Proof-of-Work-Abwehr für Onion Services

 (blog.torproject.org)
2 Punkte von GN⁺ 2023-08-26 | 1 Kommentare | Auf WhatsApp teilen
  • Dieser Artikel kündigt die Einführung einer Proof-of-Work-(PoW)-Abwehrfunktion für Onion Services an. Ziel ist es, verifizierten Netzwerkverkehr zu priorisieren und Denial-of-Service-(DoS)-Angriffe zu verhindern. Die Funktion ist Teil der neuen Veröffentlichung von Tor 0.4.8.
  • Der PoW-Abwehrmechanismus bleibt unter normalen Bedingungen deaktiviert, damit die Nutzererfahrung reibungslos bleibt. Wenn ein Onion Service jedoch unter Belastung gerät, fordert er eingehende Client-Verbindungen dazu auf, schrittweise komplexere Aufgaben auszuführen.
  • Onion Services priorisieren diese Verbindungen nach dem Grad des vom Client nachgewiesenen Aufwands. Es wird erwartet, dass dieser PoW-Mechanismus groß angelegte Angriffe teuer und unpraktisch macht, Angreifer abschreckt und legitimen Verkehr priorisiert.
  • Die Notwendigkeit dieses Mechanismus ergibt sich aus dem besonderen Design von Onion Services, bei dem der Schutz der Privatsphäre der Nutzer durch das Verbergen von IP-Adressen im Vordergrund steht. Dieses Design machte Onion Services anfällig für DoS-Angriffe, und herkömmliche IP-basierte Ratenbegrenzung bot nur unvollständigen Schutz.
  • Der PoW-Mechanismus funktioniert wie ein standardmäßig deaktiviertes Ticketsystem, passt sich aber an Netzwerklast an, um eine Prioritätswarteschlange zu erzeugen. Bevor Clients auf einen Onion Service zugreifen, müssen sie ein kleines Rätsel lösen, um nachzuweisen, dass „Arbeit“ geleistet wurde. Je schwieriger das Rätsel ist, desto mehr Arbeit wurde investiert, was zeigt, dass der Nutzer ein echter Nutzer ist und kein Bot, der den Dienst überfluten will.
  • Wenn Angreifer versuchen, einen Onion Service mit Anfragen zu überschwemmen, erhöht die PoW-Abwehr den für den Zugriff auf die .onion-Site erforderlichen Rechenaufwand. Dieses Ticketsystem soll Angreifer benachteiligen, die massenhaft Verbindungsversuche gegen Onion Services unternehmen.
  • Für alltägliche Nutzer ist der zusätzliche Rechenaufwand zum Lösen der Rätsel auf den meisten Geräten tragbar. Nimmt der Angriffsverkehr zu, steigt auch der erforderliche Aufwand und kann auf etwa eine Minute Rechenzeit anwachsen. Dieser Prozess bleibt für Nutzer unsichtbar, und das Warten auf eine PoW-Lösung ähnelt dem Warten auf eine langsame Netzwerkverbindung.
  • Mit der Einführung der PoW-Abwehr positioniert Tor Onion Services als eines der wenigen Kommunikationsprotokolle mit eingebautem DoS-Schutz. Bei einer Übernahme durch große Sites verspricht dies, die negativen Auswirkungen gezielter Angriffe auf die Netzwerkgeschwindigkeit zu verringern. Die dynamische Natur des Systems hilft zudem, die Last bei Verkehrsspitzen auszugleichen und einen konsistenteren und zuverlässigeren Zugang zu Onion Services sicherzustellen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-08-26
Hacker-News-Kommentare
  • Dieser Artikel diskutiert einen Vorschlag zur Implementierung einer Proof-of-Work-(PoW-)Abwehr, um Angriffe auf Onion-Services zu erschweren.
  • Es wird nicht erwartet, dass die PoW-Abwehr gegen große Botnetze wirksam ist, sie könnte jedoch helfen, kleinere Angriffe abzuwehren.
  • Der Vorschlag erlaubt es Nutzern, sich auch während eines DoS-Angriffs mit eigenem Rechenaufwand zu verbinden.
  • Der für diesen Vorschlag gewählte PoW-Algorithmus ist equi-X.
  • Der Vorschlag führt ein „Bietsystem“ ein, bei dem Clients eine höhere Priorität erhalten, je mehr Aufwand sie für PoW betreiben.
  • Einige Nutzer zeigen sich überrascht, dass eine solche Abwehr nicht schon früher implementiert wurde, und stellen mögliche Auswirkungen auf die Anonymität der Nutzer infrage.
  • Die PoW-Abwehr kann die Last auf proxied Services sowie auf die Nodes selbst verringern.
  • Einige Nutzer schlagen vor, dass dies die Notwendigkeit eines CDN für den DDoS-Schutz überflüssig machen und auch auf andere Bereiche wie E-Mail-Spam und stark frequentierte Websites angewendet werden könnte.
  • Es werden Fragen dazu aufgeworfen, wie die PoW-Abwehr mit Angreifern umgehen soll, die neue Identitäten beschaffen und ihren DDoS fortsetzen.
  • Als alternative Lösungen werden vorgeschlagen, das Netzwerk wie ein CDN zu nutzen oder PoW an fortlaufende Signaturen zu koppeln und eine parallele Verifikation zu ermöglichen.
  • Es gibt Skepsis gegenüber der Behauptung, dass der Unterschied in der Lösungszeit zwischen High-End-Servern und einfachen Mobiltelefonen nur beim Faktor 6 liege.
  • Einige Nutzer halten dies für einen guten Anwendungsfall für PoW und glauben, dass sich damit DDoS-Angriffe auf die Last des Erbringens eines Nachweises begrenzen lassen.