- この記事では、オンリオンサービス向けのプルーフ・オブ・ワーク(PoW)防御機能の導入を発表しており、検証済みのネットワークトラフィックを優先し、サービス拒否(DoS)攻撃を防ぐことを目的としています。この機能は Tor 0.4.8 の新しいリリースの一部です。
- PoW 防御メカニズムは、通常時には無効のままとなっており、ユーザー体験を円滑に保ちます。しかし、オンリオンサービスに負荷がかかると、着信するクライアント接続に対して徐々に複雑な作業を要求します。
- オンリオンサービスは、クライアントが示した努力の度合いに応じて、これらの接続に優先順位を付けます。この PoW メカニズムにより、大規模攻撃は高コストで非現実的なものとなり、攻撃者を思いとどまらせるとともに、正当なトラフィックが優先されることが期待されています。
- このメカニズムが必要とされるのは、オンリオンサービス固有の設計に起因します。これは IP アドレスを隠すことでユーザーのプライバシーを優先するものです。この設計により、オンリオンサービスは DoS 攻撃に対して脆弱となっており、従来の IP ベースのレート制限は不完全な保護策でした。
- PoW メカニズムは、デフォルトではオフになっているチケットシステムのように機能しますが、ネットワーク負荷に適応して優先順位付きキューを生成します。オンリオンサービスにアクセスする前に、クライアントは小さなパズルを解いて「作業」が行われたことを証明しなければなりません。パズルが難しいほど、より多くの作業が行われたことになり、それによってユーザーがサービスを荒らそうとするボットではなく、本物の利用者であることを示します。
- 攻撃者がオンリオンサービスにリクエストを殺到させようとすると、PoW 防御は .onion サイトへのアクセスに必要な計算労力を増加させます。このチケットシステムは、オンリオンサービスに対して大量の接続試行を行う攻撃者に不利に働くことを目指しています。
- 日常的なユーザーにとって、パズルを解くために必要な追加の計算労力は、ほとんどのデバイスで十分に処理可能です。攻撃トラフィックが増加すると、必要な作業量も増え、おおよそ 1 分程度の作業時間に達する場合があります。この過程はユーザーには見えず、PoW ソリューションを待つことは低速なネットワーク接続を待つのと似ています。
- Tor による PoW 防御の導入により、オンリオンサービスは、DoS 保護機能を組み込んだ数少ない通信プロトコルの 1 つとして位置付けられます。主要サイトで採用されれば、ネットワーク速度を標的にした攻撃の悪影響を軽減できることが期待されます。また、このシステムの動的な特性は、トラフィック急増時の負荷分散を維持し、オンリオンサービスへのより一貫性があり信頼できるアクセスを確保する助けになります。
1件のコメント
Hacker Newsの意見