日本語 
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
Tor が DDoS 攻撃を防ぐためにオニオン ルーティング ソフトウェアを微調整 • The Register
Tor (The Onion Router の略) は、昨年 6 月から 5 月にかけての大規模な分散型サービス妨害 (DDoS) の嵐を乗り越えました。
この攻撃は沈静化しましたが、DoS 乱用は依然として根強い問題であり、検閲対策サービスのパフォーマンスを低下させ、そのセキュリティについて多くの人が懸念を抱いています。
Tor のオニオン ルーティングは、20 年前に開発されたプライバシー テクノロジです。 これは基本的に、変化する迷路のようなノードを介してインターネット トラフィックを中継することで機能します。そのため、一例として、ネットワーク盗聴者は、巧妙な暗号化カプセル化を使用して、個人を特定するために使用される可能性のある真のパブリック IP アドレスを認識できないか、認識できなくなります。あなたを特定し、観察されたオンライン活動をあなたに具体的にリンクします。 注意事項が適用されます。
このプロジェクトは依然として政府のターゲットであり、プライベートなコミュニケーションを望む人々にとっては恩恵となる。 Tor を使用している人は Tor ブラウザ経由で .onion アドレスにアクセスできますが、これは良いことですが完璧ではありません。
(Tor は、公共のインターネット上の Onion 以外のサービスにアクセスするために使用できますが、この記事は .onion サイトへのアクセスを妨害する DDoS 攻撃の回避に関するものです。)
将来の弱体化する DDoS 攻撃を阻止するために、Tor 開発者は、2020 年 4 月に最初に提案された防御策に取り組んできました。それは、Tor バージョン 0.4.8.4 に登場したばかりで、DoS に対する防御策として Moni Naor と Cynthia Dwork によって 1992 年に開発されたメカニズムに依存しています。スパムやビットコインによるエネルギーの浪費で有名になりました: プルーフ・オブ・ワーク。
基本的に、.onion サービスにアクセスしようとするクライアントは、小規模な作業実証テストを完了するよう求められる場合があります。 正規のユーザーとして接続している場合は、何も気付かないはずです。 プロジェクトのノードのネットワークに多数の繰り返し接続を加えようとしている場合、プルーフ・オブ・ワークの課題がその試みを妨げる可能性があります。
「真に到達可能なグローバル オニオン サービスを実現したいのであれば、攻撃者が導入リクエストでサービスに過負荷をかけることを困難にする必要があります」と、Tor の貢献者である George Kadianakis、Mike Perry、David Goulet、Tevador がプロジェクトの概要で説明しています。 。 「この提案は、オニオン サービスが、クライアントがサービスを受けたい場合に参加する必要があるオプションの動的プルーフ オブ ワーク スキームを指定できるようにすることでこれを実現します。」
Tor ノードの実行に使用される更新されたソフトウェアは、EquiX と呼ばれるプルーフ・オブ・ワーク・チャレンジをサポートするようになりました。 Monero のプルーフ・オブ・ワーク・アルゴリズムを開発した Tevador によって設計されたこのアルゴリズムは、「高速な検証と小さなソリューション サイズ (16 バイト) を備えた、CPU に優しいクライアント パズル」です。
この計算はクリプトマイニングには使用されないようであり、これを収益機会の損失と感じる人もいれば、倫理的必要性として歓迎する人もいるかもしれない。
The Tor プロジェクトのコミュニケーション ディレクターである Pavel Zoneff 氏は、ブログ投稿の中で、.onion サービスはユーザーの IP アドレスを隠すことでプライバシーを提供するように設計されているため、IP ベースのレート制限も妨げられると同時に、DoS 攻撃に対して脆弱になると説明しました。
Tor の Proof-of-Work パズルは、デフォルトでは労力がゼロで、クライアントとサーバーのフィードバックを考慮して、ネットワークのストレスが増加するにつれてスケールアップするように設計されています。
オニオン サービスにアクセスする前に、クライアントによって何らかの「作業」が行われたことを証明するために、小さなパズルを解く必要があります。
「オニオンサービスにアクセスする前に、クライアントによって何らかの『作業』が行われたことを証明するために、小さなパズルを解く必要がある」とゾーンフ氏は述べた。 「パズルが難しければ難しいほど、より多くの作業が実行され、ユーザーが本物であり、サービスに殺到しようとするボットではないことが証明されます。最終的には、proof-of-work メカニズムが攻撃者をブロックし、実際のユーザーに目的地に到達する機会を与えます。」
期待は、攻撃者に対してますます大規模な計算要求を課すことで悪用を阻止し、正規のトラフィックを継続できるようにすることですが、一部の正規ユーザーは違いに気づくかもしれません。 Zoneff 氏によると、ネットワーク リクエストを少数しか送信しないユーザーは、より高速なデバイスで約 5 ミリ秒、低速のハードウェアで最大 30 ミリ秒のわずかな遅延を経験します。