我开始更加关注交易的流动方式,不是因为路径看起来奇怪,而是因为它们往往看起来有些太正常,这正是技巧隐藏的地方。大多数人认为交易所经过的路径就是交易所意图采取的路径,但攻击者发现了一种方法,让系统看到一条路线,而他们悄悄地使用另一条。这就是我所称之为路径掩蔽的方法——一种可见路径只是一个故事、一个干扰、一个旨在说服系统一切正常的清晰叙述,而真正的移动发生在轨道未密切关注的角度中。它之所以有效,是因为系统信任可见性,但很少质疑可见性是否传达了全部真相。看似可预测、平静和熟悉的交易往往是最容易隐藏的,而攻击者利用这种熟悉感作为盾牌。
第一次让我领会这个想法是在一个例行观察窗口期间。一条流量通过一个以稳定行为和低风险而闻名的走廊进入,准确地沿着正常流量的路线绕行,在通常应暂停的地方停顿,并在预期的一侧干净地退出。没有任何看起来不对劲的地方——不论是时机、大小还是节奏。但走廊周围的影响讲述了一个不同的故事。缓冲区的移动没有与可见路径对齐。证明人对他们不该看到的信号作出了反应。一个次要走廊显示出微小压力,没有任何流入。那种不匹配揭示了真相:流量假装走了一条路线,同时悄悄影响另一条。可见路径是一个掩蔽,而隐藏路径则承载着真实意图。
路径掩蔽之所以危险,是因为让一个看似正常的路线看起来可信是多么容易。系统依赖模式:常见的走廊、常见的节奏、可预测的成本表面。如果一个流量模仿这些模式,铁路就不再质疑它。攻击者不需要有创造力——他们只需要模仿真实用户的行为。掩蔽路径从一个令人信服的表面开始:选择通常处理这种类型流量的走廊,匹配诚实流量的时机,复制典型结算的大小分布,表现得完全像系统每天看到数百次的东西。当表面看起来完美时,系统从不暂停足够长的时间去注意下面发生的事情。
隐藏的路线是攻击者获得杠杆的地方。当可见路径创造信任时,隐形路径操纵系统行为。它可能会轻微改变走廊的负载模式,在其他地方制造微妙需求的假象,干扰证明人的时机,或通过让系统认为某些走廊比实际更繁忙或更危险而扭曲路由偏好。这种操控在官方记录中并不存在,因为交易假装在其他地方。而由于系统遵循可见的故事,隐藏的影响悄然通过不期望受到这种流量影响的层级扩散。
洛伦佐以不同的方式处理这个问题,拒绝接受你看到的路径就是重要的路径。协议不信任声明的路线,而是观察系统如何反应。如果缓冲区在不应移动的地方移动,如果证明人对不匹配可见流量的信号作出回应,如果走廊压力在未被声明的路线影响的地方积聚,那么交易就是在撒谎。洛伦佐将整个网络视为一个有机体。可见路径只是一个线索;行为足迹才是真正的证据。当足迹和声明的路线不一致时,路径掩蔽就变得明显。
攻击者在系统试图恢复平衡的时刻最依赖路径掩蔽。在一个波动周期或拥堵高峰后,网络渴望正常模式。如果一个交易表现得“完全正常”,系统会立即相信它,因为它希望这种正常性是真实的。这时,掩蔽的路径几乎毫无阻力地滑过。流量假装走安全的路线,同时影响网络中完全不同的部分。洛伦佐通过不盲目奖励正常行为来打破这种幻觉。如果系统预期有轻微噪音,但交易过于干净,那种干净就会引起怀疑。真实的流量反映它们的环境;虚假的流量则试图隐藏自己。
另一个路径掩蔽的层面是心理层面。一个表现得可预测的交易感觉诚实。可预测性减少了认知负担。人类和机器都喜欢没有摩擦的重复模式。攻击者明白这一点。他们设计可见路线,使其感觉熟悉且无聊,以便铁路减少关注。这就像有人穿着制服在人群中穿行,使他们融入其中——伪装并不华丽,而是简单。而简单的伪装是最难被发现的,因为它们不会引起注意。洛伦佐指挥着相反的心态:无聊的流量和不寻常的流量一样认真检查,因为两者都可能带有隐藏的动机。
攻击规模之所以可行,是因为其成本极低。创建一个掩蔽路径不需要额外成本;它需要的是意识。攻击者只需要了解系统信任哪些走廊,以及如何模仿一个合法流量,足以通过它们。一旦他们控制了掩蔽,他们可以通过侧走廊、备用通道或系统没有密切跟踪的时间间隙来引导他们的真实意图。可见路径成为一个诱饵,让铁路在应该保持警惕的地方放松警惕。
洛伦佐通过将路径可见性视为不完整的信息来迫使系统保持警惕。一个流量不是根据它声称去的地方来评判,而是根据它的存在改变了什么。如果它在从未“访问过”的地方改变条件,掩蔽就暴露了。如果它在应该产生噪音的时期表现得过于干净,掩蔽就会破裂。如果路径在结构上有意义,但在行为上没有意义,系统就会失去信任。路径掩蔽在铁路将行动与影响联系起来而不是将叙述与结构联系起来的瞬间崩溃。
当我用简单的术语思考路径掩蔽时,它让我想起真正的问题不是隐藏的路径,而是我们假设可见的路径讲述真相。攻击者并不利用走廊。他们利用系统对熟悉运动的偏爱。一旦流量学会如何假装正常,就更难看出它实际上在做什么。
洛伦佐的力量很简单:
它不信任这个故事。
它信任证据。
任何故事与证据不匹配的流量都被视为威胁,无论路径看起来多么正常。
