1 / 38

ตัวอย่างเครือข่าย

ตัวอย่างเครือข่าย. Hypertext Transport Protocol Language of the Web protocol used for communication between web browsers and web servers TCP port 80 RFC 1945. คำศัพท์ด้านความปลอดภัยที่ควรรู้.

perdy
Download Presentation

ตัวอย่างเครือข่าย

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ตัวอย่างเครือข่าย • Hypertext Transport Protocol • Language of the Web • protocol used for communication between web browsers and web servers • TCP port 80 • RFC 1945

  2. คำศัพท์ด้านความปลอดภัยที่ควรรู้คำศัพท์ด้านความปลอดภัยที่ควรรู้ Virus = แพร่เชื้อไปติดไฟล์อื่นๆในคอมพิวเตอร์โดยการแนบตัวมั นเองเข้าไป มันไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆไ ด้ต้องอาศัยไฟล์พาหะ สิ่งที่มันทำคือสร้างความเสียหายให้กับไฟล์ Worm = คัดลอกตัวเองและสามารถส่งตัวเองไปยังคอมพิวเตอร์เครื ่องอื่นๆได้อย่างอิสระ โดยอาศัยอีเมลล์หรือช่องโหว่ของระบบปฏิบัติการ มักจะไม่แพร่เชื่อไปติดไฟล์อื่น สิ่งที่มันทำคือมักจะสร้างความเสียหายให้กับระบบเครื อข่าย Trojan = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่เครื่องเองห รือด้วยวิธีอื่นๆ สิ่งที่มันทำคือเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาคว บคุมเครื่องที่ติดเชื้อจากระยะไกล ซึ่งจะทำอะไรก็ได้ และโทรจันยังมีอีกหลายชนิด Spyware = ไม่แพร่เชื้อไปติดไฟล์อื่นๆ ไม่สามารถส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นๆได้ ต้องอาศัยการหลอกคนใช้ให้ดาวโหลดเอาไปใส่เครื่องเองห รืออาศัยช่องโหว่ของ web browser ในการติดตั้งตัวเองลงในเครื่องเหยื่อ สิ่งที่มันทำคือรบกวนและละเมิดความเป็นส่วนตัวของผู้ ใช้

  3. คำศัพท์ด้านความปลอดภัยที่ควรรู้คำศัพท์ด้านความปลอดภัยที่ควรรู้ Malwareย่อมาจาก Malicious Software หมายถึงโปรแกรมคอมพิวเตอร์ทุกชนิดที่มีจุดประสงค์ร้ายต่อคอมพิวเตอร์และเครือข่าย หรือเป็นคำที่ใช้เรียกโปรแกรมที่มีจุดประสงค์ร้ายต่อ ระบบคอมพิวเตอร์ทุกชนิดแบบรวมๆ โปรแกรมในกลุ่มนี้ เช่น virus, worm, trojan, spyware, keylogger, hack tool, dialer, phishing, toolbar, etc. Hybrid malware/Blended Threats = คือ malware ที่รวมความสามารถของ virus, worm, trojan, spyware เข้าไว้ด้วยกัน Social Engineering = คือ เทคนิคการ Hacking ซึ่งอาศัยช่องโหว่จาก "พฤติกรรมของผู้ใช้" (Human behavior) ลักษณะของวิธีนี้ คือ แฮกเกอร์จะปลอมตัวเป็น ใครคนใดคนหนึ่งหรือ หน่วยงานอะไรสักอย่าง เพื่อ หลอกให้เหยื่อ เปิดเผยข้อมูล ซึ่งอาจจะเป็น การสอบถาม password หรือข้อมูล ที่ sensitive อะไรบางอย่าง เพื่อการเดาไปสู่ password Phishing = เป็นเทคนิคการทำ social engineer โดยใช้อีเมลล์เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลการทำธุรกรรมทางการเงินบนอินเตอร์เน็ตเช่น บัตรเครดิตหรือ online bank account

  4. คำศัพท์ด้านความปลอดภัย.. ที่ควรรู้ Zombie Network = เครื่องคอมพิวเตอร์จำนวนมากๆ จากทั่วโลกที่ตกเป็นเหยื่อของ worm, trojan และ malware อย่างอื่น (compromised machine) ซึ่งจะถูก attacker/hacker ใช้เป็นฐานปฏิบัติการในการส่ง spam mail, phishing, DoS หรือเอาไว้เก็บไฟล์หรือซอฟแวร์ที่ผิดกฎหมาย Hoax= ข่าวหลอกลวงเป็นวิธีการหรือการกุข่าวขึ้นมาสักเรื่องแล้วก็ส่งต่อๆ กันไปในระบบอินเทอร์เน็ตสักพักหนึ่งข่าวที่กุขึ้นมานี้ก็จะแพร่ไปในสังคมไอทีอย่างรวดเร็ว

  5. Vulnerability Vulnerability คือช่องโหว่ในระบบที่ยอมให้เกิดการกระทำที่ไม่ได้รับอนุญาตได้ ซึ่งเป็นความเสี่ยงของระบบในการถูกโจมตี ด้วยเหตุนี้เองเราจึงต้องทำการป้องกันรูรั่วหรือช่องโหว่โดยการติดตั้งโปรแกรมเพื่อทำให้เครื่องคอมพิวเตอร์มีความแข็งแกร่งมากขึ้น เช่นโปรแกรมที่เป็น Patch ต่างๆ เป็นต้น ซึ่งในกรณีนี้ช่องโหว่ต่างๆที่เกิดขึ้น ไม่ได้เกิดขึ้นใหม่ เพียงแต่เพิ่งถูกค้นพบเท่านั้น

  6. คำศัพท์ด้านความปลอดภัย.. ที่ควรรู้ Hacker = คือบุคคลที่มีความสนใจในกลไกการทำงานของระบบปฎิบัติการบนคอมพิวเตอร์อย่างลึกซึ้ง แฮกเกอร์ส่วนใหญ่ต้องมีความรู้เทียบเท่าหรือเหนือกว่าโปรแกรมเมอร์ ต้องการที่จะทดสอบระบบว่ามีจุดอ่อนหรือช่องโหว่อย่างไร การกระทำของ Hacker มักจะไม่สร้างความเสียหายให้ระบบมากนัก นอกจากการแสดงข้อความเตือนให้ทราบว่าระบบนั้นๆ ถูก Hacker เจาะเสียแล้ว Cracker= คือผู้ที่บุกรุกเข้าไปในระบบคอมพิวเตอร์โดยที่ไม่ได้รับอนุญาต แล้วก่อให้เกิดความเสียหายโดยเจตนา ต้องการสร้างผลประโยชน์ให้กับตนเองหรือผู้อื่นจากเจตนาที่ตนเองสร้างความเสียหาย ความเสียหายเหล่านี้ได้แก่ การทำลายข้อมูลสำคัญ, การยกเลิกบริการปกติที่มีให้แก่ผู้ใช้, สร้างปัญหาให้กับคอมพิวเตอร์เป้าหมาย ฯลฯ และเนื่องจากสิ่งที่เราจัดเป็น cracker action นั้นมีมากมายหลายชนิด

  7. Hacker Classes • Black hats highly skilled, malicious, destructive “crackers” • White hatsskills used for defensive security analysis • Gray hatsoffensively and defensively; will hack for different reasons, depends on situation. white hat  Gray hat  Back hat

  8. The goal of an attack • ลองวิชา วิธีการ Hack แบบใหม่ๆ • ชื่อเสียง เป็นที่ยอมรับ • ให้ได้มาซึ่งทรัพย์สิน โดยมิชอบ • นำข้อมูลความลับมาใช้ประโยชน์ • แก้แค้น • ความสนุกส่วนตัว

  9. รูปแบบการโจมตีที่นิยมใช้มีอะไรบ้าง • Packet Sniffers คือการที่แฮกเกอร์ใช้กับดักจับแพ็กเก็ตที่วิ่งอยู่ในเครือข่ายเพื่อดักข้อมูลสำคัญ เช่นพาสส์เวิร์ค รหัสบัตรเครดิตเป็นต้น การป้องกันอาจใช้การเข้ารหัสข้อมูลที่สำคัญเอาไว้ หรือการ นำ HTTS มาใช้งาน • IP Spoofingเป็นวิธีการที่แฮกเกอร์จะปลอมตัว IP เสมือนว่าเป็นของผู้ใช้งานปกติเพื่อให้รอดพ้นจากการตรวจสอบ วิธีหลีกเลี่ยงคือต้องกำหนด Access Control ให้รัดกุมขึ้นก็จะช่วยได้ • Brute-Force Attackเป็นวิธีที่แฮกเกอร์ใช้ซอฟต์แวร์ทำการสุ่มหาพาสส์เวิร์ดของผู้ใช้ ซึ่งจะใช้เวลาไม่นานเลยสำหรับผู้ใช้ที่ตั้งรหัสผ่านอย่างง่ายๆ สั้นๆ วิธีการป้องกัน ( ถ่วงเวลา ) ทำได้โดยการตั้ง รหัสผ่านให้ยากต่อการคาดเดา และหมั่นเปลี่ยน บ่อย ๆ

  10. รูปแบบการโจมตีที่นิยมใช้มีอะไรบ้างรูปแบบการโจมตีที่นิยมใช้มีอะไรบ้าง • Vulnerability Scan เป็นการตรวจหาช่องโหว่ของ แอพลิเคชั่นนั้น ๆ เพื่อเข้าโจมตีระบบ ถ้าผู้ดูแลระบบไม่หมั่นติดตั้ง Patch ให้กับapplication อย่างสม่ำเสมอ ก็จะตกเป็นเป้าการโจมตีได้โดยง่าย • Denial-of-Service (Dos) เป็นการโจมตีแบบไม่ได้มุ่งหวังจะทำให้บริการใด ๆ ที่อยู่ในเครือข่ายนั้น ๆ ไม่สามารถให้บริการได้ต่อไป ซึ่งสามารถทำได้โดยการเรียกใช้ทรัพยากรของเซิร์ฟเวอร์นั้นให้หมดไป • Distributed Denial of Service (DDoS) ถ้ามีการใช้คอมพิวเตอร์หลายๆ เครื่อง เข้าโจมตี Dos พร้อมๆกันซึ่งทำให้ได้ผลกระทบที่รุนแรง และ ป้องกันได้ยากกว่า ซึ่งวิธีการนี้ทำให้ผู้โจมตีสามารถล่มระบบที่มีขนาดใหญ่ๆได้ เช่น Yahoo! , Hotmail ได้

  11. SYN-ACK Attacker(spoofed IP) Client Server Server SYN SYN SYN-ACK SYN SYN-ACK ACK SYN-Attack Handshake Attack

  12. DoS Denial-of-Service Web Server NT UNIX UNIX NT UNIX Firewall Router E-Mail Server Clients & Workstations

  13. DDoS Distributed Denial-of-Service Company A Web Server NT UNIX UNIX NT Company B UNIX Firewall Router University A E-Mail Server Clients & Workstations Company C Company D

  14. Google Hack • เป็นการนำ Search Engine อย่าง Google มาประยุกต์ใช้การเจาะระบบ ทำให้ Hacker สามารถเข้าถึงข้อมูลของ website ต่างๆได้อย่างง่ายดาย • ตัวอย่างเช่น หาไฟล์ excel ของหน่วยงานราชการในประเทศไทยได้โดยใช้ keyword ในการค้นหาข้อมูลใน Google โดยพิมพ์ “filetype: XLS site:go.th” จะพบเฉพาะไฟล์ที่ถูก upload ไว้ใน web server ต่างๆ ในประเทศไทยเท่านั้น (โดย operater site:) • วิธีการแก้ปัญหาคือไปที่ Google web โดยพิมพ์ www.google.com/remove.html เพื่อบอก Google ลบไฟล์ออกจากฐานข้อมูลหรือใช้ไฟล์ robots.txt ในการบอกให้ Google มองข้ามไฟล์ที่เราไม่อยากให้เห็นได้

  15. Google Hack Some of the Advanced Google Search Techniques • Site - restricts a search to a particular site or domain • Intitle – finds strings in the title of a page • Inurl – finds strings in the URL of a page • Filetype – finds specific types of files based on file extension • Link – searches for links to a site or URL • Inanchor – finds text in the descriptive text of links

  16. Input Validation Denial of Service Other File Include Authentication Bypass Temp. File Manipulation Memory Corruption Unauthorized Access Privilege Escalation Heap Overflow 0 50 100 150 200 250 300 350 Which Security Vulnerabilities are Most Prevalent? :: Base on 500 App 294 vuln. or 58% 294 vuln. or 58% *Source: securityfocus.com

  17. SQL Injection Cross-site Scripting Buffer Overrun Information Disclosure Code Execution Other Path Traversal Web application vulnerabilities Format String Integer Overflow HTTP Response Splitting 0 20 40 60 80 100 *Source: securityfocus.com Focusing on Input Validation Issues

  18. SQL Injection Example • Web form allows user to look up account details • Underneath: Java J2EE Web application serving requests String username = req.getParameter(“user”); String password = req.getParameter(“pwd”); String query = “SELECT * FROM Users WHERE username =“ + user + “ AND Password =“ + password; con.executeQuery(query);

  19. Injecting Malicious Data (1) submit • ... • ... String query = “SELECT * FROM Users WHERE username = 'bob' AND password = ‘********‘”; ...

  20. Injecting Malicious Data (2) submit bob’--’ • ... • ... String query = “SELECT * FROM Users WHERE username = 'bob‘-- ‘AND password = ‘ ‘”; ...

  21. Injecting Malicious Data (3) submit ... ... String query = “SELECT * FROM Users WHERE username = 'bob‘; DROP Users-- ‘AND password = ‘‘”; ...

  22. Nslookup

  23. Nslookup Options

  24. Traceroute

  25. Ping C:\Documents and Settings\watchame>ping 10.239.109.120 -t Pinging 10.239.109.120 with 32 bytes of data: Reply from 10.239.109.120: bytes=32 time<1ms TTL=64 Reply from 10.239.109.120: bytes=32 time<1ms TTL=64 Reply from 10.239.109.120: bytes=32 time<1ms TTL=64 Ping statistics for 10.239.109.120: Packets: Sent = 9, Received = 9, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Control-C ^C C:\Documents and Settings\watchame>ping 10.239.109.120 -l 64444 -t Pinging 10.239.109.120 with 64444 bytes of data: Reply from 10.239.109.120: bytes=64444 time=12ms TTL=64 Request timed out. Reply from 10.239.109.120: bytes=64444 time=12ms TTL=64 Request timed out. Reply from 10.239.109.120: bytes=64444 time=12ms TTL=64

  26. Ping • ค่า TTL (Time To Live ) คือบอกจำนวน Router หรือ Network ซึ่ง Traffic ทำการกระโดดข้าม ซึ่งจะต่างกัน • OS VERSION PLATFORM               TTL Windows 9x/NT Intel                    32Windows 9x/NT Intel                    128Windows 2000 Intel                       128DigitalUnix 4.0 Alpha                    60Unisys x Mainframe                      64Linux 2.2.x Intel                           64FTX(UNIX) 3.3 STRATUS            64SCO R5 Compaq                          64Netware 4.11 Intel                        128AIX 4.3.x IBM/RS6000                  60AIX 4.2.x IBM/RS6000                   60Cisco 11.27507                           60Cisco 12.02514                           255IRIX 6.x SGI                                60FreeBSD 3.x Intel                         64OpenBSD 2.x Intel                        64Solaris 8 Intel/Sparc                     64Solaris 2.x Intel/Sparc                  255 • TTL 64 จะเป็น ระบบ Linux หรือ Router ขนาดเล็กๆTTL 128 เป็น OS พวก X86 เช่น Windows ต่างๆTTL 254 เป็น Router ขนาดกลาง และ ใหญ่

  27. Footprinting Scanning Enumeration Gaining Access Escalating Privilege Pilfering Covering Tracks Creating Back Doors Denial of Service Anatomy of a Hack - Methodology

  28. Security Tools • Nessus • vulnerability scanner • Nikto & Wikto • Web vulnerability scanner • MD5 • consistency checker with message-digest algorithm • Tripwire • consistency checker มันจะเก็บค่า snapshot ของ filestore ซึ่งสามารถถูกนำมาเปรียบเทียบเป็นระยะๆกับค่า snapshot อันก่อน เพื่อตรวจจับการเปลี่ยนแปลงที่เกิดขึ้น

  29. Tripwire • Tripwire เป็นเครื่องมือตรวจสอบความคงอยู่ (Integrity assessment) ของข้อมูล ผู้ใช้สามารถทำการติดตั้งลงในระบบและ configure ให้โปรแกรม Tripwire ทำหน้าที่เตือนภัยเมื่อมีการทำลาย การเพิ่มเติม หรือการเปลี่ยนแปลงข้อมูลโดยผู้บุกรุกระบบ เพื่อให้ระบบเตือนภัยสามารถแจ้งเตือนไปยังผู้ดูแลผ่านทางอี-เมล์ได้

  30. พรบ.การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 • มีผลบังคับใช้แล้ว วันพุธที่ 18 กรกฎาคม 2550 ครอบคลุมการกระทำผิด สปายแวร์ (Spyware) , Sniffer , Malicious code เช่น Viruses, Worms, Trojan horses ,Spamming ,การโพสต์ หรือนำเข้าข้อมูล, การตัดต่อภาพ

  31. พรบ.การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

  32. พรบ.การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

  33. หน้าที่ของผู้ให้บริการ (ม.26) • ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่า90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ • แต่ในกรณีจำเป็นพนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกิน90 วันแต่ไม่เกิน1ปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้ • ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่า90 วันนับตั้งแต่การใช้บริการสิ้นสุดลง

  34. ข้อมูลจราจรทางคอมพิวเตอร์ข้อมูลจราจรทางคอมพิวเตอร์ • ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึง • แหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง • เวลา วันที่ • ปริมาณ ระยะเวลา • ชนิดของบริการ หรืออื่น ๆ ที่เกี่ยวข้องกับการ ติดต่อสื่อสารของระบบคอมพิวเตอร์นั้น

  35. มาตรา ๒๖ • ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้องเก็บรักษาไว้เป็นเวลาไม่น้อยกว่า 90 วันนับตั้งแต่การใช้บริการสิ้นสุดลง ผู้ให้บริการผู้ใดไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท

  36. Example web environment Internal network Internet DMZ Protected network • AJP • IIOP • T9 • etc. DB Clear-text or SSL Web server App server (optional) HTTP request Web app Web app Web app transport DB Web app Web client: IE, Mozilla, etc. • Apache • IIS • Netscape • etc. • J2EE server • ColdFusion • Oracle 9iAS • etc. • Perl • C++ • CGI • Java • ASP • PHP • etc. • ADO • ODBC • JDBC • etc. • Oracle • SQL Server • etc. HTTP reply (HTML, JavaScript, VBScript, etc.)

  37. Web Application Security Web server App server DB server firewall firewall apps apps database host host host

More Related