<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Mac-Spoofing on Roduygo | Blog</title><link>/tags/mac-spoofing/</link><description>Recent content in Mac-Spoofing on Roduygo | Blog</description><generator>Hugo -- gohugo.io</generator><language>en</language><lastBuildDate>Wed, 20 May 2026 08:30:00 +0700</lastBuildDate><atom:link href="/tags/mac-spoofing/index.xml" rel="self" type="application/rss+xml"/><item><title>Giao thức Lớp 2 &amp; 3 - Truy vết MAC, IP và MAC Spoofing</title><link>/post/giao-thuc-arp-va-mac-spoo/</link><pubDate>Wed, 20 May 2026 08:30:00 +0700</pubDate><guid>/post/giao-thuc-arp-va-mac-spoo/</guid><description>&lt;p&gt;Chào mừng các bạn quay trở lại với Series Giải phẫu Mạng (Network Anatomy) &amp;amp; Packet Analysis! Ở bài trước, chúng ta đã ngắm nhìn toàn cảnh &amp;ldquo;bản đồ kho báu&amp;rdquo; OSI và biết cách đặt một gói tin lên bàn mổ Wireshark. Hôm nay, chúng ta sẽ bắt đầu chuyến thám hiểm thực sự vào thế giới của Tầng 2 (Data Link) và Tầng 3 (Network). Đây là nơi giải quyết câu hỏi cốt lõi nhất của Internet: &amp;ldquo;Làm sao thiết bị A có thể tìm và gửi dữ liệu chính xác cho thiết bị B giữa hàng tỷ thiết bị trên toàn cầu?&amp;rdquo;&lt;/p&gt;
&lt;h2 id="1-tầng-3-network-bản-đồ-thế-giới-và-địa-chỉ-ip"&gt;1. Tầng 3 (Network): Bản đồ Thế giới và Địa chỉ IP
&lt;/h2&gt;&lt;p&gt;Nếu muốn gửi một bức thư xuyên quốc gia, bạn cần một địa chỉ nhà chính xác. Trong thế giới mạng, Tầng 3 (Network Layer) chịu trách nhiệm định tuyến đường đi tốt nhất trên môi trường Internet bằng cách sử dụng Địa chỉ IP (Internet Protocol).&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Tính chất:&lt;/strong&gt; Địa chỉ IP là địa chỉ logic, được điều khiển bởi phần mềm và có thể thay đổi tùy thuộc vào mạng bạn đang kết nối.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Đóng gói:&lt;/strong&gt; Dữ liệu khi đi qua Tầng 3 sẽ được dán thêm một lớp IP Header để tạo thành một Packet (Gói tin). Lớp vỏ này chứa IP Nguồn (Source IP) và IP Đích (Destination IP).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Chẩn đoán lỗi:&lt;/strong&gt; Tầng 3 còn quản lý ICMP (Internet Control Message Protocol), giao thức đứng đằng sau lệnh &lt;code&gt;ping&lt;/code&gt; quen thuộc.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Đứng ở góc nhìn bảo mật, ICMP không chỉ dùng để ping mạng, mà còn là cách Tường lửa (Firewall) giao tiếp trả về thông báo. Khi Firewall chặn một kết nối bằng lệnh &lt;code&gt;REJECT&lt;/code&gt;, hệ thống sẽ trả về một gói tin ICMP với thông điệp &lt;code&gt;Destination unreachable (Host unreachable)&lt;/code&gt;.&lt;/p&gt;
&lt;h2 id="2-tầng-2-data-link-căn-cước-công-dân-và-địa-chỉ-mac"&gt;2. Tầng 2 (Data Link): Căn cước công dân và Địa chỉ MAC
&lt;/h2&gt;&lt;p&gt;Nếu Tầng 3 (IP) là địa chỉ nhà giúp gói tin bay xuyên lục địa, thì Tầng 2 (Data Link Layer) chịu trách nhiệm tìm đúng cánh cửa để gõ khi gói tin đã về đến mạng nội bộ (mạng LAN).&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Đơn vị dữ liệu:&lt;/strong&gt; Tầng 2 sẽ bọc Packet của Tầng 3 lại thành một Frame (Khung).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Địa chỉ MAC:&lt;/strong&gt; Giao thức chính ở đây là Ethernet II, sử dụng Địa chỉ MAC (Media Access Control).&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;MAC giống như cái &amp;ldquo;Căn cước công dân&amp;rdquo; vật lý, một mã số duy nhất gồm 48-bit, ví dụ &lt;code&gt;40:8D:5C:9B:A6:67&lt;/code&gt;, được nhà sản xuất nạp cứng vào card mạng (NIC) của bạn.&lt;/p&gt;
&lt;p&gt;Tại sao đã có IP mà vẫn cần MAC? Trong một mạng LAN, các thiết bị trung tâm như Switch không hề nhìn vào địa chỉ IP. Chúng chỉ đọc địa chỉ MAC trên Frame để biết chính xác phải đẩy xung điện dữ liệu vào cổng (Port) vật lý nào để tới đúng máy tính của bạn chứ không phải máy của anh hàng xóm.&lt;/p&gt;
&lt;h2 id="3-cầu-nối-sinh-tử-giao-thức-phân-giải-địa-chỉ-arp"&gt;3. Cầu nối sinh tử: Giao thức phân giải địa chỉ (ARP)
&lt;/h2&gt;&lt;p&gt;Đây là lúc rắc rối xảy ra: máy tính của bạn biết IP của máy đích (Tầng 3), nhưng card mạng lại bắt buộc phải có địa chỉ MAC (Tầng 2) để truyền Frame đi. Làm sao để biết được MAC của một IP lạ? Giải pháp chính là ARP (Address Resolution Protocol).&lt;/p&gt;
&lt;p&gt;Quá trình &amp;ldquo;hỏi đường&amp;rdquo; ARP diễn ra như sau, hãy tưởng tượng mạng LAN là một căn phòng đông người:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;ARP Request (Hỏi):&lt;/strong&gt; Máy của bạn &amp;ldquo;hét&amp;rdquo; lên toàn mạng (Broadcast) một thông điệp: &amp;ldquo;Ai là chủ nhân của địa chỉ IP &lt;code&gt;192.168.1.1&lt;/code&gt;? Hãy cho tôi biết địa chỉ MAC của bạn!&amp;rdquo;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;ARP Reply (Trả lời):&lt;/strong&gt; Chỉ duy nhất thiết bị đang giữ IP đó mới lên tiếng đáp lại (Unicast): &amp;ldquo;Là tôi đây! Địa chỉ MAC của tôi là &lt;code&gt;AA:BB:CC:DD:EE:FF&lt;/code&gt;&amp;rdquo;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;ARP Cache (Ghi nhớ):&lt;/strong&gt; Sau khi nhận câu trả lời, máy của bạn sẽ lưu cặp IP - MAC này vào Bảng ARP (ARP Table) để lần sau không phải hét lên hỏi nữa.&lt;/li&gt;
&lt;/ul&gt;

 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;Ghi chú:&lt;/strong&gt; Chèn ảnh chụp màn hình Wireshark bắt gói tin ARP Request (&lt;code&gt;Who has...&lt;/code&gt;) và ARP Reply (&lt;code&gt;is at...&lt;/code&gt;) tại đây.&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;h2 id="4-góc-nhìn-kẻ-tấn-công-thực-chiến-mac-spoofing"&gt;4. Góc nhìn Kẻ tấn công: Thực chiến MAC Spoofing
&lt;/h2&gt;&lt;p&gt;Địa chỉ MAC được nạp cứng vào phần cứng, nghe có vẻ rất an toàn đúng không? Sai lầm! Địa chỉ MAC hoàn toàn có thể bị giả mạo bằng phần mềm ở cấp độ hệ điều hành. Kỹ thuật này gọi là MAC Spoofing (Giả mạo MAC).&lt;/p&gt;
&lt;p&gt;Tại sao hacker lại làm vậy? Nhiều hệ thống an ninh mạng, như hệ thống Wi-Fi ở khách sạn, công ty hay luật Firewall tĩnh, sử dụng tính năng lọc địa chỉ MAC (MAC Filtering) để quyết định ai được phép vào mạng. Bằng cách giả mạo MAC của một thiết bị hợp lệ như máy của sếp hoặc máy in, hacker có thể đàng hoàng vượt rào.&lt;/p&gt;
&lt;p&gt;Dưới đây là cách thay đổi địa chỉ MAC trên máy Linux trong môi trường lab:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-bash" data-lang="bash"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Kiểm tra danh sách card mạng hiện tại&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;ip link show
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Tắt card mạng muốn thay đổi, ví dụ wlp8s0&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;sudo ip link set dev wlp8s0 down
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Đổi địa chỉ MAC sang một MAC giả&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;sudo ip link set dev wlp8s0 address 00:ad:be:ef:13:40
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Bật lại card mạng&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;sudo ip link set dev wlp8s0 up
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Kiểm tra lại xem MAC đã được đổi thành công chưa&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;ip link show wlp8s0
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;
 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;Cảnh báo:&lt;/strong&gt; Kỹ thuật MAC Spoofing cũng là tiền đề cho một đòn đánh nghiêm trọng hơn gọi là ARP Spoofing / ARP Poisoning (đầu độc bộ nhớ cache ARP). Kẻ tấn công sẽ liên tục gửi các gói tin ARP Reply giả mạo để lừa toàn bộ máy tính trong mạng rằng: &amp;ldquo;MAC của tôi chính là Router đây&amp;rdquo;. Từ đó, luồng truy cập Internet của nạn nhân có thể bị điều hướng qua máy của kẻ tấn công trong mô hình Man-in-the-Middle.&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Kết thúc Bài 2, chúng ta đã hiểu được &amp;ldquo;sợi dây liên kết&amp;rdquo; giữa địa chỉ logic (IP) và địa chỉ vật lý (MAC), cùng cách thức hoạt động của ARP và ICMP. Tầng 2 và 3 chỉ có nhiệm vụ tìm đường và ném gói tin đi, chúng không hề quan tâm gói tin có đến nơi an toàn hay không. Trách nhiệm nặng nề đó sẽ được giao cho Tầng 4. Ở Bài 3, chúng ta sẽ bước vào &amp;ldquo;trái tim&amp;rdquo; của sự ổn định: giải phẫu giao thức TCP, thuật toán bắt tay 3 bước và đi tìm nguyên nhân gây ra các lỗi rớt mạng kinh điển. Các bạn đừng bỏ lỡ nhé!&lt;/em&gt;&lt;/p&gt;</description></item></channel></rss>