บทที่ 7
- 2. 1. วิธีการและเครื่องมือสาหรับการทดสอบทะลุทะลวง
(1) การลาดตระเวน (Foot printing) การลาดตระเวน ซึ่ งเป็ นกระบวนการ
รวบรวมข้อมูลเกี่ยวกับองค์กร ซึ่ งข้อมูลเหล่านี้ถกนาไปใช้ในการทดสอบ
ู
การลาดตระเวนเป็ นขั้นตอนแรกก่อนเริ่ มทดสอบ การรวบรวมข้อมูลเริ่ ม
จากการกาหนดระบบเป้ าหมายโปรแกรมประยุกต์ (Application) หรื อที่ต้ ง
ั
กายภาพ (Physical location) ของระบบ ส่ วนข้อมูลที่รวบรวมจะเกี่ยวกับ
สภาพแวดล้อมและสถาปัตยกรรมของระบบเป้ าหมาย (Architecture) โดย
มีวตถุประสงค์เพื่อศึกษาการเข้าสู่ ระบบทางไกล ช่องทางเข้าออกหรื อ
ั
พอร์ตและบริ การที่ระบบเปิ ดให้บริ การ และการรักษาความปลอดภัยของ
ระบบให้มากที่สุดเท่าที่จะมากได้ เช่น เว็บขององค์กรอาจให้ขอมูลเกี่ยวกับ
้
บุคลากรในองค์ ซึ่ งจะทาให้สามารถใช้กลลวงทางสังคม (Social
engineering) ทดสอบระบบได้ในขั้นตอนต่อไป เป็ นต้น
- 3. 1) วิธีการรวบรวมสารสนเทศ ในการรวบรวมข้อมูลขั้นต้นของระบบ
สารสนเทศขององค์กรที่เรี ยกว่าการเก็บรายละเอียดดีเอ็นเอสหรื อบริ การชื่อ
โดเมน (DNS enumeration) หรื อกระบวนการในด้านหาข้อมูลเกี่ยวกับสถาน
ที่ต้ งเครื่ องเซิร์ฟเวอร์ที่ทาหน้าที่เป็ นดีเอ็นเอสหรื อเครื่ องบริ การชื่อเมน (DNS
ั
servers) จะทาให้ทราบข้อมูลเพิ่มเติมเกี่ยวกับ ชื่อผูใช้ ชื่อเครื่ องคอมพิวเตอร์ และ
้
่
เลขที่อยูไอพีของเครื่ องเซิฟร์เวอร์เป้ าหมายโดยผูใช้เครื่ องมือดังต่อไปนี้
้
- Nslookup และ DNSstuff โดย Nslookup เป็ นเครื่ องมือที่ใช้ในการค้นหาข้อมูล
เกี่ยวกับเครื่ องเซิฟร์เวอร์ที่ทาหน้าที่เป็ นดีเอ็นเอสหรื อเครื่ องบริ การชื่อโดเมน
่
- Whois และ ARIN Lookups โดย Whois เป็ นเครื่ องมือที่จะระบุวาองค์กรใด
หรื อผูใดลงทะเบียนโดเมน เพื่อใช้สร้างระบบอีเมลหรื อเว็บไซต์
้
- 4. นอกจากนี้ยงสามารถใช้ Smart Whois เพื่อจัดเก็บเกี่ยวกับประเทศ จังหวัด เมือง
ั
ชื่อของผูใช้บริ การเครื อข่าย
้
2) วิธีการรวบรวมสารสนเทศด้ วยเครื่องมืออืน ๆ นอกเหนือจากการใช้เครื่ องมือ
่
ดังกล่าวในการจัดเก็บข้อมูลเครื่ องบริ การชื่อเมนแล้ว ผูโจมตียงสามารถหาข้อมูล
้
ั
เขตสัญญาณบริ การ (Foot printing)
โดยใช้เครื่ องมือดังนี้
- การตามรอยเส้ นทาง (Trace route) ในกรณี ที่ตองการทราบที่ต้ งทางภูมิศาสตร์
้
ั
่
ของระบบเป้ าหมาย จะใช้เครื่ องมือ Trace route เป็ นเครื่ องมือที่อยูใน
ระบบปฏิบติการ
ั
- โปรแกรมติดตามอีเมล (E-mail - tracking) เป็ นโปรแกรมที่อนุญาตให้ผส่ง
ู้
อีเมลทราบว่าผูอ่าน ส่ งต่อ แก้ไข หรื อลบทั้งอีเมลหรื อยัง
้
- 5. ่
- Web spiders เป็ นเว็บไซต์ที่จดเก็บที่อยูอีเมลจากอินเตอร์เน็ต
ั
- กลลวงทางสั งคม เป็ นเครื่ องมือที่ใช้ในการรวบรวมข้อมูลได้ เช่นกัน การ
ป้ องกันทาได้โดย กาหนดนโยบายและขั้นตอนการปฏิบติงาน พร้อมทั้งสื่ อสาร
ั
นโยบายและขั้นตอนการปฏิบติงานให้เจ้าหน้าที่ขององค์กรทราบและถือปฏิบติ
ั
ั
(2) การสแกนนิ่ง (Scanning) และการเก็บรายละเอียด (Enumeration) ขั้นตอน
ต่อมาคือการสแกนและการเก็บรายละเอียดซึ่งเป็ นขั้นตอนแรกของการทดสอบ
การโจมตีระบบและเกี่ยวกับการที่ผทดสอบระบบจะกาหนดเป้ าหมายหรื อ
ู้
เครื อข่ายที่จะทดสอบ โดยการเก็บรายละเอียดเป็ นขั้นตอนถัดมาภายหลังการ
สแกนระบบอย่างครบถ้วนสมบูรณ์
- 6. 1) เป็ นหมายหลักของการสแกน มีดงนี้
ั
- การสแกนทางเข้ าออก (Port scanning) เป็ นกระบวนการในการค้นคว้า
หาว่ามีช่องทางเข้าออก ทีพีซี/ไอพีเปิ ดอยู่ (TCP/IP port ) เนื่องจากช่อง
ทางเข้าออกที่เปิ ดจะทาให้ทราบถึงการบริ การ
- การสแกนเครือข่ าย (Network scanning) เป็ นการสแกนเครื อข่ายเพื่อ
ระบุแม่ข่ายที่กาลังปฏิบติงานอยู่ นอกจากนี้เป้ าหมายของการสแกนเพื่อให้
ั
่
ทราบเลขที่อยูไอพีของเครื อข่าย
- การสแกนช่ องโหว่ (Vulnerability scanning ) เป็ นกระบวนการในการ
ระบุช่องโหว่ของระบบเครื อข่าย โดยสแกนนี้จะค้นหาระบบปฏิบติการ
ั
เครื อข่ายใช้รุ่น (Version) รวมทั้ง Service Pack ต่อจากจะระบุจุดอ่อนหรื อ
ช่องโหว่ของระบบปฏิบติการนั้น
ั
- 7. 2.ตัวอย่ างการกระทาให้ เกิดอันตรายกับระบบ
คอมพิวเตอร์
การหลีกเลียง IDSs, Honey pots และ Firewalls
่
(1) เครื่องมือที่ใช้ ในการหลีกเลียง
่
- Snort เป็ นโปรแกรมติดตามการจราจรในเครื อข่าย
- ADMutate ใช้ในการโจมตี Script เนื่องจาก Script ที่เป็ น
อันตรายทาให้สามารถผ่านการตรวจจับของ IDS ได้
- 007 Shell โปรแกรมนี้สามารถใช้ในการเปลี่ยนช่องสัญญาณ
เพื่อให้การโจมตีและผ่านกฎที่กาหนดไว้ในไฟล์วอลล์ได้
- Send-Safe Honeypot Hunter เป็ นเครื่ องมือตรวจจับ Honeypot
โดยตรวจสอบกับ Poxy server เพื่อค้นหา Honeypot นอกจากนี้
สามารถใช้ Nessus Vulnerability Scanner เพื่อค้นหา Honeypot
ได้
- 8. (2) วิธีรับมือ
- Specter เป็ นระบบที่จบสารสนเทศที่เป็ นเครื่ องของผูโจมตีอตโนมัติระหว่างที่ระบบถูกโจมตี
ั
้
ั
- Honeyd เป็ นโปรแกรมสร้างมาข่ายเสมือน (Virtual host) เพื่อให้เป็ นเป้ าโจมตีของนักเจาะระบบ
- KFSensor เป็ น Host-based IDS ที่เป็ น Honeypot และจาลองบริ การและติดตั้งโปรแกรมโทรจัน
- Sobek คือเครื่ องมือของ Honeypot ที่ดกจับข้อมูลนักจัดระบบ
ั
2) การฉีดคาสั่ งค้ นหาข้ อมูลและการล้ นของข้ อมูล
โจมตีท้ งสองประเภทคล้ายกันตรงที่วธีการทั้งสองจัดส่ งคาสั่งเขาไปในฟิ ลด์ใช้ในการ
ั
ิ
ป้ อนข้อมูลเข้า ซึ่ งส่ วนมากจะเป็ นส่ วนที่ผใช้ป้อนชื่อและรหัสผ่านบนเว็บไซต์และการ
ู้
เพิมข้อมูลเข้าไปใน URL ซึ่ งปั ญหาส่ วนมากเกิดจากการที่โปนแกรม ไม่มีการสอบทาน
่
ความสมเหตุสมผลนาเข้า (Validation)
- 9. (3) การล้นข้ อมูล
1) การทาการล้นข้ อมมูล
การล้นของข้อมูลแบ่งได้ 2 แระเภท คือ แบบสแต๊ก (Stack-based)
และ แบบฮีป (Heap-based) อนึ่งผูทดสอบไม่จาเป็ นต้องทราบ
้
รายละเอียดของการล้นข้อมูล เนื่องจากมีคาสังการหาประโยชน์ที่
่
เขียนและสามารถค้นหาได้จากอินเตอร์เน็ต อย่างไรก็ตามผูเ้ ขียน
่
คาสังดังกล่าวต้องทราบเลขที่อยูของหน่วยความจาและขนาดของ
่
สแต๊กที่แท้จริ งเพื่อทาให้ตวชี้ส่งกลับมาประมวลผลคาสังของตน
ั
่
ผูทดสอบสามารถใช้ คาสัง No Operation (NOP) เพื่อค่อย ๆ
้
่
เคลื่อนย้ายตัวชี้คาสังและประมวลผลคาสังใด ๆ คาสัง NOP จะ
่
่
่
ถูกเพิ่มเข้าไปในชุดคาสังก่อนรหัสที่เป็ นภัยที่ถูกประมวลผล
่
- 10. 2) วิธีการรับมือการล้ นข้ อมูล
IDS สามารถนามาใช้ขดขวางการส่ งคาสั่ง NOP อย่างไรก็ตาม ผูทดสอบสามารถ
ั
้
เพิ่มคาสั่งบางคาสั่งเพื่อที่ IDS จะไม่สามารถตรวจจับได้เช่นกัน ดังนั้นวิธีการที่ดี
ที่สุดคือโปรแกรมเมอร์ไม่ควรใช้ชุดคาสั่ง (Script) ที่มีคนจัดทาให้แล้ว และถ้า
เป็ นไปได้ควรเขียนโปรแกรมด้วยภาษา Java เนื่องจากการเขียนโปรแกรมด้วยภาษา
ดังกล่าวไม่มีปัญหาจากการล้นข้อมูล
(4) โทรจันฮอร์ ส
1) เครื่องมือที่ใช้ โทรจันฮอร์ส เป็ นโปรแกรมที่ใช้ช่องทางสื่ อสารกับระบบเครื อข่าย
ที่มิได้ไว้เพื่อการนั้น (Covert channel) ซึ่ งโปรแกรมต่าง ๆ มักใช้ช่องทางการสื่ อสาร
ที่กาหนดไว้ Overt channel โปรแกรมโทรจันฮอร์สที่ทราบกันโดยทัวไป
่
ประกอบด้วย
- 11. - TROJ_QAZ เป็ นโปรแกรมที่เปลี่ยนชื่อโปรแกรม notepad.exe ให้เป็ น
note.com ต่อจากนั้นสาเนาตัวเองให้เป็ น notepad.exe ทาให้โปรแกรมนี้
สามารถเริ่ มประมวลผลทุกครั้งที่ผใช้เปิ ดโปรแกรม notepad โดย
ู้
โปรแกรมจะมีโปรแกรมแบ็ดดอร์ ที่สามารถควบคุมคอมพิวเตอร์ระยะไกล
ผ่านทางช่องทางเข้าออก 7597
- Tini เป็ นโปรแกรมแบ็ดดอร์ สาหรับปฏิบติการวินโดว์ที่ใช้หมายเลขช่อง
ั
ทางเข้าออก 777 เพื่อส่ งคาสั่งมายังระบบเป้ าหมายระยะไกล
- NetBus เป็ นโปรแกรมโทรจันฮอร์ส ทาหน้าที่คล้ายกับ Donald Dick โดย
โปรแกรมจะปรับเปลี่ยนข้อมูลในส่ วนจัดเก็บข้อมูลที่เกี่ยวข้องกับการ
ทางานของระบบวินโดว์ (Registry หรื อ รี จิสทรี )
- 12. 2) วิธีการรับมือ
สามารถกระทาให้ความรู ้แก่ผใช้งานเพื่อไม่ติดตั้งโปรแกรมที่
ู้
นามาจากอินเตอร์เน็ตหรื อเปิ ดแฟ้ มข้อมูลที่ส่งมาพร้อมกับอีเมลที่
จากบุคคลที่ไม่ทราบ ไม่ให้ผใช้สิทธิในการติดตั้งโปรแกรมเครื่ อง
ู้
คอมพิวเตอร์ของกิจการและใช้โปรแกรมที่มีขายในท้องตลาด
เพื่อค้นหาและลบโปรแกรมโทรจันฮอร์ส โดยเครื่ องมือที่
สามารถใช้ในการติดตามและค้นหาโปรแกรมโทรจันฮอร์ส ดังนี้
- Fport รายงานหมายเลขช่องทางเข้าออก TCP/IP และ UDP
และแสดงให้เห็นว่าหมายเลขช่องทางเข้าออกนั้น ๆ ถูกใช้ดวย
้
โปรแกรมประยุกต์ใด ทาให้ทราบถึงหมายเลขช่องทางเข้าออกที่
- 13. - TCPView เป็ นโปรแกรมระบบปฏิบติการวินโดว์ที่แสดง
ั
่
่
รายละเอียดของ TCP และ UDP ไม่วาจะเป็ นเลขที่อยูภายในหรื อ
ระยะไกลและสภาวะของการเชื่อมต่อ TCP รวมถึงรุ่ นชื่อโดเมน
- Dsniff เป็ นโปรแกรมที่รวบรวมเครื่ องมือต่าง ๆ เพื่อใช้ในการ
ตรวจสอบเครื อข่ายและทดสอบทะลุทะลวง โดยโปแกรมดังกล่าวจะ
ติดตามเครื อข่ายเพื่อค้นหาข้อมูลที่สาคัญ ๆ เช่น รหัสผ่าน และ
แฟ้ มข้อมูลที่ส่งผ่านระหว่างกัน เป็ นต้น
(5) การดักฟัง (Sniffers)
1) เครื่องมือทีใช้
่
- Ethereal เป็ นฟรี แวร์ที่สามารถดักจับข้อมูลจากระบบแลนทั้งหมดที่
มีสายและไร้สาย ปัจจุบนโปรแกรมนี้เปลี่ยนชื่อเป็ น WireShark
ั
- 14. - Snot คือระบบตรวจจับการบุกรุ ก (Intrusion-Detection System
หรื อ IDS) ที่มีความสามารถในการดักจับข้อมูล และสามารถ
ตรวจจับการโจมตีต่าง ๆ เช่น การล้นของข้อมูล การสแกน
หมายเลขช่องทางเข้าออก และความพยายามหาข้อมูลของ
ระบบปฏิบติการ เป็ นต้น
ั
- Lris เป็ นโปรแกรมที่มีความสามารถในการรวบรวม จัดเก็บ จัด
กลุ่ม รายงานการจราจรใน เครื อข่ายที่มีประสิ ทธิภาพ
-EtherFlood ใช้ในการส่ งข้อมูลจานวนมาก ๆ (Flood) ไปที่
สวิตซ์เพื่อทาให้เปลี่ยนแปลงการทางานเป็ นฮับซึ่งจะทาให้
สามารถจับจราจรภายในเครื อข่ายได้ท้ งหมด แทนที่จะเป็ นเพียง
ั
- 15. 2) วิธีการรับมือ การรับมือกับการดักฟังที่ดีที่สุดคือการเข้ารหัส
ข้อมูล (Encryption) เช่น AES และ RC4 หรื อ RCS เป็ นต้น เป็ น
เครื่ องมือที่สามารถนามาใช้ในเครื อข่ายส่ วนบุคคลเสมือนวีพีเอ็น
(Virtual private network หรื อ VPN) นอกจากนี้ยงสามารถใช้
ั
เครื่ องมือ เช่น net interceptor (เป็ นไฟว์วอลล์เพื่อป้ องกันไวรัส
และการสแปม ของ TCP สาหรับระบบปฏิบติการวินโดว์ ) เป็ น
ั
ต้น
(7) การปฏิเสธการให้ บริการ และการปล้นช่ วงของการเชื่อมต่ อ
เครือข่ าย
1) เครื่องมือที่ใช้
- เครื่ องมือสาหรับการโจมตีแบบปฏิบติเสธการให้บริ การ เช่น
ั
Ping of Death (ส่ งกลุ่มที่มีขนาดใหญ่จานวนมากเพื่อให้เครื่ อง
- 16. 2) วิธีการรับมือ
- การปองกันการโจมตีแบบปฏิเสธการให้ บริการ
้
+ การกรองข้อมูลที่เข้ามาในเครื อข่าย
+ การจากัดการจราจรในเครื อข่าย
+ ติดตั้งระบบตรวจจับการบุกรุ ก
+ การสแกนเครื่ องไคลเอ็นต์และเซิร์ฟเวอร์เพื่อค้นหา DDoS
- การปองกันการปล้นช่ วงเวลาของการเชื่อมต่ อเครือข่ าย
้
+ เข้ารหัส เช่น Internet Protocol Security (IPSec) เป็ นต้น
+ ใช้เครื อข่ายส่ วนบุคคลเสมือนหรื อวีพีเอ็น
- 17. + จากัดการเข้าเชื่อมต่อ
+ ลดการเขาถึงระยะไกล
+ มีการพิสูจน์ตวจริ งที่เหมาะสม
ั
+ ให้การศึกษาเจ้าหน้าที่
(7) การเจาะเว็บเซิร์ฟเวอร์ และโปรแกรมประยุกต์ บนเว็บ
1) เครื่องมือที่ใช้
- N-Stalker Web Application Security scanner เป็ นโปรแกรม
ที่ใช้ประเมินโปรแกรมประยุกต์บนเว็บเพื่อหาช่องโหว่ของ
โปรแกรมประยุกต์
- CORE IMPACT and SAINT Vulnerability Scanner เป็ น
โปรแกรมที่ใช้ในการทดสอบและเจาะระบบปฏิบติการและเว็บ
ั
- 18. - Instant Source เป็ นโปรแกรมที่ใช้สาหรับปรับปรุ งต้นกาหนดภาษา HTML
- Web Sleuth เป็ นโปรแกรมที่ใช้ในการจัดทาดัชนีเว็บไซต์ท้ งหมด เช่น สามารถ
ั
่
ดึงเลขที่อยูในอีเมลจากเว็บเพจต่าง ๆ
2) วิธีการรับมือ
วิธีการรับมือเป็ นไปตามภัยคุกคามบทที่ 2
(8) การเจาะระบบไร้ สาย
1) เครื่องมือที่ใช้
- SMAC คือ เครื่ องมือปลอมหมายเลขเครื่ องซึ่งผูทดสอบสามารถใช้เพื่อปลอม
้
่
เลขที่อยูของผูใช้ที่มีสิทธิและเข้าถึงเครื อข่าย
้
- WEP Crack และ Air Snort เป็ นเครื่ องมือในการแกะรหัสระบบปฏิบติการลี
ั
นุกส์
- 19. 2) วิธีการรับมือ
การติดตั้ง WPA, WPA2, 802.11 , IPec หรื อ SSL VPN และ Secure Shell
(SSH), HTP บน SSL (HTTPS) และ FTP/SSL (FTPS) รายละเอียด
สามารถศึกษาได้จากบทที่ 6 และบทที่ 7
