Malware คืออะไร ?
Malicious Software (หรื อ Malware) คือประเภทของโปรแกรมคอมพิวเตอร์ที่ถูกสร้างขึ้นมา
โดยมีจุดมุ่งหมายเพื่อที่จะทาลายหรื อสร้างความเสี ยหายให้แก่ระบบคอมพิวเตอร์
้
ระบบเครื อข่าย หรื อทรัพย์สินและข้อมูลของผูใช้งานคอมพิวเตอร์ ประเภทของ malware
ั
ต่างๆ มีดงต่อไปนี้
Virus
พฤติกรรมของ virus คือการขยายพันธุ์หรื อก็อปปี้ ตัวมันเอง ไปติดกับไฟล์ executable (.exe
files) หรื อไฟล์ของอีกโปรแกรมหนึ่ง หลังจากนั้น
้ ั ้
หากผูใช้งานไปดับเบิ้ลคลิ๊กหรื อรันโปรแกรมไฟล์น้ นๆ virus ก็จะถูกกระตุนให้ทางานทันที
โดยส่ วนที่เป็ นพิษของ virus เราเรี ยกกันว่า payload ซึ่งเป็ นส่ วนที่มีคาสั่งที่ระบุให้ virus
ทางานตาม ยกตัวอย่างเช่น payload ของ virus อาจจะระบุไว้วาให้ virus ่
้
ทาการลบไฟล์เอกสารต่างๆ ในเครื่ องของผูใช้งาน หรื อ payload อาจจะสั่งให้ virus
ลงโปรแกรมประเภท spyware ไว้ในเครื่ องเพื่อคอยดักเก็บข้อมูลส่ วนตัวของผูใช้งาน ้
้
เป็ นต้น ลักษณะเด่นของ virus คือ มันไม่สามารถที่จะทางานได้ดวยตัวของมันเอง virus
ั ้
จะเริ่ มการทางานหรื อถูกปลุกให้ตื่นขึ้นมาได้น้ น จะต้องมีการถูกกระตุนก่อน เช่น
ถ้าเราดาวโหลดไฟล์ attachment ที่มากับอีเมล์ซ่ ึงมี virus อยู่ การที่เราดาวโหลดไฟล์ virus
มาไว้ที่เครื่ องเฉยๆ นั้น virus จะยังไม่สามารถทางานได้ (และบางทีโปรแกรม anti-virus
ของเราก็อาจจะฟ้ องขึ้นมาทันที ว่าเรากาลังดาวโหลดไฟล์ที่มี virus อยู่
ั ้ ้
และทาการลบไฟล์น้ นทิง) แต่ถาเครื่ องของเราไม่มี anti-virus หรื อโปรแกรม anti-virus
ั
ของเราไม่รู้จก virus ตัวนี้ ไฟล์ attachment ที่มี virus
ก็จะถูกโหลดมาไว้ในเครื่ องของเราได้สาเร็จ
็
และเมื่อไหร่ กตามที่เราไปดับเบิ้ลคลิ๊กหรื อเปิ ดไฟล์ attachment นี้ข้ ึนมาใช้งาน เจ้า virus
ก็จะตื่นขึ้นมาจัดการเครื่ องของเราทันที
Worms
ลักษณะการทางานของ worm จะต่างจาก virus ตรงที่ worm
้
สามารถทางานได้ดวยตัวของมันเอง (ทางานแบบอัตโนมัติหรื อ automatic)
้
โดยไม่ตองอาศัยพาหะ หรื อการเกาะไฟล์ executable อื่นๆ โดย worm
่
จะใช้การกระจายพันธุ์ผานทางระบบ network เป็ นหลัก ด้วยการคอยสแกนระบบ network
่ ่
อยูตลอดเวลา เพื่อที่จะหาช่องโหว่ของเครื่ องที่มีอยูในระบบ ถ้าเครื่ องไหนมีช่องโหว่
ั่
(ซึ่งเกิดจากการไม่ได้ลง patch/service pack หรื อใช้โปรแกรมเวอร์ชนเก่า) worm ก็จะโจมตี
(exploit) เครื่ องเหล่านั้นทันที และก็ควบคุมเครื่ องเหล่านั้น ให้ช่วยกระจายพันธุ์ต่อไป
่
ดังนั้น เรามักจะสังเกตเห็นได้วา เมื่อใดก็ตามที่มีการระบาดของ worm ระบบ network
ของเราก็จะทางานช้ามาก เพราะว่า network bandwidth จะถูก worm
ใช้ในการสแกนเครื่ องต่างๆ โดยปกติแล้ว worm มักจะแฝงตัวมากับ virus ในลักษณะของ
ู้
email attachment เพราะว่าการโจมตีผใช้งานแบบนี้ได้ผลดีกว่าและง่ายกว่า และการที่ worm
ฝังตัวมากับ email attachment นั้น network firewall ก็จะไม่สามารถตรวจจับและหยุด worm
่
ตัวนั้นได้ นอกเสี ยจากเราจะมีโปรแกรม anti-virus ทางานอยูใน mail server
Trojan Horses / Backdoors
ั
ใครเคยดูหนังเรื่ อง "Troy" บ้างครับ? จาได้ม้ ยครับว่า Trojan horse
หรื อม้าโทรจันถูกสร้างขึ้นมาเพื่อจุดประสงค์อะไร? คาตอบก็คือ Trojan horse
ถูกสร้างขึ้นมาเพื่อหลอกให้ชาวเมืองทรอยเข้าใจผิด คิดว่าทหารกรี กยอมแพ้ และสร้าง
Trojan horse ขึ้นมาเพื่อเป็ นรางวัลในการขอหย่าศึกนันเอง แต่จริ งๆ แล้ว
่
่
มีทหารกรี กจานวนหนึ่งแอบซ่อนตัวอยูภายใน Trojan horse เมื่อถึงเวลากลางคืน
ทหารกรี กที่ซ่อนตัวเหล่านั้นก็ออกมาเปิ ดประตูเมืองทรอย เพื่อให้ทหารกรี กที่เหลือ
่
ที่แอบซ่อนตัวอยูภายนอกกาแพงเข้ามาทาลายเมืองทรอยได้ในที่สุด ซึ่ง Trojan horse
(หรื อเรี ยกสั้นๆ ว่า trojan) ในเชิงของ IT security นั้น
ู้
ก็คือโปรแกรมที่ถูกสร้างขึ้นมาเพื่อใช้ในการหลอกล่อให้ผใช้งานทัวไปดาวโหลดไปใช้งาน
่
ั ั่
โดยที่ไม่รู้ตวเลยว่ามีโปรแกรมอื่น (ที่ชวร้าย) แอบแฝงมาด้วย ยกตัวอย่างเช่น
่
โปรแกรมประเภทที่เป็ นตัวการ์ตูนที่เคลื่อนไหวอยูบน desktop หรื อ screensaver
ที่สามารถดาวโหลดได้ฟรี จาก Internet ถ้าเราดาวโหลดโปรแกรมประเภทนี้ มาจาก web site
ที่ไม่น่าเชื่อถือ โปรแกรมที่เราดาวโหลดมาอาจจะเป็ น trojan ก็ได้ ซึ่งเมื่อเราลงโปรแกรมที่มี
่ ้ ั
trojan อยูดวย เราก็ยงสามารถใช้งานโปรแกรมเหล่านั้นได้ตามปกติ แต่ที่จริ งแล้ว trojan
จะทางานอยูเ่ งียบๆ เบื้องหลัง โดยการฝังตัวของมันลงในเครื่ องของเรา
และติดตั้งโปรแกรมประเภท backdoor เพื่อเปิ ดช่องทางให้ attacker
เข้าสู่ เครื่ องของเราได้อย่างลับๆ ทุกเมื่อที่ตองการ
้
Rootkits
ถ้าเครื่ องคอมพิวเตอร์ของเราถูกเจาะหรื อถูก hack ได้สาเร็จ สิ่ งแรกๆ ที่ attacker
จะทาก็คือลงโปรแกรมประเภท rootkit ในเครื่ องของเรา เพราะ rootkit จะช่วยซ่อนไฟล์
โปรแกรมและ process ต่างๆ ที่ attacker ติดตั้งหรื อดาวโหลดมาวางไว้ในเครื่ องของเรา
ั่
เพื่อไม่ให้เราหรื อโปรแกรม anti-virus ตรวจพบได้นนเอง ซึ่งถ้าเครื่ องของเราถูกติดตั้ง
rootkit ไปแล้วละก็ โอกาสที่จะถอน rootkit ออกจากเครื่ องให้ได้นน ั่
แทบจะเป็ นไปไม่ได้เลย เพราะว่า rootkit จะไปแก้ไขหรื อเปลี่ยน system file ที่สาคัญต่างๆ
ทาให้เมื่อเราลบไฟล์ที่เป็ นของ rootkit ออก ก็จะมีผลกระทบต่อ system file เหล่านี้ดวย้
ั
ทาให้เกิดความเสี ยหายต่อระบบปฎิบติการคอมพิวเตอร์ (Operating System หรื อ OS)
จนอาจจะไม่สามารถบูตเครื่ องขึ้นมาทางานได้อีกต่อไปเลย
Bots (หรื อ Zombies)
Bot (หรื อที่เรี ยกอีกชื่อหนึ่งว่า Zombie) คือเครื่ องคอมพิวเตอร์ที่ถูก attacker
ยึดและควบคุมให้ทาตามคาสั่งต่างๆ ของ attacker ผ่านทาง Internet โดย attacker
้
มักจะติดตั้ง rootkit ไว้ดวย เพื่อซ่อนไฟล์และโปรแกรมของ attacker ไม่ให้ถกจับได้ ู
ู้ ั
โดยที่ผใช้งานคอมพิวเตอร์จะไม่รู้ตวเลยว่า เครื่ องของเค้ากลายเป็ น bot ไปซะแล้ว
ซึ่งในขณะที่เค้ากาลังทางานตามปกติ เช่น พิมพ์งานเอกสาร ฟังเพลง หรื อเล่นเกมส์ attacker
้
ก็อาจจะส่ งคาสั่งผ่านทาง Internet มาให้เครื่ องของผูใช้งานคนนั้น ไปโจมตี web site ต่างๆ
หรื อส่ ง spam ก็ได้ โดยคาสั่งเหล่านี้จะทางานอยูเ่ บื้องหลัง ปกติแล้ว attacker
จะยึดเครื่ องคอมพิวเตอร์หลายๆ เครื่ อง เพื่อทาเป็ น bot เอาไว้ใช้ในงานต่างๆ
ซึ่งเราเรี ยกกลุ่มของเครื่ องที่เป็ น bot ที่สามารถทางานร่ วมกันได้ ภายใต้คาสั่งของ attacker
ว่า "Botnet" หรื อ Bot network ซึ่ง botnet มักจะทางานด้วยการรับคาสั่งจาก attacker
ผ่านช่องทางของ Internet Relay Chat (IRC) ซึ่งวิธีน้ ีทาให้ attacker สามารถเชื่อมต่อกับ
botnet ได้สะดวก และสามารถกระจายคาสั่งไปยังเครื่ อง bot ต่างๆ ได้พร้อมกัน
ในเวลาเดียวกัน
Spyware
โปรแกรมประเภท spyware จะติดตั้งตัวของมันลงในเครื่ องของเราอย่างลับๆ
โดยไม่ขออนุญาติเราก่อน ว่าอยากจะลงหรื อไม่ ซึ่งเมื่อ spyware ถูกติดตั้งลงในเครื่ องแล้ว
มันจะคอยทางานโดยการบันทึกข้อมูลต่างๆ ที่เกี่ยวกับการใช้งานเครื่ องคอมพิวเตอร์ของเรา
เช่น คอยดูวาเราไปเข้า web site ไหนบ้าง เราพิมพ์ตวอักษรอะไรบนคีีบอร์ดบ้าง และอื่นๆ
่ ั
ดังนั้น spyware จึงสามารถใช้เป็ นเครื่ องมือสาหรับ attacker ในการขโมย username,
password, และข้อมูลเกี่ยวกับบัตรเครดิตการ์ดของเราได้ดวย โดยที่ spyware
้
ั
จะส่ งข้อมูลที่มนเก็บได้จากเครื่ องของเราไปให้เจ้านายของมัน ผ่านทางอินเตอร์เน็ต
ั
หรื อระบบ network อย่างเงียบๆ เพื่อไม่ให้เรารู ้ตว
Adware
ั
โปรแกรมประเภท adware (ส่ วนใหญ่มกจะมาคู่กบ spyware เพื่อใช้ในการทา targeted ads
ั
หรื อการโฆษณาสิ นค้าแบบเฉพาะเจาะจงกลุ่มเป้ าหมาย
เพื่อเพิ่มโอกาสในการขายสิ นค้าให้ได้มากขึ้น) จะคอยแสดงโฆษณาสิ นค้าต่างๆ
บนหน้าจอของเรา (หรื อที่เรี ยกกันสั้นๆ ว่า "popup ads") ผ่านทาง web browser เช่น Internet
ั ้
Explorer หรื อ Mozilla Firefox ซึ่งสร้างความราคาญให้กบผูใช้งานส่ วนมาก
ที่ไม่สนใจในโฆษณา หรื อ popup ads เหล่านั้น โปรแกรมประเภท adware
มักจะถูกติดตั้งพร้อมกับโปรแกรมที่เราดาวโหลดมาฟรี ๆ จาก web site ที่ไม่น่าเชื่อถือ
Crimeware / Ransomware
คาว่า Crimeware เป็ น malware ประเภทที่มีจุดประสงค์เพื่อการกระทาที่ผิดกฎหมาย
โดยมุ่งเน้นผลประโยชน์ดานเงินหรื อการเมืองเป็ นหลัก โดย attacker จะใช้ crimeware
้
เพื่อช่วยในการก่อคดีโจรกรรมข้อมูลส่ วนตัว เช่น username และ password ของผูใช้งาน ้
Internet แล้วก็ส่งข้อมูลที่หาได้ ไปให้ attacker หรื อไม่ก็ crimeware
สามารถที่จะทาการโอนเงินที่ขโมยได้ ไปยังบัญชีของ attacker แบบอัตโนมัติเลยก็ได้ ส่ วน
Ransomware เป็ นโปรแกรมประเภทที่ใช้เพื่อเรี ยกค่าไถ่ (แบบมาเฟี ย) ยกตัวอย่างเช่น
ransomware อาจจะเข้ารหัสหรื อ encrypt ไฟล์เอกสารต่างๆ ในเครื่ องของเรา
แล้วก็ลบไฟล์ที่เป็ น original ทิ้งไป เสร็จแล้วก็ส่งอีเมล์มาบอกว่า ถ้าอยากได้ key หรื อ
้
password ในการถอดรหัสไฟล์เหล่านั้น ก็ตองยอมจ่ายเงินให้แก่ attacker ไม่เช่นนั้น
เราก็ไม่สามารถที่จะเปิ ดไฟล์เหล่านั้นมาใช้งานได้อีก
ประเภทต่ างๆ ของ Security Tools
เวลาที่คนส่ วนใหญ่พดถึงคาว่า tool หรื อ security tools ในเนื้อหาที่เกี่ยวข้องกับ IT Security
ู
นั้น เค้ามักจะหมายถึงซอฟแวร์ต่างๆ
ที่ใช้ในการตรวจสอบความปลอดภัยของระบบคอมพิวเตอร์ แม้วาจะมี tool ่
ั ็
บางตัวที่เป็ นได้ท้ งฮาร์ดแวร์และซอฟแวร์กตาม (เช่น sniffer)
แต่สาหรับเนื้อหาในบทความนี้ ผมจะขอเน้นไปที่ tool ประเภทที่ฟรี และเป็ น open source
ซอฟแวร์ ที่เน้นในการใช้สาหรับตรวจสอบหรื อ audit ระบบนะครับ แต่สาหรับ tool
ตัวไหนที่ไม่ฟรี ผมก็จะระบุบอกไว้นะครับ
โดยทัวๆ ไปแล้ว ประเภทต่างๆ ของ security tools ที่ใช้ในการตรวจสอบระบบหรื อ audit
่
ั
มีดงต่อไปนี้
1. Password crackers
จุดประสงค์:
ใช้เพื่อค้นหารหัสผ่าน (password) ในการเข้าระบบ หรื อใช้เพื่อตรวจสอบ password
ั
ที่ต้ งด้วยคาง่ายๆ เช่น คาที่มาจากพจนานุกรม (dictionary)
คาอธิบาย:
ั
โดยทัวๆ ไป เทคนิคที่ใช้ในการ crack password มีดงต่อไปนี้
่
Dictionary attack คือการเดา password ด้วยการใช้คาจากพจนานุกรม
Brute force attack คือการเดา password ด้วยการสุ่ มตัวอักษรทีละตัวไปเรื่ อยๆ
จนครบทุกตัวอักษรที่มี (ตั้งแต่ a ไปจนถึง z และ A ไปจนถึง Z
และอาจจะรวมไปถึงตัวอักษรพิเศษด้วย เช่น # ! @ %) โดยการเดาแบบนี้ อาจจะเริ่ มตั้งแต่ 1
ั ั
ตัวอักษรไปจนถึงจานวนตัวอักษรที่ต้ งไว้ (ปกติมกจะตั้งไว้สูงสุ ดที่ 8 ตัวอักษร
เพราะคนโดยทัวๆ ไปมักจะตั้ง password ไม่ยาวเกินนี้ จริ งมั้ยครับ?)
่
Rainbow table attack คือการใช้ rainbow table (ซึ่ งก็คือตารางที่มีคา password ต่างๆ
ที่เราต้องการใช้ในการเดาหรื อ crack ประกอบไปด้วยกับค่า hash ของ password นั้นๆ
ที่ได้มีการคานวนไว้ล่วงหน้าเรี ยบร้อยแล้ว) ซึ่งเทคนิคนี้สามารถช่วยให้เราสามารถค้นหา
็ ้ ่่
password ได้อย่างรวดเร็วมากขึ้นมากๆ แต่กมีขอแม้อยูวาเราจะต้องทาการสร้างหรื อคานวน
rainbow table ขึ้นมาก่อน ซึ่งใช้เวลานานมากและก็กินเนื้อที่บนฮาร์ดดิสค่อนข้างเยอะด้วย
ตัวอย่าง:
John The Ripper - ใช้สาหรับ crack หรื อค้นหา weak Unix password เป็ นหลัก
็
แต่กสามารถใช้ในการค้นหา password ในระบบ Windows Operating Systems ด้วยก็ได้
้
Cain & Abel - ใช้สาหรับค้นหาหรื อกูคืน password สาหรับระบบ Windows Operating
Systems ซึ่งรองรับหลายเทคนิค เ่่ช่น sniffing network, dictionary attack, brute-force
attack และ rainbow table attack เป็ นต้น
THC-Hydra - ใช้ในการ crack หรื อค้นหา login password ซึ่งรองรับหลาย protocols (เช่น
telnet, ftp, http, https เป็ นต้น)
2. Scanners
จุดประสงค์:
ใช้เพื่อค้นหาข้อมูลหรื อช่องโหว่เกี่ยวกับระบบที่เราต้องการตรวจสอบ เช่น ตรวจสอบหา
port หรื อ service ที่เปิ ดใช้งานในเครื่ องเซิฟเวอร์ หรื อตรวจสอบหาช่องโหว่ (vulnerability)
ในเครื่ องเซิฟเวอร์
คาอธิบาย:
Scanners สามารถแบ่งออกได้เป็ นสามประเภทหลักๆ ดังนี้
่ ้
Port scanners - ใช้สาหรับตรวจสอบว่ามี port หรื อ service ไหนเปิ ดอยูบาง เช่น
สแกนแล้วพบว่าเครื่ องเซิ ฟเวอร์มี port 23 เปิ ดอยู่ scanner ก็จะบอกเราว่ามีการเปิ ดใช้งาน
telnet
Vulnerability scanners - ใช้สาหรับตรวจหาช่องโหว่ในระบบหรื อเครื่ องเซิฟเวอร์
ซึ่งผลลัพธ์ของ scanner ประเภทนี้จะบอกเราว่ามีช่องโหว่อะไรบ้างที่ถูกตรวจพบ
และเราสามารถแก้ไขได้อย่างไร
Web vulnerability scanners - ใช้งานเหมือนกับ vulnerability scanner
แต่จะเจาะจงไปที่การตรวจหาช่องโหว่ของ web application และ web server เป็ นหลัก
ตัวอย่าง:
ั
Nmap (Port scanner) - เป็ น tool ที่นิยมใช้กนอย่างแพร่ หลายสาหรับการสแกนหา port
และตรวจสอบ service ต่างๆ ในระบบ network นอกเหนือไปจากนั้น Nmap
ยังสามารถบอกได้ดวยว่า เครื่ องเซิฟเวอร์ที่เรากาลังสแกนอยู่ รัน OS อะไรได้ดวย
้ ้
(แต่บางครั้งผลลัพธ์อาจจะไม่ตรง 100%)
SuperScan (Port scanner) - เป็ น tool สาหรับ Windows เท่านั้น ที่ใช้ในการสแกน port, ping
หรื อ traceroute เป็ นต้น
่ ่
Nessus (Vulnerability scanner) - ถือได้วาเป็ น free tool ที่ดีที่สุดก็วาได้ ซึ่งมีการอัพเดท
่
plugin ที่ใช้ในการตรวจสอบช่องโหว่อยูตลอดเวลา (ประมาณ 11,000 plugins)
Nikto (Web vulnerability scanner) - ใช้ในการสแกนตรวจหาช่องโหว่สาหรับ web server
3. Exploitation tools
จุดประสงค์:
ใช้สาหรับการทดสอบเจาะระบบ (penetration test)
่ ้
เพื่อทดลองดูวาระบบการป้ องกันของเราทางานได้อย่างถูกต้องตามที่ตองการหรื อไม่
คาอธิบาย:
โดยทัวๆ ไปแล้ว คนที่จะสามารถใช้ exploitation tool ได้น้ น
่ ั
็ ้ ่่
มักจะต้องเป็ นคนที่มีความรู ้ทางด้าน security มากพอสมควร แต่กมีขอยกเว้นอยูวา ถ้าเป็ น
exploitation tool ประเภท point-and-click (คือ ประเภทที่เป็ นไฟล์ .exe และมี GUI
ั
ที่ให้เราสามารถใส่ IP address ของเครื่ องเป้ าหมาย แล้วกดปุ่ มยิงได้ทนที)
นันก็ไม่จาเป็ นต้องมีความรู ้มากมายนักในการใช้
่
ตัวอย่าง:
Metasploit Framework - เป็ น advanced open-source tool ที่ใช้สาหรับพัฒนาและทดสอบ
exploit code ในการเจาะช่องโหว่ของโปรแกรมต่างๆ
Core Impact (ไม่ฟรี และแพงมากกกกก) - ถือเป็ น exploitation tool
่
ที่เรี ยกได้วามีประสิ ทธิภาพและฟังชันหลากหลายมากที่สุด ในการใช้ทดสอบเจาะระบบ
่
่
และยังมีฐานข้อมูลของ exploit ที่ถูกอัพเดทอยูตลอดเวลาให้พร้อมใช้งาน
ั
Canvas (ไม่ฟรี และแพงมากก แต่ยงถูกกว่า Core Impact) - ในกรณี ที่คุณไม่สามารถซื้อ
Core Impact มาใช้ได้ ลองหันมาดู Canvas สิ ครับ :-)
4. Sniffers & Intrusion Detection System (IDS)
จุดประสงค์:
่
ใช้เพื่อดักจับข้อมูลที่วิ่งอยูใน network เพื่อทาการวิเคราะห์และตรวจสอบ network traffic
(หรื อที่เรี ยกว่าการทา network monitoring นันเอง)
่
คาอธิบาย:
ถ้าท่านไหนที่เคยทางานด้านดูแล network แล้วละก็ คงจะเคยได้ใช้ tool ประเภทนี้มาก่อน
้
เพราะว่า sniffer นั้น เป็ น tool ที่เราจะขาดไม่ได้เลย ในการใช้วเิ คราะห์ขอมูล network
้ ่
หรื อใช้ในการเฝ้ าระวังการโจมตีของผูบุกรุ ก (attacker) ซึ่ง IDS ถือได้วาเป็ น sniffer
ประเภทหนึ่งที่ใช้สาหรับการเฝ้ าระวังหรื อ network monitoring นันเอง ่
ตัวอย่าง:
Wireshark - ชื่อเก่าของ tool ตัวนี้คือ Ethereal ซึ่งเป็ น tool ที่ได้รับความนิยมอย่างมาก
ในการใช้สาหรับ sniff ข้อมูลที่วงอยู่ network เพื่อตรวจสอบ
ิ่
ั
Tcpdump - เป็ น tool เก่าแก่ที่ใช้กนมานานสาหรับ sniffing หรื อ network monitoring
่
ถึงแม้วา tcpdump จะไม่มี GUI เหมือนกับ Wireshark
็ ั ั
แต่กสามารถทางานได้อย่างมีประสิ ทธิภาพไม่แพ้กน และ tcpdump ก็ยงกิน system resource
น้อยกว่าด้วย
ั
Snort - เป็ นอีกหนึ่งในฟรี และ open-source tool ที่ใช้กนอย่างแพร่ หลาย Snort
สามารถช่วยเฝ้ าระวังระบบ network ของเราได้ ด้วยการตรวจสอบ packet ต่างๆ ที่วงอยูใน ิ่ ่
network ซึ่งถ้าหาก Snort พบว่ามีการสแกน port หรื อมี worm ระบาดอยู่
มันก็จะฟ้ องบอกเราทันที
5. Wireless tools
จุดประสงค์:
เป็ น tool ประเภทที่ใช้สาหรับการตรวจสอบ wireless security โดยเฉพาะ
คาอธิบาย:
่
ประเภทของ Wireless tools หลักๆ แล้วมีอยูแค่สองประเภท ได้แก่ 1) sniffer และ 2)
password cracker ซึ่งสาหรับ tool ประเภทแรกที่มีลกษณะเป็ น sniffer (และกึ่ งๆ scanner)
ั
ยกตัวอย่าง เช่น NetStumbler และ Kismet จะเป็ น tool ที่ใช้ในการสแกนตรวจหา rogue
access point หรื อ access point
ที่ติดตั้งโดยไม่ได้รับอนุญาติในบริ เวณพื้นที่ทางานในออฟฟิ ต ส่ วน tool
ั
ประเภทที่สองที่มีลกษณะเป็ น password cracker นั้น
จะมีไว้สาหรับตรวจสอบความแข็งแกร่ งของ wireless key ที่ใช้เข้ารหัส wireless network
ซึ่งถ้าเป็ น WEP key แล้วละก็ tool ที่ชื่อว่า Aircrack-ng สามารถ crack หรื อถอดรหัส WEP
่
key ออกมาได้อย่างแน่นอน ไม่วาจะตั้งไว้ยากแค่ไหนก็ตาม ซึ่งจุดอ่อนนี้เกิดขึ้นมาจาก
algorithm หรื อวิธีการที่ WEP key ใช้ในการเข้ารหัสนันเอง ่
ตัวอย่าง:
NetStumbler - ทางานบน Windows ซึ่ง tool นี้ใช้สาหรับการสแกนหา wireless access point
ั่
(หรื อที่เราเรี ยกว่า "wardriving") ซึ่งมีเวอร์ชนที่เราสามารถลงใน PDA ได้ดวย้
Kismet - ใช้ในลักษณะเดียวกับ NetStumbler แต่การทางานจะแตกต่างกันตรงที่ Kismet
สแกนแบบ passive ส่ วน NetStumbler จะสแกนแบบ active (โดยการส่ ง packet
ออกไปเพื่อค้นหา access point)
Aircrack-ng - เป็ น tool ที่สามารถ crack WEP/WPA key ได้รวดเร็วที่สุด
ซึ่งสามารถถอดรหัส WEP key ตั้งแต่ 40-bit ไปจนถึง 512-bit ได้ แต่จะต้องเก็บข้อมูล
packet ให้ได้มากพอเสี ยก่อน