ระวัง! มือมืดแอบใช้ Sniffer โจมตี

Sniffer ไม่เพียงแต่จะให้ประโยชน์แก่ผู้ดูแลระบบเครือข่ายอย่างอเนกอนันต์เท่านั้น แต่ยังเป็นดาบ 2 คมสำหรับระบบเครือข่ายอีกด้วย เนื่องจากผู้บุกรุกหรือผู้ไม่หวังดีต่อระบบเครือข่ายสามารถใช้ Sniffer เพื่อศึกษาการทำงานด้านการเชื่อมต่อของคอมพิวเตอร์เป้าหมายก่อนที่จะเริ่มลงมือโจมตี ตัวอย่างเช่น การเตรียมการเพื่อปล้นงานของผู้อื่น (Session Hijacking) ดังรูปที่ 2 ซึ่งผู้บุกรุกจะต้องตรวจสอบอย่างใกล้ชิดว่าเครื่องคอมพิวเตอร์เป้าหมายได้ดำเนินการเชื่อมต่อกับเซิร์ฟเวอร์ในขั้นตอนใดบ้างแล้ว เช่น ผู้บุกรุกจะต้องทราบก่อนว่าเครื่องเป้าหมายได้สถาปนาการเชื่อมต่อด้วย TCP กับเครื่องคอมพิวเตอร์ที่เป็นเซิร์ฟเวอร์แล้วหรือยัง รวมทั้งค่า Initial Sequence No. เป็นลำดับที่เท่าใดบ้าง จากนั้นจะใช้ข้อมูลเหล่านี้เพื่อเป็นแนวทางในการโจมตีต่อไป (ดูรูปที่ 3)

รูปที่ 3 การใช้ข้อมูลจากรูปที่ 2 เพื่อการโจมตีคอมพิวเตอร์เป้าหมาย

สิ่งที่ผู้ไม่หวังดีต่อเครือข่ายสามารถใช้ Sniffer เพื่อประโยชน์ดังต่อไปนี้

  • สามารถตรวจจับรหัสผ่านที่ไม่ได้เข้ารหัสไว้บนเครือข่าย

  • สามารถตรวจสอบปฏิสัมพันธ์กันระหว่างคอมพิวเตอร์บนเครือข่าย

  • สามารถตรวจจับและฉายซ้ำเสียงที่เกิดจากการสนทนาบน Voice Over IP

  • การจัดตั้งผังของเครือข่ายเพื่อหาช่องโหว่สำหรับการโจมตีเครือข่ายต่อไป

  • สามารถตรวจสอบระบบปฏิบัติการที่ใช้บนเครือข่าย รวมทั้งหาช่องโหว่ในระบบปฏิบัติการได้

รูปที่ 4 การใช้ Sniffer ตรวจสอบพบการโจมตีแบบ DoS

จากรูปที่ 4 แสดงการใช้ Sniffer ตรวจจับพบความพยายามในการโจมตีจากเครื่องคอมพิวเตอร์ชื่อ Virintr ไปยังคอมพิวเตอร์ที่มีเลขหมาย IP 192.168.10.1 โดยใช้วิธีการโจมตีแบบ UDP Flood การใช้ Sniffer ตรวจพบว่าเป็นการโจมตีก็เนื่องจากการที่เครื่องคอมพิวเตอร์ Virintr พยายามที่จะส่ง UDP Data ไปยังเครื่องคอมพิวเตอร์ 192.168.10.1 ด้วยหมายเลขพอร์ตที่เหมือนกันทั้งต้นทางและปลายทางอย่างต่อเนื่องเป็นจำนวนมาก อีกทั้งในช่วงเวลาติด ๆ กัน ลักษณะการสื่อสารเช่นนี้ไม่ปรากฏอยู่ในระเบียบวิธีปฏิบัติมาตรฐานการทำงานอย่างแน่นอน

รูปที่ 5 การใช้ Sniffer ตรวจสอบพบความพยายามที่จะบุกรุกเข้ามาของแฮกเกอร์

รูปที่ 5 แสดงการใช้ Sniffer ตรวจพบความพยายามที่จะเข้ามาสแกนดูพอร์ตของเครื่องคอมพิวเตอร์เลขหมาย 192.168.10.1 จากเครื่องชื่อ Virintr การที่คิดว่าเป็นความพยายามที่จะเข้ามาสอดแนมการเปิดพอร์ตของเครื่อง 192.168.10.1 ก็เนื่องจากเห็นว่าในเวลาติด ๆ กันมีความพยายามจากเครื่อง Virintr เข้าไปขอติดต่อกับพอร์ตหมายเลขต่าง ๆ เป็นจำนวนมาก และเป้าหมายก็คือคอมพิวเตอร์เดียวกันตลอดเวลา ลักษณะนี้เป็นการพยายามที่จะสอดแนมเพื่อหาช่องโหว่ก่อนการโจมตีจะเกิดขึ้น

ตัวอย่าง Sniffer ที่มีชื่อเสียง

ปัจจุบันมีโปรแกรมประเภท Sniffer ที่มีชื่อเสียง ทั้งที่เป็นแบบฟรีแวร์และซอฟต์แวร์ที่ผลิตขึ้นในเชิงพาณิชย์ที่น่าสนใจหลายรายการดังนี้

Ethereal

Ethereal จัดเป็น Sniffer ที่ดีที่สุดตัวหนึ่งซึ่งหนังสือหรือตำราต่างประเทศมักอ้างอิงถึง Ethereal เป็นฟรีแวร์ที่ท่านสามารถดาวน์โหลดได้จากอินเทอร์เน็ต โปรแกรมนี้เป็น Sniffer ที่สามารถตรวจจับ Traffic ของเครือข่ายในระดับเวลาจริงหรือ Real Time โดยสามารถตรวจจับและถอดรหัสโปรโตคอลต่าง ๆ ได้มากมายถึง 400 โปรโตคอล สามารถทำงานได้ทั้งบน Windows หรือ UNIX รวมทั้ง LINUX ตัว Ethereal เป็นเพียง Sniffer ที่ซื่อสัตย์ต่อท่านเท่านั้น ไม่สามารถวิเคราะห์อาการเสียหรือปัญหาของเครือข่ายให้กับท่านเหมือน Sniffer บางตัว ท่านสามารถดาวน์โหลดโปรแกรมนี้ได้ที่http://www.ethereal.com/

WinDump

WinDump เป็นโปรแกรม TcpDump ที่ทำงานบน UNIX แต่ถูกออกแบบมาให้ใช้กับ Windows ภายใต้ชื่อ WinDump เป็นซอฟต์แวร์ที่ต้องทำงานบน MS-DOS Mode บน Windows และต้องติดตั้ง Wincap ควบคู่ไปกับการทำงานของ WinDump ท่านสามารถดาวน์โหลดโปรแกรมนี้ได้ที่ http://www.windump.polito.it สามารถทำงานบน Windows 95/98/Me/NT/2000/2003/XP

Etherpeek

Etherpeek เป็น Sniffer ที่มีประสิทธิภาพสูงตัวหนึ่งจากค่าย WildPackets สามารถติดตามการทำงานของเราเตอร์ ปริมาณการใช้งานบนเครือข่าย อีกทั้งยังสามารถตรวจหาจุดเสียหรือข้อบกพร่องของเครือข่าย นอกจากนี้ยังมีระบบการแจ้งเตือนในกรณีที่สถานการณ์การทำงานของเครือข่ายเกินกว่าค่าที่ท่านได้ตั้งไว้ ซึ่งเป็นประสิทธิภาพการทำงานโดยมาตรฐานของ Sniffer โดยทั่วไป นับเป็นซอฟต์แวร์เชิงพาณิชย์ที่มีประสิทธิภาพสูงตัวหนึ่ง

รูปที่ 6 หน้าจอการทำงานของ Etherpeek NX

Analyzer

Analyzer เป็น Sniffer ในระดับฟรีแวร์ที่น่าสนใจตัวหนึ่ง ทำงานบนระบบปฏิบัติการ Windows เป็นซอฟต์แวร์ที่พัฒนาขึ้นโดยผู้พัฒนาโปรแกรม WinDump และ WinCap สามารถดาวน์โหลดได้จาก http://analyzer.polito.it Analyzer สามารถดักจับแพ็กเก็ตบนเครือข่าย และนำมาแสดงผลในรูปแบบกราฟิก ผู้ใช้งานสามารถเลือกการ์ด LAN ที่ต้องการใช้ดักจับแพ็กเก็ตได้ สามารถเลือกโปรโตคอลที่ต้องการจะตรวจจับได้ สามารถตรวจจับแพ็กเก็ตในลักษณะเวลาจริง และแสดงผลออกมาเป็นสถิติทางกราฟิกได้อีกด้วย โปรแกรมนี้ถูกออกแบบมาเพื่อให้ความสะดวกแก่ผู้บริหารเครือข่ายโดยเฉพาะ

รูปที่ 7 หน้าจอการทำงานของ Analyzer

AW Ports

AW Ports เป็นโปรแกรมประเภท Sniffer และวิเคราะห์ Traffic อีกทั้งเป็นผู้บันทึกเหตุการณ์ในตัว สามารถตรวจจับ Traffic ที่เกิดขึ้นบนเครือข่ายและอินเทอร์เน็ตได้ นอกจากนี้ยังสามารถตรวจสอบเนื้อหาภายในของแพ็กเก็ตที่ตรวจจับได้อีกด้วย สามารถตรวจสอบที่มาที่ไปของแพ็กเก็ต และสามารถเก็บบันทึกเหตุการณ์ได้มากมายถึง 500 เมกะไบต์สำหรับ Traffic นับตั้งแต่เริ่มใช้งาน (รูปที่ 8)

รูปที่ 8 หน้าจอการทำงานของ AW Ports Traffic Analyser

Observer

Observer (รูปที่ 9) จาก Network Instrument เป็นโปรแกรม Sniffer ที่ใช้เพื่อเฝ้าดูการทำงานของเครือข่าย รวมทั้งเป็นระบบวิเคราะห์การทำงานของโปรโตคอลในตัวเดียวกัน ใช้งานได้ดีบนเครือข่าย Ethernet ระบบเครือข่ายไร้สาย 802.11b/a/g รวมทั้ง FDDI และ Token Ring

Observer เป็นซอฟต์แวร์ที่ไม่เพียงสามารถตรวจจับ Traffic เท่านั้น แต่ยังสามารถตรวจสอบหาจุดเสียบนเครือข่ายได้อีกด้วย สามารถตรวจสอบปัญหาของ LAN ชนิดเซกเมนต์ (Segment) เดียวหรือหลาย ๆ เซกเมนต์ สามารถแสดงข้อมูลข่าวสารเกี่ยวกับสถิติการทำงาน รวมทั้งแสดงแนวโน้มการทำงาน หรือปัญหาของเครือข่ายได้ด้วย นอกจากนี้ยังสามารถอัปเกรดเพื่อให้สามารถตรวจจับ Traffic บน WAN รวมทั้งรวบรวมข่าวสารเพื่อแสดงประสิทธิภาพการทำงานของเครือข่ายได้

รูปที่ 9 ลักษณะหน้าจอการทำงานของ Observer

Sniffer Pro

คงไม่มีใครกล้าปฏิเสธ (หากเคยใช้โปรแกรมนี้มาก่อน) ว่า Sniffer Pro (รูปที่ 10) เป็น Sniffer ที่มีประสิทธิภาพสูงมากตัวหนึ่ง เป็น Sniffer ที่สามารถทำงานได้หลากหลาย สามารถแสดงปริมาณการใช้งานเครือข่ายคิดเป็นเปอร์เซ็นต์ รวมทั้งปริมาณของแพ็กเก็ตต่อวินาที และความผิดพลาดต่าง ๆ ที่เกิดขึ้น นอกจากนี้ยังสามารถแสดงปัญหาที่เกิดขึ้นในระดับ Data Link เช่น ปัญหาต่าง ๆ ของเฟรมข้อมูลที่เป็นผลมาจากความบกพร่องของการ์ด LAN รวมทั้งปัจจัยอื่น ๆ นอกจากนี้ยังสามารถแสดงปริมารการสื่อสารข้อมูลและบรอดคาสต์ (Broadcast) ที่มาจากเครื่องคอมพิวเตอร์ต่าง ๆ ได้

Sniffer Pro สามารถดักจับแพ็กเก็ตภายใต้โปรโตคอลต่าง ๆ ได้มากถึง 500 โปรโตคอล ซึ่งมากเพียงพอที่จะตรวจสอบการทำงานของเครือข่าย LAN ขนาดใหญ่ที่ใช้แอพพลิเคชันหลากหลาย นอกจากนี้ Sniffer Pro ยังมีระบบวิเคราะห์การทำงานและปัญหาของเครือข่ายด้วยระบบที่เรียกว่า Expert Analysis ที่จะให้ข้อคิดเห็นเกี่ยวกับปัญหาต่าง ๆ ที่เกิดขึ้นเหมือนมีผู้เชี่ยวชาญอยู่เคียงข้างท่าน และที่สำคัญ Sniffer Pro สามารถแสดงข้อมูลข่าวสารเกี่ยวกับ Traffic ในรูปแบบของกราฟิก เช่น Bar Chart ต่าง ๆ

การที่ Sniffer Pro มี Traffic Generation ในตัว จะช่วยให้ท่านสามารถตรวจสอบการทำงานของอุปกรณ์เครือข่าย รวมทั้งการตอบสนองของแอพพลิเคชันที่จะช่วยให้ท่านสามารถทดสอบอุปกรณ์และแอพพลิเคชันซอฟต์แวร์ได้เป็นอย่างดี

รูปที่ 10 ลักษณะหน้าจอการทำงานของ Sniffer Pro

Agilent Advisor

สุดยอดของโปรแกรมวิเคราะห์และดักจับการทำงานของเครือข่ายที่ผู้เขียนขอยกย่องได้แก่ Agilent Advisor จาก Agilent Technology ปกติ Agilent Advisor มี 2 เวอร์ชัน ได้แก่ เวอร์ชันที่เป็นฮาร์ดแวร์ (ดูรูปที่ 1) และเวอร์ชันที่เป็นซอฟต์แวร์ (ดูรูปที่ 11)

Agilent Advisor ไม่เพียงแต่เป็น Sniffer ที่มีประสิทธิภาพสูงในการดักจับแพ็กเก็ตที่ทำงานบน LAN และบน WAN ยังมีประสิทธิภาพในการแสดงปริมาณการใช้งานบนเครือข่าย สามารถวิเคราะห์ปัญหาเครือข่าย LAN ตั้งแต่ระดับของการ์ด LAN ไปจนถึงอุปกรณ์ Switching Hub โดยสามารถวิเคราะห์ปัญหาที่เกิดจากการคอนฟิก (Configure) Switching Hub ที่ไม่ถูกต้อง เช่น ปัญหาของดูเพล็กซ์ (Duplex) ที่ไม่เข้ากัน (Match) นอกจากนั้นยังสามารถตรวจสอบการทำงานของ VLAN ได้อีกด้วย

Agilent Advisor ยังสามารถตรวจสอบและค้นหาจุดเสียเกี่ยวกับระบบเครือข่าย ให้คำอธิบายปัญหาเกี่ยวกับเครือข่ายอย่างเป็นขั้นตอนเหมือนมีผู้เชี่ยวชาญอยู่เคียงข้างท่านเช่นเดียวกับ Sniffer Pro แต่ Agilent Advisor ให้รายละเอียดที่ลุ่มลึกกว่า

Agilent Advisor สามารถแสดงให้เห็นว่าใครบ้างบนเครือข่ายที่กินแบนด์วิดธ์มากที่สุด รวมทั้งมีโปรโตคอลใดบ้างที่มีปริมาณการใช้งานมากที่สุดและอันดับรองลงไปด้วยสถิติที่แสดงเป็นแผนภูมิ (Chart) ต่าง ๆ เช่น สถิติการใช้งานโปรโตคอล สถิติการเชื่อมต่อ รวมทั้งรายการของโหนด (Node) ที่กำลังเชื่อมต่อ เป็นต้น

รูปที่ 11 ลักษณะหน้าจอการทำงานของ Agilent Advisor

กลับด้านบน

ตำแหน่งที่เหมาะสมในการจัดวาง Sniffer

การจัดวาง Sniffer ที่เหมาะสมเป็นเรื่องสำคัญ เพื่อให้ได้ประสิทธิภาพการดักจับแพ็กเก็ตที่ดีที่สุดและทั่วถึง เพื่อการจัดวาง Sniffer ในตำแหน่งที่เหมาะสมดังรูปที่ 12

รูปที่ 12 การจัดวาง Sniffer ที่ไม่ถูกต้อง

ในรูปที่ 12 เป็นการจัดวางตำแหน่งของ Sniffer ที่ไม่ถูกต้อง เนื่องจากว่าหากท่านต้องการตรวจสอบการสื่อสารระหว่างไคลเอนต์ที่อยู่ภายนอกเครือข่ายกับเซิร์ฟเวอร์ที่อยู่ภายในการเชื่อมต่อ Sniffer (ในที่นี้คือ Ethereal Laptop) ไว้ที่ Switching Hub อีกด้านหนึ่ง จะทำให้ไม่สามารถมองเห็น Traffic ใด ๆ ที่เกิดขึ้นระหว่างไคลเอนต์กับเซิร์ฟเวอร์ เนื่องจาก Traffic จะวิ่งไปบนเส้นทางระหว่างไคลเอนต์ผ่านเราเตอร์มาที่ Switching Hub ที่เชื่อมต่อกับเซิร์ฟเวอร์โดยตรง

รูปที่ 13 การจัดวางตำแหน่งของ Sniffer ที่ถูกต้อง

รูปที่ 13 แสดงการจัดวาง Sniffer ที่ถูกต้อง แต่ก่อนที่ท่านจะสามารถใช้ Sniffer ได้จะต้องจัดตั้งคอนฟิกที่ตัว Switching Hub ให้สามารถทำงานเป็น Port Mirroring เสียก่อน (สำหรับ Cisco เรียกว่า SPAN) จุดประสงค์ของการทำ Port Mirroring ก็เพื่อต้องการกระตุ้นให้ Switching Hub ทำการส่งมอบ (เป็นเงาสะท้อน) Traffic ที่บรรดาไคลเอนต์ทั้งหลายที่เฮโลเข้ามาติดต่อยังเซิร์ฟเวอร์ให้วิ่งไปยังพอร์ตที่ติดตั้ง Sniffer ด้วยเหตุนี้ท่านสามารถจะมองเห็น Traffic ที่เกิดขึ้นระหว่างไคลเอนต์กับเซิร์ฟเวอร์โดยตลอด

หมายเหตุPort Mirroring ใช้ได้กับ Switching Hub ที่สนับสนุนการทำงานแบบ Port Mirroring เท่านั้น รูปแบบการเชื่อมต่อดังรูปที่ 13 จะไม่มีผลกระทบต่อการทำงานของไคลเอนต์กับเซิร์ฟเวอร์แต่อย่างใด

รูปที่ 14 การติดตั้ง Shared Hub ระหว่าง Switching Hub กับเซิร์ฟเวอร์ โดยติดตั้ง Sniffer ไว้บน Shared Hub

อีกแนวทางหนึ่งในการใช้ Sniffer ได้แก่การติดตั้ง Shared Hub เล็ก ๆ ตัวหนึ่งคั่นระหว่าง Switching Hub กับเซิร์ฟเวอร์ เหตุผลที่อาจต้องใช้วิธีการนี้เนื่องจากว่า Switching Hub ที่ใช้อาจไม่สนับสนุนการทำงานแบบ Port Mirroring ก็เป็นได้ และเนื่องจาก Shared Hub เป็นระบบ Broadcast Domain ดังนั้นการสื่อสารใด ๆ ที่เกิดขึ้นบน Shared Hub จะกระจายไปยังทุก ๆ พอร์ต ด้วยเหตุนี้จึงไม่ต้องการ Port Mirroring (ดูรูปที่ 14)

รูปที่ 15 การติดตั้งแท็ป (Tap) ระหว่างเราเตอร์กับ Switching Hub

อีกวิธีหนึ่งที่น่าสนใจได้แก่การติดตั้งอุปกรณ์แท็ป (Tap) ไว้ที่ตัวเราเตอร์ โดยผู้ดูแลเครือข่ายอาจใช้แท็ปนี้เพื่อเฝ้าดูการสื่อสารระหว่างเครือข่ายภายนอกกับเซิร์ฟเวอร์ หรือจุดที่เล็งเห็นว่าอาจเป็นจุดล่อแหลมของเครือข่ายก็ได้

ดังนั้นท่านจะต้องติดตั้ง Sniffer ไว้ตรงบริเวณแท็ปดังกล่าว (ดูรูปที่ 15) การติดตั้ง Sniffer บริเวณนี้ไม่ส่งผลกระทบต่อการทำงานของเครือข่ายแต่อย่างใด ตราบใดที่แท็ปยังทำงาน และการเชื่อมต่อเป็นไปตามปกติ

กลับด้านบน

แนะนำผู้รับบท Sniffer ตัวเอก

ดังที่ได้กล่าวมาแล้วว่า Sniffer ไม่เพียงสามารถดักจับการสัญจรไปมาของข้อมูลข่าวสารเท่านั้น แต่ยังสามารถใช้เพื่อวิเคราะห์ปัญหาของระบบเครือข่ายได้อีกด้วย ต่อไปนี้ผู้เขียนขอยกตัวอย่างโปรแกรม Sniffer ที่มีชื่อเสียงเป็นที่ยอมรับในประสิทธิภาพ และที่สำคัญเป็นฟรีแวร์ที่สามารถดาวน์โหลดได้ฟรีจากอินเทอร์เน็ต อีกทั้งสามารถใช้ได้กับ Windows ตลอดจน UNIX และ LINUX ได้เป็นอย่างดี นั่นคือ Etherreal

รู้จักกับ Ethereal

Ethereal เป็นโปรแกรมวิเคราะห์การทำงานของระบบเครือข่าย สามารถอ่านแพ็กเก็ตที่วิ่งอยู่บนเครือข่าย และสามารถนำมาถอดเป็นข้อความเพื่อแสดงเนื้อหาที่สามารถอ่านได้ด้วยภาษาง่าย ๆ

ต่อไปนี้เป็นคุณลักษณะจำเพาะที่สำคัญของ Ethereal

  • สามารถทำงานได้ทั้งที่เป็น Promiscuous Mode และไม่ใช่ Promiscuous Mode (Promiscuous Mode เป็นโหมดการทำงานในลักษณะเงี่ยหูฟังการเคลื่อนไหวของ Traffic บนเครือข่าย)

  • สามารถตรวจและดักจับแพ็กเก็ตบนเครือข่าย จากนั้นนำมาถอดรหัสแบบสด ๆ หรือเก็บเป็นไฟล์เพื่อเปิดอ่านคราวหน้าก็ได้

  • สามารถอ่านได้ง่าย เป็นโหมดกราฟิกที่สามารถจัดตั้งค่าได้ง่าย

  • มี Display Filter ให้เลือกมากมาย คำว่า Display Filter ในที่นี้หมายถึงความสามารถในการเลือกเฟ้นว่าจะให้แสดงข้อมูลข่าวสารที่เกิดจากโปรโตคอลเฉพาะเจาะจง

  • สามารถเปิดดูข้อมูลข่าวสารที่เกิดจากการตรวจจับโดยโปรแกรมที่ชื่อว่า WinDump

  • สามารถติดตั้งและทำงานบนแพลตฟอร์ม เช่น ระบบปฏิบัติการต่าง ๆ ได้มากถึง 20 แพลตฟอร์ม

  • สนับสนุนการบริการตรวจจับ Traffic ที่เกิดจากโปรโตคอลได้มากถึง 480 รายการ และเนื่องจากเป็นระบบโอเพนซอร์ส ดังนั้นจึงสามารถติดตั้งบริการตรวจจับโปรโตคอลได้มากขึ้นเรื่อย ๆ

  • สามารถบันทึกข้อมูลของ Traffic ตรวจจับได้ในรูปแบบฟอร์แมตของไฟล์มากมายหลายแบบ รวมทั้ง libcap, Network Associates Sniffer, Microsoft Network Monitor และ Sun Snoop

  • สามารถตรวจจับ Traffic ที่วิ่งบนสื่อ (Media) ต่าง ๆ ได้หลายแบบ รวมทั้ง Ethernet Token Ring 802.11 Wireless และอื่น ๆ อีกมาก

  • สนับสนุนการใช้งานแบบ Command Line ซึ่งเรียกว่า Tethereal

  • สามารถสั่งบันทึกค่าเอาต์พุตที่ได้เก็บไว้ รวมทั้งสามารถสั่งพิมพ์เป็นอักษรเปล่าที่ไม่มีกราฟิก หรือจะให้พิมพ์แบบโพสต์สคริปต์ (Postcripts) ก็ได้

  • สามารถอ่านข้อมูลจากไฟล์ที่ผ่านการ Capture จากโปรแกรมอื่น ๆ ได้มากถึง 20 รายการ เช่น จาก Sniffer Pro, Shomiti/Finisar Surveyor, Novell LANalyzer หรือ Microsoft Network Monitor

  • อื่น ๆ อีกมาก

ประเดิมด้วยหน้าตาและการใช้งาน Ethereal

ก่อนที่จะทำความรู้จักกับวิธีการประยุกต์ใช้งาน Ethereal เรามาทำความรู้จักกับหน้าตาและหน้าที่การทำงานของ Ethereal กันสักหน่อย (ดูรูปที่ 16) ดังนี้

รูปที่ 16 หน้าจอหลักของ Ethereal

รายละเอียดการทำงานของหน้าจอเมนู

Menu Bar

ใช้เป็นที่เปิด Capture ไฟล์ที่ได้ตรวจจับและบันทึกเก็บไว้ก่อนหน้านี้ รวมทั้งเป็นจุดที่สั่งให้มีการตรวจจับ Traffic บนเครือข่าย รวมทั้งสามารถใช้เป็นที่กำหนดชนิดของฟิลเตอร์ (Filter) เพื่อแสดงบนหน้าจอและอื่น ๆ อีกมาก ลักษณะการเรียกใช้เป็นแบบ Pull Down Menu

Tool Bar

เช่นเดียวกับ Menu Bar แต่เป็นไอคอนที่ดูแล้วเข้าใจได้ง่าย เนื่องจากเมื่อท่านนำเมาส์ไปแตะที่ Tool Bar จะมีคำอธิบายสั้น ๆ ลักษณะของ Tool Bar นี้จะช่วยให้เกิดความสะดวกในการใช้ออปชันต่าง ๆ

Summary Windows

ใช้เป็นพื้นที่แสดงรายการของ Traffic ต่าง ๆ ในลักษณะ Real Time หรือแสดงสด ๆ โดยมีรายละเอียดที่มาที่ไปของ Traffic ต่าง ๆ ให้เห็นพอสังเขป เมื่อใดที่ท่านเลื่อนไฮไลต์ (Highlight) มาที่บรรทัดใด รายละเอียดของ Protocol Tree Windows ก็จะเปลี่ยนแปลงไป

Protocol Tree Windows

มีลักษณะเป็น Directory Tree (สังเกตเครื่องหมาย + ในกล่องสี่เหลี่ยม) โดยหน้าเครื่องหมาย + หมายถึงเฟรม แพ็กเก็ต เซกเมนต์ และดาต้าตามลำดับ โดยจะแสดงให้เห็นลักษณะโครงสร้างของเฟรมและแพ็กเก็ต รวมทั้งเนื้อหาภายในอย่างละเอียด

Data View Windows

ส่วนนี้ประกอบด้วยเนื้อหาสาระภายในตัวแพ็กเก็ตที่แสดงออกมาในลักษณะข้อมูลเป็นภาษาอังกฤษ (หากข้อมูลนั้นไม่ได้ถูกเข้ารหัสลับเสียก่อน)

Filter Bar

เป็นเครื่องมือ (Tool) สำหรับแสดงชนิดของโปรโตคอลที่กำลังถูกตรวจจับในขณะนั้น เป็นการใช้ Filter กับ Summary Filter เพื่อกำหนดว่าโปรโตคอลประเภทใดที่จะถูกตรวจจับอย่างเฉพาะเจาะจง

Information Field

เป็นเนื้อที่เล็ก ๆ ที่ใช้แสดงให้เห็นถึงข้อมูลข่าวสารที่ถูกดักจับ หรือพื้นที่ ๆ ถูกเลือกใน Protocol Tree Windows

การตรวจจับ Traffic

หากท่านต้องการจะตรวจจับ Traffic ท่านจะต้องคลิกที่ Capture จากนั้นเลือก Start หลังจากนั้นจะปรากฏหน้าจอดังรูปที่ 17

รูปที่ 17 หน้าจอ Capture ของ Ethereal

การเลือกออปชันในเมนู Capture

ก่อนอื่นท่านจะต้องเลือก Interface เสียก่อน ในที่นี้หมายถึงการ์ด LAN ที่จะใช้เพื่อการดักจับแพ็กเก็ตที่ติดตั้งบนเครื่องที่ใช้ Ethereal ท่านจะมองเห็น 2 ออปชันให้ท่านเลือก ได้แก่ ชื่อของการ์ด LAN ที่ติดตั้งอยู่ และชื่อของ PPP NDIS WAN ในกรณีที่ท่านติดตั้ง Dialup Networking เพื่อเชื่อมต่อไปที่อินเทอร์เน็ต หากท่านต้องการดักจับแพ็กเก็ตที่วิ่งระหว่างเครื่องของท่านกับอินเทอร์เน็ตให้ท่านเลือก NDIS WAN หากเป็นการดักจับแพ็กเก็ตบน LAN ให้ท่านเลือกชื่อการ์ด LAN จากนั้นกลับมาที่หัวข้อ Limit each packet to ซึ่งในที่นี้หมายความว่าท่านจะต้องเลือกว่าจะดักจับแพ็กเก็ตที่มีขนาดเท่าใด โดยทั่วไปหากเป็น LAN ที่ทำงานบนระบบปฏิบัติการ Windows ท่านอาจเลือก 1500 ไบต์ก็ได้ การเปลี่ยนแปลงค่าตัวเลขท่านจะต้องคลิกที่กล่องสี่เหลี่ยมที่นูนออกมาให้บุ๋มเข้าไปจึงจะใช้งานได้

จากนั้นมาที่ Capture packets in promiscuous mode ซึ่งในที่นี้หมายความว่าท่านต้องการให้มีการดักจับแบบแอบฟังบนเครือข่าย ซึ่งค่าดีฟอลต์เป็นเช่นนั้นอยู่แล้ว ท่านก็ไม่จำเป็นต้องเปลี่ยนแปลงออปชันนี้ ส่วนหัวข้อ Filter มีความหมายว่าให้ท่านกำหนดว่าต้องการจะให้มีการดักจับแพ็กเก็ตที่ทำงานภายใต้โปรโตคอลอะไรบ้าง ซึ่งท่านอาจกำหนดไว้แล้ว ท่านสามารถเรียกออปชันนี้ออกมาใช้งาน การเลือกใช้ Filter ก็เพื่อให้เกิดความสะดวกในการสังเกตดูข่าวสารภายใต้โปรโตคอลที่ท่านต้องการ มิเช่นนั้น Ethereal จะแสดงรายการของ Traffic ในทุก ๆ โปรโตคอล ทำให้ลำบากในการตรวจสอบ

กลับมาที่ Update list of packets in real time หัวข้อนี้หากท่านเลือกก็หมายความว่าท่านต้องการให้เห็นภาพของ Traffic ที่ถูกจับได้แบบสด ๆ หรือ Live Show ในขณะนั้น จากนั้นจึงมาที่ Capture limits ซึ่งในที่นี้เป็นการเลือกว่าต้องการแสดง Traffic ในปริมาณเท่าใด เช่น ท่านอาจเลือกจำนวนของแพ็กเก็ต หรือคิดเป็นจำนวนไบต์ หรืออาจคิดเป็นวินาทีก็ได้ก่อนที่จะหยุดการดักจับ Traffic ของ Ethereal ซึ่งโดยทั่วไปเรามักจะกำหนดจำนวนของแพ็กเก็ต เนื่องจากท่านสามารถคาดคะเนจำนวนของข้อมูลข่าวสารได้

หลังจากนั้นก็มาถึง Name resolution ท่านสามารถเลือกที่จะให้ Ethereal แสดงชื่อของคอมพิวเตอร์ หรือแสดงลักษณะ MAC Address ของเครื่อง หรือจะให้แสดงทั้ง IP Address ของคอมพิวเตอร์บนเครือข่ายที่ท่านใช้ Ethereal ดักจับอยู่ก็ได้ ซึ่งหลังจากท่านเลือกเป็นที่เรียบร้อยแล้วให้คลิกปุ่ม OK จะปรากฏหน้าจอดังรูปที่ 18

รูปที่ 18 หน้าจอที่ Ethereal กำลังดักจับโปรโตคอลแบบต่าง ๆ

จากรูปที่ 18 จะเห็นว่า Ethereal กำลังดักจับแพ็กเก็ต โดยให้ท่านสังเกตตัวเลขที่ปรากฏอยู่หลังชื่อของโปรโตคอลต่าง ๆ หากตัวเลขมากกว่า “0” ปรากฏหลังโปรโตคอลใดหมายถึงว่า Ethereal กำลังตรวจจับพบโปรโตคอลนั้น ๆ ได้แล้ว คราวนี้ก็ถึงคราวที่ท่านอาจต้องตัดสินใจว่าจะรอดูต่อไป หรือจะหยุดการ ดักจับแพ็กเก็ตได้แล้ว ท่านก็เพียงแต่คลิกปุ่ม Stop เท่านั้นเป็นพอ หลังจากคลิกปุ่ม Stop แล้วจะปรากฏหน้าจอดังรูปที่ 19

รูปที่ 19 หน้าจอหลังจากคลิกปุ่ม Stop แล้ว

หลังจากที่ได้คลิกปุ่ม Stop แล้ว Ethereal จะแสดงรายละเอียดของแพ็กเก็ตทั้งหมดที่ดักจับได้ โดยแสดงออกมาให้เห็นเป็น 3 ช่อง หากท่านต้องการดูรายละเอียดของแพ็กเก็ตใด ให้เลื่อนไฮไลต์ไปที่แพ็กเก็ตนั้น ๆ จะปรากฏรายละเอียดทั้ง Protocol Tree Windows และ Data View Windows ในคราวเดียวกัน

การสร้าง Display Filter

Display Filter เป็นวิธีการที่ท่านสามารถเลือกที่จะให้ Ethereal ทำการดักจับแพ็กเก็ตเฉพาะโปรโตคอลที่ท่านต้องการ ทำให้ไม่สับสนเวลาตรวจสอบแพ็กเก็ตต่าง ๆ วิธีการเลือก Display Filter มีขั้นตอนดังนี้

1. ที่หน้าจอหลักให้เลือกหัวข้อ Edit จากนั้นเลือกหัวข้อ Display Filter จะปรากฏหน้าจอดังรูปที่ 20

รูปที่ 20 หน้าจอการสร้าง Display Filter

2. ให้ท่านใส่ชื่อของฟิลเตอร์ที่ท่านต้องการเข้าไป เช่น ICMP รวมทั้งใส่ชื่อหรือข้อความสั้น ๆ ลงไปในช่อง Filter string หลังจากนั้นให้คลิกปุ่ม New จะปรากฏแถบชื่อของโปรโตคอลที่ท่านต้องการ หลังจากนั้นให้บันทึกไว้

3. เมื่อใดก็ตามที่ท่านต้องการให้มีการแสดงแพ็กเก็ตเฉพาะโปรโตคอลที่ท่านต้องการ เช่น ICMP ท่านเพียงแต่คลิกหัวข้อ Capture ซึ่งจะปรากฏหน้าจอพร้อมชื่อฟิลเตอร์ให้ท่านเลือกดังรูปที่ 21 หลังจากคลิกปุ่ม OK แล้ว เมื่อใดที่มีการทำงานของโปรโตคอล ICMP บนเครือข่าย ท่านจะมองเห็นเฉพาะการทำงานของ ICMP ดังตัวอย่างในรูปที่ 22

รูปที่ 21 หน้าจอวิธีการเรียก Display Filter ออกมาใช้งาน

รูปที่ 22 หน้าจอหลังจากที่มีการเลือกใช้ฟิลเตอร์แบบ ICMP

สั่งให้ Ethereal ดักจับโปรโตคอลแบบต่าง ๆ

Ethereal สามารถสนับสนุนในการตรวจจับโปรโตคอลได้มากมายถึง 400 โปรโตคอล รวมทั้งโปรโตคอลที่ใช้กับระบบเครือข่ายไร้สายอีกด้วย ท่านสามารถเรียกใช้โปรโตคอลที่มีอยู่ทั้งหมดที่ Ethereal สนับสนุน หรือจะเลือกใช้เฉพาะบางตัวก็ได้ด้วยวิธีการดังนี้

1. ที่ Menu Bar ให้เลือกหัวข้อ Edit จากนั้นเลือกหัวข้อ Protocol จะปรากฏหน้าจอดังรูปที่ 23

รูปที่ 23 การเรียกใช้โปรโตคอลทั้งหมดที่ Ethereal สนับสนุนออกมาใช้งาน

2. ที่หน้าจอ Enabled Protocols ให้ท่านเลือก Enable All หรือจะเลือกเพียงบางรายการก็ได้ จากนั้นให้คลิกปุ่ม Apply ก็เป็นอันเสร็จสิ้น

บันทึกข้อมูลของแพ็กเก็ตที่ดักจับได้

ท่านสามารถบันทึกข้อมูลที่ดักจับได้ลงบนแฟ้มข้อมูลได้โดยวิธีการดังนี้

1. บน Menu Bar ท่านจะต้องเลือกหัวข้อ Save As จะปรากฏหน้าจอดังรูปที่ 24

รูปที่ 24 หน้าจอ Save As สำหรับไฟล์ที่ต้องการบันทึก

2. ตั้งชื่อไฟล์ที่ท่านต้องการ จากนั้นคลิกปุ่ม OK ก็เป็นอันเสร็จสิ้น

การพิมพ์ข้อมูลที่ดักจับได้

ท่านสามารถนำข้อมูลข่าวสารที่ดักจับได้มาพิมพ์ออกไปทางเครื่องพิมพ์ได้ดังนี้

1. ไปที่ File จากนั้นเลือก Print packet แต่หากท่านต้องการเลือกฟอร์แมตของการพิมพ์ ท่านสามารถไปที่หัวข้อ Edit จากนั้นเลือกหัวข้อ Preferences ซึ่งจะปรากฏหน้าจอดังรูปที่ 25

รูปที่ 25 หน้าจอการเลือกรูปแบบของการพิมพ์จากหัวข้อ Preferences

เรื่องของการใช้ sniffer เพื่อการวิเคราะห์ระบบเครือข่ายสำหรับฉบับนี้ผู้เขียนต้องอำลาทุกท่านไปก่อน ฉบับหน้าจะเป็นเรื่องสำคัญที่ท่านไม่ควรพลาด เนื่องจากเป็นเรื่องของวิธีการวิเคราะห์การบุกรุกโจมตีของระบบเครือข่ายแบบต่าง ๆ รวมทั้งหน้าตาของ Code red Virus และ Worm อื่น ๆ ที่สามารถตรวจจับได้โดย Ethereal โดยผู้เขียนคิดว่าสามารถให้ประโยชน์แก่ทุกท่านได้ไม่มากก็น้อย

ที่มา :http://kampol.htc.ac.th

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s