ARP 中毒攻擊：它是如何發生的以及如何預防

CryptoNews · 2022-12-04T03:05:04.000Z

近期，BSC和ETH鏈上的ARP攻擊數量分別超過29萬和4萬。超過 186,000 個獨立位址因 ARP 攻擊者而損失超過 164 萬美元。在這篇簡短的文章中，我們希望對 ARP 中毒攻擊場景進行全面分析，並詳細介紹如何在這些攻擊發生時預防和管理這些攻擊。 ARP 攻擊者導致加密貨幣用戶損失大量資金自發明以來，加密貨幣帳戶和交易就很容易受到攻擊。特別是今年，我們看到多種類型和形式的攻擊數量不斷增加。這種高攻擊率一直是整個加密貨幣和區塊鏈社羣關注的問題。其中最主要的是地址中毒攻擊，也稱爲ARP中毒攻擊。

最近，針對 BSC 和 ETH 鏈的 ARP 攻擊次數分別超過 29 萬次和 4 萬次。超過 18.6 萬個獨立地址因 ARP 攻擊者而損失了超過 164 萬美元。在這篇短文中，我們想對 ARP 中毒攻擊場景進行全面分析，並詳細介紹如何在發生這些攻擊時預防和管理這些攻擊。
加密貨幣用戶因 ARP 攻擊者而損失大量資金
自發明以來，加密賬戶和交易就很容易受到攻擊。特別是今年，我們看到各種類型和形式的攻擊越來越多。這種高攻擊率一直是加密和區塊鏈社區關注的問題。其中最主要的是地址中毒攻擊，也稱爲 ARP 中毒攻擊。
令人擔憂的是，近期 ARP 攻擊事件不斷增多，趨勢上，BSC 鏈自 11 月 22 日起爆發，ETH 鏈自 11 月 27 日起爆發，兩條鏈的攻擊規模都在加劇，且受攻擊影響的獨立地址分別超過 15 萬和 3.6 萬個。截至今日，鏈上中毒地址超過 34 萬個，共計 99 個受害地址，被盜金額超過 164 萬美元。
ARP 中毒攻擊詳解
地址解析協議 (ARP) 支持自計算機網絡早期以來使用的分層方法。ARP 中毒是一種網絡攻擊，它濫用廣泛使用的地址解析協議 (ARP) 中的弱點來破壞、重定向或監視網絡流量。
由於在 1982 年推出 ARP 時安全性並不是首要考慮的問題，因此協議設計者從未包含驗證 ARP 消息的身份驗證機制。網絡上的任何設備都可以應答 ARP 請求，無論原始消息是否是發給它的。例如，如果計算機 A“詢問”計算機 B 的 MAC 地址，計算機 C 上的攻擊者可以響應，而計算機 A 會接受此響應作爲真實的。這種疏忽使得各種攻擊成爲可能。通過利用現成的工具，威脅行爲者可以“毒害”本地網絡上其他主機的 ARP 緩存，用不準確的條目填充 ARP 緩存。
怎麼運行的
地址解析協議 (ARP) 中毒是指攻擊者通過局域網 (LAN) 發送僞造的 ARP 消息，將攻擊者的 MAC 地址與網絡上合法計算機或服務器的 IP 地址關聯起來。一旦攻擊者的 MAC 地址與真實的 IP 地址關聯起來，攻擊者就可以接收任何指向合法 MAC 地址的消息。因此，攻擊者可以攔截、修改或阻止與合法 MAC 地址的通信。
X-explore 近期對 BSC 的調查顯示，黑客通過發起多筆 0 美元轉賬來影響 ARP 攻擊。受害者 A 向用戶 B 發送一筆 452 BSC-USD 的典型交易後，用戶 B 會立即從攻擊者 C 處收到 0 BSC-USD。與此同時，在同一個交易哈希內，用戶 A 自己也會不受控制地向攻擊者 C 轉賬 0 BSC-USD（實現了“來回”的 0 BSC-USD 轉賬操作）。
爲什麼你應該擔心
作爲區塊鏈用戶，ARP 中毒攻擊可能會對您的帳戶造成致命影響。ARP 中毒攻擊最直接的影響是，發往本地網絡上一個或多個主機的流量將被引導到攻擊者選擇的目的地。這會產生什麼影響取決於攻擊的具體情況。流量可能會被髮送到攻擊者的機器或轉發到不存在的位置。在第一種情況下，可能沒有可觀察到的影響，而第二種情況可能會阻止對網絡的訪問。
截至週五，已有 94 個地址被騙，攻擊者累計騙取了 1,640,000 美元。不幸的是，隨着攻擊者目標的增加，預計不久將有大量用戶繼續被騙。
ARP 中毒交易的類型
ARP 中毒攻擊通常以兩種方式發生。這些包括：
中間人 (MiTM) 攻擊
MiTM 攻擊是最常見的，也是最危險的。利用 MiTM，攻擊者會針對給定的 IP 地址（通常是特定子網的默認網關）發送僞造的 ARP 響應。這會導致受害機器使用攻擊者機器的 MAC 地址而不是本地路由器的 MAC 地址填充其 ARP 緩存。然後，受害機器會錯誤地將網絡流量轉發給攻擊者。
拒絕服務 (DoS) 攻擊
DoS 攻擊會拒絕一個或多個受害者訪問網絡資源。在 ARP 攻擊中，攻擊者可能會發送 ARP 響應消息，錯誤地將數百甚至數千個 IP 地址映射到一個 MAC 地址，從而可能使目標機器不堪重負。這種攻擊也可能針對交換機，從而可能影響整個網絡的性能。
會話劫持
會話劫持攻擊與中間人攻擊類似，不同之處在於攻擊者不會直接將流量從受害機器轉發到其預定目的地。相反，攻擊者會從受害者那裏捕獲真正的 TCP 序列號或 Web Cookie，並使用它來冒充受害者的身份。
預防ARP攻擊
有幾種方法可以保護您的地址免受 ARP 中毒攻擊。 其中一些包括：
靜態 ARP 表
您可以通過將網絡中的所有 MAC 地址靜態映射到其正確的 IP 地址來防止 ARP 攻擊。雖然這非常有效，但它增加了巨大的管理負擔。
交換機安全
大多數託管以太網交換機都具有旨在緩解 ARP 中毒攻擊的功能。這些功能通常稱爲動態 ARP 檢測 (DAI)，它們會評估每條 ARP 消息的有效性並丟棄看似可疑或惡意的數據包。
物理安全
此外，正確控制對工作區的物理訪問有助於減輕 ARP 中毒攻擊。ARP 消息不會路由到本地網絡的邊界之外，因此潛在攻擊者必須與受害者網絡物理接近，或者已經控制了網絡上的一臺機器。
網絡隔離
將重要資源集中在安全性增強的專用網絡段中也可以大大減少 ARP 中毒攻擊的潛在影響。
加密
雖然加密實際上並不能阻止 ARP 攻擊的發生，但它可以減輕潛在的損害。
結論
ARP 中毒仍然是加密用戶的威脅，因此必須立即解決。與所有網絡威脅一樣，最好通過全面的信息安全計劃來解決。
對抗 ARP 中毒威脅的第一步是提高認識。因此，錢包應用需要加強風險警報，以便普通用戶在轉移代幣時能夠意識到此類攻擊。