Recientemente, el número de ataques ARP a las cadenas BSC y ETH superó los 290,000 y 40,000, respectivamente. Más de 186,000 direcciones independientes han perdido más de 1.64 millones de dólares a causa de los atacantes ARP. En esta breve lectura, nos gustaría presentar un análisis exhaustivo de la escena de los ataques de envenenamiento de ARP e información detallada sobre cómo prevenir y gestionar estos ataques si ocurren y cuando suceden.
Los usuarios de criptomonedas pierden fondos masivos por los atacantes ARP
Desde su invención, las cuentas y transacciones criptográficas han sido vulnerables a los ataques. Particularmente este año, hemos visto un número creciente de varios tipos y formas de ataques. Esta alta tasa de ataque ha sido una preocupación para las comunidades de criptografía y blockchain en general. El principal de ellos es el ataque de envenenamiento de direcciones, también llamado ataque de envenenamiento ARP.
De manera inquietante, ha habido un aumento en los ataques ARP en los últimos tiempos. En cuanto a las tendencias, la cadena BSC ha estado explotando desde el 22 de noviembre, mientras que la cadena ETH ha estado explotando desde noviembre. cadena ETH ha estado explotando desde el 27 de noviembre, con la intensificación de la escala de ataques en ambas cadenas. Asimismo, el número de direcciones independientes afectadas por los ataques superó las 150,000 y las 36,000, respectivamente. A la fecha, más de 340 99 direcciones han sido envenenadas en la cadena, con un total de 1.64 direcciones de víctimas, y se han robado más de XNUMX millones de dólares.
Ataque de envenenamiento ARP explicado
El Protocolo de resolución de direcciones (ARP) admite el enfoque en capas utilizado desde los primeros días de las redes informáticas. El envenenamiento ARP es un tipo de ataque cibernético que abusa de las debilidades del Protocolo de resolución de direcciones (ARP) ampliamente utilizado para interrumpir, redirigir o espiar el tráfico de la red.
Debido a que la seguridad no era una preocupación primordial cuando se introdujo ARP en 1982, los diseñadores del protocolo nunca incluyeron mecanismos de autenticación para validar los mensajes ARP. Cualquier dispositivo de la red puede responder a una solicitud ARP, tanto si el mensaje original estaba destinado a él como si no. Por ejemplo, si la computadora A "pide" la dirección MAC de la computadora B, un atacante en la computadora C puede responder y la computadora A aceptaría esta respuesta como auténtica. Este descuido ha hecho posible una variedad de ataques. Al aprovechar las herramientas fácilmente disponibles, un actor de amenazas puede "envenenar" el caché ARP de otros hosts en una red local, llenando el caché ARP con entradas inexactas.
Cómo funciona
El envenenamiento del Protocolo de resolución de direcciones (ARP) ocurre cuando un atacante envía mensajes ARP falsificados a través de una red de área local (LAN) para vincular la dirección MAC de un atacante con la dirección IP de una computadora o servidor legítimo en la red. Una vez que la dirección MAC del atacante está vinculada a una dirección IP auténtica, el atacante puede recibir cualquier mensaje dirigido a la dirección MAC legítima. Como resultado, el atacante puede interceptar, modificar o bloquear la comunicación con la dirección MAC legítima.
Una encuesta reciente del BSC realizada por X-explorar reveló que los piratas informáticos afectan el ataque ARP al iniciar múltiples transferencias de USD 0. Después de que la VÍCTIMA A envíe una transacción típica de 452 BSC-USD al USUARIO B, el USUARIO B recibirá inmediatamente 0 BSC-USD del ATACANTE C. Al mismo tiempo, dentro del mismo hash de transacción, el propio USUARIO A transferirá sin control 0 BSC-USD al ATACANTE C (realizando una operación de transferencia “ida y vuelta” 0 BSC-USD).
Por qué deberías preocuparte
Como usuario de blockchain, el ataque de envenenamiento ARP puede ser fatal para su cuenta. El impacto más directo de un ataque de envenenamiento ARP es que el tráfico destinado a uno o más hosts en la red local se dirigirá a un destino elegido por el atacante. Exactamente qué efecto tendrá esto depende de los detalles del ataque. El tráfico podría enviarse a la máquina del atacante o reenviarse a una ubicación inexistente. En el primer caso, puede que no haya ningún efecto observable, mientras que el segundo puede inhibir el acceso a la red.
Hasta el viernes, 94 direcciones únicas han sido estafadas, con atacantes llevándose un total acumulado de 1,640,000 USD. Lamentablemente, con el aumento de los objetivos de los atacantes, se espera que una gran cantidad de usuarios continúen siendo estafados en breve.
Tipos de transacciones de envenenamiento ARP
En general, hay dos formas en que puede ocurrir un ataque de envenenamiento ARP. Éstos incluyen:
Ataque Man-in-the-Middle (MiTM)
Los ataques MiTM son los más comunes y también los más peligrosos. Con MiTM, el atacante envía respuestas ARP falsificadas para una dirección IP dada, generalmente la puerta de enlace predeterminada para una subred en particular. Esto hace que las máquinas de las víctimas llenen su caché ARP con la dirección MAC de la máquina del atacante en lugar de la dirección MAC del enrutador local. Las máquinas de las víctimas reenviarán incorrectamente el tráfico de red al atacante.
Ataque de denegación de servicio (DoS)
Un ataque DoS niega a una o más víctimas el acceso a los recursos de la red. En el caso de ARP, un atacante podría enviar mensajes de respuesta ARP que asignan falsamente cientos o incluso miles de direcciones IP a una sola dirección MAC, lo que podría sobrecargar la máquina de destino. Este ataque también puede tener como objetivo los conmutadores, lo que podría afectar el rendimiento de toda la red.
Secuestro de sesión
Los ataques de secuestro de sesión son similares a Man-in-the-Middle, excepto que el atacante no reenviará el tráfico directamente desde la máquina de la víctima a su destino previsto. En cambio, el atacante capturará un número de secuencia TCP genuino o una cookie web de la víctima y lo usará para asumir la identidad de la víctima.
Prevención de ataques ARP
Hay varias formas de proteger su dirección de ataques de envenenamiento ARP. Algunos de estos incluyen:
Tablas ARP estáticas
Puede evitar ataques ARP asignando estáticamente todas las direcciones MAC en una red a sus direcciones IP legítimas. Aunque esto es muy eficaz, añade una tremenda carga administrativa.
Cambiar seguridad
La mayoría de los conmutadores Ethernet administrados tienen funciones diseñadas para mitigar los ataques de envenenamiento ARP. Normalmente conocidas como Inspección dinámica de ARP (DAI), estas funciones evalúan la validez de cada mensaje ARP y eliminan los paquetes que parecen sospechosos o maliciosos.
Seguridad física
Además, controlar adecuadamente el acceso físico a su espacio de trabajo puede ayudar a mitigar los ataques de envenenamiento ARP. Los mensajes ARP no se enrutan más allá de los límites de la red local, por lo que los posibles atacantes deben estar físicamente cerca de la red de la víctima o tener el control de una máquina en la red.
Aislamiento de red
La concentración de recursos importantes en un segmento de red dedicado donde existe una seguridad mejorada también puede disminuir en gran medida el impacto potencial de un ataque de envenenamiento ARP.
Cifrado
Aunque el cifrado en realidad no evitará que ocurra un ataque ARP, puede mitigar el daño potencial.
Conclusión
El envenenamiento por ARP sigue siendo una amenaza para los usuarios de criptomonedas y, como tal, debe abordarse de inmediato. Como todas las amenazas cibernéticas, se aborda mejor a través de un programa integral de seguridad de la información.
El primer paso para combatir la amenaza del envenenamiento por ARP es crear conciencia. De ahí la necesidad de que las aplicaciones de billetera intensifiquen las alertas de riesgo para que los usuarios comunes puedan estar al tanto de tales ataques al transferir tokens.
Fuente: https://crypto.news/arp-poisoning-attack-how-does-it-happen-and-how-to-prevent-it/