Denial-of-Service-Angriffe haben schon viele Webdienste vorübergehend beeinträchtigt. Das Tor-Projekt will dafür jetzt eine Lösung haben.
Das Tor-Projekt hat mit der jüngst veröffentlichten Tor-Version 0.4.8 einen Proof-of-Work-basierten (PoW) Mechanismus eingeführt, der Onion-Dienste vor Denial-of-Service-Angriffen (DoS) schützen soll. Wie aus einem neuen Blogbeitrag des Projektes hervorgeht, bleibt der neue Schutzmechanismus unter normalen Bedingungen aber zunächst inaktiv.
Erst wenn ein Dienst infolge großer Mengen eingehender Netzwerkverbindungen unter Stress stehe, fordere das neue Verfahren die anfragenden Clients dazu auf, zunehmend komplexere Aufgaben zu lösen, hieß es weiter. Die Verbindungsanfragen priorisiere der Mechanismus auf Basis des geleisteten Rechenaufwands.
Jeder Client erhalte dafür vor dem Zugriff auf den Onion-Dienst ein kleines Rätsel. Dessen Lösung sei ein Beweis dafür, dass der Teilnehmer eine gewisse Arbeit erbracht habe.
Zunehmend schwierigere Rätsel bremsen Bots aus
Je schwieriger das Rätsel sei, desto mehr Arbeit müsse geleistet werden, was große Mengen an Verbindungen von Bots immer teurer und somit unattraktiver mache. Dies gewähre echten Nutzern eine Chance, sich trotz eines hohen Netzwerkaufkommens erfolgreich mit dem Dienst zu verbinden.
"Wir glauben, dass die Einführung eines Proof-of-Work-Mechanismus Angreifer abschreckt, indem er Angriffe im großen Stil kostspielig und unpraktisch macht und gleichzeitig dem legitimen Verkehr Vorrang einräumt", erklärte Pavel, der Autor des Beitrags. Für Endgeräte normaler Nutzer, die in der Regel nur wenige Anfragen auf einmal stellten, sei der zusätzliche Rechenaufwand für das Lösen der Rätsel überschaubar.
Zu Beginn dauere dies pro Rätsel je nach Rechenleistung nur etwa 5 bis 30 Millisekunden, später könne die Rechenzeit je nach Verkehrsaufkommen auf bis zu eine Minute ansteigen. Für Angreifer, die unzählige Pakete in kurzer Zeit verschicken, wachse der Aufwand dadurch aber massiv.
IP-basierte Begrenzungen reichen nicht aus
Als Grund für die Einführung des neuen PoW-Verfahrens nannte Pavel die hohe Anfälligkeit des Tor-Netzwerks für DoS-Angriffe. Dies liege schlichtweg am Design der nur über einen speziellen Tor-Browser erreichbaren Onion-Dienste, das "die Privatsphäre der Nutzer durch Verschleierung von IP-Adressen" gezielt schütze. Ein DoS-Schutz durch IP-basierte Verbindungsbegrenzungen habe sich diesbezüglich als unzureichend erwiesen.
Quelle: golem.de
Das Tor-Projekt hat mit der jüngst veröffentlichten Tor-Version 0.4.8 einen Proof-of-Work-basierten (PoW) Mechanismus eingeführt, der Onion-Dienste vor Denial-of-Service-Angriffen (DoS) schützen soll. Wie aus einem neuen Blogbeitrag des Projektes hervorgeht, bleibt der neue Schutzmechanismus unter normalen Bedingungen aber zunächst inaktiv.
Erst wenn ein Dienst infolge großer Mengen eingehender Netzwerkverbindungen unter Stress stehe, fordere das neue Verfahren die anfragenden Clients dazu auf, zunehmend komplexere Aufgaben zu lösen, hieß es weiter. Die Verbindungsanfragen priorisiere der Mechanismus auf Basis des geleisteten Rechenaufwands.
Jeder Client erhalte dafür vor dem Zugriff auf den Onion-Dienst ein kleines Rätsel. Dessen Lösung sei ein Beweis dafür, dass der Teilnehmer eine gewisse Arbeit erbracht habe.
Zunehmend schwierigere Rätsel bremsen Bots aus
Je schwieriger das Rätsel sei, desto mehr Arbeit müsse geleistet werden, was große Mengen an Verbindungen von Bots immer teurer und somit unattraktiver mache. Dies gewähre echten Nutzern eine Chance, sich trotz eines hohen Netzwerkaufkommens erfolgreich mit dem Dienst zu verbinden.
"Wir glauben, dass die Einführung eines Proof-of-Work-Mechanismus Angreifer abschreckt, indem er Angriffe im großen Stil kostspielig und unpraktisch macht und gleichzeitig dem legitimen Verkehr Vorrang einräumt", erklärte Pavel, der Autor des Beitrags. Für Endgeräte normaler Nutzer, die in der Regel nur wenige Anfragen auf einmal stellten, sei der zusätzliche Rechenaufwand für das Lösen der Rätsel überschaubar.
Zu Beginn dauere dies pro Rätsel je nach Rechenleistung nur etwa 5 bis 30 Millisekunden, später könne die Rechenzeit je nach Verkehrsaufkommen auf bis zu eine Minute ansteigen. Für Angreifer, die unzählige Pakete in kurzer Zeit verschicken, wachse der Aufwand dadurch aber massiv.
IP-basierte Begrenzungen reichen nicht aus
Als Grund für die Einführung des neuen PoW-Verfahrens nannte Pavel die hohe Anfälligkeit des Tor-Netzwerks für DoS-Angriffe. Dies liege schlichtweg am Design der nur über einen speziellen Tor-Browser erreichbaren Onion-Dienste, das "die Privatsphäre der Nutzer durch Verschleierung von IP-Adressen" gezielt schütze. Ein DoS-Schutz durch IP-basierte Verbindungsbegrenzungen habe sich diesbezüglich als unzureichend erwiesen.
Quelle: golem.de