Intrusion Detection System
1. อะไรคือการบุกรุก ? (What Is an Intrusion?)
คำว่า “Intrusion” ตามความหมายทางพจนานุกรมแล้ว หมายถึง การเข้าไปในสู่สถานที่ๆหนึ่ง โดยไม่ได้รับอนุญาต ไม่ถูกต้อง และไม่ได้รับการต้อนรับให้เข้ามา สำหรับการบุกรุกระบบเครือข่าย (Network Intrusion) ก็คือการเข้าสู่ระบบ เพื่อกระทำการใดๆ กับคอมพิวเตอร์ หรือเครือข่าย ผ่านทางช่องทางผู้ใช้งานที่ถูกต้องของระบบ แล้วพยายามยกสิทธิของ ตัวเองให้สูงขึ้นเพื่อให้ตนเองสามารถที่จะควบคุมได้ทั้งระบบ ไม่ว่าจะเป็นการกำหนดสิทธิ การเปิดปิดเซอร์วิส การสร้างบัญชีผู้ใช้งานใหม่ โดยอาศัยช่องโหว่ ของระบบ สำหรับการบุกรุก สามารถมาได้จากการกระทำหลายๆทาง เช่นผู้ประสงค์ร้าย ผู้ก่อการร้าย หรือแม้แต่ผู้ร่วมงานเองรูปแบบการบุกรุก
1.1 การสแกนระบบ (Scanning)
เมื่อทำการเฝ้ามองกิจกรรมในเครือข่ายนั้น มีกิจกรรมหลายๆอย่างที่เราต้องคอยเฝ้ามอง เราอาจจะต้องเฝ้ามองในจุดที่เป็นจุดอ่อนของระบบเป็นพิเศษ หรือ เฉพาะพอร์ตที่เปิดใช้งานในระบบ กิจกรรมเหล่านี้นั้นมักจะกระทำในเครือข่ายอินเตอร์เน็ตที่ไม่มีการกรองของข้อมูล และพวก Private Network โดยส่วนมากแล้วเมื่อใดก็ตามที่เครือข่ายของเรานั้นเริ่มถูกสแกน มักจะเป็นจุดเริ่มของการเตรียมพร้อมในการโจมตี ดังนั้นแล้วผู้ดูแลระบบหลายๆคน จึงมักจะต้องการการเตือนเมื่อระบบที่ดูแล นั้นเริ่มถูกการสแกน และอาจทำการติดตามการสแกน (Tracking Scanning) ซึ่งเป็นวิธีที่จะช่วยในการตรวจสอบในกรณีที่เกิดการโจมตีไปแล้ว
สิ่งสำคัญที่ควรรู้อย่างหนึ่งเมื่อเครือข่ายของเรานั้นถูกสแกน คือการอย่าเสียเวลาอันมาค่าในการตามการสแกนทุก ๆ บุคคลที่ทำการสแกนเครือข่ายของเรา สิ่งที่ดีที่สุดที่คุณควรทำกับข้อมูลการสแกนคือดู IP ต้นที่ทำการแสกนแล้วทำการจัดอันดับการเฝ้าระวัง หรือดูว่ามีการสแกนซ้ำๆไปมาหรือไม่ เพื่อนำข้อมูลที่ได้มาวิเคราะห์ดูหาพฤติกรรมที่เกิดขึ้น ก่อนจัดการกับตัวปัญหา
1.2 Viruses and Worms
รูปแบบการจราจร บนเครือข่ายอย่างหนึ่งที่คุณจะเห็นว่ามีการกระตุ้นการทำงานให้กับระบบ IDSs ของเราเกิดการทำงานตอบโต้ก็คือ รูปแบบของการจราจรของพวก Worms และ Viruses เพราะพวกมันมีพฤติกรรมการทำงานที่ซ้ำๆ เป็นแบบอัตโนมัติ และพฤติกรรมประจำตัวเป็นการคัดลอกตัวเอง การพยายามโจมตีเครือข่ายหลายๆครั้ง ดังนั้นรูปแบบของการจราจร (traffic pattern) จึงสามารถที่จะตรวจสอบเจอโดยระบบ IDS ของคุณ สำหรับตัวอย่างของ Worm ที่ใช้งานการจราจรบนเครือข่ายแล้วทำให้เกิดการล้มของเครือข่ายที่จะยกตัวอย่างได้แก่ SQL Slammer Worm
SQL Slammer Worm ถูกปล่อยเข้าสู่บนโลกอินเตอร์เน็ตในวันที่ 25 มกราคม 2003 โดยตัวของ worm ได้อาศัยช่องโหว่ใน Microsoft Structure Query (SQL) Server โดยมันจะส่งข้อมูลขนาด 376 byte User Datagram Protocol (UDP) เข้าพอร์ต 1434 ทำให้เกิด overflow ในบัฟเฟอร์บน MSSQL Server และได้สิทธิระดับ SYSTEM ซึ่งเป็นระดับที่สูงที่สุดบนระบบปฏิบัติการของไมโครซอฟท์ และเมื่อทำสำเร็จก็จะเริ่มสแกน IP อื่นๆ เพื่อกระจายตัวต่อไป หลังจากที่มันถูกปล่อยแพร่กระจายประมาณ 10 นาที แบนวิทที่สูงขึ้นอย่างมหาศาลที่เกิดจากการสแกนเครือข่ายโดย worm ทำให้ 5 ใน 13 ของ DNS หลักของเครือข่ายอินเตอร์เน็ต ถูกทำให้ล้มโดย worm สามารถดูประกาศสิ่งที่เกิดขึ้นได้จากทาง www.microsoft.com/technet/treeview/default.asp?url=/technet/security/alerts/slammer.asp
www.cert.org/advisories/CA-2003-04.html
1.3 Live Attacks
Live Attacks เป็นการโจมตีที่กระทำโดยบุคคลที่พยายาม overflow เซอร์วิสของเครือข่ายเพื่อทำให้ระบบเกิดการรวน ตัวอย่างที่ยกนี้จะนี้คือ Wingate POP3 buffer overflow คือใช้ประโยชน์ของ buffer overflow ใน wingate หลังจากที่คำสั่ง USER ถูกส่งข้อมูลจำนวนมากจะถูกส่งตามคำสั่ง “USER” เพื่อทับข้อมูลใน buffer และทำให้เป็นไปได้ที่คำสั่งแปลกปลอมที่ถูกใส่เข้าไปจะถูก Execute เหตุที่เป็นแบบนี้ก็เพราะโดยปกติแล้วการใช้ POP3 มักจะใส่ชื่อผู้ใช้ตามหลังคำสั่ง USER และชื่อผู้ใช้นั้นก็ไม่ได้มีขนาดที่ยาวมากนัก ดังนั้นการใส่ข้อมูลที่มีขนาดมากตามหลังคำสั่งคำสั่ง USER จึงสามารถที่ทำให้เกิด overflow ขึ้นได้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น