🔍 บทนำ
(เนื้อหาเริ่มต้นของบทความ Man-in-the-Middle Investigation: ตรวจจับการทำ ARP Spoofing)
บทความที่ 2 นี้คือการก้าวเข้าสู่โลกของ “การสืบสวนคดีอาชญากรรมทางไซเบอร์” อย่างเต็มตัวครับ หลังจากที่เราเข้าใจแล้วว่า ARP คือการถามชื่อและที่อยู่ บทนี้เราจะมาดูว่า “โจร” ใช้ความใจดีของโปรโตคอลนี้มาดักฟังเราได้อย่างไร รับ
🕵️ 02-MITM Investigation: ตรวจจับ “จอมโจรในเงา”
MITM (Man-in-the-Middle) คือสถานะที่ผู้บุกรุกแอบแทรกตัวอยู่ตรงกลางระหว่างคุณกับอินเทอร์เน็ต โดยที่คุณไม่รู้ตัวเลย เพราะคุณยังใช้งานเน็ตได้ปกติ แต่ข้อมูลทุกอย่าง (รหัสผ่าน, แชท, ประวัติการเข้าเว็บ) จะไหลผ่านเครื่องของโจรคนนั้นก่อน
📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary)
ก่อนจะไปดูวิธีสืบสวน มาทำความเข้าใจคำศัพท์ที่หาไม่ได้ในพจนานุกรมทั่วไปกันก่อนครับ:
| คำศัพท์ | คำอ่าน | ความหมายในเชิงเทคนิค |
|---|---|---|
| Spoofing | สปูฟ-ฟิ่ง | การ “สวมรอย” หรือปลอมตัวเป็นคนอื่นเพื่อให้เป้าหมายไว้ใจ |
| Poisoning | พอย-ซัน-นิ่ง | การ “วางยา” ข้อมูล เช่น การส่งค่า MAC Address ปลอมไปหลอกให้เครื่องเป้าหมายจำค่าผิดๆ |
| Gateway | เกต-เวย์ | “ประตูทางออก” ส่วนใหญ่หมายถึง Router ที่พาเราออกไปสู่อินเทอร์เน็ต |
| Gratuitous ARP | กรา-ทู-อิ-ทัส เอ-อาร์-พี | การส่งข้อมูล ARP ออกไป “โดยที่ไม่มีใครถาม” มักใช้เพื่ออัปเดตข้อมูลหรือใช้ในการโจมตี |
| Full Duplex | ฟูล ดู-เพล็กซ์ | การสื่อสารที่ส่งและรับข้อมูลได้พร้อมกัน (โจร MITM มักพยายามดึงข้อมูลทั้งขาไปและขากลับ) |
| Unicast | ยู-นิ-แคสต์ | การส่งข้อมูลแบบ “เจาะจงตัวบุคคล” (ส่งจาก 1 ไป 1) |
⚠️ กลไกการโจมตี: ARP Poisoning
โจรจะใช้เครื่องมือ (เช่น Bettercap) ส่ง Packet ไปหลอกคน 2 ฝั่งพร้อมกัน:
หลอกคุณ: “ฉันคือ Router นะ ส่งข้อมูลมาที่ฉันสิ”
หลอก Router: “ฉันคือเครื่องของนายเขียวนะ ถ้ามีอะไรจะส่งให้เขา ส่งมาที่ฉัน”
ผลลัพธ์คือ ข้อมูลทั้งหมดจะวิ่งมาหาโจร แล้วโจรค่อยส่งต่อไปให้เจ้าตัวจริงๆ เพื่อไม่ให้ใครสงสัย
🔍 วิธีสืบสวนด้วย Tshark (Investigation Steps)
ในฐานะนักสืบ เราจะใช้ Tshark จับพิรุธ “ความผิดปกติของตัวเลข” ครับ
1. ตรวจสอบการประกาศตัวที่น่าสงสัย
รันคำสั่งนี้เพื่อดูว่ามีใครส่ง Gratuitous ARP มาบ่อยเกินไปไหม:
Bash
sudo tshark -i eth0 -f "arp" -Y "arp.opcode == 2"
หากเห็น IP เดิมประกาศตัวซ้ำๆ ว่า “ฉันคือ Gateway” (Opcode 2 คือ Reply) ทั้งที่ไม่มีใครถาม ให้สงสัยไว้ก่อนเลยครับ
2. เทคนิค “MAC Address หน้าคุ้น”
จุดตายของโจรคือ MAC Address ของโจรจะไปปรากฏที่ IP อื่น ให้คุณเช็ค ARP Table ในเครื่อง:
Bash
ip neigh show
จุดสังเกต: ถ้าคุณเห็น IP ของ Gateway (เช่น 192.168.1.1) กับ IP ของเครื่องแปลกๆ ในวงแลน มีค่า MAC Address ตัวเดียวกันเป๊ะ แสดงว่าคุณโดน MITM แล้วครับ!
📝 บันทึกการวิเคราะห์
ในการสืบสวนจริง เราไม่ได้มองหาแค่ “ใครทำ” แต่ต้องมองหา “ทำอย่างไร”
Signs of Attack: เน็ตเริ่มช้าลงผิดปกติ (เพราะข้อมูลต้องแวะไปที่เครื่องโจร)
Prevention: การใช้ Static ARP (การล็อกเลขที่บ้านไว้ถาวร) หรือการใช้ VPN เพื่อเข้ารหัสข้อมูลอีกชั้นหนึ่ง
💡 การบ้านสำหรับบทนี้:
ลองใช้คำสั่ง ip neigh show ในเครื่อง Arch Linux ของคุณตอนนี้ แล้วจดค่า MAC Address ของ Gateway ไว้ วันหน้าถ้าคุณไปนั่งร้านกาแฟแล้วใช้คำสั่งเดิมแล้วพบว่า MAC Address ของ Gateway เปลี่ยนไปเป็นตัวเดียวกับเครื่องอื่นในร้าน… คุณอาจกำลังถูกจ้องมองอยู่ครับ!