Das Tor-Projekt hat mit der neuen Tor-Version einen Mechanismus eingeführt, der Onion-Dienste effektiver vor DDoS-Angriffen schützen soll.
Das Tor-Projekt versucht nun eine Problematik zu lösen, die schon seit mindestens Anfang des Jahres besteht. Immer wieder sind Webseiten im Tor-Netzwerk wegen DDoS-Angriffen nicht erreichbar. Von erheblichen Angriffen ist seit Mai diesen Jahres übrigens auch das I2P-Netzwerk betroffen.
Man führte kürzlich mit Tor Version 0.4.8 offiziell eine Proof-of-Work (PoW)-Verteidigung für Onion-Dienste ein, die verifizierten Netzwerkverkehr als Abschreckung gegen Denial-of-Service (DoS)-Angriffe den Vorrang gibt.
Schutz vom Tor-Projekt schaltet sich bei Bedarf ein
Wie aus einem aktuellen Blogeintrag vom Tor-Projekt hervorgeht, bleibt der neue Schutzmechanismus unter normalen Bedingungen anfangs inaktiv. Erst wenn ein Dienst durch eine große Anzahl eingehender Netzwerkverbindungen ausgebremst wird, müssen anfragende Clients immer komplexere Aufgaben lösen, wenn man die Seite tatsächlich zu Gesicht bekommen will. Der Mechanismus priorisiert die Verbindungsanfragen dabei nach dem anfallenden Rechenaufwand. In den Kommentaren schreibt ein Mitarbeiter, mit einem Captcha habe das Vorgehen nichts gemeinsam.
Dazu erhalte jeder Client vor dem Zugriff auf den Onion-Dienst ein kleines Rätsel. Dessen Lösung sei ein Beweis dafür, dass der Client tatsächlich existiert und es sich dabei um keine sinnlose Anfrage handelt, mit der man den Webserver schlichtweg überlasten will.
Steigender Schwierigkeitsgrad soll Angriffe erschweren
Je schwieriger das Rätsel ist, desto länger dauere es, womit man für den gleichen Effekt große Mengen an Bots benötigen würde, was teuer und unattraktiv ist. Dies gebe den echten Nutzern eine Chance, sich trotz hohen Netzverkehrs erfolgreich über das Tor-Netzwerk mit der Website zu verbinden.
Reguläre Surfer bekommen vom Schutzmechanismus nichts mit. Es soll zu keinen erkennbaren Verzögerungen kommen. Für Cyberkrimnelle hingegen gestaltet der Schutz ihre Angriffe kostspielig und unpraktisch. Für Bots kommt es zu Verzögerungen von bis zu einer Minute. Das soll jegliche Angreifer abschrecken.
Tor-Netzwerk anfällig für Angriffe
Als Grund für die Einführung des neuen Verfahrens nennt man im Blogbeitrag die grundsätzlich hohe Anfälligkeit des Tor-Netzwerks für DoS-Angriffe. Dies liege schlicht am Design der Onion-Dienste. Diese kann man nur mit einem speziellen Tor-Browser besuchen, womit die Privatsphäre der Nutzer durch Verschleierung der IP-Adressen geschützt wird. Ein DoS-Schutz durch IP-basierte Verbindungsbeschränkungen habe sich bislang als völlig unzureichend erwiesen.
