Tấn công ngộ độc ARP: nó xảy ra như thế nào và cách phòng ngừa

Gần đây, số vụ tấn công ARP vào chuỗi BSC và ETH lần lượt vượt quá 290.000 và 40.000. Hơn 186.000 địa chỉ độc lập đã mất hơn 1,64 triệu USD vào tay những kẻ tấn công ARP. Trong bài đọc ngắn này, chúng tôi muốn trình bày phân tích toàn diện về bối cảnh cuộc tấn công ngộ độc ARP và thông tin chi tiết về cách ngăn chặn và quản lý các cuộc tấn công này nếu và khi chúng xảy ra. 
Người dùng tiền điện tử mất số tiền lớn vào tay kẻ tấn công ARP
Kể từ khi được phát minh, các tài khoản và giao dịch tiền điện tử rất dễ bị tấn công. Đặc biệt trong năm nay, chúng ta đã chứng kiến ​​số lượng các loại và hình thức tấn công ngày càng tăng. Tỷ lệ tấn công cao này là mối lo ngại đối với cộng đồng tiền điện tử và blockchain nói chung. Đứng đầu trong số này là cuộc tấn công đầu độc địa chỉ, còn được gọi là cuộc tấn công đầu độc ARP.
Điều đáng lo ngại là các cuộc tấn công ARP đã gia tăng trong thời gian gần đây. Về xu hướng, chuỗi BSC đã bùng nổ từ ngày 22/11, trong khi chuỗi ETH bùng nổ từ tháng 11. Chuỗi ETH bùng nổ từ ngày 27/11, với quy mô tấn công vào cả hai chuỗi ngày càng gia tăng. Ngoài ra, số lượng địa chỉ độc lập bị ảnh hưởng bởi các cuộc tấn công lần lượt vượt quá 150.000 và 36.000. Tính đến hôm nay, hơn 340 nghìn địa chỉ đã bị đầu độc trên chuỗi, tổng cộng 99 địa chỉ nạn nhân và hơn 1,64 triệu USD đã bị đánh cắp.
Cuộc tấn công ngộ độc ARP được giải thích
Giao thức phân giải địa chỉ (ARP) hỗ trợ cách tiếp cận theo lớp được sử dụng kể từ những ngày đầu tiên của mạng máy tính. Ngộ độc ARP là một loại tấn công mạng lợi dụng các điểm yếu trong Giao thức phân giải địa chỉ (ARP) được sử dụng rộng rãi để làm gián đoạn, chuyển hướng hoặc theo dõi lưu lượng mạng. 
Vì bảo mật không phải là mối quan tâm hàng đầu khi ARP được giới thiệu vào năm 1982 nên các nhà thiết kế giao thức không bao giờ đưa vào các cơ chế xác thực để xác thực các thông báo ARP. Bất kỳ thiết bị nào trên mạng đều có thể trả lời yêu cầu ARP, cho dù tin nhắn ban đầu có dành cho yêu cầu đó hay không. Ví dụ: nếu Máy tính A “yêu cầu” địa chỉ MAC của Máy tính B, kẻ tấn công tại Máy tính C có thể phản hồi và Máy tính A sẽ chấp nhận phản hồi này là xác thực. Sự giám sát này đã khiến nhiều cuộc tấn công có thể xảy ra. Bằng cách tận dụng các công cụ sẵn có, kẻ đe dọa có thể “đầu độc” bộ đệm ARP của các máy chủ khác trên mạng cục bộ, lấp đầy bộ đệm ARP bằng các mục nhập không chính xác. 
Làm thế nào nó hoạt động
Ngộ độc Giao thức phân giải địa chỉ (ARP) là khi kẻ tấn công gửi tin nhắn ARP giả mạo qua mạng cục bộ (LAN) để liên kết địa chỉ MAC của kẻ tấn công với địa chỉ IP của máy tính hoặc máy chủ hợp pháp trên mạng. Khi địa chỉ MAC của kẻ tấn công được liên kết với một địa chỉ IP xác thực, kẻ tấn công có thể nhận được bất kỳ tin nhắn nào hướng đến địa chỉ MAC hợp pháp. Do đó, kẻ tấn công có thể chặn, sửa đổi hoặc chặn liên lạc bằng địa chỉ MAC hợp pháp.
Một cuộc khảo sát BSC gần đây của X-explore đã tiết lộ rằng tin tặc ảnh hưởng đến cuộc tấn công ARP bằng cách thực hiện nhiều lần chuyển khoản 0 USD. Sau khi VICTIM A gửi một giao dịch điển hình 452 BSC-USD đến NGƯỜI DÙNG B, NGƯỜI DÙNG B sẽ ngay lập tức nhận được 0 BSC-USD từ NGƯỜI TẬP ĐOÀN C. Đồng thời, trong cùng một hàm băm giao dịch, chính NGƯỜI DÙNG A sẽ chuyển một cách không kiểm soát 0 BSC-USD tới ATTACKER C (thực hiện hoạt động chuyển tiền “qua lại” 0 BSC-USD).
Tại sao bạn nên quan tâm
Là người dùng blockchain, cuộc tấn công đầu độc ARP có thể gây tử vong cho tài khoản của bạn. Tác động trực tiếp nhất của cuộc tấn công Ngộ độc ARP là lưu lượng truy cập dành cho một hoặc nhiều máy chủ trên mạng cục bộ thay vào đó sẽ được điều hướng đến đích mà kẻ tấn công lựa chọn. Chính xác thì điều này sẽ có tác dụng gì phụ thuộc vào chi tiết cụ thể của cuộc tấn công. Lưu lượng truy cập có thể được gửi đến máy của kẻ tấn công hoặc được chuyển tiếp đến một vị trí không tồn tại. Trong trường hợp đầu tiên, có thể không có tác động nào có thể quan sát được, trong khi trường hợp thứ hai có thể ngăn cản quyền truy cập vào mạng.
Tính đến thứ Sáu, 94 địa chỉ duy nhất đã bị lừa đảo, với những kẻ tấn công đã lấy đi tổng cộng 1.640.000 USD. Đáng buồn thay, với sự gia tăng mục tiêu của những kẻ tấn công, dự kiến ​​một số lượng lớn người dùng sẽ tiếp tục bị lừa đảo trong thời gian tới.
Các loại giao dịch ngộ độc ARP
Nhìn chung có hai cách có thể xảy ra một cuộc tấn công Ngộ độc ARP. Bao gồm các:
Tấn công trung gian (MiTM)
Các cuộc tấn công MiTM là phổ biến nhất và cũng nguy hiểm nhất. Với MiTM, kẻ tấn công gửi phản hồi ARP giả mạo cho một Địa chỉ IP nhất định, thường là cổng mặc định cho một mạng con cụ thể. Điều này khiến các máy nạn nhân điền vào bộ đệm ARP của chúng bằng địa chỉ MAC của máy của kẻ tấn công thay vì địa chỉ MAC của bộ định tuyến cục bộ. Máy nạn nhân sau đó sẽ chuyển tiếp lưu lượng mạng không chính xác đến kẻ tấn công.  
Tấn công từ chối dịch vụ (DoS)
Một cuộc tấn công DoS từ chối một hoặc nhiều nạn nhân truy cập vào tài nguyên mạng. Trong trường hợp ARP, kẻ tấn công có thể gửi tin nhắn Phản hồi ARP ánh xạ sai hàng trăm hoặc thậm chí hàng nghìn địa chỉ IP vào một địa chỉ MAC duy nhất, có khả năng áp đảo máy mục tiêu. Cuộc tấn công này cũng có thể nhắm mục tiêu vào các thiết bị chuyển mạch, có khả năng ảnh hưởng đến hiệu suất của toàn bộ mạng. 
Chiếm quyền điều khiển phiên
Các cuộc tấn công chiếm quyền điều khiển phiên tương tự như tấn công Man-in-the-Middle, ngoại trừ việc kẻ tấn công sẽ không chuyển tiếp trực tiếp lưu lượng truy cập từ máy nạn nhân đến đích dự kiến. Thay vào đó, kẻ tấn công sẽ lấy số thứ tự TCP hoặc cookie web chính hãng từ nạn nhân và sử dụng nó để nhận dạng nạn nhân. 
Ngăn chặn các cuộc tấn công ARP
Có một số cách để bảo vệ địa chỉ của bạn khỏi các cuộc tấn công ngộ độc ARP. Một số trong số này bao gồm:
Bảng ARP tĩnh
Bạn có thể ngăn chặn các cuộc tấn công ARP bằng cách ánh xạ tĩnh tất cả các địa chỉ MAC trong mạng tới địa chỉ IP hợp pháp của chúng. Mặc dù điều này mang lại hiệu quả cao nhưng nó tạo thêm gánh nặng hành chính to lớn. 
Chuyển đổi bảo mật
Hầu hết các bộ chuyển mạch Ethernet được quản lý đều có các tính năng được thiết kế để giảm thiểu các cuộc tấn công Ngộ độc ARP. Thường được gọi là Kiểm tra ARP động (DAI), các tính năng này đánh giá tính hợp lệ của từng thông báo ARP và loại bỏ các gói có vẻ đáng ngờ hoặc độc hại. 
Bảo mật vật lý
Ngoài ra, việc kiểm soát đúng cách quyền truy cập vật lý vào không gian làm việc của bạn có thể giúp giảm thiểu các cuộc tấn công Ngộ độc ARP. Các tin nhắn ARP không được định tuyến vượt ra ngoài ranh giới của mạng cục bộ, vì vậy những kẻ tấn công tiềm năng phải ở gần mạng nạn nhân hoặc đã có quyền kiểm soát một máy trên mạng. 
Cách ly mạng
Việc tập trung các tài nguyên quan trọng vào một phân đoạn mạng chuyên dụng nơi có bảo mật nâng cao cũng có thể làm giảm đáng kể tác động tiềm tàng của một cuộc tấn công Ngộ độc ARP.
Mã hóa
Mặc dù mã hóa sẽ không thực sự ngăn chặn một cuộc tấn công ARP xảy ra nhưng nó có thể giảm thiểu thiệt hại tiềm ẩn. 
Phần kết luận
Ngộ độc ARP vẫn là mối đe dọa đối với người dùng tiền điện tử và do đó, nó phải được giải quyết ngay lập tức. Giống như tất cả các mối đe dọa trên mạng, vấn đề này được giải quyết tốt nhất thông qua chương trình bảo mật thông tin toàn diện. 
Bước đầu tiên trong việc chống lại mối đe dọa ngộ độc ARP là tạo ra nhận thức. Do đó, các ứng dụng ví cần phải tăng cường cảnh báo rủi ro để người dùng thông thường có thể nhận biết được các cuộc tấn công như vậy khi chuyển mã thông báo.