Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Tor peaufine son logiciel de routage d'oignons pour repousser les attaques DDoS • The Register
Tor, qui signifie The Onion Router, a résisté à une tempête massive de déni de service distribué (DDoS) de juin de l'année dernière jusqu'en mai.
Bien que cette attaque ait diminué, les abus DoS restent un problème persistant, qui dégrade les performances du service anti-censure et suscite de nombreuses inquiétudes quant à sa sécurité.
Le routage d'oignons de Tor est une technologie de confidentialité qui remonte à deux décennies. Il fonctionne essentiellement en relayant votre trafic Internet à travers un labyrinthe changeant de nœuds de sorte que, avec une encapsulation de cryptage intelligente, un espion du réseau, par exemple, aura du mal ou sera incapable de discerner votre véritable adresse IP publique, qui pourrait être utilisée pour identifier vous et associez spécifiquement toute activité en ligne observée à vous. Des mises en garde s'appliquent.
Le projet reste une cible pour les gouvernements et une aubaine pour ceux qui souhaitent communiquer en privé. Ceux qui utilisent Tor peuvent accéder aux adresses .onion via le navigateur Tor, ce qui est bien mais pas parfait.
(Tor peut être utilisé pour accéder à des services non-onion sur l'Internet public, mais cet article concerne la lutte contre les attaques DDoS qui perturbent l'accès aux sites .onion.)
Pour contrecarrer les futures attaques DDoS débilitantes, les développeurs de Tor ont travaillé sur une défense proposée pour la première fois en avril 2020. Elle vient d'arriver dans la version 0.4.8.4 de Tor et s'appuie sur un mécanisme développé en 1992 par Moni Naor et Cynthia Dwork comme défense contre le DoS. et du spam mais rendu célèbre pour sa prodigalité énergétique par Bitcoin : la preuve de travail.
Essentiellement, les clients essayant d'accéder aux services .onion peuvent être invités à effectuer de petits tests de preuve de travail. Si vous vous connectez en tant qu'utilisateur légitime, vous ne devriez rien remarquer. Si vous essayez de marteler le réseau de nœuds du projet avec de nombreuses connexions répétées, les défis de preuve de travail pourraient bien entraver vos tentatives.
"Si nous espérons un jour avoir des services onion mondiaux véritablement accessibles, nous devons rendre plus difficile aux attaquants de surcharger le service avec des demandes d'introduction", expliquent les contributeurs de Tor George Kadianakis, Mike Perry, David Goulet et Tevador dans les grandes lignes du projet. . "Cette proposition y parvient en permettant aux services onion de spécifier un système facultatif de preuve de travail dynamique auquel ses clients doivent participer s'ils souhaitent être servis."
Le logiciel mis à jour, utilisé pour exécuter les nœuds Tor, prend désormais en charge un défi de preuve de travail appelé EquiX. Conçu par Tevador, qui a développé l'algorithme de preuve de travail de Monero, il s'agit d'un « puzzle client convivial avec une vérification rapide et une solution de petite taille (16 octets) ».
Il semble que ces calculs ne seront pas consacrés au cryptomining, que certains pourraient considérer comme une opportunité de revenus perdue et que d’autres pourraient considérer comme une nécessité éthique.
Dans un article de blog, Pavel Zoneff, directeur des communications du projet Tor, a expliqué que la façon dont les services .onion ont été conçus pour assurer la confidentialité en masquant les adresses IP des utilisateurs les rend vulnérables aux attaques DoS tout en entravant la limitation du débit basée sur l'IP.
Le puzzle de preuve de travail de Tor ne nécessite aucun effort par défaut et est conçu pour évoluer à mesure que la tension du réseau augmente, en tenant compte des commentaires des clients et du serveur.
Avant d'accéder à un service Onion, un petit casse-tête doit être résolu, prouvant qu'un certain « travail » a été effectué par le client.
"Avant d'accéder à un service onion, il faut résoudre une petite énigme, prouvant qu'un certain 'travail' a été effectué par le client", a déclaré Zoneff. "Plus le puzzle est difficile, plus le travail est effectué, prouvant qu'un utilisateur est authentique et n'est pas un robot essayant d'inonder le service. En fin de compte, le mécanisme de preuve de travail bloque les attaquants tout en donnant aux utilisateurs réels une chance d'atteindre leur destination."
L’espoir est que le fait d’imposer des exigences de calcul de plus en plus importantes aux attaquants découragera les abus tout en permettant au trafic légitime de continuer, même si certains utilisateurs légitimes pourraient remarquer une différence. Selon Zoneff, les utilisateurs qui soumettent seulement quelques requêtes réseau connaîtront un léger retard, de l'ordre de cinq millisecondes pour les appareils plus rapides et jusqu'à 30 millisecondes sur du matériel plus lent.