<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Osi-Layer3 on Roduygo | Blog</title><link>/tags/osi-layer3/</link><description>Recent content in Osi-Layer3 on Roduygo | Blog</description><generator>Hugo -- gohugo.io</generator><language>en</language><lastBuildDate>Thu, 21 May 2026 22:58:00 +0700</lastBuildDate><atom:link href="/tags/osi-layer3/index.xml" rel="self" type="application/rss+xml"/><item><title>Vành đai Tường lửa (Firewall) &amp; NAT</title><link>/post/firewall-nat-network-security/</link><pubDate>Thu, 21 May 2026 22:58:00 +0700</pubDate><guid>/post/firewall-nat-network-security/</guid><description>&lt;p&gt;Chào mừng các bạn tiếp tục với Series Giải phẫu Mạng &amp;amp; Packet Analysis! Trong 10 bài viết trước, chúng ta đã lột tả mọi góc khuất của các giao thức mạng từ Tầng 1 đến Tầng 7 và phân tích cách hacker thao túng chúng. Giờ là lúc chúng ta chuyển từ thế bị động sang chủ động: Xây dựng các công sự bảo vệ. Hôm nay, chúng ta sẽ bắt đầu với lớp giáp kiên cố nhất của mọi hệ thống: &lt;strong&gt;Vành đai Tường lửa&lt;/strong&gt; (Firewall) và cơ chế ẩn danh nội bộ (&lt;strong&gt;NAT&lt;/strong&gt;).&lt;/p&gt;
&lt;h2 id="1-tường-lửa-firewall-là-gì-và-vị-trí-hoạt-động"&gt;1. Tường lửa (Firewall) là gì và Vị trí hoạt động
&lt;/h2&gt;&lt;p&gt;&lt;strong&gt;Firewall&lt;/strong&gt; là một hệ thống bảo mật mạng đóng vai trò như một &amp;ldquo;màng lọc&amp;rdquo; khắc nghiệt, kiểm soát toàn bộ lưu lượng dữ liệu đi ra (Outbound) và đi vào (Inbound) giữa mạng nội bộ an toàn và môi trường Internet đầy rẫy hiểm nguy.&lt;/p&gt;
&lt;p&gt;Dưới góc độ triển khai, Firewall được chia thành hai loại chính:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Network Firewall:&lt;/strong&gt; Thường là thiết bị phần cứng hoặc máy chủ chuyên dụng đặt tại Gateway/Router để bảo vệ cả một mạng doanh nghiệp.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Host-based Firewall:&lt;/strong&gt; Chạy trực tiếp trên từng hệ điều hành (như &lt;strong&gt;Windows Defender Firewall&lt;/strong&gt; hoặc &lt;code&gt;firewalld&lt;/code&gt; trên Linux) để bảo vệ duy nhất chiếc máy tính đó.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Để chặn đứng các mối đe dọa, Firewall có thể hoạt động ở nhiều tầng khác nhau trong mô hình OSI:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Layer 3 (Network):&lt;/strong&gt; Lọc dựa trên địa chỉ IP Nguồn/Đích (ví dụ: Chặn IP &lt;code&gt;157.240.199.35&lt;/code&gt; của Facebook).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Layer 4 (Transport):&lt;/strong&gt; Lọc dựa trên giao thức TCP/UDP và số Cổng (ví dụ: Cấm cổng &lt;code&gt;22&lt;/code&gt; SSH).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Layer 7 (Application):&lt;/strong&gt; Lọc dựa trên nội dung thực tế của ứng dụng (ví dụ: Chặn các truy vấn DNS độc hại hoặc các HTTP GET mang mã SQL Injection).&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="2-nguyên-lý-hoạt-động-acl-packet-filtering-và-stateful-inspection"&gt;2. Nguyên lý hoạt động: ACL, Packet Filtering và Stateful Inspection
&lt;/h2&gt;&lt;p&gt;Sức mạnh của Firewall nằm ở một danh sách các quy tắc được định nghĩa từ trước gọi là &lt;strong&gt;ACL&lt;/strong&gt; (Access Control List). Khi một gói tin bay tới, Firewall sẽ áp dụng các cơ chế kiểm tra sau:&lt;/p&gt;
&lt;h3 id="21-lọc-gói-tin-packet-filtering"&gt;2.1 Lọc gói tin (Packet Filtering)
&lt;/h3&gt;&lt;p&gt;Firewall sẽ &amp;ldquo;soi&amp;rdquo; trực tiếp vào các lớp vỏ Header (Lớp 3 và Lớp 4) mà chúng ta đã phân tích trên Wireshark ở các bài trước. Nó kiểm tra xem địa chỉ IP và Port này có nằm trong danh sách đen (Blacklist) hay không.&lt;/p&gt;
&lt;h3 id="22-kiểm-tra-trạng-thái-stateful-inspection"&gt;2.2 Kiểm tra trạng thái (Stateful Inspection)
&lt;/h3&gt;&lt;p&gt;Những thế hệ Firewall thông minh không chỉ soi từng gói tin rời rạc, mà nó còn &lt;strong&gt;&amp;ldquo;nhớ&amp;rdquo;&lt;/strong&gt; trạng thái của cả một cuộc hội thoại. Ví dụ: Nếu nó nhớ rằng máy tính của bạn vừa gửi một gói &lt;code&gt;SYN&lt;/code&gt; ngỏ lời ra ngoài, nó sẽ tự động cho phép gói &lt;code&gt;SYN-ACK&lt;/code&gt; phản hồi từ Server đi xuyên qua tường lửa để trở về máy bạn.&lt;/p&gt;
&lt;h3 id="23-phán-quyết-actions"&gt;2.3 Phán quyết (Actions)
&lt;/h3&gt;&lt;p&gt;Sau khi đối chiếu ACL, Firewall sẽ đưa ra một trong ba phán quyết đối với gói tin:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Allow / Accept:&lt;/strong&gt; Cho phép gói tin đi qua bình thường.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Deny / Drop:&lt;/strong&gt; Tiêu hủy gói tin trong &lt;strong&gt;im lặng&lt;/strong&gt;. Kẻ gửi sẽ không biết gói tin đi đâu, dẫn đến việc Wireshark liên tục báo lỗi &lt;code&gt;TCP Retransmission&lt;/code&gt; do chờ mãi không thấy phản hồi.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Reject:&lt;/strong&gt; Hủy gói tin nhưng lịch sự gửi lại một thông báo lỗi (thường là gói tin &lt;strong&gt;ICMP&lt;/strong&gt;) báo cho kẻ gửi biết rằng &amp;ldquo;Cửa đã bị khóa&amp;rdquo;.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="3-thực-chiến-firewall-và-bắt-bệnh-trên-wireshark"&gt;3. Thực chiến Firewall và Bắt bệnh trên Wireshark
&lt;/h2&gt;&lt;p&gt;Để minh họa sự khác biệt của phán quyết, chúng ta dùng &lt;code&gt;firewalld&lt;/code&gt; trên Linux để chặn cổng &lt;code&gt;22&lt;/code&gt; (SSH) bằng cơ chế &lt;strong&gt;REJECT&lt;/strong&gt; và xem hệ thống phản ứng ra sao.&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-bash" data-lang="bash"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Kiểm tra danh sách các luật (rules) đang hoạt động trên Firewall&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;sudo firewall-cmd --list-all
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Thêm một Rich Rule để từ chối mọi kết nối TCP vào cổng 22&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;sudo firewall-cmd --add-rich-rule&lt;span style="color:#f92672"&gt;=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#39;rule family=&amp;#34;ipv4&amp;#34; port port=&amp;#34;22&amp;#34; protocol=&amp;#34;tcp&amp;#34; reject&amp;#39;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Reload để Tường lửa áp dụng luật mới ngay lập tức&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;sudo firewall-cmd --reload
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;Lúc này, nếu có kẻ cố tình truy cập vào cổng &lt;code&gt;22&lt;/code&gt; của máy bạn (&lt;code&gt;192.168.1.29&lt;/code&gt;), Wireshark sẽ không hiện lỗi gửi lại (Retransmission) mà sẽ chộp được ngay một gói tin phản hồi chí mạng ở Lớp 3:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;# Gói tin ICMP trả về khi Firewall áp dụng cơ chế REJECT
# Hệ thống trực tiếp đóng sập cửa và thông báo &amp;#34;Host unreachable&amp;#34;

No. Time Source Destination Protocol Info
5 2.204045407 192.168.1.29 192.168.1.29 ICMP Destination unreachable (Host unreachable)
&lt;/code&gt;&lt;/pre&gt;
 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;Góc nhìn SOC:&lt;/strong&gt; Thông điệp &lt;code&gt;Destination unreachable (Host unreachable)&lt;/code&gt; của ICMP chính là cách Firewall &amp;ldquo;trả lời&amp;rdquo; kẻ tấn công. Trong thực tế, Blue Team thường ưu tiên dùng quy tắc &lt;strong&gt;DROP&lt;/strong&gt; thay vì &lt;strong&gt;REJECT&lt;/strong&gt;. Việc Drop (hủy trong im lặng) sẽ làm công cụ quét mạng (Scanner) của hacker bị treo và chậm đi đáng kể do phải đợi Timeout, đồng thời không cung cấp cho chúng bất kỳ manh mối nào về việc hệ thống có Firewall hay không.&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;h2 id="4-nat-network-address-translation-người-hùng-giấu-mặt"&gt;4. NAT (Network Address Translation): Người hùng giấu mặt
&lt;/h2&gt;&lt;p&gt;Firewall chặn đứng các cuộc tấn công từ bên ngoài, nhưng còn một kỹ thuật khác giúp hệ thống nội bộ trở nên vô hình trên Internet: &lt;strong&gt;NAT&lt;/strong&gt;. NAT hoạt động chủ yếu ở Tầng 3 và Tầng 4, với nhiệm vụ thay đổi địa chỉ IP trong gói tin khi nó đi qua Router.&lt;/p&gt;
&lt;p&gt;Hãy xem quá trình gói tin đi từ máy tính của bạn (IP nội bộ &lt;code&gt;192.168.1.29&lt;/code&gt;) ra máy chủ Facebook (&lt;code&gt;157.240.199.35&lt;/code&gt;):&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;&lt;strong&gt;Gói tin đi ra (Outbound):&lt;/strong&gt; Máy bạn gửi gói tin từ địa chỉ &lt;code&gt;192.168.1.29:56375&lt;/code&gt; tới &lt;code&gt;157.240.199.35:443&lt;/code&gt;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Tại Router (Quá trình dịch):&lt;/strong&gt; Router không thể đẩy dải IP &lt;code&gt;192.168.x.x&lt;/code&gt; ra Internet vì đây là dải địa chỉ &lt;strong&gt;Private&lt;/strong&gt; không được định tuyến. NAT sẽ &amp;ldquo;xóa&amp;rdquo; IP nguồn này và thay bằng IP Public của công ty (ví dụ: &lt;code&gt;113.161.x.x&lt;/code&gt;). Đồng thời, nó ghi vào &lt;strong&gt;NAT Table&lt;/strong&gt; một dòng: &amp;ldquo;Port &lt;code&gt;56375&lt;/code&gt; của máy nội bộ &lt;code&gt;.29&lt;/code&gt; đang được gán cho kết nối Facebook&amp;rdquo;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Gói tin đi về (Inbound):&lt;/strong&gt; Facebook phản hồi lại địa chỉ Public &lt;code&gt;113.161.x.x:56375&lt;/code&gt;. Router nhận gói tin, dò lại NAT Table, thấy khớp Port nên tự động &amp;ldquo;dịch&amp;rdquo; ngược lại IP đích thành &lt;code&gt;192.168.1.29&lt;/code&gt; và đẩy vào máy bạn.&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;Nhờ NAT, dù công ty bạn có hàng nghìn nhân viên, tất cả chỉ cần dùng chung một vài địa chỉ IP Public để lướt web. Hacker đứng ngoài Internet sẽ không thể nào biết được kiến trúc địa chỉ IP thực sự bên trong mạng nội bộ của bạn.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Việc triển khai vững chắc Firewall và NAT giúp che giấu và bảo vệ hạ tầng mạng của tổ chức khỏi 90% các cuộc rà quét tự động của tin tặc. Tuy nhiên, Firewall chỉ có thể soi được lớp vỏ Header, vậy nếu hacker nhét một tệp chứa mã độc vào bên trong một gói tin HTTP hợp lệ thì sao? Ở Bài 12 tiếp theo, chúng ta sẽ lắp đặt thêm &amp;ldquo;con mắt ma thuật&amp;rdquo; cho mạng lưới: Phân tích sự khác biệt giữa IDS (Giám sát thụ động) và IPS (Ngăn chặn chủ động) với công cụ Suricata. Đừng bỏ lỡ nhé!&lt;/em&gt;&lt;/p&gt;</description></item><item><title>Giao thức Lớp 2 &amp; 3 - Truy vết MAC, IP và MAC Spoofing</title><link>/post/giao-thuc-arp-va-mac-spoo/</link><pubDate>Wed, 20 May 2026 08:30:00 +0700</pubDate><guid>/post/giao-thuc-arp-va-mac-spoo/</guid><description>&lt;p&gt;Chào mừng các bạn quay trở lại với Series Giải phẫu Mạng (Network Anatomy) &amp;amp; Packet Analysis! Ở bài trước, chúng ta đã ngắm nhìn toàn cảnh &amp;ldquo;bản đồ kho báu&amp;rdquo; OSI và biết cách đặt một gói tin lên bàn mổ Wireshark. Hôm nay, chúng ta sẽ bắt đầu chuyến thám hiểm thực sự vào thế giới của Tầng 2 (Data Link) và Tầng 3 (Network). Đây là nơi giải quyết câu hỏi cốt lõi nhất của Internet: &amp;ldquo;Làm sao thiết bị A có thể tìm và gửi dữ liệu chính xác cho thiết bị B giữa hàng tỷ thiết bị trên toàn cầu?&amp;rdquo;&lt;/p&gt;
&lt;h2 id="1-tầng-3-network-bản-đồ-thế-giới-và-địa-chỉ-ip"&gt;1. Tầng 3 (Network): Bản đồ Thế giới và Địa chỉ IP
&lt;/h2&gt;&lt;p&gt;Nếu muốn gửi một bức thư xuyên quốc gia, bạn cần một địa chỉ nhà chính xác. Trong thế giới mạng, Tầng 3 (Network Layer) chịu trách nhiệm định tuyến đường đi tốt nhất trên môi trường Internet bằng cách sử dụng Địa chỉ IP (Internet Protocol).&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Tính chất:&lt;/strong&gt; Địa chỉ IP là địa chỉ logic, được điều khiển bởi phần mềm và có thể thay đổi tùy thuộc vào mạng bạn đang kết nối.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Đóng gói:&lt;/strong&gt; Dữ liệu khi đi qua Tầng 3 sẽ được dán thêm một lớp IP Header để tạo thành một Packet (Gói tin). Lớp vỏ này chứa IP Nguồn (Source IP) và IP Đích (Destination IP).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Chẩn đoán lỗi:&lt;/strong&gt; Tầng 3 còn quản lý ICMP (Internet Control Message Protocol), giao thức đứng đằng sau lệnh &lt;code&gt;ping&lt;/code&gt; quen thuộc.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Đứng ở góc nhìn bảo mật, ICMP không chỉ dùng để ping mạng, mà còn là cách Tường lửa (Firewall) giao tiếp trả về thông báo. Khi Firewall chặn một kết nối bằng lệnh &lt;code&gt;REJECT&lt;/code&gt;, hệ thống sẽ trả về một gói tin ICMP với thông điệp &lt;code&gt;Destination unreachable (Host unreachable)&lt;/code&gt;.&lt;/p&gt;
&lt;h2 id="2-tầng-2-data-link-căn-cước-công-dân-và-địa-chỉ-mac"&gt;2. Tầng 2 (Data Link): Căn cước công dân và Địa chỉ MAC
&lt;/h2&gt;&lt;p&gt;Nếu Tầng 3 (IP) là địa chỉ nhà giúp gói tin bay xuyên lục địa, thì Tầng 2 (Data Link Layer) chịu trách nhiệm tìm đúng cánh cửa để gõ khi gói tin đã về đến mạng nội bộ (mạng LAN).&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Đơn vị dữ liệu:&lt;/strong&gt; Tầng 2 sẽ bọc Packet của Tầng 3 lại thành một Frame (Khung).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Địa chỉ MAC:&lt;/strong&gt; Giao thức chính ở đây là Ethernet II, sử dụng Địa chỉ MAC (Media Access Control).&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;MAC giống như cái &amp;ldquo;Căn cước công dân&amp;rdquo; vật lý, một mã số duy nhất gồm 48-bit, ví dụ &lt;code&gt;40:8D:5C:9B:A6:67&lt;/code&gt;, được nhà sản xuất nạp cứng vào card mạng (NIC) của bạn.&lt;/p&gt;
&lt;p&gt;Tại sao đã có IP mà vẫn cần MAC? Trong một mạng LAN, các thiết bị trung tâm như Switch không hề nhìn vào địa chỉ IP. Chúng chỉ đọc địa chỉ MAC trên Frame để biết chính xác phải đẩy xung điện dữ liệu vào cổng (Port) vật lý nào để tới đúng máy tính của bạn chứ không phải máy của anh hàng xóm.&lt;/p&gt;
&lt;h2 id="3-cầu-nối-sinh-tử-giao-thức-phân-giải-địa-chỉ-arp"&gt;3. Cầu nối sinh tử: Giao thức phân giải địa chỉ (ARP)
&lt;/h2&gt;&lt;p&gt;Đây là lúc rắc rối xảy ra: máy tính của bạn biết IP của máy đích (Tầng 3), nhưng card mạng lại bắt buộc phải có địa chỉ MAC (Tầng 2) để truyền Frame đi. Làm sao để biết được MAC của một IP lạ? Giải pháp chính là ARP (Address Resolution Protocol).&lt;/p&gt;
&lt;p&gt;Quá trình &amp;ldquo;hỏi đường&amp;rdquo; ARP diễn ra như sau, hãy tưởng tượng mạng LAN là một căn phòng đông người:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;ARP Request (Hỏi):&lt;/strong&gt; Máy của bạn &amp;ldquo;hét&amp;rdquo; lên toàn mạng (Broadcast) một thông điệp: &amp;ldquo;Ai là chủ nhân của địa chỉ IP &lt;code&gt;192.168.1.1&lt;/code&gt;? Hãy cho tôi biết địa chỉ MAC của bạn!&amp;rdquo;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;ARP Reply (Trả lời):&lt;/strong&gt; Chỉ duy nhất thiết bị đang giữ IP đó mới lên tiếng đáp lại (Unicast): &amp;ldquo;Là tôi đây! Địa chỉ MAC của tôi là &lt;code&gt;AA:BB:CC:DD:EE:FF&lt;/code&gt;&amp;rdquo;.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;ARP Cache (Ghi nhớ):&lt;/strong&gt; Sau khi nhận câu trả lời, máy của bạn sẽ lưu cặp IP - MAC này vào Bảng ARP (ARP Table) để lần sau không phải hét lên hỏi nữa.&lt;/li&gt;
&lt;/ul&gt;

 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;Ghi chú:&lt;/strong&gt; Chèn ảnh chụp màn hình Wireshark bắt gói tin ARP Request (&lt;code&gt;Who has...&lt;/code&gt;) và ARP Reply (&lt;code&gt;is at...&lt;/code&gt;) tại đây.&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;h2 id="4-góc-nhìn-kẻ-tấn-công-thực-chiến-mac-spoofing"&gt;4. Góc nhìn Kẻ tấn công: Thực chiến MAC Spoofing
&lt;/h2&gt;&lt;p&gt;Địa chỉ MAC được nạp cứng vào phần cứng, nghe có vẻ rất an toàn đúng không? Sai lầm! Địa chỉ MAC hoàn toàn có thể bị giả mạo bằng phần mềm ở cấp độ hệ điều hành. Kỹ thuật này gọi là MAC Spoofing (Giả mạo MAC).&lt;/p&gt;
&lt;p&gt;Tại sao hacker lại làm vậy? Nhiều hệ thống an ninh mạng, như hệ thống Wi-Fi ở khách sạn, công ty hay luật Firewall tĩnh, sử dụng tính năng lọc địa chỉ MAC (MAC Filtering) để quyết định ai được phép vào mạng. Bằng cách giả mạo MAC của một thiết bị hợp lệ như máy của sếp hoặc máy in, hacker có thể đàng hoàng vượt rào.&lt;/p&gt;
&lt;p&gt;Dưới đây là cách thay đổi địa chỉ MAC trên máy Linux trong môi trường lab:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-bash" data-lang="bash"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Kiểm tra danh sách card mạng hiện tại&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;ip link show
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Tắt card mạng muốn thay đổi, ví dụ wlp8s0&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;sudo ip link set dev wlp8s0 down
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Đổi địa chỉ MAC sang một MAC giả&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;sudo ip link set dev wlp8s0 address 00:ad:be:ef:13:40
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Bật lại card mạng&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;sudo ip link set dev wlp8s0 up
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Kiểm tra lại xem MAC đã được đổi thành công chưa&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;ip link show wlp8s0
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;
 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;Cảnh báo:&lt;/strong&gt; Kỹ thuật MAC Spoofing cũng là tiền đề cho một đòn đánh nghiêm trọng hơn gọi là ARP Spoofing / ARP Poisoning (đầu độc bộ nhớ cache ARP). Kẻ tấn công sẽ liên tục gửi các gói tin ARP Reply giả mạo để lừa toàn bộ máy tính trong mạng rằng: &amp;ldquo;MAC của tôi chính là Router đây&amp;rdquo;. Từ đó, luồng truy cập Internet của nạn nhân có thể bị điều hướng qua máy của kẻ tấn công trong mô hình Man-in-the-Middle.&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Kết thúc Bài 2, chúng ta đã hiểu được &amp;ldquo;sợi dây liên kết&amp;rdquo; giữa địa chỉ logic (IP) và địa chỉ vật lý (MAC), cùng cách thức hoạt động của ARP và ICMP. Tầng 2 và 3 chỉ có nhiệm vụ tìm đường và ném gói tin đi, chúng không hề quan tâm gói tin có đến nơi an toàn hay không. Trách nhiệm nặng nề đó sẽ được giao cho Tầng 4. Ở Bài 3, chúng ta sẽ bước vào &amp;ldquo;trái tim&amp;rdquo; của sự ổn định: giải phẫu giao thức TCP, thuật toán bắt tay 3 bước và đi tìm nguyên nhân gây ra các lỗi rớt mạng kinh điển. Các bạn đừng bỏ lỡ nhé!&lt;/em&gt;&lt;/p&gt;</description></item></channel></rss>