Onion servisleri için proof-of-work savunması

 (blog.torproject.org)
2 puan yazan GN⁺ 2023-08-26 | 1 yorum | WhatsApp'ta paylaş
  • Bu yazı, onion servisleri için proof-of-work (PoW) savunma özelliğinin kullanıma sunulduğunu duyuruyor; amaç, doğrulanmış ağ trafiğine öncelik vermek ve hizmet reddi (DoS) saldırılarını önlemek. Bu özellik, Tor 0.4.8'in yeni sürümünün bir parçası.
  • PoW savunma mekanizması, normal koşullarda kullanıcı deneyimini akıcı tutmak için devre dışı kalır. Ancak onion servisi baskı altına girdiğinde, gelen istemci bağlantılarından giderek daha karmaşık işler yapmaları istenir.
  • Onion servisi, bu bağlantıları istemcinin gösterdiği emek düzeyine göre önceliklendirir. Bu PoW mekanizmasının, büyük ölçekli saldırıları maliyetli ve gerçekçi olmaktan uzak hale getirerek saldırganları caydırması ve meşru trafiğe öncelik vermesi bekleniyor.
  • Bu mekanizmaya duyulan ihtiyaç, onion servislerinin kullanıcı gizliliğini IP adreslerini gizleyerek önceleyen kendine özgü tasarımından kaynaklanıyor. Bu tasarım, onion servislerini DoS saldırılarına açık hale getirdi ve geleneksel IP tabanlı hız sınırlama eksik bir koruma yöntemi olarak kaldı.
  • PoW mekanizması, varsayılan olarak kapalı olan bir bilet sistemi gibi çalışır; ancak ağdaki baskıya uyum sağlayarak öncelikli bir kuyruk oluşturur. Onion servisine erişmeden önce istemci, "iş" yapıldığını kanıtlamak için küçük bir bulmaca çözmelidir. Bulmaca ne kadar zorsa o kadar fazla iş yapılmış olur; bu da kullanıcının servisi istila etmeye çalışan bir bot değil, gerçek bir kullanıcı olduğunu göstermeye yardımcı olur.
  • Bir saldırgan onion servisine istek yağdırmaya çalıştığında, PoW savunması .onion sitesine erişmek için gereken hesaplama çabasını artırır. Bu bilet sistemi, onion servisine çok sayıda bağlantı denemesi yapan saldırganları dezavantajlı duruma düşürmeyi amaçlar.
  • Gündelik kullanıcılar için bulmacayı çözmek adına gereken ek hesaplama çabası, çoğu cihazın kaldırabileceği düzeydedir. Saldırı trafiği arttıkça gereken iş miktarı da artar ve yaklaşık 1 dakikalık çalışma süresine kadar çıkabilir. Bu süreç kullanıcıya görünmez ve PoW çözümünü beklemek, yavaş bir ağ bağlantısını beklemeye benzer.
  • Tor'un PoW savunmasını sunması, onion servislerini yerleşik DoS korumasına sahip az sayıdaki iletişim protokolünden biri haline getiriyor. Büyük siteler tarafından benimsenmesi halinde, ağ hızını hedef alan saldırıların olumsuz etkisini azaltma vaadi taşıyor; sistemin dinamik yapısı da trafik sıçramaları sırasında yükün dengeli kalmasına yardımcı olarak onion servislerine daha tutarlı ve güvenilir erişim sağlıyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-08-26
Hacker News görüşü
  • Bu yazı, Onion hizmetlerine yönelik saldırıları zorlaştırmak için Proof-of-Work (PoW) savunmasının uygulanmasına ilişkin bir öneriyi tartışıyor.
  • PoW savunmasının büyük botnet'lere karşı etkili olması beklenmiyor, ancak küçük ölçekli saldırılara karşı yardımcı olabilir.
  • Bu öneri, DoS saldırıları sırasında bile kullanıcıların çaba harcayarak bağlantı kurabilmesine izin veriyor.
  • Bu öneri için seçilen PoW algoritması equi-X'tir.
  • Bu öneri, istemcinin PoW için ne kadar fazla çaba harcarsa o kadar yüksek öncelik aldığı bir "teklif" sistemi getiriyor.
  • Bazı kullanıcılar, böyle bir savunmanın neden daha önce uygulanmadığına şaşırıyor ve bunun kullanıcı anonimliğine olası etkilerini sorguluyor.
  • PoW savunması, proxy edilen hizmet üzerindeki yükü azaltabileceği gibi düğümün kendisindeki yükü de azaltabilir.
  • Bazı kullanıcılar, bunun DDoS koruması için CDN ihtiyacını ortadan kaldırabileceğini ve e-posta spam'i ile yoğun web siteleri gibi başka alanlara da uygulanabileceğini öne sürüyor.
  • PoW savunmasının, yeni kimlik edinip DDoS'a devam eden kötüye kullanıcılarla nasıl başa çıkacağına dair sorular gündeme geliyor.
  • Ağı bir CDN olarak kullanmak veya PoW'u ardışık imzalara bağlayıp paralel olarak doğrulanmasını sağlamak gibi alternatif çözümler öneriliyor.
  • Gelişmiş sunucular ile düşük seviye telefonlar arasında çözüm süresinde yalnızca 6 kat fark olduğu iddiasına yönelik şüphecilik var.
  • Bazı kullanıcılar bunun PoW'un iyi bir kullanım alanı olduğunu düşünüyor ve bunun DDoS saldırılarını kanıt sunma yüküyle sınırlayabileceğine inanıyor.