[ziesell]

Zitat:

Proof of Work: Tor-Projekt macht DoS-Angriffe unrentabel

Denial-of-Service-Angriffe haben schon viele Webdienste vorübergehend beeinträchtigt. Das Tor-Projekt will dafür jetzt eine Lösung haben.



Das Tor-Projekt hat mit der jüngst veröffentlichten Tor-Version 0.4.8 einen Proof-of-Work-basierten (PoW) Mechanismus eingeführt, der Onion-Dienste vor Denial-of-Service-Angriffen (DoS) schützen soll. Wie aus einem neuen Blogbeitrag des Projektes hervorgeht, bleibt der neue Schutzmechanismus unter normalen Bedingungen aber zunächst inaktiv.

Erst wenn ein Dienst infolge großer Mengen eingehender Netzwerkverbindungen unter Stress stehe, fordere das neue Verfahren die anfragenden Clients dazu auf, zunehmend komplexere Aufgaben zu lösen, hieß es weiter. Die Verbindungsanfragen priorisiere der Mechanismus auf Basis des geleisteten Rechenaufwands.

Jeder Client erhalte dafür vor dem Zugriff auf den Onion-Dienst ein kleines Rätsel. Dessen Lösung sei ein Beweis dafür, dass der Teilnehmer eine gewisse Arbeit erbracht habe.

Zunehmend schwierigere Rätsel bremsen Bots aus

Je schwieriger das Rätsel sei, desto mehr Arbeit müsse geleistet werden, was große Mengen an Verbindungen von Bots immer teurer und somit unattraktiver mache. Dies gewähre echten Nutzern eine Chance, sich trotz eines hohen Netzwerkaufkommens erfolgreich mit dem Dienst zu verbinden.

"Wir glauben, dass die Einführung eines Proof-of-Work-Mechanismus Angreifer abschreckt, indem er Angriffe im großen Stil kostspielig und unpraktisch macht und gleichzeitig dem legitimen Verkehr Vorrang einräumt", erklärte Pavel, der Autor des Beitrags. Für Endgeräte normaler Nutzer, die in der Regel nur wenige Anfragen auf einmal stellten, sei der zusätzliche Rechenaufwand für das Lösen der Rätsel überschaubar.

Zu Beginn dauere dies pro Rätsel je nach Rechenleistung nur etwa 5 bis 30 Millisekunden, später könne die Rechenzeit je nach Verkehrsaufkommen auf bis zu eine Minute ansteigen. Für Angreifer, die unzählige Pakete in kurzer Zeit verschicken, wachse der Aufwand dadurch aber massiv.

IP-basierte Begrenzungen reichen nicht aus

Als Grund für die Einführung des neuen PoW-Verfahrens nannte Pavel die hohe Anfälligkeit des Tor-Netzwerks für DoS-Angriffe. Dies liege schlichtweg am Design der nur über einen speziellen Tor-Browser erreichbaren Onion-Dienste, das "die Privatsphäre der Nutzer durch Verschleierung von IP-Adressen" gezielt schütze. Ein DoS-Schutz durch IP-basierte Verbindungsbegrenzungen habe sich diesbezüglich als unzureichend erwiesen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Draalz]

Ich finde den Artikel in gewisser Form irreführend. Natürlich kann man ein schmalbrüstiges Netzwerk, wie Tor viel schneller durch DDoS Attacken lahm legen, als gewohnte Internetangebote.

Das Tor Netzwerk lebt von den Knoten, die Internetuser und der NSA zur Verfügung stellen, was eine erheblich begrenzte Bandbreite zur Folge hat.

In der Folge finde ich Zugriff auf sogenannte Onion Dienste recht fragwürdig. Dafür wurde das Tor Netzwerk nicht erschaffen. Onion Dienste findet man zumeist im Darknet und dieses muss man nicht vor DDoS Attacken schützen.