Mit der Veröffentlichung der neuesten Version des Tor-Browsers hat das Tor-Projekt einen Mechanismus eingeführt der Onion-Dienste besser vor DDoS-Angriffen schützen soll. Das Projekt reagiert damit auf das seit Anfang des Jahres bestehende Problem der regelmäßigen Nichterreichbarkeit von Webseiten im Tor-Netzwerk aufgrund von DDoS-Angriffen. Seit Mai dieses Jahres ist ebenfalls das I2P-Netzwerk von erheblichen Angriffen betroffen. Mit der offiziellen Einführung von Tor Version 0․4․8 wurde nun eine Proof-of-Work (PoW)-Verteidigung für Onion-Dienste eingeführt. Diese gibt verifiziertem Netzwerkverkehr Vorrang und dient als Abschreckung gegen Denial-of-Service (DoS)-Angriffe.
Der neue Schutzmechanismus bleibt unter normalen Bedingungen zunächst inaktiv. Erst wenn ein Dienst durch eine große Anzahl eingehender Netzwerkverbindungen ausgebremst wird, müssen anfragende Clients immer komplexere Aufgaben lösen um die Seite tatsächlich aufrufen zu können. Dabei werden die Verbindungsanfragen nach dem anfallenden Rechenaufwand priorisiert. Die Lösung eines kleinen Rätsels dient als Beweis dafür. Dass Client tatsächlich existiert und es sich nicht um eine sinnlose Anfrage handelt die den Webserver überlasten soll. Der Schwierigkeitsgrad des Rätsels steigt dabei kontinuierlich an um die Durchführung von Angriffen zu erschweren. Je schwieriger das Rätsel ist, desto länger dauert es, mittels welchem große Mengen an Bots benötigt würden um den gleichen Effekt zu erzielen. Dies ist teuer und unattraktiv für Angreifer. Echte Nutzer haben trotz des hohen Netzverkehrs weiterhin die Möglichkeit, sich erfolgreich über das Tor-Netzwerk mit der Website zu verbinden.
Für reguläre Surfer gibt es keine erkennbaren Verzögerungen durch den Schutzmechanismus. Dieser wirkt sich nur auf Angreifer aus und erschwert ihre Angriffe erheblich. Bots hingegen werden um bis zu eine Minute verzögert. Dadurch sollen potenzielle Angreifer abgeschreckt werden.
Als Grund für die Einführung des neuen Verfahrens nennt das Tor-Projekt die grundsätzliche Anfälligkeit des Tor-Netzwerks für DoS-Angriffe. Diese Anfälligkeit liegt in dem Design der Onion-Dienste begründet und der Tatsache, dass diese nur mit einem speziellen Tor-Browser besucht werden können um die Privatsphäre der Nutzer durch Verschleierung der IP-Adressen zu schützen. Bisherige Schutzmaßnahmen die auf IP-basierten Verbindungsbeschränkungen beruhten, waren völlig unzureichend.
Kommentare