ก่อนอื่น เราต้องรู้เกี่ยวกับ ARP Spoofing คร่าวๆก่อนครับ ว่ามันคืออะไร ทำไมถึงใช้วิธีนี้ดัก Packet เราได้ ?
ปกติแล้ว การที่เครื่องเซิฟเวอร์เราสื่อสารกับใคร จะต้องมีการรับส่งข้อมูลผ่านเครื่อง Gateway

[SERVER] [GATEWAY] [เครื่อง PC ของคุณ]

ซึ่ง Gateway ของ ISP จะปลอดภัยอยู่แล้ว คงไม่มีเจ้าหน้าที่ใน ISP คนไหนมานั่งดักข้อมูลกันหรอกครับ
แต่ถ้าอย่างระดับธนาคารเขาจะใช้ SSL (https:) ในการช่วยเข้ารหัส Packet ถึงดักไปก็จะได้ข้อมูลที่อ่านไม่รู้เรื่อง
แล้วถ้าอย่างเราๆบ้านๆ ไปซื้อ https: หมด คงไม่ได้แน่ เพราะต้นทุนสูง ต้องใช้ Dedicated IP ด้วยอีก
เราตัดปัญหาที่เจ้าหน้าที่ ISP จะมาดักข้อมูลเราได้เลย เราไม่ได้มีข้อมูลอะไรสำคัญขนาดธนาคาร
เรามามองที่เรื่องของ ผู้ใช้ ร่วมตู้เรานี่ล่ะครับ ที่จะมาดักข้อมูลเรา

แล้วคนในตู้เดียวกัน จะดักข้อมูลเราได้อย่างไร ?
เราใช้วิธี ARP Spoofing ครับ โดยจะส่ง Packet บางอย่างมาหลอกเครื่องของเราว่า เครื่องเขาคือ Gateway
เช่น ปกติแล้ว IP ของ Gateway คือ 203.146.1.126
เขา ก็จะส่ง Packet บางอย่างมาบอกว่า เครื่องของเขาคือ IP 203.146.1.126 นะ ต่อไปให้ติดต่อเครื่องของเขา การติดต่อสื่อสารก็จะเปลี่ยนเป็นลักษณะนี้

[SERVER] [เครื่องของผู้ไม่หวังดี] [GATEWAY] [เครื่อง PC ของคุณ]

ทำให้เขาสามารถรับรู้ Packet ต่างๆที่วิ่งไหลผ่านเครื่องของคุณได้เลย ไม่ว่าจะเป็น
Username / Password ต่างๆ รวมไปถึงรหัสบัตรเติมเงินทรูมันนี่

การป้องกันเบื้องต้น จะใช้วิธี Fix ค่า ARP ในเครื่องของเรา ให้เป็น MAC Address ที่ถูกต้องของ Gateway จริงๆ ตลอดเวลาครับ
** ไม่มีผลใดๆกับเซิฟเวอร์ที่รันอยู่ และไม่ต้อง Reboot เครื่ิองครับ **

สำหรับ Windows

1 Remote Desktop เข้าเครื่องเซิฟเวอร์ จากนั้นไปที่ Start -> Run พิมพ์ Cmd แล้วคลิ๊ก OK

2 พิมพ์ คำสั่ง ipconfig จะได้ IP ของเครื่อง Gateway
C:Documents and SettingsAdministrator>ipconfig
IP Address. . . . . . . . . . . . : 210.1.1.1
Subnet Mask . . . . . . . . . . . : 255.255.255.128
Default Gateway . . . . . . . . . : 210.1.1.126
เช่น ในที่นี้ คือ 210.1.1.126

3 พิมพ์ คำสั่ง arp -a IP_ของเครื่อง_Gateway_จากข้อ_2 เช่น arp -a 210.1.1.126 จะได้ค่า Mac Address ของเครื่อง Gateway
C:Documents and SettingsAdministrator>arp -a 210.1.1.126
Interface: 210.1.58.32 --- 0x10003
Internet Address Physical Address Type
210.1.1.126 00-00-0c-07-xx-xx static
โดยที่สีแดงคือ Mac Address นั่นเอง

4 ให้เราสร้างไฟล์ชื่อ fix_arp.bat ที่ใดก็ได้ เช่น บน Desktop ใส่เนื้อหาดังนี้

QUOTE
@ECHO off
:BEGIN
arp -a 210.1.1.126 | FIND "00-00-0c-07-xx-xx"
IF ERRORLEVEL 1 GOTO SET_ARP
goto BEGIN
:SET_ARP
echo CLEAR_ARP
arp -s 210.1.1.126 00-00-0c-07-xx-xx
GOTO BEGIN

โดยเปลี่ยน IP สีแดงให้ตรงกับ IP Gateway ของคุณ ที่ได้จากข้อ 2
และเปลี่ยน Mac Address สีแดงให้ตรงกับ Mac Address Gateway ของคุณ ที่ได้จากข้อ 3

5 เปิดไฟล์ fix_arp.bat ที่ได้สร้างไว้ ระบบจะคอยเคลียร์ค่า ARP ให้ถูกต้อง เปิดทิ้งไว้นะครับ

หาก Reboot เครื่องใหม่ เปิดไฟล์ fix_arp.bat ที่ได้สร้างไว้ได้เลยครับ เปิดทิ้งไว้นะครับ

สำหรับ Linux

1 ให้ root ต่อเข้าไปในเซิฟเวอร์ผ่าน SSH

2 พิมพ์ คำสั่ง route -n | grep UG จะได้ IP ของเครื่อง Gateway
[root@localhost ~]# route -n | grep UG
0.0.0.0 203.146.1.126 0.0.0.0 UG 0 0 0 eth0
เช่น ในที่นี้ คือ 203.146.1.126

3 พิมพ์ คำสั่ง arp -an IP_ของเครื่อง_Gateway_จากข้อ_2 เช่น arp -an 203.146.1.126 จะได้ค่า Mac Address ของเครื่อง Gateway
[root@localhost ~]# arp -an 203.146.1.126
? (203.146.1.126) at 00:00:0C:XX:XX:XX [ether] PERM on eth0
โดยที่สีแดงคือ Mac Address นั่นเอง

4 ให้เราสร้างไฟล์ชื่อ fix_arp.sh ใน /root เช่น /root/fix_arp.sh ใส่เนื้อหาดังนี้

QUOTE
while [ /bin/true ];
do
CHK=`arp -n 203.146.1.126|grep 00:00:0C:XX:XX:XX`
if [ -z "$CHK" ];
then
echo "clear arp"
arp -d 203.146.1.126
arp -s 203.146.1.126 00:00:0C:XX:XX:XX
else
echo "checking.."
fi
usleep 20000
done

โดยเปลี่ยน IP สีแดงให้ตรงกับ IP Gateway ของคุณ ที่ได้จากข้อ 2
และเปลี่ยน Mac Address สีแดงให้ตรงกับ Mac Address Gateway ของคุณ ที่ได้จากข้อ 3

5 พิมพ์ คำสั่ง chmod +x /root/fix_arp.sh เพื่อกำหนดให้สามารถ Execute ไฟล์ fix_arp.sh ได้

6 พิมพ์ คำสั่ง screen -S FixARP เพื่อเปิด screen ใหม่

7 หลังจากเข้า screen ไปแล้ว พิมพ์ คำสั่ง /root/fix_arp.sh หลังนั้น Shell Script จะทำงาน แล้วก็ปิดได้เลย

หาก Reboot เครื่องใหม่ ก็ทำขั้นตอน 6 และ 7 ซ้ำได้เลยครับ

ขอขอบคุณบทความจากน้องสุดหล่อ TMPAY