فن آوری

چگونه اتفاق می افتد و چگونه از آن جلوگیری کنیم

12/03/2022
اخبار بیت کوین اتریوم

اخیراً تعداد حملات ARP به زنجیره های BSC و ETH به ترتیب از 290,000 و 40,000 فراتر رفته است. بیش از 186,000 آدرس مستقل بیش از 1.64 میلیون دلار به مهاجمان ARP از دست داده اند. در این مطالعه کوتاه، می‌خواهیم تجزیه و تحلیل جامعی از صحنه حمله مسمومیت ARP و اطلاعات دقیقی در مورد نحوه جلوگیری و مدیریت این حملات در صورت وقوع و زمانی ارائه کنیم. 

کاربران کریپتو سرمایه های هنگفتی را به مهاجمان ARP از دست می دهند

از زمان اختراع آن، حساب‌های رمزنگاری و تراکنش‌ها در برابر حملات آسیب‌پذیر بوده‌اند. به ویژه در سال جاری، ما شاهد تعداد فزاینده ای از چندین نوع و اشکال حملات. این نرخ حمله بالا باعث نگرانی جوامع رمزنگاری و بلاک چین در کل بوده است. مهمترین آنها حمله مسمومیت آدرس است که به آن حمله مسمومیت ARP نیز می گویند.

به طرز نگران کننده ای، در زمان های اخیر حملات ARP افزایش یافته است. در مورد روندها، زنجیره BSC از 22 نوامبر در حال انفجار بوده است، در حالی که زنجیره ETH از نوامبر منفجر شده است. زنجیره ETH از 27 نوامبر در حال منفجر شدن است و مقیاس حملات به هر دو زنجیره تشدید شده است. همچنین تعداد آدرس های مستقلی که تحت تاثیر این حملات قرار گرفته اند به ترتیب از 150,000 و 36,000 فراتر رفته است. تا امروز، بیش از 340 هزار آدرس در زنجیره مسموم شده است، در مجموع 99 آدرس قربانیان، و بیش از 1.64 میلیون دلار به سرقت رفته است.

حمله مسمومیت ARP توضیح داد

پروتکل Address Resolution Protocol (ARP) از رویکرد لایه‌ای که از اولین روزهای شبکه‌های کامپیوتری استفاده می‌شد پشتیبانی می‌کند. مسمومیت ARP نوعی حمله سایبری است که از ضعف‌های موجود در پروتکل پرکاربرد Address Resolution Protocol (ARP) برای ایجاد اختلال، تغییر مسیر یا جاسوسی از ترافیک شبکه سوء استفاده می‌کند. 

از آنجایی که هنگام معرفی ARP در سال 1982، امنیت یک نگرانی اساسی نبود، طراحان پروتکل هرگز مکانیسم‌های احراز هویت را برای اعتبارسنجی پیام‌های ARP در نظر نگرفتند. هر دستگاهی در شبکه می تواند به درخواست ARP پاسخ دهد، خواه پیام اصلی برای آن در نظر گرفته شده باشد یا نه. برای مثال، اگر رایانه A آدرس MAC رایانه B را بخواهد، مهاجم در رایانه C می‌تواند پاسخ دهد و رایانه A این پاسخ را به عنوان معتبر می‌پذیرد. این نظارت، انواع حملات را ممکن ساخته است. با استفاده از ابزارهای در دسترس، یک عامل تهدید می‌تواند کش ARP سایر میزبان‌ها را در شبکه محلی «مسموم» کند و کش ARP را با ورودی‌های نادرست پر کند. 

چگونه کار می کند

مسمومیت با پروتکل وضوح آدرس (ARP) زمانی است که یک مهاجم پیام های ARP جعلی را از طریق یک شبکه محلی (LAN) ارسال می کند تا آدرس MAC مهاجم را با آدرس IP یک رایانه یا سرور قانونی در شبکه پیوند دهد. هنگامی که آدرس MAC مهاجم به یک آدرس IP معتبر مرتبط می شود، مهاجم می تواند هر پیامی را که به آدرس MAC قانونی ارسال می شود دریافت کند. در نتیجه، مهاجم می تواند ارتباط با آدرس MAC قانونی را رهگیری، اصلاح یا مسدود کند.

نظرسنجی اخیر BSC توسط X-کاوش نشان داد که هکرها با شروع چندین انتقال 0 دلاری بر حمله ARP تأثیر می گذارند. پس از اینکه قربانی A یک تراکنش معمولی 452 BSC-USD را برای USER B ارسال کرد، USER B بلافاصله 0 BSC-USD از ATTACKER C دریافت می کند. در همان زمان، در همان هش تراکنش، خود USER A به طور غیرقابل کنترل 0 BSC-USD را منتقل می کند. به ATTACKER C (با درک عملیات انتقال 0 BSC-USD "به عقب و جلو").

چرا باید نگران باشید

به عنوان یک کاربر بلاک چین، حمله مسمومیت ARP می تواند برای حساب شما کشنده باشد. مستقیم ترین تأثیر حمله مسمومیت ARP این است که ترافیکی که برای یک یا چند میزبان در شبکه محلی تعیین می شود، در عوض به مقصدی که مهاجم انتخاب می کند هدایت می شود. اینکه دقیقاً چه تأثیری خواهد داشت به ویژگی های حمله بستگی دارد. ترافیک می تواند به ماشین مهاجم ارسال شود یا به مکانی ناموجود هدایت شود. در مورد اول، ممکن است هیچ اثر قابل مشاهده ای وجود نداشته باشد، در حالی که دومی ممکن است دسترسی به شبکه را مهار کند.

تا روز جمعه 94 آدرس منحصر به فرد کلاهبرداری شده است، با حمله در مجموع 1,640,000 دلار دور ریخته می شود. متأسفانه، با افزایش اهداف مهاجمان، انتظار می رود که تعداد زیادی از کاربران به زودی مورد کلاهبرداری قرار گیرند.

انواع معاملات مسمومیت ARP

به طور کلی دو راه وجود دارد که حمله مسمومیت ARP ممکن است رخ دهد. این شامل:

حمله Man-in-the-Middle (MiTM).

حملات MiTM رایج ترین و همچنین خطرناک ترین هستند. با MiTM، مهاجم پاسخ‌های ARP جعلی را برای یک آدرس IP معین ارسال می‌کند، که معمولاً دروازه پیش‌فرض برای یک زیرشبکه خاص است. این امر باعث می شود که ماشین های قربانی به جای آدرس مک آدرس روتر محلی، حافظه پنهان ARP خود را با آدرس MAC ماشین مهاجم پر کنند. سپس ماشین های قربانی ترافیک شبکه را به اشتباه به مهاجم ارسال می کنند.  

حمله انکار سرویس (DoS).

یک حمله DoS از دسترسی یک یا چند قربانی به منابع شبکه جلوگیری می کند. در مورد ARP، یک مهاجم ممکن است پیام‌های ARP Response را ارسال کند که صدها یا حتی هزاران آدرس IP را به یک آدرس MAC منفرد نگاشت می‌کند و به طور بالقوه دستگاه هدف را تحت تأثیر قرار می‌دهد. این حمله همچنین می‌تواند سوئیچ‌ها را هدف قرار دهد و به طور بالقوه بر عملکرد کل شبکه تأثیر بگذارد. 

هواپیماربایی جلسه

حملات Session Hijacking مشابه Man-in-the-Middle هستند، با این تفاوت که مهاجم مستقیماً ترافیک را از ماشین قربانی به مقصد مورد نظر خود ارسال نمی کند. در عوض، مهاجم یک شماره توالی TCP یا کوکی وب واقعی را از قربانی گرفته و از آن برای فرض هویت قربانی استفاده می کند. 

جلوگیری از حملات ARP

راه های مختلفی برای محافظت از آدرس شما در برابر حملات مسمومیت ARP وجود دارد. برخی از این موارد عبارتند از:

جداول ARP استاتیک

شما می توانید با نگاشت ایستا تمام آدرس های MAC در یک شبکه به آدرس های IP واقعی آنها از حملات ARP جلوگیری کنید. اگرچه این بسیار مؤثر است، اما بار اداری فوق العاده ای را اضافه می کند. 

امنیت سوئیچ

اکثر سوئیچ های اترنت مدیریت شده دارای ویژگی هایی هستند که برای کاهش حملات ARP Poisoning طراحی شده اند. این ویژگی‌ها که معمولاً به عنوان بازرسی پویا ARP (DAI) شناخته می‌شوند، اعتبار هر پیام ARP را ارزیابی می‌کنند و بسته‌هایی را که مشکوک یا مخرب به نظر می‌رسند رها می‌کنند. 

امنیت فیزیکی

همچنین، کنترل صحیح دسترسی فیزیکی به فضای کاری شما می تواند به کاهش حملات ARP Poisoning کمک کند. پیام‌های ARP فراتر از مرزهای شبکه محلی هدایت نمی‌شوند، بنابراین مهاجمان احتمالی باید در مجاورت فیزیکی شبکه قربانی باشند یا از قبل کنترل یک ماشین را در شبکه داشته باشند. 

جداسازی شبکه

تمرکز منابع مهم در یک بخش شبکه اختصاصی که در آن امنیت افزایش یافته وجود دارد نیز می تواند تأثیر بالقوه حمله ARP Poisoning را تا حد زیادی کاهش دهد.

رمزگذاری

اگرچه رمزگذاری در واقع از وقوع یک حمله ARP جلوگیری نمی کند، اما می تواند آسیب احتمالی را کاهش دهد. 

نتیجه

مسمومیت ARP همچنان یک تهدید برای کاربران کریپتو است و به همین دلیل باید فوراً به آن رسیدگی شود. مانند تمام تهدیدات سایبری، بهتر است از طریق یک برنامه جامع امنیت اطلاعات به آن پرداخته شود. 

اولین قدم در مبارزه با تهدید مسمومیت ARP ایجاد آگاهی است. از این رو نیاز است که برنامه های کیف پول هشدارهای خطر را افزایش دهند تا کاربران عادی بتوانند هنگام انتقال توکن ها از چنین حملاتی آگاه شوند.


ما را در Google News دنبال کنید

منبع: https://crypto.news/arp-poisoning-attack-how-does-it-happen-and-how-to-prevent-it/