベートノードが信頼できるノードに明示的なピアを設定する必要があることを意味します(ノードにネットワーク上で使用可能なピアを選択させるだけではありません).

    ノードが信頼できるとはどういう意味ですか?まあ、それはあなたの受け入れられたリスクのレベルに応じて人から人へと異なります.ただし、ノードを本当に信頼したい場合、唯一の方法はノードを自分で所有することです.とは言うものの、多くのパン屋は、財団のパブリックノードが十分に信頼できると認めています.

    • セットアップに関する情報をありがとう.Dockerイメージを使用してこのセットを実行する方法を説明できますか?mainnet.shファイルにすべてのデフォルト構成があるようですが、説明されているようにセットアップを行うためにそれらの構成を変更するにはどうすればよいですか?Dockerイメージを使用して行われたセットアップに関する情報はあまりありません.
    • 私は現在、プライベートノードのベイクにdockerを使用しません.特に、元帳を使用する理由があります.ただし、フロントエンドパブリックノードの場合、Dockerコンテナーを使用すると保守がはるかに簡単になります.コア開発チームは積極的にそれらを維持し、メインネットブランチの最新のものからせいぜい数分遅れています.[mainnet.sh](https://gitlab.com/tezos/tezos/blob/mainnet/scripts/alphanet.sh)を使用することもできますが、カスタムdocker-composeセットアップを実行する方がうまくいくことがわかりました.[これが使用します](https://gist.github.com/sirneb/8419e41aea4f2d5770555301006cea20).
    • translation icon
    • calendar icon 2019-02-04

    ノードのインターネット接続にOctoVPN https://などのDDoS保護VPNを経由させることで、セキュリティの層を追加することもできます.octovpn.com

    • 同意します.また、問題はDDOSからの保護に関するものであり、ポートの問題ではないと思います.
    • https://www.cloudflare.com/ddos/