Pertahanan proof-of-work untuk layanan onion

 (blog.torproject.org)
2 poin oleh GN⁺ 2023-08-26 | 1 komentar | Bagikan ke WhatsApp
  • Artikel ini mengumumkan penerapan fitur pertahanan proof-of-work (PoW) untuk layanan onion, yang bertujuan memprioritaskan trafik jaringan yang terverifikasi dan mencegah serangan denial-of-service (DoS). Fitur ini merupakan bagian dari rilis baru Tor 0.4.8.
  • Mekanisme pertahanan PoW tetap nonaktif dalam kondisi normal agar pengalaman pengguna tetap mulus. Namun, saat layanan onion berada di bawah tekanan, klien yang terhubung akan diminta melakukan pekerjaan yang makin kompleks.
  • Layanan onion memprioritaskan koneksi tersebut berdasarkan tingkat upaya yang ditunjukkan klien. Mekanisme PoW ini diharapkan membuat serangan skala besar menjadi mahal dan tidak realistis, sehingga menghalangi penyerang dan memberi prioritas pada trafik yang sah.
  • Kebutuhan akan mekanisme ini berasal dari desain unik layanan onion, yang memprioritaskan privasi pengguna dengan menyembunyikan alamat IP. Desain ini membuat layanan onion rentan terhadap serangan DoS, dan pembatasan laju berbasis IP tradisional hanya memberikan perlindungan yang tidak sempurna.
  • Mekanisme PoW bekerja seperti sistem tiket yang secara default dimatikan, tetapi beradaptasi terhadap tekanan jaringan untuk membuat antrean prioritas. Sebelum mengakses layanan onion, klien harus memecahkan teka-teki kecil untuk membuktikan bahwa "pekerjaan" telah dilakukan. Semakin sulit teka-tekinya, semakin banyak pekerjaan yang dilakukan, yang membuktikan bahwa pengguna adalah pengguna nyata, bukan bot yang mencoba membanjiri layanan.
  • Jika penyerang mencoba membanjiri layanan onion dengan permintaan, pertahanan PoW akan meningkatkan upaya komputasi yang diperlukan untuk mengakses situs .onion. Sistem tiket ini dirancang agar merugikan penyerang yang mencoba membuat banyak koneksi ke layanan onion.
  • Bagi pengguna sehari-hari, tambahan upaya komputasi yang diperlukan untuk memecahkan teka-teki ini masih dapat ditangani oleh sebagian besar perangkat. Jika trafik serangan meningkat, tingkat usaha yang dibutuhkan juga meningkat, hingga sekitar 1 menit waktu komputasi. Proses ini tidak terlihat oleh pengguna, dan menunggu solusi PoW terasa mirip seperti menunggu koneksi jaringan yang lambat.
  • Penerapan pertahanan PoW oleh Tor menempatkan layanan onion sebagai salah satu dari sedikit protokol komunikasi dengan perlindungan DoS bawaan. Jika diadopsi oleh situs-situs besar, fitur ini menjanjikan pengurangan dampak negatif dari serangan yang menargetkan kecepatan jaringan, dan sifat dinamis sistem ini membantu menjaga beban tetap seimbang selama lonjakan trafik serta memastikan akses yang lebih konsisten dan andal ke layanan onion.

Bacaan terkait

1 komentar

 
GN⁺ 2023-08-26
Komentar Hacker News
  • Artikel ini membahas usulan untuk menerapkan pertahanan Proof-of-Work (PoW) guna mempersulit serangan terhadap layanan Onion.
  • Pertahanan PoW diperkirakan tidak akan efektif melawan botnet berskala besar, tetapi dapat membantu menghadapi serangan berskala kecil.
  • Usulan ini memungkinkan pengguna tetap bisa terhubung dengan mengerahkan upaya bahkan saat terjadi serangan DoS.
  • Algoritma PoW yang dipilih untuk usulan ini adalah equi-X.
  • Usulan ini memperkenalkan sistem "penawaran" di mana klien yang mengerahkan lebih banyak usaha untuk PoW akan mendapat prioritas lebih tinggi.
  • Sebagian pengguna terkejut mengapa pertahanan seperti ini tidak diterapkan lebih awal, dan mempertanyakan potensi dampaknya terhadap anonimitas pengguna.
  • Pertahanan PoW dapat mengurangi beban pada layanan yang diproksikan dan juga mengurangi beban pada node itu sendiri.
  • Sebagian pengguna menyarankan bahwa ini dapat menghilangkan kebutuhan akan CDN untuk perlindungan DDoS, dan dapat diterapkan di bidang lain seperti spam email dan situs web yang sibuk.
  • Muncul pertanyaan tentang bagaimana pertahanan PoW ini akan menangani pelaku penyalahgunaan yang memperoleh identitas baru dan terus melakukan DDoS.
  • Solusi alternatif juga diusulkan, seperti menggunakan jaringan sebagai CDN atau mengaitkan PoW ke tanda tangan beruntun agar bisa diverifikasi secara paralel.
  • Ada skeptisisme terhadap klaim bahwa hanya ada perbedaan waktu penyelesaian 6 kali lipat antara server kelas atas dan ponsel kelas bawah.
  • Sebagian pengguna menganggap ini sebagai pemanfaatan PoW yang baik, dan percaya bahwa ini dapat membatasi serangan DDoS pada beban pembuktian.