최근 BSC와 ETH 체인에 대한 ARP 공격이 각각 290,000만 건과 40,000만 건을 넘어섰다. 186,000개 이상의 독립 주소가 ARP 공격자에게 1.64만 달러 이상의 손실을 입혔습니다. 이 짧은 글에서 우리는 ARP 포이즈닝 공격 장면에 대한 포괄적인 분석과 이러한 공격이 발생했을 때 이를 방지하고 관리하는 방법에 대한 자세한 정보를 제시하고자 합니다.
암호화 사용자는 ARP 공격자에게 막대한 자금 손실
발명 이후로 암호화 계정과 트랜잭션은 공격에 취약했습니다. 특히 올해는 여러 유형의 수가 증가하고 있으며 공격 형태. 이 높은 공격률은 크립토 및 블록체인 커뮤니티 전체의 우려 사항이었습니다. 이들 중 가장 중요한 것은 ARP 포이즈닝 공격이라고도 하는 주소 포이즈닝 공격입니다.
놀랍게도 최근 ARP 공격이 증가하고 있습니다. 추세에 대해 BSC 체인은 22월 XNUMX일부터 폭발하고 있으며 ETH 체인은 XNUMX월부터 폭발하고 있습니다. ETH 체인 27월 150,000일 이후 두 체인에 대한 공격 규모가 심화되면서 폭발적으로 증가했습니다. 또한 공격에 영향을 받은 독립 주소의 수는 각각 36,000개와 340개를 넘어섰습니다. 오늘 현재, 99개 이상의 주소가 체인에서 중독되었으며 총 1.64개의 피해자 주소와 XNUMX달러 이상의 USD가 도난당했습니다.
ARP 포이즈닝 공격 설명
ARP(Address Resolution Protocol)는 컴퓨터 네트워킹 초기부터 사용된 계층화된 접근 방식을 지원합니다. ARP Poisoning은 널리 사용되는 ARP(Address Resolution Protocol)의 약점을 악용하여 네트워크 트래픽을 중단, 리디렉션 또는 감시하는 사이버 공격 유형입니다.
ARP가 1982년에 도입되었을 때 보안이 가장 중요한 관심사가 아니었기 때문에 프로토콜 설계자는 ARP 메시지를 검증하는 인증 메커니즘을 포함하지 않았습니다. 원본 메시지의 의도 여부에 관계없이 네트워크의 모든 장치는 ARP 요청에 응답할 수 있습니다. 예를 들어 컴퓨터 A가 컴퓨터 B의 MAC 주소를 "요청"하면 컴퓨터 C의 공격자가 응답할 수 있고 컴퓨터 A는 이 응답을 인증된 것으로 받아들입니다. 이러한 감독으로 인해 다양한 공격이 가능해졌습니다. 위협 행위자는 쉽게 사용할 수 있는 도구를 활용하여 로컬 네트워크에 있는 다른 호스트의 ARP 캐시를 "중독"하여 부정확한 항목으로 ARP 캐시를 채울 수 있습니다.
전달 방법
ARP(Address Resolution Protocol) 포이즈닝은 공격자가 LAN(Local Area Network)을 통해 위조된 ARP 메시지를 보내 공격자의 MAC 주소를 네트워크에 있는 합법적인 컴퓨터 또는 서버의 IP 주소와 연결하는 것입니다. 공격자의 MAC 주소가 인증된 IP 주소에 연결되면 공격자는 합법적인 MAC 주소로 향하는 모든 메시지를 수신할 수 있습니다. 결과적으로 공격자는 합법적인 MAC 주소와의 통신을 가로채거나 수정하거나 차단할 수 있습니다.
최근 BSC 조사 X-탐색 해커가 여러 USD 0 전송을 시작하여 ARP 공격에 영향을 미친다고 밝혔습니다. 피해자 A가 사용자 B에게 452 BSC-USD의 일반적인 트랜잭션을 전송한 후 사용자 B는 즉시 공격자 C로부터 0 BSC-USD를 받습니다. 동시에 동일한 트랜잭션 해시 내에서 사용자 A 자신이 제어할 수 없이 0 BSC-USD를 전송합니다. ATTACKER C에게(“앞뒤로” 0 BSC-USD 전송 작업 실현).
걱정해야 하는 이유
블록체인 사용자로서 ARP 포이즈닝 공격은 계정에 치명적일 수 있습니다. ARP Poisoning 공격의 가장 직접적인 영향은 로컬 네트워크에 있는 하나 이상의 호스트로 향하는 트래픽이 대신 공격자가 선택한 대상으로 향한다는 것입니다. 이것이 정확히 어떤 영향을 미칠지는 공격의 세부 사항에 따라 다릅니다. 트래픽은 공격자의 컴퓨터로 전송되거나 존재하지 않는 위치로 전달될 수 있습니다. 첫 번째 경우에는 눈에 띄는 효과가 없을 수 있지만 두 번째 경우에는 네트워크에 대한 액세스가 금지될 수 있습니다.
금요일 현재 94개의 고유 주소가 사기를 당했습니다. 공격자 누적 총액 1,640,000 USD. 슬프게도 공격자의 대상이 증가함에 따라 많은 수의 사용자가 곧 계속해서 사기를 당할 것으로 예상됩니다.
ARP 포이즈닝 트랜잭션 유형
일반적으로 ARP Poisoning 공격이 발생할 수 있는 두 가지 방법이 있습니다. 여기에는 다음이 포함됩니다.
MiTM(Man-in-the-Middle) 공격
MiTM 공격은 가장 흔하면서도 가장 위험합니다. 공격자는 MiTM을 사용하여 지정된 IP 주소(일반적으로 특정 서브넷의 기본 게이트웨이)에 대해 위조된 ARP 응답을 보냅니다. 이로 인해 피해자 컴퓨터는 로컬 라우터의 MAC 주소 대신 공격자 컴퓨터의 MAC 주소로 ARP 캐시를 채웁니다. 그런 다음 피해자 컴퓨터는 네트워크 트래픽을 공격자에게 잘못 전달합니다.
서비스 거부(DoS) 공격
DoS 공격은 하나 이상의 피해자가 네트워크 리소스에 액세스하는 것을 거부합니다. ARP의 경우 공격자는 수백 또는 수천 개의 IP 주소를 단일 MAC 주소에 잘못 매핑하는 ARP 응답 메시지를 보내 잠재적으로 대상 시스템을 압도할 수 있습니다. 이 공격은 또한 스위치를 대상으로 하여 전체 네트워크 성능에 잠재적으로 영향을 미칠 수 있습니다.
세션 도용
세션 하이재킹 공격은 공격자가 피해자 시스템에서 의도한 대상으로 트래픽을 직접 전달하지 않는다는 점을 제외하면 중간자 공격과 유사합니다. 대신 공격자는 피해자로부터 진짜 TCP 시퀀스 번호 또는 웹 쿠키를 캡처하고 이를 사용하여 피해자의 신원을 추정합니다.
ARP 공격 방지
ARP 포이즈닝 공격으로부터 주소를 보호하는 방법에는 여러 가지가 있습니다. 이들 중 일부는 다음과 같습니다.
정적 ARP 테이블
네트워크의 모든 MAC 주소를 적법한 IP 주소에 정적으로 매핑하여 ARP 공격을 방지할 수 있습니다. 이것은 매우 효과적이지만 막대한 관리 부담을 추가합니다.
스위치 보안
대부분의 관리형 이더넷 스위치에는 ARP Poisoning 공격을 완화하도록 설계된 기능이 있습니다. 일반적으로 DAI(동적 ARP 검사)라고 하는 이러한 기능은 각 ARP 메시지의 유효성을 평가하고 의심스럽거나 악의적인 것으로 보이는 패킷을 삭제합니다.
물리적 보안
또한 작업 공간에 대한 물리적 액세스를 적절하게 제어하면 ARP 중독 공격을 완화하는 데 도움이 될 수 있습니다. ARP 메시지는 로컬 네트워크의 경계를 넘어 라우팅되지 않으므로 잠재적인 공격자는 피해 네트워크에 물리적으로 근접해 있거나 이미 네트워크의 시스템을 제어하고 있어야 합니다.
네트워크 격리
보안이 강화된 전용 네트워크 세그먼트에 중요한 리소스를 집중하면 ARP 포이즈닝 공격의 잠재적인 영향을 크게 줄일 수 있습니다.
암호화
암호화가 실제로 ARP 공격 발생을 막지는 못하지만 잠재적 피해를 완화할 수 있습니다.
결론
ARP 포이즈닝은 여전히 암호화 사용자에게 위협이 되므로 즉시 해결해야 합니다. 모든 사이버 위협과 마찬가지로 포괄적인 정보 보안 프로그램을 통해 해결하는 것이 가장 좋습니다.
ARP 중독 위협에 대처하는 첫 번째 단계는 인식을 높이는 것입니다. 따라서 일반 사용자가 토큰을 전송할 때 이러한 공격을 알 수 있도록 지갑 앱이 위험 경고를 강화할 필요가 있습니다.
출처: https://crypto.news/arp-poisoning-attack-how-does-it-happen-and-how-to-prevent-it/