Onion-Dienste mit Proof-of-Work-Verteidigung
Mit der Veröffentlichung von Tor 0.4.8 gibt es nun offiziell eine Proof-of-Work-Verteidigung (PoW) für Onion-Dienste. PoW hast Du vielleicht schon einmal gehört, allerdings im Zusammenhang mit der Kryptowährung Bitcoin. Auf jeden Fall soll der neue Verteidigungsmechanismus vor DoS-Angriffen (Denial-of-Service) schützen.
Die PoW-Verteidigung von Tor ist laut eigenen Angaben ein dynamischer und reaktiver Mechanismus. Bei einer normalen Nutzung bleibt er inaktiv. Wird ein Onion-Dienst allerdings gestresst, wird der Mechanismus eingehende Client-Verbindungen auffordern, eine Reihe von sukzessive komplexeren Operationen durchzuführen.
Der Onion-Dienst priorisiert dann Verbindungen je nach Aufwand des Clients. Das Team ist der Meinung, dass die Einführung eines Proof-of-Work-Mechanismus Angreifer abschreckt. Groß angelegte Angriffe werden kostspielig und unpraktisch. Gleichzeitig wird aber auch legitimer Datenverkehr priorisiert. Das Team empfiehlt allen, die Onion-Services nutzen, auf Version 0.4.8 zu aktualisieren.
Warum ist die neue Verteidigung notwendig?
Onion-Services schützen die Privatsphäre von Usern und verschleiern IP-Adressen. Sie sind aber auch anfällig für DoS-Angriffe. Herkömmliche IP-basierte Limits waren ein unzureichender Schutz. Das Team hat nach Lösungen gesucht und ist überzeugt, dass der Proof-of-Work-Mechanismus, bei dem ein Client eine Aufgabe lösen muss, DoS-Angriffe vereiteln kann, ohne die Privatsphäre der Nutzer zu gefährden.
Tor war einige Zeit langsam, da es wirklich aktive DoS-Angriffe gab.
Wie funktioniert es?
Proof-of-Work funktioniert wie ein Ticketsystem. Es ist, wie bereits erwähnt, per Standard deaktiviert. Das System passt sich aber an die Belastung des Netzwerks an und erstellt eine Warteschlange mit Prioritäten. Bevor Du auf einen Onion-Service zugreifen kannst, musst Du ein kleines Rätsel lösen. Hat der Client eine gewisse Arbeit geleistet, geht es weiter. Je schwieriger das Rätsel ist, desto mehr Arbeit muss geleistet werden. Das beweist, dass ein User real und kein Bot ist, der versucht, den Service zu fluten. Letztlich blockiert der Proof-of-Work-Mechanismus Angreifer.
Versucht ein Angreifer einen Onion-Service mit Anfragen zu fluten, aktiviert sich die PoW-Verteidigung und erhöht den Rechenaufwand, der für den Zugriff auf eine .onion-Seite erforderlich ist. Damit wird ein DoS-Angriff immer teurer.
Für normale User, die in der Regel nur wenige Anfragen auf einmal stellen, ist der zusätzliche Rechenaufwand für das Lösen des Rätsels meist überschaubar. Das Team gibt an, dass die anfänglichen Zeiten für eine Lösung zwischen 5 Millisekunden für schnellere Computer und bis zu 30 Millisekunden für langsamere Hardware liegen.
Nimmt der Angriffsverkehr zu, erhöht sich der Arbeitsaufwand. Dann kann es schon bis zu 1 Minute dauern. Der Prozess ist für die User unsichtbar. Das Warten auf eine Proof-of-Work-Lösung lässt sich mit dem Warten auf eine langsame Netzwerkverbindung vergleichen. Der entscheidende Vorteil ist, dass User nun auch auf das Tor-Netzwerk zugreifen können, selbst wenn es unter Stress steht.
Du findest diese Informationen auf Englisch auch in der offiziellen Ankündigung.
Tor nutzen
Eine einfache Option, Onion-Services zu nutzen, ist der Tor Browser. Auch der alternative Browser Brave bietet eine Tor-Option.
Die spezielle Linux-Distribution Tails leitet sogar sämtlichen Datenverkehr durch Tor (The Onion Router). Auch einige der weltweit besten VPNs bieten eine Tor-Funktion an, womit Du auf .onion-Websites oder das sogenannte Dark Net zugreifen kannst.
