Atacul de otrăvire ARP: cum se întâmplă și cum să îl preveniți

Recent, numărul de atacuri ARP asupra lanțurilor BSC și ETH a depășit 290.000 și, respectiv, 40.000. Peste 186.000 de adrese independente au pierdut peste 1,64 milioane USD din cauza atacatorilor ARP. În această scurtă lectură, am dori să prezentăm o analiză cuprinzătoare a scenei atacului cu otrăvire ARP și informații detaliate despre cum să prevenim și să gestionăm aceste atacuri dacă și când au loc. 
Utilizatorii Crypto pierd fonduri masive din cauza atacatorilor ARP
De la inventarea sa, conturile și tranzacțiile criptografice au fost vulnerabile la atacuri. În special în acest an, am văzut un număr tot mai mare de mai multe tipuri și forme de atacuri. Această rată ridicată de atac a fost o preocupare pentru comunitățile cripto și blockchain în general. Principalul dintre acestea este atacul de otrăvire la adresa, numit și atacul de otrăvire ARP.
În mod tulburător, a existat o creștere a atacurilor ARP în ultima vreme. În ceea ce privește tendințele, lanțul BSC explodează din 22 noiembrie, în timp ce lanțul ETH explodează din noiembrie Lanțul ETH explodează din 27 noiembrie, amploarea atacurilor asupra ambelor lanțuri intensificându-se. De asemenea, numărul adreselor independente afectate de atacuri a depășit 150.000, respectiv 36.000. Începând de astăzi, peste 340.000 de adrese au fost otrăvite pe lanț, însumând 99 de adrese de victime, și au fost furate peste 1,64 milioane USD.
Atacul de otrăvire ARP explicat
Protocolul de rezoluție a adreselor (ARP) acceptă abordarea stratificată utilizată încă din primele zile ale rețelelor de calculatoare. Otrăvirea ARP este un tip de atac cibernetic care abuzează de punctele slabe ale protocolului de rezoluție a adreselor (ARP) utilizat pe scară largă pentru a perturba, redirecționa sau spiona traficul de rețea. 
Deoarece securitatea nu era o preocupare primordială atunci când ARP a fost introdus în 1982, designerii de protocol nu au inclus niciodată mecanisme de autentificare pentru a valida mesajele ARP. Orice dispozitiv din rețea poate răspunde unei solicitări ARP, indiferent dacă mesajul original i-a fost sau nu destinat. De exemplu, dacă computerul A „cere” adresa MAC a computerului B, un atacator de la computerul C poate răspunde, iar computerul A ar accepta acest răspuns ca fiind autentic. Această supraveghere a făcut posibile o varietate de atacuri. Folosind instrumente ușor disponibile, un actor de amenințare poate „otrăvi” cache-ul ARP al altor gazde dintr-o rețea locală, umplând cache-ul ARP cu intrări inexacte. 
Cum functioneaza
Otrăvirea ARP (Address Resolution Protocol) este atunci când un atacator trimite mesaje ARP falsificate printr-o rețea locală (LAN) pentru a lega adresa MAC a atacatorului cu adresa IP a unui computer sau server legitim din rețea. Odată ce adresa MAC a atacatorului este legată de o adresă IP autentică, atacatorul poate primi orice mesaj direcționat către adresa MAC legitimă. Ca rezultat, atacatorul poate intercepta, modifica sau bloca comunicarea cu adresa MAC legitimă.
Un sondaj BSC recent realizat de X-explore a arătat că hackerii afectează atacul ARP prin inițierea mai multor transferuri de 0 USD. După ce VICTIMA A trimite o tranzacție tipică de 452 BSC-USD către UTILIZATORUL B, UTILIZATORUL B va primi imediat 0 BSC-USD de la ATACATOR C. În același timp, în cadrul aceluiași hash de tranzacție, UTILIZATORUL A însuși va transfera în mod necontrolat 0 BSC-USD către ATACATOR C (realizarea unei operațiuni de transfer „întors și înapoi” 0 BSC-USD).
De ce ar trebui să fii îngrijorat
În calitate de utilizator blockchain, atacul de otrăvire ARP poate fi fatal pentru contul dvs. Impactul cel mai direct al unui atac ARP Poisoning este că traficul destinat uneia sau mai multor gazde din rețeaua locală va fi în schimb direcționat către o destinație aleasă de atacator. Exact ce efect va avea aceasta depinde de specificul atacului. Traficul ar putea fi trimis către mașina atacatorului sau redirecționat către o locație inexistentă. În prima instanță, este posibil să nu existe un efect observabil, în timp ce al doilea poate inhiba accesul la rețea.
Începând de vineri, 94 de adrese unice au fost înșelate, atacatorii care au transportat un total cumulat de 1.640.000 USD. Din păcate, odată cu creșterea țintelor atacatorilor, este de așteptat ca un număr mare de utilizatori să continue să fie înșelați în scurt timp.
Tipuri de tranzacții cu otrăvire ARP
Există, în general, două moduri în care poate avea loc un atac de otrăvire ARP. Acestea includ:
Atacul Man-in-the-Middle (MiTM).
Atacurile MiTM sunt cele mai frecvente și, de asemenea, cele mai periculoase. Cu MiTM, atacatorul trimite răspunsuri ARP falsificate pentru o anumită adresă IP, de obicei gateway-ul implicit pentru o anumită subrețea. Acest lucru face ca mașinile victime să-și completeze memoria cache ARP cu adresa MAC a mașinii atacatorului în loc de adresa MAC a routerului local. Mașinile victimei vor redirecționa apoi incorect traficul de rețea către atacator.  
Atacul de tip Denial of Service (DoS).
Un atac DoS interzice uneia sau mai multor victime accesul la resursele rețelei. În cazul ARP, un atacator ar putea trimite mesaje de răspuns ARP care mapează în mod fals sute sau chiar mii de adrese IP la o singură adresă MAC, potențial copleșind mașina țintă. Acest atac poate viza, de asemenea, comutatoare, impactând potențial performanța întregii rețele. 
Deturnarea sesiunii
Atacurile de tip Session Hijacking sunt similare cu Man-in-the-Middle, cu excepția faptului că atacatorul nu va redirecționa direct traficul de la mașina victimă la destinația sa. În schimb, atacatorul va captura un număr de secvență TCP autentic sau un cookie web de la victimă și îl va folosi pentru a-și asuma identitatea victimei. 
Prevenirea atacurilor ARP
Există mai multe modalități de a vă proteja adresa de atacurile de otrăvire ARP. Unele dintre acestea includ:
Tabelele ARP statice
Puteți preveni atacurile ARP prin maparea statică a tuturor adreselor MAC dintr-o rețea la adresele lor IP corecte. Deși acest lucru este foarte eficient, adaugă o povară administrativă uriașă. 
Comutați securitatea
Majoritatea switch-urilor Ethernet gestionate au caracteristici concepute pentru a atenua atacurile de otrăvire ARP. Cunoscute în mod obișnuit sub numele de Dynamic ARP Inspection (DAI), aceste caracteristici evaluează validitatea fiecărui mesaj ARP și aruncă pachetele care par suspecte sau rău intenționate. 
Siguranță fizică
De asemenea, controlarea corectă a accesului fizic la spațiul dvs. de lucru poate ajuta la atenuarea atacurilor ARP Poisoning. Mesajele ARP nu sunt direcționate dincolo de granițele rețelei locale, așa că potențialii atacatori trebuie să fie în apropiere fizică de rețeaua victimei sau să aibă deja controlul asupra unei mașini din rețea. 
Izolarea rețelei
Concentrarea resurselor importante într-un segment de rețea dedicat în care este prezentă securitatea îmbunătățită poate, de asemenea, diminua foarte mult impactul potențial al unui atac de otrăvire ARP.
Criptare
Deși criptarea nu va împiedica de fapt apariția unui atac ARP, poate atenua daunele potențiale. 
Concluzie
Otrăvirea ARP rămâne o amenințare pentru utilizatorii cripto și, ca atare, trebuie abordată imediat. Ca toate amenințările cibernetice, este cel mai bine abordată printr-un program cuprinzător de securitate a informațiilor. 
Primul pas în combaterea amenințării cu otrăvirea ARP este crearea de conștientizare. De aici și necesitatea ca aplicațiile de portofel să intensifice alertele de risc, astfel încât utilizatorii obișnuiți să poată fi conștienți de astfel de atacuri atunci când transferă jetoane.