ARP 中毒攻击:如何发生以及如何预防
近期,BSC和ETH链的ARP攻击次数分别超过29万次和4万次。超过 186,000 个独立地址因 ARP 攻击者而损失超过 164 万美元。在这篇简短的文章中,我们希望对 ARP 中毒攻击场景进行全面分析,并提供有关如何在这些攻击发生时以及何时发生预防和管理的详细信息。
加密用户因 ARP 攻击者损失大量资金
自发明以来,加密账户和交易一直很容易受到攻击。特别是在今年,我们看到多种类型和形式的攻击数量不断增加。这种高攻击率一直是整个加密货币和区块链社区关注的问题。其中最主要的是地址中毒攻击,也称为 ARP 中毒攻击。
令人不安的是,近来 ARP 攻击有所增加。趋势方面,BSC链从11月22日开始爆发,ETH链从11月开始爆发ETH链从11月27日开始爆发,两条链的攻击规模都在加剧。此外,受攻击影响的独立地址数量分别超过 150,000 和 36,000。截至今日,链上中毒地址超过34万个,受害地址共计99个,被盗金额超过164万美元。
ARP中毒攻击解释
地址解析协议 (ARP) 支持自计算机网络早期以来使用的分层方法。ARP 中毒是一种网络攻击,它利用广泛使用的地址解析协议 (ARP) 中的弱点来中断、重定向或监视网络流量。
由于在 1982 年引入 ARP 时安全性并不是最重要的问题,因此协议设计者从未包含验证 ARP 消息的身份验证机制。网络上的任何设备都可以回答 ARP 请求,无论原始消息是否是发给它的。例如,如果计算机 A“询问”计算机 B 的 MAC 地址,则计算机 C 的攻击者可以做出响应,并且计算机 A 会将此响应视为可信的。这种疏忽使各种攻击成为可能。通过利用现成的工具,威胁行为者可以“毒化”本地网络上其他主机的 ARP 缓存,用不准确的条目填充 ARP 缓存。
这个怎么运作
地址解析协议 (ARP) 中毒是指攻击者通过局域网 (LAN) 发送伪造的 ARP 消息,将攻击者的 MAC 地址与网络上合法计算机或服务器的 IP 地址链接起来。一旦攻击者的 MAC 地址链接到真实的 IP 地址,攻击者就可以接收任何定向到合法 MAC 地址的消息。因此,攻击者可以拦截、修改或阻止与合法 MAC 地址的通信。
X-explore最近的一项 BSC 调查显示,黑客通过发起多次 0 美元转账来影响 ARP 攻击。VICTIM A向USER B发送452 BSC-USD的典型交易后,USER B将立即从ATTACKER C收到0 BSC-USD。同时,在同一交易哈希内,USER A自己将不受控制地转出0 BSC-USD到攻击者C(实现“来回”0 BSC-USD转账操作)。
为什么你应该担心
作为区块链用户,ARP 中毒攻击对您的账户来说可能是致命的。ARP 中毒攻击的最直接影响是,发往本地网络上一台或多台主机的流量将被引导至攻击者选择的目的地。这究竟会产生什么影响取决于攻击的具体情况。流量可能会被发送到攻击者的机器或转发到一个不存在的位置。在第一种情况下,可能没有明显的效果,而第二种情况可能会抑制对网络的访问。
截至周五,已有 94 个唯一地址被骗,攻击者累计带走 1,640,000 美元。可悲的是,随着攻击者目标的增加,预计短期内还会有大量用户继续被骗。
ARP 中毒交易的类型
通常有两种方式可以发生 ARP 中毒攻击。这些包括:
中间人 (MiTM) 攻击
MiTM 攻击是最常见的,也是最危险的。使用 MiTM,攻击者针对给定的 IP 地址发出伪造的 ARP 响应,通常是特定子网的默认网关。这会导致受害机器使用攻击者机器的 MAC 地址而不是本地路由器的 MAC 地址填充其 ARP 缓存。然后,受害者机器会错误地将网络流量转发给攻击者。
拒绝服务 (DoS) 攻击
DoS 攻击拒绝一个或多个受害者访问网络资源。在 ARP 的情况下,攻击者可能会发送 ARP 响应消息,错误地将数百甚至数千个 IP 地址映射到单个 MAC 地址,从而可能使目标机器无法承受。这种攻击还可以针对交换机,从而可能影响整个网络的性能。
会话劫持
会话劫持攻击类似于中间人攻击,不同之处在于攻击者不会直接将流量从受害机器转发到其预定目的地。相反,攻击者将从受害者那里获取真正的 TCP 序列号或 Web cookie,并使用它来冒充受害者的身份。
防止ARP攻击
有几种方法可以保护您的地址免受 ARP 中毒攻击。其中一些包括:
静态 ARP 表
您可以通过将网络中的所有 MAC 地址静态映射到它们的合法 IP 地址来防止 ARP 攻击。尽管这是非常有效的,但它增加了巨大的管理负担。
开关安全
大多数托管以太网交换机都具有旨在减轻 ARP 中毒攻击的功能。通常称为动态 ARP 检查 (DAI),这些功能评估每个 ARP 消息的有效性并丢弃看似可疑或恶意的数据包。
人身安全
此外,正确控制对工作区的物理访问可以帮助减轻 ARP 中毒攻击。ARP 消息不会路由到本地网络的边界之外,因此潜在的攻击者必须在物理上接近受害网络,或者已经控制了网络上的机器。
网络隔离
将重要资源集中在具有增强安全性的专用网段中,也可以大大降低 ARP 中毒攻击的潜在影响。
加密
虽然加密并不能真正阻止 ARP 攻击的发生,但它可以减轻潜在的损害。
结论
ARP 中毒仍然是对加密用户的威胁,因此必须立即解决。与所有网络威胁一样,它最好通过全面的信息安全计划来解决。
对抗 ARP 中毒威胁的第一步是提高认识。因此,钱包APP需要加强风险预警,让普通用户在转账时能够意识到此类攻击。
微信扫描关注公众号,及时掌握新动向
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场
2.本文版权归属原作所有,仅代表作者本人观点,不代表比特范的观点或立场