Ausfall des Tor-Netzwerks

Seit dem Wochenende gibt es weitreichende Ausfälle des Tor-Netzwerks. In erster Linie sind davon Onion-V3-Adressen betroffen. Das betrifft unter anderem Bitcoin-Lightning-Nodes. Das Bitcoin-Netzwerk selbst ist nicht betroffen.

Aufgrund von aktuell noch ungeklärten Umständen ist das Tor-Netzwerk seit mehreren Tagen gestört. Ob es sich dabei um einen gezielten Angriff handelt ist noch nicht klar.

Es ist zurzeit nicht möglich auf v3 Onion-Adressen zuzugreifen. Was gerade geschieht, ist unbekannt, aber es ist potenziell ein riesiger Angriff auf das gesamte Netzwerk. Anfang des Tages habe ich einen Beitrag geschrieben, in dem ich die Konsequenzen dargelegt habe, die ich einführen würde, um die Märkte davon abzuhalten, DDoS-Angriffe gegeneinander zu finanzieren, da das Potenzial, zu skalieren und jeden Knoten im Netzwerk vollständig zu töten, ein sehr reales mögliches Ergebnis ist. Jetzt ist alles down und ich habe keine Ahnung, ob dies den Prozess oder das Auftreten beschleunigt oder ob es sogar ein Angriff überhaupt ist. Alles, was ich weiß, ist, das ist groß.”
–u/hugbunt3r auf Reddit

Mehrere Hinweise deuten darauf hin, dass der Ausfall mit gegenseitigen DDoS-Attacken von Darknet-Märkten zutun hat. Unter Märkten im Darknet kommt es öfters zu DDoS-Attacken, um die Server von Konkurrenten unerreichbar zu machen.

Das Tor-Netzwerk ist nicht vollständig dezentralisiert. Wenn du dich das erste Mal mit dem Tor-Netzwerk verbindst, gibt es fest vorgegebene IPs, die dein Tor-Prozess benutzt, um deine Verbindung ins Tor-Netzwerk zu starten. Diese IPs erlauben es dem Tor-Prozess, den Konsens des Netzwerks zu laden. Dieser Konsens teilt dem Tor-Prozess Dinge mit, wie z.B. welche Relays es im Netzwerk gibt, welches gute und welche schlechte Relays sind, welche Wächter und Exit-Nodes sind, wie viel Traffic ein Relay verarbeiten kann und so weiter. Dein Tor-Prozess bekommt all diese Informationen und prüft sie anhand von Signaturen dieser fest vorgegebenen IPs. Diese fest vorgegebenen IPs werden Authority-Nodes genannt.

Derzeit gibt es 10 von ihnen im Tor-Netzwerk. Und sie sind der Grund, warum das Tor-Netzwerk die V3-Onions für eine gewisse Zeit aussortiert hat. Die Authority-Nodes “stimmen” über einen Mehrheitskonsens ab, den sie alle mit dem Tor-Netzwerk teilen. Normalerweise findet jede Stunde eine neue Abstimmung statt und der Abstimmungsprozess dauert 5 Minuten. Wenn es dreimal hintereinander keinen Konsens gibt (z.B. für drei Stunden), sinkt die Gesundheit des Netzwerks massiv. Sie können den Zustand des Konsens unter dieser URL https://consensus-health.torproject.org/ überprüfen. Die Abstimmung entscheidet über viele Dinge im Netzwerk, und wenn der Konsens nicht zustande kommt, kann es zu einer Reihe von Problemen kommen. Dinge wie V3-Verzeichnisvariablen, die nicht in einem gültigen Konsens enthalten sind, so dass alle V3-Zwiebeln unerreichbar werden. Der Angriff überlastet im Grunde die Authority-Nodes, indem er ihre gesamte Bandbreite aufsaugt, so dass die Authority-Nodes nicht mehr untereinander kommunizieren können, um abzustimmen und einen Konsens zu erzielen.

Das macht das Netzwerk grundsätzlich kaputt, wenn es zu lange andauert. Das ist nicht so neu. Wie viele der Tor-Angriffe, die auf diese Art und Weise ausgenutzt werden, gibt es ein geschlossenes Problem dazu.
–u/Paris on Dread

Aufgrund der Störung von v3-Onion-Adressen wurden annähernd alle Lightning-Nodes hinter Tor unerreichbar. Da Betriebssysteme wie Mynode und Umbrel Tor automatisch aktivieren, war ein großer Teil des Lightning-Netzwerks betroffen. Ob eure Channels betroffen sind, könnt ihr in eurer Channel-Übersicht am Status des Channels erkennen. Wird dieser als “inaktiv” angezeigt, ist euer Channel-Partner nicht erreichbar.

Auch die dezentrale Börse Bisq war betroffen. Da Bisq-Teilnehmer über Tor kommunizieren, kam es zu Ausfällen und Problemen beim Handel.

Dread Forum-Admin HugBunter kündigte bereits Maßnahmen zur Eindämmung und Bestrafung der beteiligten Parteien an. Unter anderem werden beteiligte Subreads gelöscht und Märkte von DDF und Recon delistet. Nach dieser Ankündigung starteten weitere Angriffe.

Schreibe einen Kommentar