Útok otravy ARP: jak k němu dochází a jak mu zabránit

V poslední době přesáhl počet ARP útoků na řetězce BSC a ETH 290 000 a 40 000. Více než 186 000 nezávislých adres ztratilo útočníkům ARP více než 1,64 milionu dolarů. V tomto krátkém čtení bychom rádi představili komplexní analýzu scény s otravou ARP a podrobné informace o tom, jak těmto útokům předcházet a zvládat je, pokud a kdy k nim dojde.
Uživatelé kryptoměn ztrácejí obrovské finanční prostředky kvůli ARP útočníkům
Od svého vynálezu byly kryptoúčty a transakce zranitelné vůči útokům. Zejména v letošním roce jsme zaznamenali nárůst počtu různých typů a forem útoků. Tato vysoká míra útoků znepokojuje krypto a blockchainové komunity jako celek. Hlavním z nich je útok otravy adresou, nazývaný také útok otravy ARP.
Je znepokojivé, že v poslední době došlo k nárůstu útoků ARP. Pokud jde o trendy, řetězec BSC exploduje od 22. listopadu, zatímco řetězec ETH exploduje od listopadu Řetězec ETH exploduje od 27. listopadu, přičemž rozsah útoků na oba řetězce zesílí. Také počet nezávislých adres zasažených útoky přesáhl 150 000, respektive 36 000. K dnešnímu dni bylo v řetězci otráveno více než 340 tisíc adres, celkem 99 adres obětí a bylo ukradeno více než 1,64 milionu USD.
Vysvětlení útoku otravy ARP
Address Resolution Protocol (ARP) podporuje vrstvený přístup používaný od prvních dnů počítačových sítí. ARP Poisoning je typ kybernetického útoku, který zneužívá slabá místa v široce používaném protokolu Address Resolution Protocol (ARP) k narušení, přesměrování nebo špehování síťového provozu. 
Vzhledem k tomu, že zabezpečení nebylo při zavedení ARP v roce 1982 prvořadým zájmem, návrháři protokolů nikdy nezahrnuli ověřovací mechanismy pro ověřování zpráv ARP. Jakékoli zařízení v síti může odpovědět na požadavek ARP, ať už pro něj byla původní zpráva určena nebo ne. Pokud například počítač A „požádá“ o MAC adresu počítače B, může útočník na počítači C odpovědět a počítač A tuto odpověď přijme jako autentickou. Toto přehlédnutí umožnilo různé útoky. Využitím snadno dostupných nástrojů může aktér hrozby „otrávit“ mezipaměť ARP jiných hostitelů v místní síti a zaplnit mezipaměť ARP nepřesnými záznamy. 
Jak to funguje
Otrava protokolu ARP (Address Resolution Protocol) nastane, když útočník odešle falešné zprávy ARP přes místní síť (LAN), aby propojil útočníkovu MAC adresu s IP adresou legitimního počítače nebo serveru v síti. Jakmile je útočníkova MAC adresa propojena s autentickou IP adresou, může útočník přijímat jakékoli zprávy směrované na legitimní MAC adresu. V důsledku toho může útočník zachytit, upravit nebo zablokovat komunikaci s legitimní MAC adresou.
Nedávný průzkum BSC společnosti X-explore odhalil, že hackeři ovlivňují útok ARP tím, že zahájí několik převodů 0 USD. Poté, co OBĚŤ A odešle typickou transakci 452 BSC-USD UŽIVATELI B, UŽIVATELE B okamžitě obdrží 0 BSC-USD od ÚTOČNÍKA C. Zároveň v rámci stejného hashu transakce sám UŽIVATELE A nekontrolovatelně převede 0 BSC-USD na ATTACKER C (uskutečnění operace přenosu „tam a zpět“ 0 BSC-USD).
Proč by vás to mělo znepokojovat
Jako uživateli blockchainu může být útok otravy ARP pro váš účet fatální. Nejpřímější dopad útoku ARP Poisoning spočívá v tom, že provoz určený pro jednoho nebo více hostitelů v místní síti bude místo toho nasměrován do cíle, který si útočník zvolí. Jaký přesně to bude mít účinek, závisí na specifikách útoku. Provoz by mohl být odeslán do počítače útočníka nebo předán do neexistujícího umístění. V prvním případě nemusí existovat žádný pozorovatelný účinek, zatímco druhý může bránit přístupu k síti.
K pátku bylo podvedeno 94 unikátních adres, přičemž útočníci si odnesli kumulativní částku 1 640 000 USD. S nárůstem cílů útočníků se bohužel očekává, že velký počet uživatelů bude brzy podváděn.
Typy transakcí otravy ARP
Obecně existují dva způsoby, jak může dojít k útoku ARP Poisoning. Patří sem:
Útok Man-in-the-Middle (MiTM).
MiTM útoky jsou nejčastější a také nejnebezpečnější. Pomocí MiTM útočník odesílá falešné odpovědi ARP pro danou IP adresu, obvykle výchozí bránu pro konkrétní podsíť. To způsobí, že počítače obětí naplní svou mezipaměť ARP MAC adresou útočníkova počítače namísto MAC adresy místního routeru. Stroje obětí pak budou nesprávně předat síťový provoz útočníkovi.  
Denial of Service (DoS) útok
Útok DoS odepře jedné nebo více obětem přístup k síťovým zdrojům. V případě ARP může útočník posílat zprávy ARP Response, které falešně mapují stovky nebo dokonce tisíce IP adres na jedinou MAC adresu, což potenciálně zahltí cílový počítač. Tento útok může také zasáhnout přepínače, což může mít dopad na výkon celé sítě. 
Únos relace
Útoky typu Session Hijacking jsou podobné jako Man-in-the-Middle, s tím rozdílem, že útočník nebude přímo přeposílat provoz ze stroje oběti do zamýšleného cíle. Místo toho útočník zachytí skutečné sériové číslo TCP nebo webový soubor cookie od oběti a použije je k převzetí identity oběti. 
Prevence ARP útoků
Existuje několik způsobů, jak chránit svou adresu před útoky otravy ARP. Některé z nich zahrnují:
Statické ARP tabulky
ARP útokům můžete zabránit statickým mapováním všech MAC adres v síti na jejich oprávněné IP adresy. Ačkoli je to vysoce efektivní, přináší to obrovskou administrativní zátěž. 
Zabezpečení přepínače
Většina spravovaných ethernetových přepínačů má funkce navržené ke zmírnění útoků ARP Poisoning. Tyto funkce, obvykle známé jako Dynamic ARP Inspection (DAI), vyhodnocují platnost každé zprávy ARP a zahazují pakety, které se jeví jako podezřelé nebo škodlivé. 
Fyzická bezpečnost
Správná kontrola fyzického přístupu k vašemu pracovnímu prostoru může také pomoci zmírnit útoky ARP Poisoning. Zprávy ARP nejsou směrovány za hranice místní sítě, takže případní útočníci musí být ve fyzické blízkosti sítě oběti nebo již mít kontrolu nad strojem v síti. 
Izolace sítě
Soustředění důležitých zdrojů do vyhrazeného síťového segmentu, kde je přítomno vylepšené zabezpečení, může také výrazně snížit potenciální dopad útoku ARP Poisoning.
Šifrování
Ačkoli šifrování ve skutečnosti nezabrání útoku ARP, může zmírnit potenciální škody. 
Závěr
Otrava ARP zůstává hrozbou pro uživatele kryptoměn a jako taková je třeba ji okamžitě řešit. Stejně jako všechny kybernetické hrozby se nejlépe řeší pomocí komplexního programu zabezpečení informací. 
Prvním krokem v boji proti hrozbě otravy ARP je vytvoření povědomí. Z toho vyplývá potřeba, aby aplikace pro peněženky zesílily upozornění na rizika, aby si běžní uživatelé mohli být vědomi takových útoků při přenosu tokenů.