Cơ chế phòng vệ proof-of-work cho dịch vụ onion

 (blog.torproject.org)
2 điểm bởi GN⁺ 2023-08-26 | 1 bình luận | Chia sẻ qua WhatsApp
  • Bài viết này công bố việc giới thiệu tính năng phòng vệ bằng bằng chứng công việc (PoW) cho dịch vụ onion, nhằm ưu tiên lưu lượng mạng đã được xác minh và ngăn chặn các cuộc tấn công từ chối dịch vụ (DoS). Tính năng này là một phần của bản phát hành mới của Tor 0.4.8.
  • Cơ chế phòng vệ PoW sẽ được giữ ở trạng thái không hoạt động trong điều kiện bình thường để trải nghiệm người dùng diễn ra mượt mà. Tuy nhiên, khi dịch vụ onion chịu tải, nó sẽ yêu cầu các kết nối máy khách đến thực hiện những tác vụ ngày càng phức tạp hơn.
  • Dịch vụ onion sẽ ưu tiên các kết nối này dựa trên mức độ nỗ lực mà máy khách đã thể hiện. Cơ chế PoW này được kỳ vọng sẽ khiến các cuộc tấn công quy mô lớn trở nên tốn kém và phi thực tế, qua đó làm nản lòng kẻ tấn công và ưu tiên lưu lượng hợp lệ.
  • Nhu cầu đối với cơ chế này xuất phát từ thiết kế đặc thù của dịch vụ onion, vốn ưu tiên quyền riêng tư của người dùng bằng cách ẩn địa chỉ IP. Thiết kế này đã khiến dịch vụ onion dễ bị tấn công DoS, còn việc giới hạn tốc độ dựa trên IP theo cách truyền thống chỉ là biện pháp bảo vệ chưa hoàn chỉnh.
  • Cơ chế PoW hoạt động giống như một hệ thống vé được tắt theo mặc định, nhưng sẽ thích ứng với áp lực mạng để tạo ra hàng đợi ưu tiên. Trước khi truy cập dịch vụ onion, máy khách phải giải một câu đố nhỏ để chứng minh rằng đã thực hiện "công việc". Câu đố càng khó thì lượng công việc đã thực hiện càng lớn, qua đó chứng minh người dùng là người thật chứ không phải bot đang cố xâm nhập dịch vụ.
  • Nếu kẻ tấn công cố gắng dồn dập các yêu cầu vào dịch vụ onion, cơ chế phòng vệ PoW sẽ tăng mức nỗ lực tính toán cần thiết để truy cập trang .onion. Hệ thống vé này nhằm tạo bất lợi cho những kẻ tấn công thực hiện số lượng lớn nỗ lực kết nối tới dịch vụ onion.
  • Với người dùng thông thường, nỗ lực tính toán bổ sung cần để giải câu đố vẫn nằm trong khả năng của hầu hết thiết bị. Khi lưu lượng tấn công tăng lên, mức nỗ lực cũng tăng theo, có thể lên tới khoảng 1 phút tính toán. Quá trình này là vô hình với người dùng, và việc chờ lời giải PoW cũng tương tự như chờ một kết nối mạng chậm.
  • Việc Tor giới thiệu cơ chế phòng vệ PoW đưa dịch vụ onion trở thành một trong số ít giao thức liên lạc có tích hợp sẵn bảo vệ DoS. Nếu được các trang lớn áp dụng, nó hứa hẹn sẽ giảm tác động tiêu cực của các cuộc tấn công nhắm vào tốc độ mạng; đồng thời, tính chất động của hệ thống này cũng giúp giữ cân bằng tải trong những đợt tăng vọt lưu lượng, bảo đảm khả năng truy cập vào dịch vụ onion ổn định và đáng tin cậy hơn.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-08-26
Ý kiến Hacker News
  • Bài viết này thảo luận về một đề xuất triển khai cơ chế phòng vệ Proof-of-Work (PoW) để khiến việc tấn công vào các dịch vụ Onion trở nên khó khăn hơn.
  • Cơ chế phòng vệ PoW được cho là sẽ không đối phó được với các botnet quy mô lớn, nhưng có thể hữu ích trong việc chống lại các cuộc tấn công quy mô nhỏ.
  • Đề xuất này cho phép người dùng vẫn có thể kết nối bằng cách bỏ ra công sức ngay cả khi đang có tấn công DoS.
  • Thuật toán PoW được chọn cho đề xuất này là equi-X.
  • Đề xuất này đưa vào một hệ thống "đấu giá", trong đó client bỏ ra càng nhiều công sức cho PoW thì càng nhận được mức ưu tiên cao hơn.
  • Một số người dùng ngạc nhiên vì kiểu phòng vệ này không được triển khai sớm hơn, đồng thời đặt câu hỏi về tác động tiềm tàng đối với tính ẩn danh của người dùng.
  • Cơ chế phòng vệ PoW có thể giảm tải cho các dịch vụ được proxy và cũng làm giảm tải cho chính node.
  • Một số người dùng cho rằng điều này có thể loại bỏ nhu cầu dùng CDN để bảo vệ DDoS, và có thể được áp dụng sang các lĩnh vực khác như spam email và các website có lưu lượng lớn.
  • Có những câu hỏi được đặt ra về cách cơ chế phòng vệ PoW sẽ xử lý những kẻ lạm dụng liên tục lấy danh tính mới và tiếp tục DDoS.
  • Các giải pháp thay thế được đề xuất gồm dùng mạng như một CDN, hoặc gắn PoW với các chữ ký liên tiếp để có thể xác minh song song.
  • Có sự hoài nghi đối với tuyên bố rằng thời gian giải giữa máy chủ cao cấp và điện thoại cấu hình thấp chỉ chênh lệch 6 lần.
  • Một số người dùng cho rằng đây là cách sử dụng PoW hợp lý, vì nó có thể giới hạn các cuộc tấn công DDoS bằng gánh nặng phải cung cấp bằng chứng.