การป้องกันแบบ Proof-of-Work สำหรับบริการ Onion

 (blog.torproject.org)
2 คะแนน โดย GN⁺ 2023-08-26 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • บทความนี้ประกาศการนำฟังก์ชันป้องกันแบบ Proof-of-Work (PoW) สำหรับบริการ Onion มาใช้ โดยมีเป้าหมายเพื่อให้ความสำคัญกับทราฟฟิกเครือข่ายที่ผ่านการตรวจสอบแล้วก่อน และป้องกันการโจมตีแบบปฏิเสธการให้บริการ (DoS) ฟังก์ชันนี้เป็นส่วนหนึ่งของการออกรุ่นใหม่ของ Tor 0.4.8
  • กลไกป้องกัน PoW จะคงอยู่ในสถานะปิดใช้งานในสภาวะปกติเพื่อให้ประสบการณ์ผู้ใช้ลื่นไหล อย่างไรก็ตาม เมื่อบริการ Onion อยู่ภายใต้ภาวะกดดัน ระบบจะเริ่มขอให้การเชื่อมต่อไคลเอนต์ขาเข้าทำงานที่ซับซ้อนมากขึ้นเรื่อย ๆ
  • บริการ Onion จะจัดลำดับความสำคัญของการเชื่อมต่อเหล่านี้ตามระดับความพยายามที่ไคลเอนต์แสดงให้เห็น กลไก PoW นี้คาดว่าจะทำให้การโจมตีขนาดใหญ่มีต้นทุนสูงและไม่คุ้มค่าในทางปฏิบัติ จนทำให้ผู้โจมตีล้มเลิกความตั้งใจ และช่วยให้ทราฟฟิกที่ถูกต้องตามปกติได้รับลำดับความสำคัญก่อน
  • ความจำเป็นของกลไกนี้เกิดจากการออกแบบเฉพาะของบริการ Onion ซึ่งให้ความสำคัญกับความเป็นส่วนตัวของผู้ใช้ด้วยการซ่อน IP address การออกแบบนี้ทำให้บริการ Onion เสี่ยงต่อการโจมตีแบบ DoS และการจำกัดอัตราแบบอิง IP ตามเดิมก็เป็นมาตรการป้องกันที่ไม่สมบูรณ์
  • กลไก PoW ทำงานคล้ายระบบตั๋วที่ปิดไว้เป็นค่าเริ่มต้น แต่จะปรับตามความตึงเครียดของเครือข่ายเพื่อสร้างคิวตามลำดับความสำคัญ ก่อนเข้าถึงบริการ Onion ไคลเอนต์ต้องแก้ปริศนาเล็ก ๆ เพื่อพิสูจน์ว่าได้ทำ "งาน" แล้ว ยิ่งปริศนายาก ก็ยิ่งหมายถึงมีการทำงานมากขึ้น ซึ่งช่วยพิสูจน์ว่าผู้ใช้นั้นเป็นผู้ใช้จริง ไม่ใช่บอตที่พยายามถล่มบริการ
  • หากผู้โจมตีพยายามระดมคำขอใส่บริการ Onion การป้องกันแบบ PoW จะเพิ่มความพยายามในการคำนวณที่จำเป็นต่อการเข้าถึงไซต์ .onion ระบบตั๋วนี้มีเป้าหมายเพื่อสร้างความเสียเปรียบให้กับผู้โจมตีที่พยายามเชื่อมต่อกับบริการ Onion จำนวนมาก
  • สำหรับผู้ใช้ทั่วไป ความพยายามในการคำนวณเพิ่มเติมที่ต้องใช้เพื่อแก้ปริศนานั้นยังอยู่ในระดับที่อุปกรณ์ส่วนใหญ่รับมือได้ เมื่อทราฟฟิกโจมตีเพิ่มขึ้น ระดับความพยายามที่ต้องใช้ก็จะเพิ่มขึ้นเช่นกัน โดยอาจเพิ่มไปจนถึงเวลาทำงานราว 1 นาที กระบวนการนี้จะมองไม่เห็นสำหรับผู้ใช้ และการรอโซลูชัน PoW ก็คล้ายกับการรอการเชื่อมต่อเครือข่ายที่ช้า
  • การนำการป้องกันแบบ PoW มาใช้ใน Tor ทำให้บริการ Onion กลายเป็นหนึ่งในไม่กี่โปรโตคอลการสื่อสารที่มีการป้องกัน DoS ในตัว หากมีการนำไปใช้โดยไซต์หลัก ๆ ก็มีแนวโน้มจะช่วยลดผลกระทบเชิงลบจากการโจมตีที่มุ่งเป้าไปยังความเร็วของเครือข่าย และลักษณะการทำงานแบบไดนามิกของระบบนี้จะช่วยรักษาสมดุลของโหลดระหว่างช่วงที่ทราฟฟิกพุ่งสูง และช่วยให้การเข้าถึงบริการ Onion มีความสม่ำเสมอและเชื่อถือได้มากขึ้น

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-08-26
ความเห็นจาก Hacker News
  • บทความนี้กล่าวถึงข้อเสนอในการใช้การป้องกันแบบ Proof-of-Work (PoW) เพื่อทำให้การโจมตีต่อ Onion service ทำได้ยากขึ้น
  • คาดว่าการป้องกันแบบ PoW จะไม่สามารถรับมือบอตเน็ตขนาดใหญ่ได้ แต่สามารถช่วยป้องกันการโจมตีขนาดเล็กได้
  • ข้อเสนอนี้เปิดทางให้ผู้ใช้ยังสามารถเชื่อมต่อได้ระหว่างการโจมตี DoS หากยอมลงแรงเพิ่มเติม
  • อัลกอริทึม PoW ที่เลือกใช้ในข้อเสนอนี้คือ equi-X
  • ข้อเสนอนี้นำระบบ "การประมูล" มาใช้ โดยไคลเอนต์ที่ทุ่มแรงในการทำ PoW มากกว่าจะได้รับลำดับความสำคัญสูงกว่า
  • ผู้ใช้บางส่วนแปลกใจว่าทำไมการป้องกันลักษณะนี้จึงไม่ได้ถูกนำมาใช้ตั้งแต่ก่อนหน้านี้ และตั้งคำถามถึงผลกระทบที่อาจมีต่อการไม่ระบุตัวตนของผู้ใช้
  • การป้องกันแบบ PoW อาจช่วยลดภาระของบริการที่ถูกพร็อกซี และลดภาระของโหนดเองได้
  • ผู้ใช้บางส่วนเสนอว่าสิ่งนี้อาจทำให้ไม่จำเป็นต้องใช้ CDN สำหรับการป้องกัน DDoS และอาจนำไปประยุกต์ใช้กับด้านอื่น เช่น อีเมลสแปมและเว็บไซต์ที่มีทราฟฟิกหนาแน่น
  • มีการตั้งคำถามว่าการป้องกันแบบ PoW จะจัดการกับผู้ไม่หวังดีที่สร้างตัวตนใหม่แล้วโจมตี DDoS ต่อไปได้อย่างไร
  • มีการเสนอแนวทางแก้ไขทางเลือก เช่น ใช้เครือข่ายเป็น CDN หรือผูก PoW เข้ากับลายเซ็นต่อเนื่องและทำให้ตรวจสอบแบบขนานได้
  • มีความกังขาต่อข้ออ้างที่ว่าระยะเวลาในการแก้โจทย์ต่างกันเพียง 6 เท่าระหว่างเซิร์ฟเวอร์ประสิทธิภาพสูงกับโทรศัพท์มือถือสเปกต่ำ
  • ผู้ใช้บางส่วนมองว่านี่เป็นการใช้ PoW ที่ดี และเชื่อว่าวิธีนี้สามารถจำกัดการโจมตี DDoS ให้กลายเป็นภาระในการแสดงหลักฐานได้