Đầu tiên làm rõ: mình sẽ giải thích khái niệm và cách hoạt động ở mức nhận thức/kiểm tra — không hướng dẫn cách tấn công. Mục tiêu: giúp bạn nhận biết và phòng ngừa hành vi nghe lén kiểu man-in-the-middle (MITM).

1) MITM là gì — tóm tắt nhanh

Man-in-the-middle (MITM) là kẻ trung gian chặn/đọc hoặc sửa dữ liệu giữa hai bên giao tiếp mà hai bên nghĩ là đang nói chuyện trực tiếp với nhau.

2) Những phương pháp MITM thường dùng (mô tả khái quát)

• Rogue Wi-Fi / Evil twin: kẻ tấn công tạo điểm Wi-Fi giả giống điểm thật, nạn nhân kết nối vào và toàn bộ lưu lượng đi qua kẻ này.
• ARP spoofing/poisoning: trên mạng LAN, kẻ tấn công gởi ARP giả để máy khác gửi gói qua máy hắn — hắn có thể chuyển tiếp sau khi nghe lén.
• DNS spoofing / DNS hijack: trả về địa chỉ IP sai cho tên miền, dẫn nạn nhân tới máy chủ giả.
• TLS/HTTPS interception (proxy với chứng chỉ tự ký): kẻ tấn công hoặc thiết bị proxy chèn chứng chỉ giữa, giải mã HTTPS—nếu máy chủ/ứng dụng không kiểm tra chứng chỉ chặt, dữ liệu bị lộ.
• SSL stripping: ép kết nối từ HTTPS về HTTP để giao tiếp không mã hóa (hiếm hơn khi HSTS được dùng).
• Session hijacking / cookie theft: chiếm session ID để mạo danh người dùng.

3) Kẻ trung gian “theo dõi” như thế nào (ý tưởng chung)

• Chặn và ghi lại gói tin (passive sniffing) để đọc nội dung (nếu không mã hóa) hoặc thu metadata (điểm đến, kích thước, thời gian).
• Chặn — sửa — chuyển tiếp (active MITM): thay đổi nội dung, chèn mã, redirect.
• Mô phỏng dịch vụ (phishing site, captive portal) để dụ nạn nhân nhập thông tin.
• Giải mã giao tiếp nếu họ có thể buộc/trick nạn nhân chấp nhận chứng chỉ giả hoặc tấn công vào khóa.

4) Dấu hiệu nghi ngờ có MITM (các chỉ báo để phát hiện)

• Trình duyệt hiển thị cảnh báo chứng chỉ (certificate warning) hoặc chứng chỉ chủ không hợp lệ.
• HTTPS bỗng mất (site chuyển thành HTTP) hoặc icon khóa bị đổi.
• Hiệu năng chậm lạ (độ trễ cao) do chuyển tiếp qua máy tấn công.
• Nhiều duplicate ARP entry hoặc ARP table thay đổi thường xuyên trên mạng LAN.
• Bất thường ở DNS (domain trỏ sang IP lạ).
• Yêu cầu xác thực lại liên tục hoặc xuất hiện captive-portal lạ khi đã ở mạng đáng tin.
• Các log hệ thống/IDS báo các kết nối bất thường, nhiều kết nối tới một host nội bộ hay gateway.

5) Cách kiểm tra / công cụ (mức bảo mật/phát hiện, không để khai thác)

• Kiểm tra biểu tượng HTTPS / chi tiết chứng chỉ trên trình duyệt.
• Dùng công cụ quét ARP / kiểm tra bảng ARP trên máy để thấy IP trùng MAC hoặc gateway có MAC khác thường.
• Kiểm tra DNS: nslookup/dig để xác minh IP thật của domain (đừng chia sẻ cách tấn công).
• Giám sát Traffic bằng công cụ phân tích để thấy pattern bất thường (ví dụ: nhiều gói retransmit, reset, hoặc DNS trả IP lạ).
  (Đây là các bước kiểm tra hợp pháp — dùng để bảo vệ mạng của bạn.)

6) Cách phòng ngừa và giảm rủi ro

• Luôn dùng HTTPS/TLS với cấu hình an toàn; bật HSTS cho website.
• Kiểm tra chứng chỉ (và cảnh báo người dùng khi không hợp lệ).
• Dùng VPN tin cậy khi dùng Wi-Fi công cộng.
• Bật Multi-Factor Authentication (MFA) để giảm tác hại khi credential bị lộ.
• Dùng DNSSEC và/hoặc DNS over HTTPS (DoH) để giảm DNS spoofing.
• Trên mạng LAN: static ARP entries cho thiết bị quan trọng hoặc dùng switch với bảo mật (port-security); phân đoạn mạng.
• Cập nhật hệ thống, hạn chế dùng wifi công cộng không đáng tin, và huấn luyện người dùng cảnh giác với captive portals và cảnh báo chứng chỉ.

7) Nếu bạn nghi ngờ bị nghe lén — bước khuyến nghị nhanh

1. Ngắt kết nối khỏi mạng nghi ngờ.
2. Kết nối lại bằng mạng khác (di động/VPN) để kiểm tra.
3. Kiểm tra chứng chỉ TLS của dịch vụ bạn truy cập.
4. Thay mật khẩu trên mạng an toàn và bật MFA.
5. Nếu là mạng công ty, báo cho đội bảo mật để họ điều tra log, ARP table, DHCP/DNS.