书名：区块链安全实战pdf/doc/txt格式电子书下载

推荐语：深入剖析区块链安全问题，从原理、技术到工具，全面实践区块链安全防御

作者：（美）拉杰尼什·古普塔（RajneeshGupta）,孙国梓译

出版社：机械工业出版社

出版时间：2019-08-01

书籍编号：30538324

ISBN：9787111637356

正文语种：中文

字数：124499

版次：1

所属分类：计算机-程序设计

版权信息

书名：区块链安全实战

作者：（美）拉杰尼什·古普塔（Rajneesh Gupta）

出版社：机械工业出版社

出版日期：2019-08-01

ISBN：9787111637356

版权所有 · 侵权必究

译者序

当区块链技术在各行各业逐渐兴起之后，很多专家学者开始探索区块链技术如何更好地融入日常生活中。随着区块链加密货币、交易所、区块链应用等开始慢慢普及，为了从区块链中找到技术漏洞作为攻击入口，以便从中获利，很多黑客攻击者也开始对区块链技术进行深入研究。在这种形势下，区块链安全问题更需要得到重视。

本书从当今社会的网络安全威胁谈起，深入浅出地剖析了区块链的底层及应用架构，并辅以众多优秀的区块链安全实例，是网络安全专业人士及区块链技术爱好者不可多得的良好学习素材。本书的翻译出版，无疑会为国内信息安全从业者提供基于区块链视角的网络安全防护方案，并加深网络安全与区块链技术爱好者对行业的理解和掌握。

本书由孙国梓、魏松杰等统筹组织翻译，参加翻译的人员包括南京邮电大学计算机学院、软件学院、网络空间安全学院的王纪涛、谷宇、满嘉睿、苑陈娟、陈昊望、刘坤，以及南京理工大学计算机科学与工程学院的吕伟龙、王佳贺、徐臻等。在翻译过程中，我们对书中明显的印刷错误和文字错误做了修改；为了便于读者的阅读和理解，对书中的图解做了详细翻译，也对重要内容进行了强调。全书由孙国梓、魏松杰统稿，孙国梓审校。在本书的翻译过程中，得到了机械工业出版社华章分社朱劼、冯秀泳等编辑的大力支持和帮助，在此表示感谢。由于区块链安全领域发展迅速，我们也在不断地学习中，译稿中难免有不准确或疏漏之处，敬请各位同行和读者批评、指正。

译者

前言

区块链技术被誉为当今极具革命性和颠覆性的创新技术之一。虽然区块链技术的横空出世，是源于大家熟知的数字货币——比特币，但众多相关组织对区块链技术的认知不断演化，正努力探索并实践使用区块链技术进行价值的广泛存储和传递。本书将首先介绍常见的网络空间威胁场景和攻击手段，例如恶意软件、网络钓鱼、内部威胁、DDoS攻击等。之后，本书将帮助你了解区块链技术、以太坊（Ethereum）和超级账本（Hyperledger）架构的运作方式，理解它们如何应用于网络安全生态系统中，并且帮助你在以太坊区块链和Hyperledger Fabric框架上编写分布式应用程序。随后，你将了解CIA安全三元组问题及其与区块链的适应过程。最后，本书将介绍网络安全的核心概念和问题，如DDoS防御、基于PKI的身份验证、双因子认证（2FA）和DNS安全。你将了解在彻底改变网络安全问题的解决方案中，区块链如何发挥关键作用。

在本书的结尾，你将看到一些安全案例中区块链的实际部署示例，并了解基于区块链的网络安全技术可能面临的挑战及其未来。

本书读者

本书面向网络安全专业人士以及关注并从事网络安全事业的人士。这类读者希望了解如何使用区块链技术来实现更深层次的网络安全基础设施的防护。随着对区块链技术的理解逐步加深，读者可以增强自身在行业发展中的竞争优势。

本书概要

第1章针对威胁程度更剧烈、威胁种类更复杂的新兴全球网络威胁，概述其态势演化，以及包括政府、国际安全联盟（ISA）、行业联盟、企业、执行官、首席安全官（CSO）和安全分析师在内的网络安全维护者的观点。

第2章描述安全思维方式中一些影响巨大且紧迫的变化趋势，包括零信任法、攻击假设法以及安全基层演化。

第3章介绍区块链从诞生到它在各领域和垂直行业的不断演化和适用的过程。我们还将了解不同组织如何使用区块链来解决它们的问题。

第4章介绍Hyperledger项目及其开源协作和跨行业区块链技术开发。另外还提供了一些Hyperledger爱好者开发的dApp演示和部署示例。

第5章介绍任何安全措施都旨在保护CIA安全三元组的一个或多个方面，因此将区块链应用到底层安全基础不失为一种明智方法，例如用于企业密钥和证书管理、加密和访问控制。

第6章介绍安全案例中区块链的实际部署情况，包括当前状态审查、协议实现、架构、系统结构和API客户端集成。

第7章包含对双因子认证的组件和工作方式的深入思考。我们将了解如何使用以太坊区块链实现一个去中心化的双因子认证系统。

第8章讨论现有的DNS基础设施、所面临的挑战，以及探索区块链如何帮助构建更可靠更安全的去中心化DNS基础设施。

第9章介绍DDoS攻击的影响、对DDoS攻击的原理剖析、对现有DDoS防御解决方案的挑战，以及以太坊区块链如何加强DDoS防御平台。

第10章涵盖针对区块链系统的一些潜在挑战，例如节点被盗、分布式节点的可用性、分布式账本的恶意代码注入、信誉风险、目标侦察，以及绕过线下和线上过程。

软件环境需求

操作系统需求：

·Ubuntu 16.04

软件需求：

·Linux

·Node.js

·Truffle

·Ganache-CLI

下载示例代码和彩色图片

本书的示例代码及所有截图和样图，可以从http://www.packtpub.com通过个人账号下载，也可以访问华章图书官网http://www.hzbook.com，通过注册并登录个人账号下载。

本书中使用的屏幕截图、各种图表的彩色图片，以PDF形式单独提供。可以从https://www.packtpub.com/sites/default/files/downloads/HandsOnCybersecuritywithBlockchain_ColorImages.pdf链接进行下载。

文本格式约定

本书全文使用了许多约定的文本表示方法。

行内代码（CodeInText）：表示文本中的代码片段、数据库表名、文件夹名、文件名、文件扩展名、路径名、虚拟URL、用户输入和Twitter句柄。例如：“这个文件夹包括我们的智能合约TwoFactorAuth.sol。”

代码块如下：

代码块中需加以注意的行或项目以粗体显示：

任何命令行输入或输出都写成如下格式：

粗体：表示新术语或重要词汇。一个示例：“PoS中的矿工被称为伪造者”。

警告或重要说明图标。

提示和小技巧图标。

作者简介

Rajneesh Gupta是一名网络安全和区块链专家，在帮助组织构建可靠的网络安全解决方案方面具有丰富的经验。他是一位极具活力的创新者，也是一位富有创造力的战略专家。

Rajneesh被《Insights Success》杂志誉为最值得信赖的网络安全领导者之一，并被《CIO Review》杂志评为网络安全20强参与者。他经常在一些有影响力的会议上就网络安全、区块链、物联网、安全治理等主题发表演讲。

我要感谢我的朋友和同事Vinay Pandey向我介绍了激动人心的区块链领域，感谢Rohit Rajkumar为我提供这个绝佳的写作机会。非常感谢Ron Kurien和Swathy Mohan的不懈努力。最后，感谢我的妻子Ankita Gupta，她是我生命中激励我最多的人。

审阅者简介

Gautam Kumawat是一名年轻却经验丰富的网络犯罪调查员和自学成才的网络安全专家。他正在帮助美国联邦警察局、美国中央调查局、美国国防部和印度军队等机构培训官员并解决复杂的网络犯罪案件。他还为纽约警察局和国际刑警组织提供相关培训。

他在网络安全行业的专业知识丰富，足以胜任大型公司进行安全评估、审计、治理、事件响应和取证项目的工作。

第1章　网络威胁形势与安全挑战

对于保持竞争优势与坚持可持续发展来说，信息一直都是关键要素。当用一系列大量可靠数据来解决一个简单问题时，信息便随之产生了。继而当我们收集信息以期望其能提供一个可用于决策过程的预测时，情报便随之发展了。情报收集是预测未来的最有力、最有效的手段。无论在古代智慧演变为现代人工智能的过程中，还是在世界大战演变为现代网络战争过程中，我们的目标始终是比竞争对手先知先觉从而领先一步。

目前云计算、物联网、认知计算和移动技术的快速变革，是各类组织机构发展的最关键资源。然而，互联应用程序技术的不断增长也导致了可利用漏洞数量的增加。虽然各类组织也部署了一些安全措施来定位修复这些安全漏洞，但对于安全部门来说仍是一项永无止境的工作。尽管如此，如果在高精度的威胁态势感知技术支持下，可以将这些安全漏洞按照潜在威胁等级进行分类，以优先考虑解决那些顶级漏洞。

网络安全技术的发展已经有20多年的历史了，但在过去5年里，网络安全的维护者们一直面临着保护自己免受新兴威胁的挑战，比如零日攻击、加密勒索软件、TB级的DDoS攻击、多载体恶意软件和高级社会工程学。

本书准备采用一种在安全感知方面的范式转移。虽然增加了额外的安全等级层次，但这是在基本层面上改变安全思维模式的一种尝试。继因特网之后，区块链是近几年最受欢迎的技术之一。然而，区块链真正具有革命性的是它在加密货币之外的应用潜力。如今，有许多创业公司正在使用区块链技术来颠覆现有的商业模式和纵向产业领域，如云托管、金融服务、供应链、医疗保健、网络安全等。本书对安全专家、安全产品工程师以及区块链爱好者都具有学习的价值。本书侧重于让读者了解当前的安全威胁形势，并为读者提供一些基于区块链技术来克服最致命安全挑战的实用方法。

在本章中，读者将学习以下内容：

·目前的安全威胁形势。

·包括政府机构和企业在内的防御者如何保护自己的资产不受攻击。

·从远程计算机进行数据渗透模拟实时攻击。

1.1　当今的安全威胁形势

在网络空间的新时代，技术转型已成为可持续安全发展与创新的核心因素。在车联网、物联网（IoT）、移动技术和云计算领域内，技术转型为网络犯罪、针对性攻击和工业间谍活动打开了新突破口。一旦攻击者发现漏洞并确定如何访问应用程序，他们只需要在应用程序中构建一个漏洞利用就能获得所需的一切信息，因此开发强大的漏洞管理系统至关重要。请记住，只有团队组织的发展与新兴安全威胁模式的发展保持同步，才能确保漏洞管理的有效性。

如果员工被诱骗而点击电子邮件中的恶意链接，安全系统防护将会失效。事实证明，社会工程学是入侵一个目标网络的有效方式，与此同时安全团队在识别恶意访问时面临着无穷无尽的挑战。回到Facebook和LinkedIn诞生之前的时代，如果你需要寻找有关组织的信息，你根本不会在因特网上获取大量信息，那么利用社会工程学的攻击手段很难达到入侵的目的。实际上，社交网站的广泛普及使得社会工程学中的攻击手段更容易展开和得逞。

1.1.1　勒索软件

勒索软件是一种恶意软件，攻击者利用这种软件对受害者计算机进行加密锁定，受害者想要使用计算机时就需要先向攻击者付款，然后攻击者授予受害者使用权限之后才能正常使用计算机。勒索软件是最流行的和高回报类型的犯罪软件之一。在过去的两年里，由于WannaCry、NotPetya和Locky的出现，勒索软件吸引了大量的媒体报道。2017年5月，WannaCry勒索软件在全球多个系统中迅速传播。它攻击了几个知名组织，包括英国国民健康服务、西班牙电话公司Telefonica、法国汽车品牌雷诺（Renault）、美国物流公司联邦快递（FedEx）、日本公司日立以及很多其他的大型企业。

勒索软件的作者通过暗网托管服务，允许任何买家创建和改进恶意软件。

暗网是因特网的一部分，它无法通过普通的搜索引擎进入，需要一种特殊类型的匿名浏览器Tor去登录。换句话说，暗网包含普通搜索引擎无法获得的无索引数据。Tor浏览器基本上通过一系列代理服务器来路由用户信息，这使得用户身份无法识别且无法追踪。暗网看起来与普通网站类似，但命名结构存在一些差异。暗网没有如.com、.net或.co的顶级域名（TLD）。相反，它们只使用以.onion结尾的域名网站。

1.黑客货币化

根据网络安全业务报告，预计到2019年，勒索软件的损失成本将达到115亿美元。在全球范围内存在一些驱动因素使得勒索软件业务持续增长。为了更快地获得收益，网络犯罪分子已经不再自主编制恶意软件了，而是利用勒索软件即服务（RaaS）来实现他们的需求，这种服务可以在暗网市场上获得。

这些市场不仅可以让犯罪专家花费更少的精力制造勒索软件，而且还允许非技术型犯罪分子或程序员使用脚本进行勒索软件操作。

攻击者使用预先配置的计时器生成勒索软件程序，如果在截止时间前未支付赎金，那数据就会被

....