Разработчики Tor предложили меры по защите от DoS-атак

Разработчики Tor предложили меры по защите от DoS-атак

Alexander Antipov

Меры помогут обеспечить работоспособность и безопасность серверов, используемых для хостинга «луковых» сервисов.

image

Команда Tor Project предложила ряд защитных схем, которые могли бы ограничить воздействие DoS-атак на .onion-сайты. Эти меры помогут обеспечить работоспособность и безопасность серверов, используемых для хостинга «луковых» сервисов, считают разработчики.

DoS-атаки на .onion-сайты эксплуатируют рандеву-протокол (rendezvous protocol) путем отправки небольших сообщений, что заставляет onion-сервис задействовать большое количество ресурсов для реагирования на запросы. Злоумышленники могут воспользоваться этим и «завалить» сервис сотнями, а то и тысячами запросов, истощая ресурсы процессора сервера.

По словам разработчиков, подобные атаки эксплуатируют асимметричную природу рандеву-протокола, что усложняет обеспечение защиты от них. Данную проблему невозможно решить с помощью простых модификаций кода, для этого потребуется внести фундаментальные изменения в кодовую базу Tor.

Тем не менее, команда ищет способы решить проблему, не прибегая к столь кардинальным изменениям. В качестве одной из мер Tor Project предлагает реализовать анонимную систему токенов, использующую сервер CAPTCHA, который не позволит вредоносному клиенту вызвать сбой в работе onion-серверов. Токены (аналог учетных данных) также могут применяться в будущем для «ограничения вредоносного использования выходных узлов Tor спам-кампаниями и автоматизированными инструментами», «регистрации запоминаемых имен для onion-сервисов» и «приобретения частных Tor-ретрансляторов и выходных узлов для обеспечения дополнительной безопасности».

Еще одна предлагаемая мера — реализация системы Proof-Of-Work (POW), которая не позволит атакующему вызвать сбой в работе onion-сервиса, но при этом обычные клиенты смогут получить доступ к ним только с небольшой задержкой.

По словам разработчика Tor Project Джорджа Кадианакиса (George Kadianakis), хотя оба эти варианта имеют свои недостатки, они совместимы и могут быть реализованы совместно.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab