В последнее время количество ARP-атак на цепочки BSC и ETH превысило 290,000 40,000 и 186,000 1.64 соответственно. Более XNUMX XNUMX независимых адресов потеряли более XNUMX миллиона долларов из-за атак ARP. В этом кратком чтении мы хотели бы представить всесторонний анализ сцены атаки с отравлением ARP и подробную информацию о том, как предотвратить и управлять этими атаками, если и когда они происходят.
Пользователи криптовалюты теряют огромные средства из-за атак ARP
С момента своего изобретения криптографические учетные записи и транзакции были уязвимы для атак. В частности, в этом году мы наблюдаем рост числа нескольких типов и формы атак. Этот высокий уровень атак вызывает озабоченность у крипто- и блокчейн-сообществ в целом. Главной из них является атака отравления адреса, также называемая атакой отравления ARP.
Вызывает тревогу тот факт, что в последнее время участились ARP-атаки. Что касается тенденций, цепь BSC взрывается с 22 ноября, а цепь ETH взрывается с ноября. Цепь ETH стремительно растет с 27 ноября, при этом масштабы атак на обе сети усиливаются. Также количество независимых адресов, затронутых атаками, превысило 150,000 36,000 и 340 99 соответственно. На сегодняшний день в цепочке было отравлено более 1.64 тысяч адресов, всего XNUMX адресов жертв, и было украдено более XNUMX миллиона долларов США.
Объяснение атаки отравления ARP
Протокол разрешения адресов (ARP) поддерживает многоуровневый подход, используемый с самых первых дней компьютерных сетей. Отравление ARP — это тип кибератаки, которая использует уязвимости в широко используемом протоколе разрешения адресов (ARP) для прерывания, перенаправления или слежения за сетевым трафиком.
Поскольку безопасность не была первостепенной задачей, когда в 1982 году был введен протокол ARP, разработчики протокола никогда не включали механизмы аутентификации для проверки сообщений ARP. Любое устройство в сети может ответить на запрос ARP, независимо от того, предназначалось ли для него исходное сообщение или нет. Например, если компьютер A «запрашивает» MAC-адрес компьютера B, злоумышленник на компьютере C может ответить, и компьютер A примет этот ответ как подлинный. Это упущение сделало возможным множество атак. Используя легкодоступные инструменты, злоумышленник может «отравить» кэш ARP других хостов в локальной сети, заполнив кэш ARP неверными записями.
Как это работает?
Отравление протокола разрешения адресов (ARP) — это когда злоумышленник отправляет сфальсифицированные сообщения ARP по локальной сети (LAN), чтобы связать MAC-адрес злоумышленника с IP-адресом законного компьютера или сервера в сети. Как только MAC-адрес злоумышленника связан с подлинным IP-адресом, злоумышленник может получать любые сообщения, направленные на законный MAC-адрес. В результате злоумышленник может перехватить, изменить или заблокировать связь с законным MAC-адресом.
Недавний опрос BSC, проведенный X-исследование показали, что хакеры влияют на атаку ARP, инициируя несколько переводов на сумму 0 долларов США. После того, как ЖЕРТВА A отправит ПОЛЬЗОВАТЕЛЮ B типичную транзакцию на сумму 452 BSC-USD, ПОЛЬЗОВАТЕЛЬ B немедленно получит 0 BSC-USD от ЗЛОПАКА C. В то же время в рамках того же хэша транзакции сам ПОЛЬЗОВАТЕЛЬ A бесконтрольно переведет 0 BSC-USD АТАКУЮЩЕМУ C (осуществляя операцию перевода «туда-обратно» 0 BSC-USD).
Почему вы должны быть обеспокоены
Как пользователь блокчейна, атака отравления ARP может быть фатальной для вашей учетной записи. Наиболее непосредственным воздействием атаки ARP Poisoning является то, что трафик, предназначенный для одного или нескольких хостов в локальной сети, вместо этого направляется в пункт назначения по выбору злоумышленника. Какой именно эффект это будет иметь, зависит от специфики атаки. Трафик может быть отправлен на машину злоумышленника или перенаправлен в несуществующее место. В первом случае может не быть заметного эффекта, а во втором случае доступ к сети может быть запрещен.
По состоянию на пятницу было обмануто 94 уникальных адреса. Нападавшие увозя в общей сложности 1,640,000 XNUMX XNUMX долларов США. К сожалению, с увеличением числа целей злоумышленников ожидается, что в ближайшее время большое количество пользователей продолжит подвергаться мошенничеству.
Типы транзакций отравления ARP
Как правило, существует два способа, которыми может произойти атака отравления ARP. Это включает:
Атака «человек посередине» (MiTM)
Атаки MiTM являются наиболее распространенными, а также наиболее опасными. С помощью MiTM злоумышленник отправляет фальсифицированные ответы ARP для заданного IP-адреса, как правило, шлюза по умолчанию для конкретной подсети. Это приводит к тому, что машины-жертвы заполняют свой кэш ARP MAC-адресом машины злоумышленника вместо MAC-адреса локального маршрутизатора. После этого компьютеры-жертвы будут неправильно пересылать сетевой трафик злоумышленнику.
Атака отказа в обслуживании (DoS)
DoS-атака лишает одну или несколько жертв доступа к сетевым ресурсам. В случае ARP злоумышленник может отправлять сообщения ARP Response, которые ложно сопоставляют сотни или даже тысячи IP-адресов с одним MAC-адресом, что потенциально может привести к перегрузке целевой машины. Эта атака также может быть нацелена на коммутаторы, потенциально влияя на производительность всей сети.
Угон сеанса
Атаки перехвата сеанса аналогичны атакам «человек посередине», за исключением того, что злоумышленник не будет напрямую перенаправлять трафик с компьютера-жертвы в его предполагаемое место назначения. Вместо этого злоумышленник получает от жертвы подлинный порядковый номер TCP или веб-куки и использует их, чтобы принять личность жертвы.
Предотвращение ARP-атак
Существует несколько способов защитить ваш адрес от отравления ARP-атак. Некоторые из них включают:
Статические ARP-таблицы
Вы можете предотвратить атаки ARP, статически сопоставив все MAC-адреса в сети с их законными IP-адресами. Хотя это очень эффективно, это добавляет огромное административное бремя.
Переключить безопасность
Большинство управляемых Ethernet-коммутаторов имеют функции, предназначенные для смягчения атак ARP Poisoning. Эти функции, обычно известные как динамическая проверка ARP (DAI), оценивают достоверность каждого сообщения ARP и отбрасывают пакеты, которые кажутся подозрительными или вредоносными.
Физическая охрана
Кроме того, надлежащий контроль физического доступа к вашему рабочему пространству может помочь смягчить атаки ARP Poisoning. Сообщения ARP не направляются за пределы локальной сети, поэтому потенциальные злоумышленники должны находиться в физической близости от сети жертвы или уже иметь контроль над машиной в сети.
Сетевая изоляция
Концентрация важных ресурсов в выделенном сетевом сегменте, где присутствует повышенная безопасность, также может значительно уменьшить потенциальное влияние атаки ARP Poisoning.
Шифрование
Хотя шифрование на самом деле не предотвратит ARP-атаку, оно может смягчить потенциальный ущерб.
Заключение
Отравление ARP остается угрозой для пользователей криптографии, и поэтому ее необходимо решать немедленно. Как и со всеми киберугрозами, с ней лучше всего бороться с помощью комплексной программы информационной безопасности.
Первым шагом в борьбе с угрозой отравления ARP является повышение осведомленности. Следовательно, приложениям кошельков необходимо активизировать оповещения о рисках, чтобы обычные пользователи могли знать о таких атаках при передаче токенов.
Источник: https://crypto.news/arp-poisoning-attack-how-does-it-happen-and-how-to-prevent-it/