ARP saindēšanās uzbrukums: kā tas notiek un kā to novērst

Nesen ARP uzbrukumu skaits BSC un ETH ķēdēm pārsniedza attiecīgi 290 000 un 40 000. Vairāk nekā 186 000 neatkarīgu adrešu ARP uzbrucēju dēļ ir zaudējušas vairāk nekā 1,64 miljonus ASV dolāru. Šajā īsajā lasījumā mēs vēlamies sniegt visaptverošu ARP saindēšanās uzbrukuma ainas analīzi un detalizētu informāciju par to, kā novērst un pārvaldīt šos uzbrukumus, ja un kad tie notiek. 
Kriptolietotāji zaudē milzīgus līdzekļus ARP uzbrucējiem
Kopš tā izgudrošanas kriptogrāfijas konti un darījumi ir bijuši neaizsargāti pret uzbrukumiem. Īpaši šogad mēs esam redzējuši pieaugošu vairāku veidu un veidu uzbrukumu skaitu. Šis augstais uzbrukumu līmenis ir satraucis kriptovalūtu un blokķēžu kopienas kopumā. Galvenais no tiem ir adreses saindēšanās uzbrukums, ko sauc arī par ARP saindēšanās uzbrukumu.
Satraucoši, ka pēdējā laikā ir pieaudzis ARP uzbrukumu skaits. Runājot par tendencēm, BSC ķēde ir eksplodējusi kopš 22. novembra, savukārt ETH ķēde ir eksplodējusi kopš novembra ETH ķēde eksplodē kopš 27. novembra, pastiprinoties uzbrukumu mērogiem abām ķēdēm. Tāpat uzbrukumos skarto neatkarīgo adrešu skaits pārsniedza attiecīgi 150 000 un 36 000. Uz šodienu ķēdē ir saindētas vairāk nekā 340 000 adrešu, kopā 99 upuru adreses, un ir nozagti vairāk nekā 1,64 miljoni USD.
Paskaidrots ARP saindēšanās uzbrukums
Adrešu izšķirtspējas protokols (ARP) atbalsta slāņveida pieeju, kas izmantota kopš datortīklu pirmajām dienām. ARP saindēšanās ir kiberuzbrukuma veids, kas ļaunprātīgi izmanto plaši izmantotā adreses izšķirtspējas protokola (ARP) nepilnības, lai traucētu, novirzītu vai izspiegotu tīkla trafiku. 
Tā kā 1982. gadā, kad ARP tika ieviesta, drošība nebija galvenā problēma, protokolu izstrādātāji nekad nav iekļāvuši autentifikācijas mehānismus, lai apstiprinātu ARP ziņojumus. Jebkura tīkla ierīce var atbildēt uz ARP pieprasījumu neatkarīgi no tā, vai sākotnējais ziņojums bija tai paredzēts vai nē. Piemēram, ja dators A “jautā” datora B MAC adresi, uzbrucējs datorā C var atbildēt, un dators A pieņems šo atbildi kā autentisku. Šī pārraudzība ir padarījusi iespējamus dažādus uzbrukumus. Izmantojot viegli pieejamos rīkus, apdraudējuma dalībnieks var “saindēt” citu lokālā tīkla resursdatoru ARP kešatmiņu, piepildot ARP kešatmiņu ar neprecīziem ierakstiem. 
Kā tas darbojas
Adreses izšķirtspējas protokola (ARP) saindēšanās ir tad, kad uzbrucējs lokālajā tīklā (LAN) sūta viltotus ARP ziņojumus, lai saistītu uzbrucēja MAC adresi ar likumīga tīkla datora vai servera IP adresi. Kad uzbrucēja MAC adrese ir saistīta ar autentisku IP adresi, uzbrucējs var saņemt visus ziņojumus, kas ir adresēti uz likumīgo MAC adresi. Rezultātā uzbrucējs var pārtvert, modificēt vai bloķēt saziņu ar likumīgo MAC adresi.
Nesenā X-explore veiktā BSC aptauja atklāja, ka hakeri ietekmē ARP uzbrukumu, uzsākot vairākus USD 0 pārskaitījumus. Pēc tam, kad UPURIS A nosūtīs LIETOTĀJAM B tipisku darījumu 452 BSC USD, LIETOTĀJS B nekavējoties saņems 0 BSC USD no ATTACKER C. Tajā pašā laikā LIETOTĀJS A pats nekontrolējami pārskaitīs 0 BSC USD uz ATTACKER C (realizējot “turpu un atpakaļ” 0 BSC-USD pārskaitījumu).
Kāpēc jums vajadzētu uztraukties
Kā blokķēdes lietotājs ARP saindēšanās uzbrukums var būt liktenīgs jūsu kontam. ARP saindēšanās uzbrukuma vistiešākā ietekme ir tāda, ka datplūsma, kas paredzēta vienam vai vairākiem vietējā tīkla saimniekiem, tiks novirzīta uz uzbrucēja izvēlētu galamērķi. Tas, kāds tieši būs efekts, ir atkarīgs no uzbrukuma specifikas. Datplūsma var tikt nosūtīta uz uzbrucēja iekārtu vai pārsūtīta uz neesošu vietu. Pirmajā gadījumā var nebūt novērojama efekta, bet otrajā gadījumā piekļuve tīklam var tikt kavēta.
Līdz piektdienai ir izkrāptas 94 unikālas adreses, un uzbrucēji kopā ir iznesuši 1 640 000 USD. Diemžēl, palielinoties uzbrucēju mērķu skaitam, sagaidāms, ka drīzumā tiks turpināta krāpšanās ar lielu lietotāju skaitu.
ARP saindēšanās darījumu veidi
Parasti ir divi veidi, kā var rasties ARP saindēšanās uzbrukums. Tie ietver:
Man-in-the-Middle (MiTM) uzbrukums
MiTM uzbrukumi ir visizplatītākie un arī visbīstamākie. Izmantojot MiTM, uzbrucējs izsūta viltotas ARP atbildes konkrētai IP adresei, kas parasti ir noteikta apakštīkla noklusējuma vārteja. Tas liek cietušajām mašīnām aizpildīt savu ARP kešatmiņu ar uzbrucēja mašīnas MAC adresi, nevis vietējā maršrutētāja MAC adresi. Cietušo mašīnas tad nepareizi pārsūtīs tīkla trafiku uzbrucējam.  
Pakalpojuma atteikuma (DoS) uzbrukums
DoS uzbrukums vienam vai vairākiem upuriem liedz piekļuvi tīkla resursiem. ARP gadījumā uzbrucējs var nosūtīt ARP atbildes ziņojumus, kuros simtiem vai pat tūkstošiem IP adrešu tiek maldināts uz vienu MAC adresi, tādējādi potenciāli pārspējot mērķa iekārtu. Šis uzbrukums var būt vērsts arī uz slēdžiem, potenciāli ietekmējot visa tīkla veiktspēju. 
Sesijas nolaupīšana
Sesijas nolaupīšanas uzbrukumi ir līdzīgi Man-in-the-Middle uzbrukumiem, izņemot to, ka uzbrucējs tieši nepārvirzīs trafiku no upura iekārtas uz paredzēto galamērķi. Tā vietā uzbrucējs no upura iegūs īstu TCP kārtas numuru vai tīmekļa sīkfailu un izmantos to, lai pieņemtu upura identitāti. 
ARP uzbrukumu novēršana
Ir vairāki veidi, kā aizsargāt savu adresi no ARP saindēšanās uzbrukumiem. Daži no tiem ietver:
Statiskās ARP tabulas
Varat novērst ARP uzbrukumus, statiski kartējot visas tīkla MAC adreses ar to likumīgajām IP adresēm. Lai gan tas ir ļoti efektīvs, tas rada milzīgu administratīvo slogu. 
Slēdža drošība
Lielākajai daļai pārvaldīto Ethernet slēdžu ir funkcijas, kas paredzētas ARP saindēšanās uzbrukumu mazināšanai. Šie līdzekļi, kas parasti pazīstami kā dinamiskā ARP pārbaude (DAI), novērtē katra ARP ziņojuma derīgumu un nomet paketes, kas šķiet aizdomīgas vai ļaunprātīgas. 
Fiziskā drošība
Turklāt pareiza fiziskās piekļuves kontrole darbvietai var palīdzēt mazināt ARP saindēšanās uzbrukumus. ARP ziņojumi netiek maršrutēti ārpus lokālā tīkla robežām, tāpēc potenciālajiem uzbrucējiem ir jāatrodas upura tīkla fiziskā tuvumā vai tiem jau ir jāvada tīklā esoša iekārta. 
Tīkla izolācija
Svarīgu resursu koncentrēšana speciālā tīkla segmentā, kur ir uzlabota drošība, var arī ievērojami samazināt ARP saindēšanās uzbrukuma iespējamo ietekmi.
Šifrēšana
Lai gan šifrēšana faktiski nenovērsīs ARP uzbrukumu, tā var mazināt iespējamo kaitējumu. 
Secinājums
Saindēšanās ar ARP joprojām apdraud kriptovalūtu lietotājus, un tādēļ tā ir nekavējoties jārisina. Tāpat kā visus kiberdraudus, to vislabāk var novērst, izmantojot visaptverošu informācijas drošības programmu. 
Pirmais solis cīņā pret ARP saindēšanās draudiem ir izpratnes veidošana. Tāpēc maka lietotnēm ir jāpastiprina brīdinājumi par risku, lai parastie lietotāji, pārsūtot marķierus, varētu zināt par šādiem uzbrukumiem.