ARP Spoofing & Dynamic ARP Inspection 2026: ป้องกัน MITM Layer 2 ในองค์กรไทย

# ARP Spoofing & Dynamic ARP Inspection (DAI) 2026: ป้องกัน MITM ระดับ Layer 2 ในเครือข่ายองค์กรไทย

ในยุคที่ Zero Trust กลายเป็นมาตรฐาน หลายองค์กรลงทุนกับ Firewall, EDR, MFA แต่กลับมองข้ามภัยคุกคามที่ซ่อนอยู่ใต้ Switch ของตัวเอง — ARP Spoofing หรือการปลอม ARP ที่เปิดประตูให้แฮกเกอร์ทำ Man-in-the-Middle (MITM) ภายในเครือข่ายของคุณ โดยไม่ต้องเจาะ Firewall เลย

ARP Spoofing เป็นเทคนิคเก่าแก่ที่ยังใช้ได้ผลในปี 2026 เพราะ ARP ออกแบบมาโดยไม่มีระบบ Authentication เครื่องไหนก็ส่ง ARP Reply เข้ามาบอกว่า "IP นี้คือ MAC ของผมนะ" และอุปกรณ์อื่นจะเชื่อทันที

บทความนี้จะอธิบายวิธีโจมตี กลไกป้องกันด้วย Dynamic ARP Inspection (DAI) บน Cisco / Aruba / MikroTik และขั้นตอนการตั้งค่าจริงเพื่อให้ SME ไทยใช้งานได้เลย

1. ARP คืออะไร และทำไมถึงเป็นจุดอ่อน

Address Resolution Protocol (ARP) ทำหน้าที่ map IPv4 ไปยัง MAC address ภายใน Broadcast Domain เดียวกัน เมื่อเครื่อง A อยากคุยกับ Gateway 192.168.1.1 จะส่ง ARP Request ออกมาว่า "ใครคือ 192.168.1.1?" และเครื่องที่ใช่จะตอบกลับด้วย ARP Reply

ปัญหาหลัก: ARP ไม่มีการตรวจสอบตัวตน ใครส่ง Reply ก็เชื่อหมด ส่ง Gratuitous ARP ได้โดยไม่ต้องมีคนถาม ARP Cache เขียนทับได้ง่าย และทำงานก่อน IP จึงไม่มี Encryption ใดๆ มาช่วย ผลคือใน 5 วินาที ผู้โจมตีที่อยู่ใน LAN เดียวกันสามารถเปลี่ยนเส้นทางการสื่อสารระหว่าง Victim กับ Gateway ผ่านเครื่องตัวเองได้

2. การโจมตี ARP Spoofing ใช้งานจริง

| ขั้นตอน | สิ่งที่ผู้โจมตีทำ | ผลกระทบ |

|---------|-------------------|---------|

| Reconnaissance | สแกน LAN ด้วย arp-scan, nmap | ได้ MAC + IP ทุกเครื่อง |

| ARP Poisoning | ส่ง Gratuitous ARP บอก Victim ว่า Gateway = MAC ผู้โจมตี | Victim ส่งทราฟฟิกออกผ่านผู้โจมตี |

| IP Forwarding | เปิด ip_forward แล้ว Forward ทราฟฟิกต่อให้ Gateway จริง | Victim ใช้งานเน็ตได้ตามปกติ ไม่รู้ตัว |

| Sniffing / SSL Strip | ใช้ Wireshark, mitmproxy, Bettercap จับข้อมูล | ได้ Cookie, Token, Credentials |

เครื่องมือยอดนิยม Bettercap, Ettercap, arpspoof, Cain Abel เป็น Open-source ทั้งหมด ผู้โจมตีใช้งานเป็นได้ภายใน 30 นาที

3. Dynamic ARP Inspection (DAI) คืออะไร

DAI เป็นกลไก Switch-side ที่ตรวจสอบทุก ARP Packet ที่วิ่งผ่าน Trusted vs Untrusted Port โดยอ้างอิง DHCP Snooping Binding Table หรือ Static ARP ACL

Workflow ของ DAI: DHCP Snooping เก็บข้อมูล MAC, IP, VLAN, Port ของทุก Lease ที่ Switch เห็น เมื่อ ARP Packet วิ่งผ่าน Switch จะตรวจ Sender IP/MAC กับ Binding Table ถ้าไม่ตรงจะ Drop และ Log ถ้าตรงจะ Forward ตามปกติ ผลคือผู้โจมตีไม่สามารถปลอม ARP ของเครื่องอื่นได้ เพราะ Switch จะยกเลิกแพ็กเก็ตปลอมตั้งแต่ก่อนถึงเครื่อง Victim

4. ขั้นตอนการตั้ง DAI บน Cisco Catalyst (IOS-XE)

ตัวอย่างคำสั่งหลัก เริ่มด้วยการเปิด ip dhcp snooping และ ip dhcp snooping vlan 10,20,30 ตามด้วย ip arp inspection vlan 10,20,30 จากนั้นกำหนด Trust Port บน Uplink ด้วย ip arp inspection trust และ ip dhcp snooping trust ตั้ง Rate-limit บน User Port ด้วย ip arp inspection limit rate 20 และ Validate ทั้ง Source/Destination MAC + IP ด้วย ip arp inspection validate src-mac dst-mac ip ตรวจสอบสถานะด้วย show ip arp inspection และ show ip dhcp snooping binding

สำหรับเครื่องที่ใช้ Static IP เช่น Server, Printer ต้องเพิ่ม ARP ACL: arp access-list STATIC-DEVICES, permit ip host 192.168.10.10 mac host aabb.cc11.2233, ip arp inspection filter STATIC-DEVICES vlan 10

5. ตั้งค่าใน Brand อื่นๆ ที่ SME ไทยใช้บ่อย

Aruba CX ใช้ arp inspection vlan 10 ใน global config และ arp inspection trust บน Uplink Port พร้อม ip source-binding สำหรับ Static device

MikroTik RouterOS 7 ใช้ /ip dhcp-server set add-arp=yes บน DHCP Server, /interface bridge port set arp=reply-only บน Port ของ User วิธีง่ายที่สุดบน MikroTik คือเปิด arp=reply-only บน Port ของ User และเปิด add-arp ใน DHCP Server เพื่อสร้าง Static ARP โดยอัตโนมัติ

Linux Bridge (pfSense, OPNsense, Open vSwitch) ใช้ ebtables กับ arpwatch เพื่อตรวจจับการเปลี่ยน MAC ผิดปกติ และส่ง alert ผ่าน syslog เข้า SIEM

6. ตารางเปรียบเทียบมาตรการป้องกัน Layer 2

| เทคนิค | ARP Spoofing | DHCP Spoofing | MAC Flooding | ทำงานบน |

|--------|--------|--------|--------|--------|

| Dynamic ARP Inspection | ใช่ | ผ่าน Snooping | ไม่ | L2 Switch |

| DHCP Snooping | ไม่ | ใช่ | ไม่ | L2 Switch |

| Port Security | บางส่วน | ไม่ | ใช่ | L2 Switch |

| 802.1X / NAC | ผ่าน Authorization | ใช่ | ใช่ | Switch + RADIUS |

| Private VLAN | ลด Broadcast | บางส่วน | บางส่วน | L2 Switch |

| Static ARP บน Endpoint | บางส่วน | ไม่ | ไม่ | OS |

แนะนำให้ใช้ DAI + DHCP Snooping + Port Security ร่วมกันเพื่อ Defense in Depth

7. Best Practices สำหรับการ Deploy ในองค์กร

8. ตรวจจับ ARP Spoofing แบบ Real-time

แม้ DAI จะป้องกันได้ แต่ในเครือข่ายที่ยังไม่ได้เปิด DAI สามารถใช้ arpwatch (Daemon บน Linux ส่ง Email เมื่อ MAC-IP เปลี่ยน), Wireshark Filter arp.duplicate-address-detected, Suricata Rule ET POLICY ARP Spoofing, และ Bettercap caplet สำหรับ Blue Team Training

9. สรุปและ Next Step

ARP Spoofing เป็นภัยที่ดูเก่าแต่ยังใช้ได้ในปี 2026 เพราะองค์กรหลายแห่งยังเปิด Switch แบบ Plug-and-Play โดยไม่ตั้ง Layer 2 Hardening เลย

สิ่งที่ทีม IT ควรทำพรุ่งนี้: Audit Switch ทุกตัวว่าเปิด DHCP Snooping + DAI แล้วหรือยัง, จัดทำรายชื่ออุปกรณ์ Static IP เพื่อเตรียม ARP ACL, ตั้ง Pilot บน VLAN Guest ก่อนขยายไป User VLAN, และส่ง Log Layer 2 เข้า SIEM พร้อมตั้ง Alert ทันที

หากต้องการความช่วยเหลือในการออกแบบ Network Hardening, ตั้งค่า DAI หรือทำ Internal Penetration Test ภายใน LAN องค์กร ติดต่อทีม ADS FIT ได้เลย เราช่วยลูกค้า SME ไทยปิดช่องโหว่ Layer 2 ตั้งแต่ระดับ Switch ไปจนถึง Endpoint Hardening