Команда разработчиков Tor Project в рамках выпуска стабильной версии Tor 0.4.8.4 представила новую систему защиты для Onion-сервисов от DoS-атак. Механизм защиты основан на применении доказательства выполнения работы (Proof-of-Work, PoW) для выделения клиентов, запросы которых следует обработать в первую очередь.
Согласно данным OpenNET, для приоритетного обслуживания клиент должен будет выполнить определённую задачу, которая легко проверяется, но требует больших ресурсов при вычислении. Сложность задачи будет выбираться динамически в зависимости от объёма трафика к Onion-сервису. На начальном этапе решение задачи займёт от 5 до 30 мс на обычном компьютере, что незаметно для реального пользователя. При значительном увеличении трафика в процессе совершения DoS-атак сложность будет возрастать, а на решение задачи может потребовать до минуты вычислений, что существенно усложняет проведение автоматизированных атак.
Разработчики Tor Project пояснили, что методы, основанные на ограничения интенсивности запросов с одного IP-адреса (rate limit), не эффективны для защиты Onion-сервисов, так как для сохранения конфиденциальности Tor запутывает IP-адреса. Подход на основе Proof-of-Work позволит более активно противостоять попыткам нарушения обработки нормальных запросов, осуществляемым через установку большого числа фиктивных соединений, создающих паразитную нагрузку на сервис и забивающих выставленные лимиты.
Для настройки защиты новой системы против DoS в torrc добавлена серия опций "HiddenServicePoW", которые по умолчанию отключены. Также в Tor 0.4.8.4 добавлена защита от DoS-атак на частично открытые каналы и известные релеи.
«За последний год мы проделали большую работу по смягчению атак на сеть Tor и усилению защиты Onion-сервисов. Внедрение защиты Tor PoW не только позиционирует Onion-сервисы среди немногих протоколов связи со встроенной защитой от DoS-атак, но также, когда они будут приняты крупными сайтами, обещает снизить негативное влияние целевых атак на скорость сети. Динамический характер этой системы помогает сбалансировать нагрузку во время резких скачков трафика, обеспечивая более последовательный и надёжный доступ к Onion-сервисам», — подытожили в Tor Project.
Источник новости: habr.com
