Defensa de proof-of-work para servicios onion

 (blog.torproject.org)
2 puntos por GN⁺ 2023-08-26 | 1 comentarios | Compartir por WhatsApp
  • Este artículo anuncia la introducción de una función de defensa con proof-of-work (PoW) para servicios onion, cuyo objetivo es priorizar el tráfico de red verificado y prevenir ataques de denegación de servicio (DoS). Esta función forma parte de la nueva versión de Tor 0.4.8.
  • El mecanismo de defensa PoW permanece desactivado en condiciones normales para mantener una experiencia de usuario fluida. Sin embargo, cuando un servicio onion está bajo estrés, solicita a las conexiones entrantes que realicen tareas cada vez más complejas.
  • Los servicios onion priorizan estas conexiones según el nivel de esfuerzo demostrado por el cliente. Se espera que este mecanismo PoW desincentive a los atacantes al hacer que los ataques a gran escala sean costosos e inviables, mientras da prioridad al tráfico legítimo.
  • La necesidad de este mecanismo surge del diseño único de los servicios onion, que prioriza la privacidad de los usuarios al ocultar las direcciones IP. Este diseño ha hecho que los servicios onion sean vulnerables a ataques DoS, y los límites de velocidad tradicionales basados en IP solo ofrecían una protección incompleta.
  • El mecanismo PoW funciona como un sistema de tickets que está desactivado por defecto, pero que se adapta al estrés de la red para crear una cola con prioridades. Antes de acceder a un servicio onion, el cliente debe resolver un pequeño acertijo para demostrar que realizó el "trabajo". Cuanto más difícil sea el acertijo, más trabajo se habrá realizado, lo que ayuda a demostrar que el usuario es legítimo y no un bot que intenta invadir el servicio.
  • Si un atacante intenta inundar un servicio onion con solicitudes, la defensa PoW aumenta el esfuerzo computacional necesario para acceder al sitio .onion. Este sistema de tickets busca perjudicar a los atacantes que realizan intentos masivos de conexión contra servicios onion.
  • Para los usuarios cotidianos, el esfuerzo computacional adicional necesario para resolver los acertijos es manejable en la mayoría de los dispositivos. A medida que aumenta el tráfico de ataque, también aumenta el esfuerzo requerido, hasta aproximadamente 1 minuto de trabajo. Este proceso es invisible para el usuario, y esperar una solución PoW se parece a esperar una conexión de red lenta.
  • La introducción de la defensa PoW por parte de Tor posiciona a los servicios onion como uno de los pocos protocolos de comunicación con protección DoS incorporada. Si los sitios importantes la adoptan, promete reducir el impacto negativo de los ataques dirigidos a la velocidad de la red, y la naturaleza dinámica de este sistema ayuda a equilibrar la carga durante picos de tráfico, garantizando un acceso más consistente y confiable a los servicios onion.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-08-26
Comentarios de Hacker News
  • Este artículo analiza una propuesta para implementar una defensa de Proof-of-Work (PoW) para dificultar los ataques contra los servicios Onion.
  • No se espera que la defensa PoW contrarreste botnets a gran escala, pero podría ayudar a proteger contra ataques más pequeños.
  • La propuesta permite que los usuarios se conecten aportando esfuerzo incluso durante ataques DoS.
  • El algoritmo PoW elegido para esta propuesta es equi-X.
  • La propuesta introduce un sistema de "pujas" en el que los clientes obtienen mayor prioridad cuanto más esfuerzo dedican al PoW.
  • A algunos usuarios les sorprende que una defensa así no se haya implementado antes y cuestionan su posible impacto en el anonimato de los usuarios.
  • La defensa PoW puede reducir la carga sobre los servicios proxificados y también la carga sobre los propios nodos.
  • Algunos usuarios sugieren que esto podría eliminar la necesidad de un CDN para la protección contra DDoS y que podría aplicarse a otras áreas, como el spam por correo electrónico y los sitios web con mucho tráfico.
  • Surgen dudas sobre cómo la defensa PoW manejaría a los abusadores que obtienen nuevas identidades y continúan con el DDoS.
  • Se proponen soluciones alternativas, como usar la red como CDN o vincular el PoW a firmas continuas y permitir su verificación en paralelo.
  • Hay escepticismo sobre la afirmación de que solo existe una diferencia de 6 veces en el tiempo de resolución entre servidores avanzados y teléfonos de gama baja.
  • Algunos usuarios creen que este es un buen uso del PoW y piensan que podría limitar los ataques DDoS al costo de tener que aportar prueba de trabajo.