Представляємо захист підтвердження роботи для Onion Services

Представляємо захист підтвердження роботи для Onion Services

Від pavel 
blog.torproject.org
23 серпня 2023 р

Сьогодні з випуском Tor 0.4.8 ми офіційно запроваджуємо захист за принципом «підтвердження роботи» (PoW) для служб onion, призначених для визначення пріоритету перевіреного мережевого трафіку як засобу стримування від атак на відмову в обслуговуванні (DoS).

Захист Tor’s PoW — це динамічний і реактивний механізм, який залишається бездіяльним за звичайних умов використання, щоб забезпечити безперебійну роботу користувача, але коли цибульна служба перебуває під напругою, механізм спонукатиме вхідні клієнтські з’єднання виконувати кілька складніших операцій. Потім служба onion визначить пріоритет цих з’єднань на основі рівня зусиль, продемонстрованих клієнтом. Ми вважаємо, що запровадження механізму підтвердження роботи позбавить стимулів зловмисників, зробивши широкомасштабні атаки дорогими та непрактичними, водночас віддаючи пріоритет законному трафіку. Onion Services рекомендується оновити до версії 0.4.8.

Чому така потреба?

Внутрішній дизайн служб onion, які надають пріоритет конфіденційності користувачів шляхом обфускації IP-адрес, зробив їх вразливими до атак DoS , а традиційні обмеження швидкості на основі IP були недосконалими засобами захисту в цих сценаріях. Потребуючи альтернативних рішень, ми розробили механізм підтвердження роботи, що включає головоломку клієнта, щоб перешкоджати DoS-атакам без шкоди для конфіденційності користувача. 

Як це працює?

Підтвердження роботи діє як система квитків, яка за замовчуванням вимкнена, але адаптується до навантаження на мережу, створюючи пріоритетну чергу. Перш ніж отримати доступ до цибулевої послуги, необхідно вирішити невелику головоломку, доводячи, що певна «робота» була виконана клієнтом. Чим складніша головоломка, тим більше роботи виконується, доводячи, що користувач справжній, а не бот, який намагається затопити сервіс. Зрештою, механізм підтвердження роботи блокує зловмисників, надаючи реальним користувачам шанс досягти місця призначення.

Що це означає для зловмисників і користувачів?

Якщо зловмисники намагаються заповнити службу onion запитами, захист PoW спрацює і збільшить обчислювальну роботу, необхідну для доступу до сайту .onion. Ця система продажу квитків має на меті поставити зловмисників у невигідне становище, які роблять величезну кількість спроб підключення до служби onion. Підтримка таких атак вимагатиме від них великих обчислювальних зусиль із зменшенням віддачі зі збільшенням зусиль.

Однак для звичайних користувачів, які, як правило, надсилають лише кілька запитів за раз, додаткове обчислювальне зусилля для розв’язання головоломки цілком доступне для більшості пристроїв, причому початковий час вирішення коливається від 5 мілісекунд для швидших комп’ютерів і до 30 мілісекунд для повільніше обладнання. Якщо трафік атаки зростає, зусилля роботи збільшуються приблизно до 1 хвилини роботи. Хоча цей процес невидимий для користувачів і робить очікування рішення для підтвердження роботи подібним до очікування на повільному мережевому з’єднанні, він має явну перевагу, оскільки надає їм можливість отримати доступ до мережі Tor, навіть коли вона перебуває під напругою. довівши свою людяність. 

Куди нам далі йти?

Протягом останнього року ми доклали багато зусиль, щоб пом’якшити атаки на нашу мережу та підвищити захист наших служб. Запровадження PoW захисту Tor не тільки позиціонує onion-сервіси серед небагатьох комунікаційних протоколів із вбудованим захистом від DoS, але також, якщо його запровадять основні сайти, обіцяє зменшити негативний вплив цілеспрямованих атак на швидкість мережі. Динамічний характер цієї системи допомагає збалансувати навантаження під час раптових стрибків трафіку, забезпечуючи більш послідовний і надійний доступ до служб.

Просмотры:

Коментарі

Популярні публікації