ARP

TH: Lab 1 – วิเคราะห์ ARP (OSI Layer 2) วัตถุประสงค์ ดู Flow ของ ARP Request / Reply ระบุ MAC–IP mapping ตรวจความผิดปกติใน ARP ให้ได้ ขั้นตอน เปิดไฟล์: lab1_arp.pcap ใช้ filter: arp ดูว่า IP ไหนถามหา MAC ไหน ตรวจว่ามี ARP reply ที่ผิดปกติหรือไม่ คำถาม IP 192.168.1.10 ถามหาใคร? MAC Address ที่แท้จริงคืออะไร? มี ARP duplicate หรือไม่? Expected Answer (พี่เติมภายหลังตาม PCAP ที่ใช้) EN: Lab 1 – ARP Analysis Object: Observe ARP Request/Reply flow Validate MAC–IP mapping Identify anomalies (duplicates, spoofing)

TH: บทนำ / Concept Overview (เขียนอธิบายหัวข้อนี้เป็นภาษาไทยแบบเข้าใจง่ายสำหรับผู้เริ่มต้น เชื่อมโยงกับภาพใหญ่ของ TCP/IP และ OSI: ทำหน้าที่อะไรในระบบเครือข่าย ผู้เรียนควรเข้าใจอะไรจากบทนี้ ) EN: Introduction / Concept Overview (Write the English explanation here for learners. Focus on: What this concept does in the network Why it matters Key terms) TH: หัวข้อสำคัญ (Key Points – TH) จุดที่ 1 จุดที่ 2 จุดที่ 3 EN: Key Points Point 1 Point 2 Point 3 TH: ตัวอย่าง / เปรียบเทียบ (ใช้ตัวอย่างในชีวิตจริงอธิบาย เช่น การส่งจดหมาย, เบอร์โทรศัพท์, บ้านเลขที่ ฯลฯ) ...

TH: ภาพรวมเชิงลึก (Deep Overview – TH) (อธิบายโปรโตคอลนี้แบบเชิงลึก: ทำงานอย่างไรตามลำดับขั้น (message flow) Field สำคัญใน Header / Options จุดที่ใช้ตรวจหาผิดปกติ / หลักฐานในงานสืบสวน) EN: Deep Overview (EN) (Explain the protocol workflow in detail: Message sequence Critical header fields / options Forensic / detection points) Packet Structure & Fields (สรุปโครงสร้าง packet แบบเป็นหัวข้อ เน้น field ที่ควรโฟกัสเมื่อเปิดใน Wireshark / Zeek / Suricata) Normal vs Abnormal Behaviour พฤติกรรมปกติ (Normal pattern) พฤติกรรมผิดปกติ (Suspicious pattern) ตัวอย่าง Filter / Rule ที่ใช้จับ Forensic / Detection Notes (แนวคิดสำหรับ: ...

Case Study: ARP Spoofing Attack – การปลอม MAC เพื่อดักข้อมูล TH: บริบทเหตุการณ์ (Context) (สรุปสถานการณ์ เช่น อาการที่พบ, ผู้แจ้งเหตุ, พื้นที่เครือข่ายที่เกี่ยวข้อง อธิบายให้ผู้อ่านเห็น “จุดเริ่มต้นของเหตุการณ์”) EN: Incident Context (Explain symptoms, environment, what triggered the investigation.) Evidence (หลักฐานที่ผู้สืบสวนได้รับ) PCAP / Logs ผู้ใช้แจ้งว่า… Firewall หรือ NAT มีข้อความ… Packet Pattern น่าสงสัย… (ใส่ตารางหรือ bullets เพิ่มได้) Investigation Steps (ขั้นตอนสืบสวน) 1. Formulate Initial Hypothesis (TH + EN) 2. Inspect Key Packets Wireshark Filter Expected behavior vs abnormal behavior 3. Correlate Across Layers (เชื่อม OSI/TCP-IP/Protocols) ...

TH: บทนำ (สำหรับมือใหม่) Layer 1 — Link Layer (OSI Layer 1–2) “ชั้นที่อยู่ใกล้ลวด ใกล้สัญญาณ ใกล้ MAC Address” Protocol / Technology พื้นฐาน Protocol ทำหน้าที่ เข้าใจแบบง่าย Ethernet ส่งข้อมูลใน LAN ภาษาที่ใช้คุยกันในวงแลน Wi-Fi (802.11) ส่งข้อมูลแบบไร้สาย LAN แบบไร้สาย ARP หา MAC จาก IP ถามว่า “IP นี้คือ MAC ใคร?” VLAN (802.1Q) แบ่งเครือข่ายย่อย กั้นห้องภายในวง LAN ภาพจำง่าย - Ethernet/Wi-Fi = ถนนชั้นล่างสุด - MAC address = บ้านเลขที่ในระดับชั้นล่าง - ARP = คนถามบ้านว่าเจ้าของชื่ออะไร TH: บทนำ – Link Layer คืออะไร? Link Layer คือชั้นที่ใกล้ “สาย/สัญญาณ” ที่สุด ทำหน้าที่ส่งข้อมูลจากอุปกรณ์หนึ่งไปอีกอุปกรณ์หนึ่งที่อยู่ ในเครือข่ายเดียวกัน (LAN) ไม่ออกนอกวง ไม่ผ่าน Router ...

LAB: ARP Resolution Lab – การแก้ที่อยู่ MAC Objective (วัตถุประสงค์) ผู้เรียนจะเข้าใจ… ผู้เรียนสามารถสังเกต… ผู้เรียนสามารถวิเคราะห์… Background (พื้นฐานก่อนเริ่ม) (อธิบายพื้นหลังของโปรโตคอลหรือเครื่องมือที่เกี่ยวข้อง) Requirements PCAP (แนบ path หรืออธิบายวิธีโหลด) Tools: Wireshark / tcpdump / Zeek / Suricata ระบบปฏิบัติการใดรองรับ Steps 1. เริ่มต้นการสังเกต Traffic คำอธิบาย + ตัวอย่าง Filter ตัวอย่างคำสั่ง หรือ filter 2. วิเคราะห์ Packet ตามลำดับ (อธิบาย Step-by-step แบบสอนสดได้) 3. ตอบคำถามสำคัญ Q1: … Q2: … Q3: … Expected Outcome (ผลลัพธ์ที่คาดว่าได้) (ผู้เรียนควรเห็นอะไรใน Wireshark / logs) Instructor Notes (เฉพาะผู้สอน) วิธีอธิบายให้เข้าใจเร็ว จุดที่ผู้เรียนมักผิดพลาด Demo ที่ควรทำให้ดู