Khi nhắc đến kỹ thuật Man-in-the-Middle (MITM), chúng ta nghĩ ngay đến các kĩ thuật như ARP Spoofing, DHCP Snooping...
Snooping và Spoofing – hai thuật ngữ nghe có vẻ “hao hao” nhau, nhưng thực chất lại là hai kiểu tấn công mạng hoàn toàn khác nhau.4
Snooping (Nghe trộm dữ liệu)
Là kỹ thuật trong đó kẻ tấn công nghe lén, chặn bắt hoặc truy cập trái phép dữ liệu khi nó đang được truyền qua mạng (data in transit), mà không làm thay đổi nội dung.
Cách thức phổ biến:
Packet Sniffing: Dùng Wireshark, tcpdump để bắt gói tin.
Network Tap hoặc Port Mirroring: Sao chép lưu lượng từ thiết bị mạng.
Mục tiêu:
Đánh cắp username/password, token, thông tin tài chính, v.v.
Phòng chống:
Sử dụng HTTPS, TLS, VPN để mã hóa dữ liệu.
Giám sát thiết bị lạ, phát hiện truy cập bất thường trong mạng LAN.
Sử dụng giao thức có sẵn trên thiết bị mạng (DHCP_snooping).
Spoofing (Giả mạo danh tính)
Spoofing là hành vi giả mạo địa chỉ hoặc danh tính (IP, MAC, DNS...) để đánh lừa hệ thống hoặc người dùng, thường được dùng để:
đánh cắp phiên truy cập
tấn công MITM
gửi thông tin sai lệch.
Các dạng phổ biến:
ARP Spoofing: Giả làm gateway để chặn dữ liệu.
DNS Spoofing: Trả về bản ghi sai → điều hướng truy cập đến web giả.
Email Spoofing, IP/MAC Spoofing,...
Phòng chống:
Xác thực chặt (2FA, TLS, DNSSEC).
Phát hiện địa chỉ bất thường trong mạng.
Dùng bảo mật lớp 2 như Dynamic ARP Inspection.
#CyberSecurity #Infosec #MITM #Spoofing #Snooping #ARPspoofing #DNSspoofing #DHCPsnooping #VnProCommunity
