Microsoft XNA ชื่อนี้ได้ยินมานานแล้ว เคยลองหาข้อมูลดูก็ดูดีมาก เป็นเครื่องมือที่ใช้ในการพัฒนาเกมส์ บนแพลตฟอร์มต่างๆ ของไมโครซอฟท์ ไม่ว่าจะเป็นบน Windows ,Xbox หรือ Zune พัฒนาเกมส์เดียวอาจรันได้เป็นแพ็คเลย น่าลองมาก ผู้สนใจก็ติดตามได้ตามเว็บไซด์
thaiXNA
XNAnoob
XNA DEV CENTER
XNA Creators Club
วันศุกร์ที่ 30 มกราคม พ.ศ. 2552
PyOgre Beginner Tutorial 2 - Part 3 Light&Shadows
เนื่องจาก การเขียนอธิบายหลายๆ อย่างมันค่อนข้างทำให้ เนื้อหายาว จากนี้ไปก็จะเขียนอธิบายแบบสั้นๆ เพราะว่าเขียนยาวๆ จะมีคนอ่านรึเปล่าก็ไม่รู้ เริ่มเลยละกัน
Lights and Shadows
Shadow Types that Ogre Supports
Ogre ในเวอชั่นน์ขณะนี้ สนับสนุนชนิดของเงาอยู่ 3 ชนิด:
Modulative Texture Shadows (SHADOWTYPE_TEXTURE_MODULATIVE) เป็นชนิดที่ น่าสนใจน้อยที่สุดใน 3 ชนิด โดยเงาชนิดนี้จะเป็นการสร้าง เงาขาวและดำให้ปรากฏบนพื้นผิว ที่ต้องการให้ปรากฏในฉาก
Modulative Stencil Shadows (SHADOWTYPE_STENCIL_MODULATIVE) เทคนิคนี้เป็นการเรนเดอร์เงาทั้งหมดผสมรวมกัน หลังจากที่วัตถุที่ไม่โปร่งใสในฉากได้ถูกเรนเดอร์แล้ว
Additive Stencil Shadows (SHADOWTYPE_STENCIL_ADDITIVE) เป็นเทคนิคในการเรนเดอร์ แหล่งกำเนิดแสงแต่ละจุด ทีละดวงๆ ใช้การ์ดกราฟฟิคที่หนัก แต่ได้แสงเงาที่สวย
สำหรับตัวของเอนจิ้นของ Ogre เองนั้นไม่มีการสนับสนุน soft shadow ในตัวมันเอง แต่สามารถที่จะเขียนเองได้ผ่าน vertex และ fragment programs
*คำเตือนการใช้เงาบางชนิด จำเป็นต้องเซตสีให้เป็น 32 bits
ภาพที่ได้
Lights and Shadows
Shadow Types that Ogre Supports
Ogre ในเวอชั่นน์ขณะนี้ สนับสนุนชนิดของเงาอยู่ 3 ชนิด:
Modulative Texture Shadows (SHADOWTYPE_TEXTURE_MODULATIVE) เป็นชนิดที่ น่าสนใจน้อยที่สุดใน 3 ชนิด โดยเงาชนิดนี้จะเป็นการสร้าง เงาขาวและดำให้ปรากฏบนพื้นผิว ที่ต้องการให้ปรากฏในฉาก
Modulative Stencil Shadows (SHADOWTYPE_STENCIL_MODULATIVE) เทคนิคนี้เป็นการเรนเดอร์เงาทั้งหมดผสมรวมกัน หลังจากที่วัตถุที่ไม่โปร่งใสในฉากได้ถูกเรนเดอร์แล้ว
Additive Stencil Shadows (SHADOWTYPE_STENCIL_ADDITIVE) เป็นเทคนิคในการเรนเดอร์ แหล่งกำเนิดแสงแต่ละจุด ทีละดวงๆ ใช้การ์ดกราฟฟิคที่หนัก แต่ได้แสงเงาที่สวย
สำหรับตัวของเอนจิ้นของ Ogre เองนั้นไม่มีการสนับสนุน soft shadow ในตัวมันเอง แต่สามารถที่จะเขียนเองได้ผ่าน vertex และ fragment programs
*คำเตือนการใช้เงาบางชนิด จำเป็นต้องเซตสีให้เป็น 32 bits
import ogre.renderer.OGRE as ogre
import SampleFramework as sf
class TutorialApplication(sf.Application):
def _createScene(self):
sceneManager = self.sceneManager
#ตั้งค่า ambient light ให้มืดสนิท
sceneManager.ambientLight = (0, 0, 0)
sceneManager.shadowTechnique = ogre.SHADOWTYPE_STENCIL_ADDITIVE
# สร้างตัวละครจาก Mesh ที่มีอยู่แล้ว
ent = sceneManager.createEntity('Ninja', 'ninja.mesh')
ent.castShadows = True
sceneManager.getRootSceneNode().createChildSceneNode().attachObject(ent)
# สร้างพื้นเป็นที่รับเงาที่ทอดจาก ตัวละคร
plane = ogre.Plane ((0, 1, 0), 0)
meshManager = ogre.MeshManager.getSingleton ()
meshManager.createPlane ('Ground', 'General', plane,
1500, 1500, 20, 20, True, 1, 5, 5, (0, 0, 1))
ent = sceneManager.createEntity('GroundEntity', 'Ground')
sceneManager.getRootSceneNode().createChildSceneNode ().attachObject (ent)
ent.setMaterialName ('Examples/Rockwall')
ent.castShadows = False
#สร้างตัวกำเนิดแสงเป็นแบบ point light
light = self.sceneManager.createLight ('PointLight')
light.type = ogre.Light.LT_POINT
light.position = (150, 300, 150)
light.diffuseColour = (.5, .0, .0) # Red
light.specularColour = (.5, .0, .0)
# ตั้งค่า distant directional light
light = sceneManager.createLight ('DirectionalLight')
light.type = ogre.Light.LT_DIRECTIONAL
light.diffuseColour = (.5, .5, .0) # yellow
light.specularColour = (.75, .75, .75)
light.direction = (0, -1, 1)
# ตั้งค่า spot light
light = sceneManager.createLight ('SpotLight')
light.type = ogre.Light.LT_SPOTLIGHT
light.diffuseColour = (0, 0, .5) # Blue
light.specularColour = (0, 0, .5)
light.direction = (-1, -1, 0)
light.position = (300, 300, 0)
light.setSpotlightRange (ogre.Degree (35), ogre.Degree (50))
def _createCamera (self):
self.camera = self.sceneManager.createCamera ('PlayerCam')
self.camera.position = (0, 150, -500)
self.camera.lookAt ((0, 0, 0))
self.camera.nearClipDistance = 5
def _createViewports (self):
viewport = self.renderWindow.addViewport (self.camera)
viewport.backGroundColor = (0, 0, 0)
self.camera.aspectRatio = float (viewport.actualWidth) / float (viewport.actualHeight)
if __name__ == '__main__':
ta = TutorialApplication ()
ta.go ()
ภาพที่ได้
หลังจากจบบทที่สองนี้แล้ว คิดว่าคงไม่แปลต่อละไงก็ไปดูต้นฉบับได้ที่ Pyogre wiki นะครับ จะได้เวลาลงมือเขียนโปรแกรมจริงจังซะที
วันพฤหัสบดีที่ 29 มกราคม พ.ศ. 2552
Intrusion Detection System - part 3 end
3. ตอบคำถามเกี่ยวกับ IDS (Answering Common IDS Questions)
3.1 Why Are Intrusion Detection Systems Important?
IDSs ช่วยในการตรวจสอบระบบเครือข่ายให้มีประสิทธิภาพ สำหรับการออกแบบระบบที่มีความปลอดภัยสูง ช่วยให้คุณรู้เมื่อคุณกำลังถูกสแกน และเมื่อคุณกำลังถูกโจมตี ช่วยให้ข้อมูลที่มากขึ้น นอกเหนือจากการตรวจเซิร์ฟเวอร์ และ log ของ firewall ทำให้คุณเห็นว่าการโจมตีนั้นล้มเหลว หรือสำเร็จ และรับการเตือนแบบ real time เมื่อมีการพยายามโจมตี คุณสามารถที่จะดูการจราจรของข้อมูลในเครือข่าย และเป็นการเฝ้าระวัง การถูกโจมตีก่อน เป็นเครื่องมือที่มีค่าในมือของผู้ดูแลเครือข่ายที่มีฝีมือ
3.2 Why Doesn’t My Firewall Serve as an IDS?
Firewall มีหน้าที่ ในการกรองแพ็คเก็ตข้อมูล ไม่มีการเตือนเมื่อมี traffic ที่มีความเสี่ยงสูง firewall ถูกออกแบบให้มีหน้าที่หลัก เพื่อ ปฏิเสธ หรือ ยอมรับ การผ่านข้อมูลเข้าออกเครือข่าย ไม่ได้เตือนผู้ดูแลระบบ เมื่อมีกิจกรรมที่ประสงค์ร้ายต่อเครือข่าย firewall หลายๆตัว อยู่ในระดับ network-level เพื่อกรองแพ็คเก็ตข้อมูล บนพื้นฐานการการตรวจสอบ IP ต้นทาง ปลายทาง และ พอร์ตที่ใช้ โดยไม่มีการเกี่ยวข้องในส่วนของ การวิเคราะห์การจราจรของข้อมูลบนเครือข่าย แต่ IDS นั้นสามารถทำได้
3.3 Why Are Attackers Interested in Me?
เพราะคุณอยู่ที่นั่น ในขณะที่ผู้โจมตีจะหาเป้าหมายที่มีค่า และระบบใดก็ตามที่เชื่อมต่อเข้าสู่เครือข่ายของอินเตอร์เน็ตเป้าหมายเหล่านั้นย่อมมีความเสี่ยงสูง ผู้โจมตีอาจจะต้องการขโมยข้อมูลที่สำคัญของคุณ แต่ในกรณีส่วนมากแล้ว ผู้โจมตีต้องการแค่ขโมย bandwidth ไม่ใช่ความลับของคุณ สามารถแยกเหตุที่ทำให้คุณตกเป็นเป้าหมายได้ดังนี้
• Automated Scanning/Attacking Doesn’t Care Who You Are
คุณถูก viruses หรือ worm โจมตี ด้วยเหตุที่ว่าพวกมันทำตามโปรแกรมที่ถูกตั้งมาอัตโนมัติ โดยมันจะไม่สนใจว่าคุณเป็นใคร มีข้อมูลสำคัญอะไร
• Desirable Resources Make You a Target
คุณมีทรัพยากรที่สำคัญ ทำให้คุณตกเป็นเป้าหมายได้แก่
Bandwidth: แบนวิดท์ข้อมูลที่มีคุณค่าของคุณ จะถูกขโมยเพื่อการโจมตีแบบ distributed denial-of-service (DDOS) หรือการแสดงโฆษณา
Disk Space: พื้นที่ข้อมูลที่สำคัญของคุณ มักจะถูกโจมตีเพื่อให้แบ่งแชร์ข้อมูลที่อยู่ในระบบของคุณ ไม่ว่าจะเป็นเอกสาร ไฟล์ภาพ หนัง ต่างๆ ที่ล้วนแล้วแต่เป็นของส่วนตัว หรือไม่ต้องการเปิดให้ใครเห็น
Valuable Information: ข้อมูลอันมีค่า อันได้ข้อมูลทางการเงิน การทหาร ข้อมูลทางเศรษฐกิจ หรืออื่นๆ ที่สำคัญไม่ควรเปิดเผย
• Political or Emotional Motivations
เหตุผลทางการเมือง หรือมีแรงจูงใจ ที่ทำให้เราเกิดตกเป็นเป้าหมายของการโจมตี ด้วยอาจเพราะเราเป็นเป้าหมายที่สามารถลดความน่าเชื่อถือของคนบางกลุ่ม หรือทำให้คนบางกลุ่มได้ผลประโยชน์ เมื่อเราถูกโจมตี
4. ซอฟท์แวร์แนะนำในการสร้างระบบ IDS
SNORT เป็นซอฟท์แวร์ในการสร้างระบบความปลอดภัยสมัยใหม่ให้กับเครือข่าย โดยมีฟังก์ชั่นหน้าที่การทำงานหลัก3อย่างที่สำคัญที่สามารถให้บริการ packet sniffer, packet logger, Network-based Intrusion Detection System (NIDS) อีกทั้งยังสามารถที่จะ เพิ่มเติมความสามารถอื่นได้อีก เช่น การบันทึกและจัดการ log การแจ้งเตือนผู้ดูแลระบบ เป็นต้น ที่สำคัญคือ SNORT เป็นฟรีแวร์ที่สามารถนำมารันได้ทั้งบน Linux และ Windows
อ้า หมดละ จริงมันก็มีรูปนะแต่เอาเป็นว่าค้นหาในเน็ตเองจะเห็นรูปที่แตกต่างละหลากหลายกว่า ใหม่กว่า ที่ทำมาก็ทำมาแบบคร่าวๆเพื่อพรีเซนต์เอง จริงเรื่องนี้มีเยอะมากเลยเกี่ยวกับรายละเอียด หวังว่าคนที่เข้ามาอ่านจะได้รับความรู้มั่ง นะครับ
3.1 Why Are Intrusion Detection Systems Important?
IDSs ช่วยในการตรวจสอบระบบเครือข่ายให้มีประสิทธิภาพ สำหรับการออกแบบระบบที่มีความปลอดภัยสูง ช่วยให้คุณรู้เมื่อคุณกำลังถูกสแกน และเมื่อคุณกำลังถูกโจมตี ช่วยให้ข้อมูลที่มากขึ้น นอกเหนือจากการตรวจเซิร์ฟเวอร์ และ log ของ firewall ทำให้คุณเห็นว่าการโจมตีนั้นล้มเหลว หรือสำเร็จ และรับการเตือนแบบ real time เมื่อมีการพยายามโจมตี คุณสามารถที่จะดูการจราจรของข้อมูลในเครือข่าย และเป็นการเฝ้าระวัง การถูกโจมตีก่อน เป็นเครื่องมือที่มีค่าในมือของผู้ดูแลเครือข่ายที่มีฝีมือ
3.2 Why Doesn’t My Firewall Serve as an IDS?
Firewall มีหน้าที่ ในการกรองแพ็คเก็ตข้อมูล ไม่มีการเตือนเมื่อมี traffic ที่มีความเสี่ยงสูง firewall ถูกออกแบบให้มีหน้าที่หลัก เพื่อ ปฏิเสธ หรือ ยอมรับ การผ่านข้อมูลเข้าออกเครือข่าย ไม่ได้เตือนผู้ดูแลระบบ เมื่อมีกิจกรรมที่ประสงค์ร้ายต่อเครือข่าย firewall หลายๆตัว อยู่ในระดับ network-level เพื่อกรองแพ็คเก็ตข้อมูล บนพื้นฐานการการตรวจสอบ IP ต้นทาง ปลายทาง และ พอร์ตที่ใช้ โดยไม่มีการเกี่ยวข้องในส่วนของ การวิเคราะห์การจราจรของข้อมูลบนเครือข่าย แต่ IDS นั้นสามารถทำได้
3.3 Why Are Attackers Interested in Me?
เพราะคุณอยู่ที่นั่น ในขณะที่ผู้โจมตีจะหาเป้าหมายที่มีค่า และระบบใดก็ตามที่เชื่อมต่อเข้าสู่เครือข่ายของอินเตอร์เน็ตเป้าหมายเหล่านั้นย่อมมีความเสี่ยงสูง ผู้โจมตีอาจจะต้องการขโมยข้อมูลที่สำคัญของคุณ แต่ในกรณีส่วนมากแล้ว ผู้โจมตีต้องการแค่ขโมย bandwidth ไม่ใช่ความลับของคุณ สามารถแยกเหตุที่ทำให้คุณตกเป็นเป้าหมายได้ดังนี้
• Automated Scanning/Attacking Doesn’t Care Who You Are
คุณถูก viruses หรือ worm โจมตี ด้วยเหตุที่ว่าพวกมันทำตามโปรแกรมที่ถูกตั้งมาอัตโนมัติ โดยมันจะไม่สนใจว่าคุณเป็นใคร มีข้อมูลสำคัญอะไร
• Desirable Resources Make You a Target
คุณมีทรัพยากรที่สำคัญ ทำให้คุณตกเป็นเป้าหมายได้แก่
Bandwidth: แบนวิดท์ข้อมูลที่มีคุณค่าของคุณ จะถูกขโมยเพื่อการโจมตีแบบ distributed denial-of-service (DDOS) หรือการแสดงโฆษณา
Disk Space: พื้นที่ข้อมูลที่สำคัญของคุณ มักจะถูกโจมตีเพื่อให้แบ่งแชร์ข้อมูลที่อยู่ในระบบของคุณ ไม่ว่าจะเป็นเอกสาร ไฟล์ภาพ หนัง ต่างๆ ที่ล้วนแล้วแต่เป็นของส่วนตัว หรือไม่ต้องการเปิดให้ใครเห็น
Valuable Information: ข้อมูลอันมีค่า อันได้ข้อมูลทางการเงิน การทหาร ข้อมูลทางเศรษฐกิจ หรืออื่นๆ ที่สำคัญไม่ควรเปิดเผย
• Political or Emotional Motivations
เหตุผลทางการเมือง หรือมีแรงจูงใจ ที่ทำให้เราเกิดตกเป็นเป้าหมายของการโจมตี ด้วยอาจเพราะเราเป็นเป้าหมายที่สามารถลดความน่าเชื่อถือของคนบางกลุ่ม หรือทำให้คนบางกลุ่มได้ผลประโยชน์ เมื่อเราถูกโจมตี
4. ซอฟท์แวร์แนะนำในการสร้างระบบ IDS
SNORT เป็นซอฟท์แวร์ในการสร้างระบบความปลอดภัยสมัยใหม่ให้กับเครือข่าย โดยมีฟังก์ชั่นหน้าที่การทำงานหลัก3อย่างที่สำคัญที่สามารถให้บริการ packet sniffer, packet logger, Network-based Intrusion Detection System (NIDS) อีกทั้งยังสามารถที่จะ เพิ่มเติมความสามารถอื่นได้อีก เช่น การบันทึกและจัดการ log การแจ้งเตือนผู้ดูแลระบบ เป็นต้น ที่สำคัญคือ SNORT เป็นฟรีแวร์ที่สามารถนำมารันได้ทั้งบน Linux และ Windows
อ้า หมดละ จริงมันก็มีรูปนะแต่เอาเป็นว่าค้นหาในเน็ตเองจะเห็นรูปที่แตกต่างละหลากหลายกว่า ใหม่กว่า ที่ทำมาก็ทำมาแบบคร่าวๆเพื่อพรีเซนต์เอง จริงเรื่องนี้มีเยอะมากเลยเกี่ยวกับรายละเอียด หวังว่าคนที่เข้ามาอ่านจะได้รับความรู้มั่ง นะครับ
Intrusion Detection System - part 3
2.2 How the IDS Watches Your Network: ระบบ IDS นั้นเฝ้ามองเครือข่ายของคุณได้โดยการใช้วิธีการที่เป็นที่นิยมดังนี้คือ
2.2.1 Packet Sniffing
ใน NIDSs ได้ทำการตั้งค่าให้ เน็ตเวิร์คการ์ดทำตัวอยู่ในโหมด promiscuous เพื่อรับฟังทุกแพ็คเก็ตภายในเครือข่ายเพื่อการเก็บข้อมูล
2.2.2 Log Parsing
ในระบบการรักษาความปลอดภัยที่ดีนั้น ควรมีระบบการเก็บรักษา log ไฟล์เพื่อดึงข้อมูลมาใช้ในการแจ้งเตือน หรือการใช้ log ในการบันทึกความผิดปกติที่เกิดขึ้น ตัวอย่างเช่น Secure Shell CRC32 overflow ซึ่งจะทิ้งหลักฐานไว้ใน system log
sshd[3698]: fatal: Local: crc32 compensation attack: network attack detected
2.2.3 System Call Monitoring
HIDSs เป็นระบบที่มีความสามารถที่จะติดตั้งตัวเองให้เข้ากับ Kernel ของระบบปฏิบัติการที่ได้ทำการติดตั้งมันเพื่อคอยดูสิ่งที่เกิดขึ้นในระบบ เช่นเมื่อมันตรวจสอบเห็นว่ามีพฤติกรรมที่ไม่ปกติ คือการเปลี่ยนแปลงสิทธิผู้ใช้คนหนึ่ง ให้มีสิทธิเป็น root ระบบก็จะทำการแจ้งเตือน
2.2.4 File system Watching
HIDSs เป็นระบบที่มีความสามารถที่จะคอยติดตามและเฝ้ามอง คุณสมบัติต่างๆของไฟล์ในระบบ เพราะมันอาจจะเกิดการเปลี่ยนแปลงไฟล์ที่ ผิดปกติจากการบุกรุกของ ผู้ประสงค์ร้ายหรือ Viruses และ Worms
2.3 How the IDS Takes the Data: ระบบ IDS นั้นสามารถได้ข้อมูลจาก
2.3.1 It Gathers and Finds Intrusion Attempts
การเก็บข้อมูลภายในเครือข่ายเพื่อ ค้นหาสิ่งที่พยายามบุกรุกเครือข่ายของคุณ โดยใช้อัลกอริทึมต่างๆในการตัดสินใจ
2.3.2 Known Good versus Known Bad
การรู้ถึงการจำแนกว่าการจราจรข้อมูลแบบไหนที่ดี หรือร้าย เพื่อที่จะสามารถเก็บข้อมูลได้ได้ตรงจุด
2.3.3 Technologies for Implementing Your Strategy
เนื่องจากระบบ IDS อาจถูกการโจมตีการหลายๆด้าน เทคนิคที่จะให้ในการตรวจสอบเป็นหลักในการทดสอบหารูปแบบที่ผิดปกติในเครือข่ายก็คือ rule-based (a.k.a signature-based) analysis การประยุกต์ใช้เทคโนโลยีสำหรับการวางแผนการเพื่อตรวจสอบจึงจำเป็น เราควรรู้ว่าจะต้องวิเคราะห์ protocol ต่างๆอย่างไร
2.4 What the IDS Does When It Finds an Attack Attempt: ระบบ IDS จะทำตอบโต้กับการพยายามบุกรุกเข้ามาในเครือข่าย โดยอาจเป็นการจำกัด traffic, filtering, block หรือ Disconnect เป็นทางเลือกสุดท้าย สำหรับรูปแบบการตอบสนองกับการบุกรุกสามารถแบ่งได้เป็น
2.4.1 Passive Response
การตอบสนองแบบนี้เป็นแบบที่ถูกใช้สืบต่อกันมานานแล้วคือ เมื่อมีการบุกรุกเครือข่าย ระบบจะทำการบันทึก log แล้วจะทำการแจ้งเตือนผู้ดูแลระบบในหลายๆทาง เช่น Simple Network Management Protocol (SNMP),E-mail, Cell-Phone เป็นต้น
2.4.2 Active Response
การตอบสนองในลักษณะที่ไม่ต้องรอผู้ดูแลระบบมาจัดการ เช่นเมื่อการจราจรของข้อมูล ผิดปกติ น่าสงสัยก็จะทำการ drop ทิ้ง ระบบนี้ตัวของ IDS จะเป็นผู้วิเคราะห์และดูแลโดยอัตโนมัติ
2.4.3 Inline IDS
การตั้งให้ IDS ว่าควรอยู่บน switch network ของคุณ หรือ อยู่ระหว่างคุณกับกับอินเตอร์เน็ต ซึ่งทั้งสองอย่างมีทั้งข้อดีและข้อเสีย คือถ้าเราให้ IDS ทำตัวเหมือน IPS ซึ่งคือการตั้งค่าแบบ inline มีบางอย่างที่คุณต้องพิจารณา การขัดขวางหรือ drop traffic นั้นจะทำให้เกิดผลกระทบที่มาก ไม่มีอะไรผ่านเข้ามาได้ แต่ถ้า IDS ไม่ใช่ inline คุณยังสามารถส่ง ICMP unreachables คุณไม่สามารถที่จะควบคุมเครือข่ายได้หมด แต่ถ้าเป็นแบบ inline การควบคุมอยู่ในมือคุณ ตัด traffic ได้หมด
2.2.1 Packet Sniffing
ใน NIDSs ได้ทำการตั้งค่าให้ เน็ตเวิร์คการ์ดทำตัวอยู่ในโหมด promiscuous เพื่อรับฟังทุกแพ็คเก็ตภายในเครือข่ายเพื่อการเก็บข้อมูล
2.2.2 Log Parsing
ในระบบการรักษาความปลอดภัยที่ดีนั้น ควรมีระบบการเก็บรักษา log ไฟล์เพื่อดึงข้อมูลมาใช้ในการแจ้งเตือน หรือการใช้ log ในการบันทึกความผิดปกติที่เกิดขึ้น ตัวอย่างเช่น Secure Shell CRC32 overflow ซึ่งจะทิ้งหลักฐานไว้ใน system log
sshd[3698]: fatal: Local: crc32 compensation attack: network attack detected
2.2.3 System Call Monitoring
HIDSs เป็นระบบที่มีความสามารถที่จะติดตั้งตัวเองให้เข้ากับ Kernel ของระบบปฏิบัติการที่ได้ทำการติดตั้งมันเพื่อคอยดูสิ่งที่เกิดขึ้นในระบบ เช่นเมื่อมันตรวจสอบเห็นว่ามีพฤติกรรมที่ไม่ปกติ คือการเปลี่ยนแปลงสิทธิผู้ใช้คนหนึ่ง ให้มีสิทธิเป็น root ระบบก็จะทำการแจ้งเตือน
2.2.4 File system Watching
HIDSs เป็นระบบที่มีความสามารถที่จะคอยติดตามและเฝ้ามอง คุณสมบัติต่างๆของไฟล์ในระบบ เพราะมันอาจจะเกิดการเปลี่ยนแปลงไฟล์ที่ ผิดปกติจากการบุกรุกของ ผู้ประสงค์ร้ายหรือ Viruses และ Worms
2.3 How the IDS Takes the Data: ระบบ IDS นั้นสามารถได้ข้อมูลจาก
2.3.1 It Gathers and Finds Intrusion Attempts
การเก็บข้อมูลภายในเครือข่ายเพื่อ ค้นหาสิ่งที่พยายามบุกรุกเครือข่ายของคุณ โดยใช้อัลกอริทึมต่างๆในการตัดสินใจ
2.3.2 Known Good versus Known Bad
การรู้ถึงการจำแนกว่าการจราจรข้อมูลแบบไหนที่ดี หรือร้าย เพื่อที่จะสามารถเก็บข้อมูลได้ได้ตรงจุด
2.3.3 Technologies for Implementing Your Strategy
เนื่องจากระบบ IDS อาจถูกการโจมตีการหลายๆด้าน เทคนิคที่จะให้ในการตรวจสอบเป็นหลักในการทดสอบหารูปแบบที่ผิดปกติในเครือข่ายก็คือ rule-based (a.k.a signature-based) analysis การประยุกต์ใช้เทคโนโลยีสำหรับการวางแผนการเพื่อตรวจสอบจึงจำเป็น เราควรรู้ว่าจะต้องวิเคราะห์ protocol ต่างๆอย่างไร
2.4 What the IDS Does When It Finds an Attack Attempt: ระบบ IDS จะทำตอบโต้กับการพยายามบุกรุกเข้ามาในเครือข่าย โดยอาจเป็นการจำกัด traffic, filtering, block หรือ Disconnect เป็นทางเลือกสุดท้าย สำหรับรูปแบบการตอบสนองกับการบุกรุกสามารถแบ่งได้เป็น
2.4.1 Passive Response
การตอบสนองแบบนี้เป็นแบบที่ถูกใช้สืบต่อกันมานานแล้วคือ เมื่อมีการบุกรุกเครือข่าย ระบบจะทำการบันทึก log แล้วจะทำการแจ้งเตือนผู้ดูแลระบบในหลายๆทาง เช่น Simple Network Management Protocol (SNMP),E-mail, Cell-Phone เป็นต้น
2.4.2 Active Response
การตอบสนองในลักษณะที่ไม่ต้องรอผู้ดูแลระบบมาจัดการ เช่นเมื่อการจราจรของข้อมูล ผิดปกติ น่าสงสัยก็จะทำการ drop ทิ้ง ระบบนี้ตัวของ IDS จะเป็นผู้วิเคราะห์และดูแลโดยอัตโนมัติ
2.4.3 Inline IDS
การตั้งให้ IDS ว่าควรอยู่บน switch network ของคุณ หรือ อยู่ระหว่างคุณกับกับอินเตอร์เน็ต ซึ่งทั้งสองอย่างมีทั้งข้อดีและข้อเสีย คือถ้าเราให้ IDS ทำตัวเหมือน IPS ซึ่งคือการตั้งค่าแบบ inline มีบางอย่างที่คุณต้องพิจารณา การขัดขวางหรือ drop traffic นั้นจะทำให้เกิดผลกระทบที่มาก ไม่มีอะไรผ่านเข้ามาได้ แต่ถ้า IDS ไม่ใช่ inline คุณยังสามารถส่ง ICMP unreachables คุณไม่สามารถที่จะควบคุมเครือข่ายได้หมด แต่ถ้าเป็นแบบ inline การควบคุมอยู่ในมือคุณ ตัด traffic ได้หมด
Intrusion Detection System - part 2
2. ระบบตรวจจับการบุกรุกทำงานได้อย่างไร (How an IDS works?)
2.1 What the IDS Is Watching: อะไรคือสิ่งที่ระบบ IDS จะเฝ้ามองดูบ้างนั้นสามารถที่จะแบ่งเป็นกลุ่มจากรูปแบบการเฝ้ามองได้ 3 ประเภทคือ
2.1.1 Network – Base Intrusion Detection System (NIDS)
เป็นระบบที่ทำหน้าที่เฝ้ามอง การจราจรในแต่ละส่วนของเครือข่ายหรือซับเน็ต โดยการเปลี่ยนโหมดการทำงานของ Network card แทนที่จะรับฟังข้อมูลของตนเองเพียงอย่างเดียว ก็เป็นการยอมรับข้อมูลทุกอย่างที่เข้าสู่ระบบหรือเรียกว่าโหมด promiscuous mode
2.1.2 Host – Base Intrusion Detection System (HIDS)
HIDS มีความแตกต่างจาก NIDS ในสองทางคือ การติดตั้งจะปกป้องเฉพาะเครื่องนั้นๆ ไม่ใช่ทั้งภายในซับเน็ต ส่วนโหมดการทำงานของ Network card ก็เป็นโหมดปกติ หรือ nonpromiscuous mode
2.1.3 Distributed – Base Intrusion Detection System (DIDS)
DIDS คือระบบที่รวมทั้ง ระบบตรวจจับของ NIDS และ HIDS เข้าด้วยกันโดยมีเซิฟร์เวอร์ทำหน้าที่รับรายงานการตรวจจับภายในระบบ มาเปรียบเทียบ เพื่อให้เห็นภาพรวมของทั้งเครือข่าย
จากที่ระบบ IDS ที่แบ่งเป็นกลุ่มได้ 3 ประเภทนั้นระบบได้เฝ้ามองดูอะไรบ้าง
• Application-Specific Information
สำหรับระบบ IDSs ทั้งสามประเภทที่กล่าวมาสามารถที่จะเฝ้ามอง แอปพลิเคชั่นอย่างใดอย่างหนึ่งก็ได้ เช่นการส่งข้อมูลแบบ Cleartext ของ Telnet หรือ (HTTP)
• Host-Specific Information
ในขณะที่ HIDS โดยทั่วไปไม่ต้องมองทุกอย่างที่ ที่จะเกิดขึ้นบนเครื่อง (Host) แต่เราก็สามารถที่จะทำให้มันสามารถที่จะมองดูพฤติกรรมทั้งหมดที่เกิดขึ้น สำหรับเครื่องที่เราต้องการ ได้ตั้งแต่การสร้างไฟล์ และการเข้าถึงระบบภายใน และกิจกรรมภายในเครือข่าย ถึงลูปแบล็ค มันเป็นกเรื่องปกติที่ HIDS จะทำการสร้างฐานข้อมูลในการเกิดสถานะต่างๆที่เกิดขึ้นกับระบบ (ขนาดไฟล์, สิทธิการอนุญาต, เวลาการเข้าถึงไฟล์) เพื่อที่จะใช้ในการตรวจสอบในภายหลัง
• Subnet-Specific Information
เครือข่ายโดยมากแล้วจะมีรูปแบบการจราจรของข้อมูล เช่นถ้าคุณรู้ว่าหนึ่งในเครื่องของเครือข่ายนั้นเป็น Mail Server แล้วก็ไม่ต้องแปลกใจเลยที่จะเห็นการจราจรของข้อมูล Simple Mail Transfer Protocol (SMTP) ไปมาจากเครือข่าย ถ้าคุณใช้การ ping ทุกเครื่องในเครือข่าย ทุกๆ 5 นาที เพื่อทำการดูเครือข่าย การจราจรของข้อมูลนั้นยอมรับได้ แต่ในทางกลับกันถ้าเครื่องอื่น ทำแบบเดียวกับคุณ นั้นก็น่าสงสัย ตลอดเวลาสำหรับ NIDS ที่ดีควรที่จะมีปรับแต่งการจำแนก การยอมรับพฤติกรรมต่างๆ ของซับเนตที่เราอยู่ การให้การอนุญาตการจราจรของข้อมูลที่เรารู้จัก และส่งสัญญาณเตือน เมื่อมีการส่งข้อมูลจากเครื่องที่ไม่รู้จัก หรือไม่ได้รับอนุญาต
• Distributed IDS
ในระบบ DIDS ข้อมูลที่ถูกรวบรวมและเปรียบเทียบด้วย DIDS เราจะได้เห็นภาพรวมของการจราจรภายในเครือข่ายทั้งหมด ที่จะช่วยใช้ในการวิเคราะห์ แทนการเก็บข้อมูลเฉพาะ เครื่อง หรือ เครือข่ายในซับเนตของคุณเพียงอย่างเดียว ซึ่งช่วยในการจัดการการจราจรของข้อมูลในเครือข่ายได้ดีขึ้น
2.1 What the IDS Is Watching: อะไรคือสิ่งที่ระบบ IDS จะเฝ้ามองดูบ้างนั้นสามารถที่จะแบ่งเป็นกลุ่มจากรูปแบบการเฝ้ามองได้ 3 ประเภทคือ
2.1.1 Network – Base Intrusion Detection System (NIDS)
เป็นระบบที่ทำหน้าที่เฝ้ามอง การจราจรในแต่ละส่วนของเครือข่ายหรือซับเน็ต โดยการเปลี่ยนโหมดการทำงานของ Network card แทนที่จะรับฟังข้อมูลของตนเองเพียงอย่างเดียว ก็เป็นการยอมรับข้อมูลทุกอย่างที่เข้าสู่ระบบหรือเรียกว่าโหมด promiscuous mode
2.1.2 Host – Base Intrusion Detection System (HIDS)
HIDS มีความแตกต่างจาก NIDS ในสองทางคือ การติดตั้งจะปกป้องเฉพาะเครื่องนั้นๆ ไม่ใช่ทั้งภายในซับเน็ต ส่วนโหมดการทำงานของ Network card ก็เป็นโหมดปกติ หรือ nonpromiscuous mode
2.1.3 Distributed – Base Intrusion Detection System (DIDS)
DIDS คือระบบที่รวมทั้ง ระบบตรวจจับของ NIDS และ HIDS เข้าด้วยกันโดยมีเซิฟร์เวอร์ทำหน้าที่รับรายงานการตรวจจับภายในระบบ มาเปรียบเทียบ เพื่อให้เห็นภาพรวมของทั้งเครือข่าย
จากที่ระบบ IDS ที่แบ่งเป็นกลุ่มได้ 3 ประเภทนั้นระบบได้เฝ้ามองดูอะไรบ้าง
• Application-Specific Information
สำหรับระบบ IDSs ทั้งสามประเภทที่กล่าวมาสามารถที่จะเฝ้ามอง แอปพลิเคชั่นอย่างใดอย่างหนึ่งก็ได้ เช่นการส่งข้อมูลแบบ Cleartext ของ Telnet หรือ (HTTP)
• Host-Specific Information
ในขณะที่ HIDS โดยทั่วไปไม่ต้องมองทุกอย่างที่ ที่จะเกิดขึ้นบนเครื่อง (Host) แต่เราก็สามารถที่จะทำให้มันสามารถที่จะมองดูพฤติกรรมทั้งหมดที่เกิดขึ้น สำหรับเครื่องที่เราต้องการ ได้ตั้งแต่การสร้างไฟล์ และการเข้าถึงระบบภายใน และกิจกรรมภายในเครือข่าย ถึงลูปแบล็ค มันเป็นกเรื่องปกติที่ HIDS จะทำการสร้างฐานข้อมูลในการเกิดสถานะต่างๆที่เกิดขึ้นกับระบบ (ขนาดไฟล์, สิทธิการอนุญาต, เวลาการเข้าถึงไฟล์) เพื่อที่จะใช้ในการตรวจสอบในภายหลัง
• Subnet-Specific Information
เครือข่ายโดยมากแล้วจะมีรูปแบบการจราจรของข้อมูล เช่นถ้าคุณรู้ว่าหนึ่งในเครื่องของเครือข่ายนั้นเป็น Mail Server แล้วก็ไม่ต้องแปลกใจเลยที่จะเห็นการจราจรของข้อมูล Simple Mail Transfer Protocol (SMTP) ไปมาจากเครือข่าย ถ้าคุณใช้การ ping ทุกเครื่องในเครือข่าย ทุกๆ 5 นาที เพื่อทำการดูเครือข่าย การจราจรของข้อมูลนั้นยอมรับได้ แต่ในทางกลับกันถ้าเครื่องอื่น ทำแบบเดียวกับคุณ นั้นก็น่าสงสัย ตลอดเวลาสำหรับ NIDS ที่ดีควรที่จะมีปรับแต่งการจำแนก การยอมรับพฤติกรรมต่างๆ ของซับเนตที่เราอยู่ การให้การอนุญาตการจราจรของข้อมูลที่เรารู้จัก และส่งสัญญาณเตือน เมื่อมีการส่งข้อมูลจากเครื่องที่ไม่รู้จัก หรือไม่ได้รับอนุญาต
• Distributed IDS
ในระบบ DIDS ข้อมูลที่ถูกรวบรวมและเปรียบเทียบด้วย DIDS เราจะได้เห็นภาพรวมของการจราจรภายในเครือข่ายทั้งหมด ที่จะช่วยใช้ในการวิเคราะห์ แทนการเก็บข้อมูลเฉพาะ เครื่อง หรือ เครือข่ายในซับเนตของคุณเพียงอย่างเดียว ซึ่งช่วยในการจัดการการจราจรของข้อมูลในเครือข่ายได้ดีขึ้น
Intrusion Detection System - part 1
เนื่องจากต้องทำรายงาน คร่าวๆเกี่ยวกับความปลอดภัยบนเครือข่ายอินเตอร์เนต แล้วดันเลือกเรื่อง IDS หาข้อมูลภาษาไทยไม่เจอเลย ก็เลยต้องหาข้อมูลมานั่งอ่านแล้วแปลเองเออ แต่ในที่สุดก็เสร็จ ถ้าจะไม่อัพขึ้นบล็อกที่อุตส่าห์ทำมามันก็จะไม่มีประโยชน์ เพื่อว่าจะมีคนอยากรู้ เริ่มเลยแล้วกัน
1. อะไรคือการบุกรุก ? (What Is an Intrusion?)
คำว่า “Intrusion” ตามความหมายทางพจนานุกรมแล้ว หมายถึง การเข้าไปในสู่สถานที่ๆหนึ่ง โดยไม่ได้รับอนุญาต ไม่ถูกต้อง และไม่ได้รับการต้อนรับให้เข้ามา สำหรับการบุกรุกระบบเครือข่าย (Network Intrusion) ก็คือการเข้าสู่ระบบ เพื่อกระทำการใดๆ กับคอมพิวเตอร์ หรือเครือข่าย ผ่านทางช่องทางผู้ใช้งานที่ถูกต้องของระบบ แล้วพยายามยกสิทธิของ ตัวเองให้สูงขึ้นเพื่อให้ตนเองสามารถที่จะควบคุมได้ทั้งระบบ ไม่ว่าจะเป็นการกำหนดสิทธิ การเปิดปิดเซอร์วิส การสร้างบัญชีผู้ใช้งานใหม่ โดยอาศัยช่องโหว่ ของระบบ สำหรับการบุกรุก สามารถมาได้จากการกระทำหลายๆทาง เช่นผู้ประสงค์ร้าย ผู้ก่อการร้าย หรือแม้แต่ผู้ร่วมงานเองรูปแบบการบุกรุก
1.1 การสแกนระบบ (Scanning)
เมื่อทำการเฝ้ามองกิจกรรมในเครือข่ายนั้น มีกิจกรรมหลายๆอย่างที่เราต้องคอยเฝ้ามอง เราอาจจะต้องเฝ้ามองในจุดที่เป็นจุดอ่อนของระบบเป็นพิเศษ หรือ เฉพาะพอร์ตที่เปิดใช้งานในระบบ กิจกรรมเหล่านี้นั้นมักจะกระทำในเครือข่ายอินเตอร์เน็ตที่ไม่มีการกรองของข้อมูล และพวก Private Network โดยส่วนมากแล้วเมื่อใดก็ตามที่เครือข่ายของเรานั้นเริ่มถูกสแกน มักจะเป็นจุดเริ่มของการเตรียมพร้อมในการโจมตี ดังนั้นแล้วผู้ดูแลระบบหลายๆคน จึงมักจะต้องการการเตือนเมื่อระบบที่ดูแล นั้นเริ่มถูกการสแกน และอาจทำการติดตามการสแกน (Tracking Scanning) ซึ่งเป็นวิธีที่จะช่วยในการตรวจสอบในกรณีที่เกิดการโจมตีไปแล้ว
สิ่งสำคัญที่ควรรู้อย่างหนึ่งเมื่อเครือข่ายของเรานั้นถูกสแกน คือการอย่าเสียเวลาอันมาค่าในการตามการสแกนทุก ๆ บุคคลที่ทำการสแกนเครือข่ายของเรา สิ่งที่ดีที่สุดที่คุณควรทำกับข้อมูลการสแกนคือดู IP ต้นที่ทำการแสกนแล้วทำการจัดอันดับการเฝ้าระวัง หรือดูว่ามีการสแกนซ้ำๆไปมาหรือไม่ เพื่อนำข้อมูลที่ได้มาวิเคราะห์ดูหาพฤติกรรมที่เกิดขึ้น ก่อนจัดการกับตัวปัญหา
1.2 Viruses and Worms
รูปแบบการจราจร บนเครือข่ายอย่างหนึ่งที่คุณจะเห็นว่ามีการกระตุ้นการทำงานให้กับระบบ IDSs ของเราเกิดการทำงานตอบโต้ก็คือ รูปแบบของการจราจรของพวก Worms และ Viruses เพราะพวกมันมีพฤติกรรมการทำงานที่ซ้ำๆ เป็นแบบอัตโนมัติ และพฤติกรรมประจำตัวเป็นการคัดลอกตัวเอง การพยายามโจมตีเครือข่ายหลายๆครั้ง ดังนั้นรูปแบบของการจราจร (traffic pattern) จึงสามารถที่จะตรวจสอบเจอโดยระบบ IDS ของคุณ สำหรับตัวอย่างของ Worm ที่ใช้งานการจราจรบนเครือข่ายแล้วทำให้เกิดการล้มของเครือข่ายที่จะยกตัวอย่างได้แก่ SQL Slammer Worm
SQL Slammer Worm ถูกปล่อยเข้าสู่บนโลกอินเตอร์เน็ตในวันที่ 25 มกราคม 2003 โดยตัวของ worm ได้อาศัยช่องโหว่ใน Microsoft Structure Query (SQL) Server โดยมันจะส่งข้อมูลขนาด 376 byte User Datagram Protocol (UDP) เข้าพอร์ต 1434 ทำให้เกิด overflow ในบัฟเฟอร์บน MSSQL Server และได้สิทธิระดับ SYSTEM ซึ่งเป็นระดับที่สูงที่สุดบนระบบปฏิบัติการของไมโครซอฟท์ และเมื่อทำสำเร็จก็จะเริ่มสแกน IP อื่นๆ เพื่อกระจายตัวต่อไป หลังจากที่มันถูกปล่อยแพร่กระจายประมาณ 10 นาที แบนวิทที่สูงขึ้นอย่างมหาศาลที่เกิดจากการสแกนเครือข่ายโดย worm ทำให้ 5 ใน 13 ของ DNS หลักของเครือข่ายอินเตอร์เน็ต ถูกทำให้ล้มโดย worm สามารถดูประกาศสิ่งที่เกิดขึ้นได้จากทาง www.microsoft.com/technet/treeview/default.asp?url=/technet/security/alerts/slammer.asp
www.cert.org/advisories/CA-2003-04.html
1.3 Live Attacks
Live Attacks เป็นการโจมตีที่กระทำโดยบุคคลที่พยายาม overflow เซอร์วิสของเครือข่ายเพื่อทำให้ระบบเกิดการรวน ตัวอย่างที่ยกนี้จะนี้คือ Wingate POP3 buffer overflow คือใช้ประโยชน์ของ buffer overflow ใน wingate หลังจากที่คำสั่ง USER ถูกส่งข้อมูลจำนวนมากจะถูกส่งตามคำสั่ง “USER” เพื่อทับข้อมูลใน buffer และทำให้เป็นไปได้ที่คำสั่งแปลกปลอมที่ถูกใส่เข้าไปจะถูก Execute เหตุที่เป็นแบบนี้ก็เพราะโดยปกติแล้วการใช้ POP3 มักจะใส่ชื่อผู้ใช้ตามหลังคำสั่ง USER และชื่อผู้ใช้นั้นก็ไม่ได้มีขนาดที่ยาวมากนัก ดังนั้นการใส่ข้อมูลที่มีขนาดมากตามหลังคำสั่งคำสั่ง USER จึงสามารถที่ทำให้เกิด overflow ขึ้นได้
Intrusion Detection System
1. อะไรคือการบุกรุก ? (What Is an Intrusion?)
คำว่า “Intrusion” ตามความหมายทางพจนานุกรมแล้ว หมายถึง การเข้าไปในสู่สถานที่ๆหนึ่ง โดยไม่ได้รับอนุญาต ไม่ถูกต้อง และไม่ได้รับการต้อนรับให้เข้ามา สำหรับการบุกรุกระบบเครือข่าย (Network Intrusion) ก็คือการเข้าสู่ระบบ เพื่อกระทำการใดๆ กับคอมพิวเตอร์ หรือเครือข่าย ผ่านทางช่องทางผู้ใช้งานที่ถูกต้องของระบบ แล้วพยายามยกสิทธิของ ตัวเองให้สูงขึ้นเพื่อให้ตนเองสามารถที่จะควบคุมได้ทั้งระบบ ไม่ว่าจะเป็นการกำหนดสิทธิ การเปิดปิดเซอร์วิส การสร้างบัญชีผู้ใช้งานใหม่ โดยอาศัยช่องโหว่ ของระบบ สำหรับการบุกรุก สามารถมาได้จากการกระทำหลายๆทาง เช่นผู้ประสงค์ร้าย ผู้ก่อการร้าย หรือแม้แต่ผู้ร่วมงานเองรูปแบบการบุกรุก
1.1 การสแกนระบบ (Scanning)
เมื่อทำการเฝ้ามองกิจกรรมในเครือข่ายนั้น มีกิจกรรมหลายๆอย่างที่เราต้องคอยเฝ้ามอง เราอาจจะต้องเฝ้ามองในจุดที่เป็นจุดอ่อนของระบบเป็นพิเศษ หรือ เฉพาะพอร์ตที่เปิดใช้งานในระบบ กิจกรรมเหล่านี้นั้นมักจะกระทำในเครือข่ายอินเตอร์เน็ตที่ไม่มีการกรองของข้อมูล และพวก Private Network โดยส่วนมากแล้วเมื่อใดก็ตามที่เครือข่ายของเรานั้นเริ่มถูกสแกน มักจะเป็นจุดเริ่มของการเตรียมพร้อมในการโจมตี ดังนั้นแล้วผู้ดูแลระบบหลายๆคน จึงมักจะต้องการการเตือนเมื่อระบบที่ดูแล นั้นเริ่มถูกการสแกน และอาจทำการติดตามการสแกน (Tracking Scanning) ซึ่งเป็นวิธีที่จะช่วยในการตรวจสอบในกรณีที่เกิดการโจมตีไปแล้ว
สิ่งสำคัญที่ควรรู้อย่างหนึ่งเมื่อเครือข่ายของเรานั้นถูกสแกน คือการอย่าเสียเวลาอันมาค่าในการตามการสแกนทุก ๆ บุคคลที่ทำการสแกนเครือข่ายของเรา สิ่งที่ดีที่สุดที่คุณควรทำกับข้อมูลการสแกนคือดู IP ต้นที่ทำการแสกนแล้วทำการจัดอันดับการเฝ้าระวัง หรือดูว่ามีการสแกนซ้ำๆไปมาหรือไม่ เพื่อนำข้อมูลที่ได้มาวิเคราะห์ดูหาพฤติกรรมที่เกิดขึ้น ก่อนจัดการกับตัวปัญหา
1.2 Viruses and Worms
รูปแบบการจราจร บนเครือข่ายอย่างหนึ่งที่คุณจะเห็นว่ามีการกระตุ้นการทำงานให้กับระบบ IDSs ของเราเกิดการทำงานตอบโต้ก็คือ รูปแบบของการจราจรของพวก Worms และ Viruses เพราะพวกมันมีพฤติกรรมการทำงานที่ซ้ำๆ เป็นแบบอัตโนมัติ และพฤติกรรมประจำตัวเป็นการคัดลอกตัวเอง การพยายามโจมตีเครือข่ายหลายๆครั้ง ดังนั้นรูปแบบของการจราจร (traffic pattern) จึงสามารถที่จะตรวจสอบเจอโดยระบบ IDS ของคุณ สำหรับตัวอย่างของ Worm ที่ใช้งานการจราจรบนเครือข่ายแล้วทำให้เกิดการล้มของเครือข่ายที่จะยกตัวอย่างได้แก่ SQL Slammer Worm
SQL Slammer Worm ถูกปล่อยเข้าสู่บนโลกอินเตอร์เน็ตในวันที่ 25 มกราคม 2003 โดยตัวของ worm ได้อาศัยช่องโหว่ใน Microsoft Structure Query (SQL) Server โดยมันจะส่งข้อมูลขนาด 376 byte User Datagram Protocol (UDP) เข้าพอร์ต 1434 ทำให้เกิด overflow ในบัฟเฟอร์บน MSSQL Server และได้สิทธิระดับ SYSTEM ซึ่งเป็นระดับที่สูงที่สุดบนระบบปฏิบัติการของไมโครซอฟท์ และเมื่อทำสำเร็จก็จะเริ่มสแกน IP อื่นๆ เพื่อกระจายตัวต่อไป หลังจากที่มันถูกปล่อยแพร่กระจายประมาณ 10 นาที แบนวิทที่สูงขึ้นอย่างมหาศาลที่เกิดจากการสแกนเครือข่ายโดย worm ทำให้ 5 ใน 13 ของ DNS หลักของเครือข่ายอินเตอร์เน็ต ถูกทำให้ล้มโดย worm สามารถดูประกาศสิ่งที่เกิดขึ้นได้จากทาง www.microsoft.com/technet/treeview/default.asp?url=/technet/security/alerts/slammer.asp
www.cert.org/advisories/CA-2003-04.html
1.3 Live Attacks
Live Attacks เป็นการโจมตีที่กระทำโดยบุคคลที่พยายาม overflow เซอร์วิสของเครือข่ายเพื่อทำให้ระบบเกิดการรวน ตัวอย่างที่ยกนี้จะนี้คือ Wingate POP3 buffer overflow คือใช้ประโยชน์ของ buffer overflow ใน wingate หลังจากที่คำสั่ง USER ถูกส่งข้อมูลจำนวนมากจะถูกส่งตามคำสั่ง “USER” เพื่อทับข้อมูลใน buffer และทำให้เป็นไปได้ที่คำสั่งแปลกปลอมที่ถูกใส่เข้าไปจะถูก Execute เหตุที่เป็นแบบนี้ก็เพราะโดยปกติแล้วการใช้ POP3 มักจะใส่ชื่อผู้ใช้ตามหลังคำสั่ง USER และชื่อผู้ใช้นั้นก็ไม่ได้มีขนาดที่ยาวมากนัก ดังนั้นการใส่ข้อมูลที่มีขนาดมากตามหลังคำสั่งคำสั่ง USER จึงสามารถที่ทำให้เกิด overflow ขึ้นได้
วันศุกร์ที่ 16 มกราคม พ.ศ. 2552
Programs for notebook
โปรแกรมดีๆ สำหรับ Notebook หาบทความ หรือวิธีลง เกี่ยวกับโปรแกรม จาก google เองนะครับ
Notebook Hardware Control (NHC)
โปรแกรมเพื่อการควมคุม Notebook ทั้งทางด้านความเร็ว และการประหยัดพลังงาน
CPU-Z
โปรแกรมสำหรับดูสเปกของ CPU ในเครื่องของเรา
GPU-Z
โปรแกรมสำหรับดูสเปกของ GPU หรือการ์ดจอ รวมถึงอุณหภูมิ การ์ดจอที่อยู่ในเครื่องเช่น ATI,Nvidia ในเครื่องของเรา
CoreTemp
โปรแกรมดูอุณหภูมิของ CPU
RmClock Utility
ปรับแต่งตัวคูณความเร็ว CPU ได้ดั่งใจ แต่ต้องมือโปรหน่อย
Notebook Hardware Control (NHC)
โปรแกรมเพื่อการควมคุม Notebook ทั้งทางด้านความเร็ว และการประหยัดพลังงาน
CPU-Z
โปรแกรมสำหรับดูสเปกของ CPU ในเครื่องของเรา
GPU-Z
โปรแกรมสำหรับดูสเปกของ GPU หรือการ์ดจอ รวมถึงอุณหภูมิ การ์ดจอที่อยู่ในเครื่องเช่น ATI,Nvidia ในเครื่องของเรา
CoreTemp
โปรแกรมดูอุณหภูมิของ CPU
RmClock Utility
ปรับแต่งตัวคูณความเร็ว CPU ได้ดั่งใจ แต่ต้องมือโปรหน่อย
วันอังคารที่ 6 มกราคม พ.ศ. 2552
คอมเก่า กับการ์ดกราฟฟิคในอดีต จุดเริ่มต้นคนรักคอมพิวเตอร์
นึกถึงสมัย ที่เคยเล่นคอมพิวเตอร์เครื่องเก่าๆ สมัยนั้น คงจะเป็น CPU ตระกูล 286,386 (ที่จริงก็เคยมี 8086,8088 แต่ไม่รู้จะไปรันอะไร) จากหลากหลายผู้ผลิต แต่สมัยนี้มีรายใหญ่ๆ เพียง AMD Intel Via สมัยก่อนระบบปฏิบัติการ มี windows 3.11 ให้ใช้ แต่ก็ไม่ค่อยจะได้ใช้เท่าไร ส่วนมากจะเล่นโปรแกรม บน DOS มากกว่า ถ้าใครยังพอจำได้ว่า เคยใช้ Thai Menu และเคยใช้ Thai Show ของ อาจารย์อาจหาญ สัตยารักษ์ ก็คงจะรู้ตัวว่าตอนนี้อายุของท่านนะจะอายุเกินยี่สิบละ อาจเป็นไปได้ว่าด้วยความลำบากของการใช้งานโปรแกรมในสมัยก่อน เหมือนจะบีบให้เรา(ตัวผมเองแหละ)เริ่มจะเรียนเขียนโปรแกรมขึ้นมาบ้าง ตอนนั้นก็ศึกษากับพี่(ผมอยู่ประถม 6 พี่อยู่ ป.ตรี) ก็เริ่มเขียนกันมาตั้งแต่ pascal,Qbasic,C บน DOS จนมาถึงตอนเริ่มเข้าสู่ยุค windows 95 ก็มาเขียนเป็น GUI บ้าง บน delphi,VB,rapidq จนมาถึงปัจจุบันก็ python,C++,php,jsp,java พูดมาซะเยอะใช่ว่าจะเขียนเก่งนะครับ เผอิญว่าเวลาเขียนโปรแกรมผมเป็นคนที่ไม่ค่อยจะยึดติดกับภาษาไหนเป็นหลักหรือ วาง Syntex ภาษาไหนไว้บนหัวตลอด เพราะว่ามันจะมีปัญหาเวลาเราเขียนโปรแกรมหลายๆภาษามันจะงง บางสิ่งมันก็ไม่จำเป็นต้องจำละ ถ้าเขียนทีมันผิดก็เปิดคู่มือเอา เอาสมองจดจำวิธีการแก้ปัญหา การร่างโปรแกรมมากกว่า ไม่ได้บอกว่าวิธีนี้ดีนะครับ แล้วแต่ความชอบของแต่ละคน
เอาละมาพูดถึงการ์จอกันมั้ง ถ้าจะพูดไปแล้วเปรียบเทียบอดีตกับปัจจุบัน มันต่างกันมากๆ จากที่เล่นเกมส์บน DOS เป็นกราฟฟิค 2D ภาพเป็นหยักๆ พัฒนามาจนเรื่อยมาถึงยุคของ windows 95 ขึ้นไปที่มีการใช้ หน่วยประมวลผลกราฟฟิคในงานที่ให้ความบันเทิงต่าง ตั้งแต่ การดูหนังฟัง ไปถึงการเล่นเกมส์ ผ่านตัว API directX,Opengl งานส่วนมากก็จะเป็นกราฟฟิค 3D ภาพที่ได้ก็สวยงามซะ พูดไปแล้วก็อาจเป็นเพราะความต้องการของมนุษย์ไม่มีที่สิ้นสุดก็คงจะถูกต้อง แล้วถ้าให้เด็กสมัยนี้ไปเล่นเครื่องเก่าๆ ดูคงจะเครียดน่าดู และสำหรับเรื่องราวของการ์ดกราฟฟิคในอดีตแล้ว สามารถดูได้ตามลิงค์นี้นะครับ คนไทยคนหนึ่งที่เขียนบทแล้วผมประทับใจมากๆ การ์ดกราฟฟิค at IonRa's space ลองหาบทความอ่านดูแล้วจะรู้ว่า อดีตนั้นสร้างอนาคต แต่อย่าอย่ายึดติดกับอดีตมันจะไม่มีอนาคต
จากการใช้คอมพิวเตอร์มาอย่างยาวนาน ได้เห็นการเติบโต การพัฒนาของคอมพิวเตอร์ นั้นแหละทำให้ผมเองชอบคอมพิวเตอร์
เอาละมาพูดถึงการ์จอกันมั้ง ถ้าจะพูดไปแล้วเปรียบเทียบอดีตกับปัจจุบัน มันต่างกันมากๆ จากที่เล่นเกมส์บน DOS เป็นกราฟฟิค 2D ภาพเป็นหยักๆ พัฒนามาจนเรื่อยมาถึงยุคของ windows 95 ขึ้นไปที่มีการใช้ หน่วยประมวลผลกราฟฟิคในงานที่ให้ความบันเทิงต่าง ตั้งแต่ การดูหนังฟัง ไปถึงการเล่นเกมส์ ผ่านตัว API directX,Opengl งานส่วนมากก็จะเป็นกราฟฟิค 3D ภาพที่ได้ก็สวยงามซะ พูดไปแล้วก็อาจเป็นเพราะความต้องการของมนุษย์ไม่มีที่สิ้นสุดก็คงจะถูกต้อง แล้วถ้าให้เด็กสมัยนี้ไปเล่นเครื่องเก่าๆ ดูคงจะเครียดน่าดู และสำหรับเรื่องราวของการ์ดกราฟฟิคในอดีตแล้ว สามารถดูได้ตามลิงค์นี้นะครับ คนไทยคนหนึ่งที่เขียนบทแล้วผมประทับใจมากๆ การ์ดกราฟฟิค at IonRa's space ลองหาบทความอ่านดูแล้วจะรู้ว่า อดีตนั้นสร้างอนาคต แต่อย่าอย่ายึดติดกับอดีตมันจะไม่มีอนาคต
จากการใช้คอมพิวเตอร์มาอย่างยาวนาน ได้เห็นการเติบโต การพัฒนาของคอมพิวเตอร์ นั้นแหละทำให้ผมเองชอบคอมพิวเตอร์
สมัครสมาชิก:
บทความ (Atom)