ความรู้เรื่อง Dos และ DDos

ความรู้เรื่องDosและ DDos

DoS Attack (Denial of Service)

DoS Attack (Denial of Service) หมายถึง การขัดขวางหรือก่อกวนระบบเครือข่ายหรือ Server จนทำให้เครื่อง Server หรือเครือข่ายนั้นๆไม่สามารถให้บริการได้ตามปกติ ซึ่งการโจมตีด้วยวิธีการDoS Attack (Denial of Service) นั้นโดยทั่วไปนั้นจะกระทำโดยการใช้ทรัพยากรของServerไปจนหมด ยกตัวอย่างเช่น การส่ง Packet TCP/SYN เข้าไปหาเครื่องเป้าหมายโดยใช้ IP address ที่ไม่มีอยู่จริงในการติดต่อ ทำให้เครื่องเป้าหมายนั้นต้องสำรองทรัพยากรไว้ส่วนหนึ่งเพื่อรองรับการเชื่อมต่อที่กำลังจะเกิดขึ้น(ซึ่งไม่มีทางเกิดขึ้น)ดังนั้นเมื่อมีการเชื่อมต่อในรูปแบบนี้เข้ามามากเรื่อยๆจะทำให้เครื่องเป้าหมายนั้นเกิดการใช้ทรัพยากรไปจนกระทั่งหมดและยุติการให้บริการในที่สุด

วิธีการ DoS (Denial of Service) ที่เป็นที่นิยมในปัจจุบัน
* SYN Flood Attack คือการส่ง Packet TCP/SYN โดยใช้ IP ที่ไม่มีอยู่จริง
* Mail Bomb คือการส่ง Mail ที่มีขนาดใหญ่เป็นจำนวนมากเข้าไปเพื่อให้เนื้อที่ในMail box เต็ม
* Smurf Attack คือการส่งปลอม IP address เป็นของเครื่องเป้าหมายแล้วจึงส่ง Packet ping เข้าไปหา
Broadcast Address เพื่อให้กระจาย Packetเข้าไปทุกเครื่องแล้วหลังจากนั้นเมื่อทุกเครื่องได้รับแล้ว
จึงตอบ Packet ไปหาเครื่องเป้าหมายซึ่งอาจเกิดBuffer Overflow ได้
* Fraggle Attack เหมือนกับ Smurf Attack แต่เปลี่ยนเป็นใช้ Packet ของ UDP แทน
* Ping of Death คือการส่ง Packet Ping ที่มีขนาดใหญ่เกินกว่าปกติเข้าไปที่เครื่องเป้าหมาย
* Teardrop Attack คือการส่ง Packet ที่ไม่สามารถประกอบได้ไปให้เครื่องเป้าหมายเพื่อให้เกิดความสับสน
* ICMP Flood Attack คือการส่ง Packet Ping เข้าไปที่เครื่องเป้าหมายเป็นจำนวนมาก
* UDP Flood Attack

ความเสียหายที่เกิดโดยการโจมตีในรูปแบบ DoS
ความเสียหายที่เกิดจาก DoSส่งผลให้ผู้ใช้งานแต่ละส่วนไม่เหมือนกัน แล้วแต่ว่าเขาจะอยู่ในส่วนใด เช่น เป็นผู้เข้าไปใช้งานเป็นพนักงานในองค์กรที่โดนโจมตี หรือเป็นเจ้าของเครื่องที่ถูกใช้ในการโจมตี หรือจะมองในแง่ขององค์กรที่โดนโจมตีทุก ๆ ฝ่ายล้วนแล้วแต่เป็นฝ่ายเสียทั้งนั้น ยกเว้นคนที่ทำให้เหตุการณ์นี้เกิดขึ้น หรือคนที่เป็นคนบงการอยู่เบื้องหลังเท่านั้นที่ได้ประโยชน์จากการโจมตีนั้น

การป้องกันการถูกโจมตีระบบเครือข่าย

- การโจมตีที่เกิดขึ้นมักจะทำให้เกิดการใช้งานแบนด์วิดธ์จนเต็มที่ เช่น SYN flood ถ้าหากทำการกรองแพ็คเก็ตที่ ISP ได้ก็จะสามารถลดผลกระทบที่จะเกิดขึ้นได้

- ติดตั้ง hardwareที่มีขีดความสามารถสูงไว้ระหว่างเครือข่ายของท่านกับของระบบที่ต้องการป้องกัน เช่น การติดตั้งอุปกรณ์สวิทช์หรือเราเตอร์ประสิทธิภาพสูงที่สามารถทำfitering รวมไปถึงการมีฟังก์ชั่น DoS Attack Protectionได้

- โดยปกติการโจมตีแบบDoS ผู้โจมตีมักจะโจมตีไปยังเป้าหมายโดยระบุเป็น IP Address โดยตรง ไม่ได้ ผ่านการ DNS lookup มาก่อน ดังนั้นเมื่อเกิดการโจมตีขึ้น ยังสามารถหาหนทางหลบหลีกการโจมตีดังกล่าว
ได้ 2 วิธีคือ

1.เปลี่ยน IP Address เมื่อเกิดการโจมตี

2.เปลี่ยน IP Address ไปเรื่อย ๆ แม้จะไม่มีการโจมตี

ซึ่งการกระทำทั้งสองรูปแบบก็มีข้อดีข้อเสียต่างกัน ในรูปแบบแรกจะต้องมีระบบตรวจจับที่ดี สามารถแจ้งเตือนผู้ดูแลระบบให้สามารถปรับเปลี่ยนIP address ได้อย่างรวดเร็ว จะเห็นว่ามีช่องว่างระหว่างการดำเนินงานอยู่ แต่ก็มียังมีข้อดีที่ผู้โจมตี จะไม่สามารถรู้แทกติกนี้จนกว่าจะเริ่มโจมตี ในขณะที่วิธีที่สองจะมีความยากลำบากในการเริ่มโจมตีมากกว่า

DDoS (Distributed Denial of Service)

DDoS (Distributed Denial of Service) คือการโจมตีในรูปแบบเดียวกันกับDoS แต่จะต่างกัน
ตรงที่ว่าจะใช้หลายๆเครื่องช่วยในการทำซึ่งจะให้ผลลัพธ์ที่เป็นอันตรายและรวดเร็วมากกว่าการทำโดยใช้เครื่องเดียวมากนัก การโจมตีด้วยวิธีการ DDoS (Distributed Denial of Service) นี้นั้นการป้องกันเป็น
ไปได้ยากเพราะเกิดขึ้นจากหลายๆที่และหลายๆจุดซึ่งการโจมตีด้วยวิธีการDDoS นี้นั้นจะเกิดขึ้นจากการที่ใช้ Botsซึ่งเป็นโปรแกรมที่ทำหน้าที่บางอย่างโดยอัตโนมัติ เข้าไปฝังตัวอยู่ที่เครื่อง Computer ของเหยื่อโดยจะเปลี่ยนให้computerเครื่องนั้นกลายเป็น Zombies เพื่อที่จะรอรับคำสั่งต่างๆจากผู้โจมตีโดยผ่านช่องทางต่างๆเช่นIRCเป็นต้น

ตัวอย่าง Bot ที่เป็นที่นิยม

-Eggdrop

-Stom

-Kraken

-MayDay

-ASProx

วิธีการ DDoS (Denial of Service) ที่เป็นที่นิยม

เครื่องมือที่ใช้โจมตีแบบ DDoS มีใช้กันอย่างแพร่หลายมานานหลายปีแล้ว และบรรดาผู้ผลิตเองต่างก็มีวิธีป้องกันการโจมตีเช่นเดียวกัน รูปแบบการโจมตีที่นิยมใช้กันก็มีอย่าง SYN flood, UDP flood, ICMP flood, Smurf, Fraggle เป็นต้น ซึ่งจะได้ศึกษาในรายละเอียดและวิธีป้องกันกันต่อไป

1. การโจมตีแบบSYN Flood

เป็นการโจมตีโดยการส่งแพ็คเก็ตTCPที่ตั้งค่า SYN บิตไว้ไปยังเป้าหมาย เสมือนกับการเริ่มต้นร้องขอการติดต่อแบบ TCP ตามปกติ(ผู้โจมตีสามารถปลอมไอพีของ source address ได้)เครื่องที่เป็นเป้าหมายก็จะตอบสนองโดยการส่ง SYN-ACK กลับมายังsource IP address ที่ระบุไว้ ซึ่งผู้โจมตีจะควบคุมเครื่องที่ถูกระบุใน source IP address ไม่ให้ส่งข้อมูลตอบกลับ ทำให้เกิดสภาวะ half-open ขึ้นที่เครื่องเป้าหมาย หากมีการส่ง SYN flood จำนวนมาก ก็จะทำให้คิวของการให้บริการของเครื่องเป้าหมายเต็ม ทำให้ไม่สามารถให้บริการตามปกติได้ นอกจากนี้ SYN flood ที่ส่งไปจำนวนมาก ยังอาจจะทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่อีกด้วย

2. การโจมตีแบบPing of Death

เป็นการส่งแพ็คเก็ต ICMPขนาดใหญ่จำนวนมากไปยังเป้าหมาย ทำให้เกิดการใช้งานแบนด์วิดธ์เต็มที่

3. การโจมตีแบบUDP Flood

เป็นการส่งแพ็คเก็ต UDPจำนวนมากไปยังเป้าหมาย ซึ่งทำให้เกิดการใช้แบนด์วิดธ์อย่างเต็มที่ และ/หรือทำให้ทรัพยากรของเป้าหมายถูกใช้ไปจนหมด โดยจะส่ง UDP packet ไปยัง port ที่กำหนดไว้ เช่น 53 (DNS)

4. การโจมตีแบบTeardrop

โดยปกติเราเตอร์จะไม่ยอมให้แพ็กเก็ตขนาดใหญ่ผ่านได้ จะต้องทำ Fragment เสียก่อนจึงจะยอมให้ผ่านได้ และเมื่อผ่านไปแล้วเครื่องของผู้รับปลายทางจะนำแพ็กเก็ตที่ถูกแบ่งออกเป็นชิ้นส่วนต่าง ๆ ด้วยวิธีการ Fragment มารวมเข้าด้วยกันเป็นแพ็กเก็ตที่สมบูรณ์ การที่สามารถนำมารวมกันได้นี้จะต้องอาศัยค่า Offset ที่ปรากฏอยู่ใน แพ็กเก็ตแรกและแพ็กเก็ตต่อ ๆ ไป สำหรับการโจมตีแบบ Teardrop นี้ ผู้โจมตีจะส่งค่า Offset ในแพ็กเก็ตที่สองและต่อ ๆ ไปที่จะทำให้เครื่องรับปลายทางเกิดความสับสน หากระบบปฏิบัติการไม่สามารถรับมือกับปัญหานี้ก็จะทำให้ระบบหยุดการทำงานในทันที

5. การโจมตีแบบLand Attack

ลักษณะการโจมตีประเภทนี้เป็นการส่งSYNไปที่เครื่องเป้าหมายเพื่อขอสถาปนาการเชื่อมต่อ ซึ่งเครื่องที่เป็นเป้าหมายจะต้องตอบรับคำขอการเชื่อมต่อด้วยSYN ACK ไปที่เครื่องคอมพิวเตอร์ต้นทางเสมอ แต่เนื่องจากว่า IP Address ของเครื่องต้นทางกับเครื่องที่เป็นเป้าหมายนี้มี IP Address เดียวกัน โดยการใช้วิธีการสร้าง IP Address ลวง (โดยข้อเท็จจริงแล้วเครื่องของ Hacker จะมี IP Address ที่ต่างกับเครื่องเป้าหมายอยู่แล้ว แต่จะใช้วิธีการทางซอฟต์แวร์ในการส่งแพ็กเก็ตที่ประกอบด้วยคำขอการเชื่อมต่อ พร้อมด้วย IP Address ปลอม)ซึ่งโปรโตคอลของเครื่องเป้าหมายไม่สามารถแยกแยะได้ว่า IP Address ที่เข้ามาเป็นเครื่องปัจจุบันหรือไม่ ก็จะทำการตอบสนองด้วย SYN ACKออกไป หากแอดเดรสที่ขอเชื่อมต่อเข้ามาเป็นแอดเดรสเดียวกับเครื่องเป้าหมาย ผลก็คือ SYN ACK นี้จะย้อนเข้าหาตนเอง และเช่นกันที่การปล่อยSYN ACK แต่ละครั้งจะต้องมีการปันส่วนของหน่วยความจำเพื่อการนี้จำนวนหนึ่ง ซึ่งหากผู้โจมตีส่งคำขอเชื่อมต่อออกมาอย่างต่อเนื่องก็จะเกิดปัญหาการจัดสรรหน่วยความจำ

6. Smurf

ผู้โจมตีจะส่ง ICMP Echo Request ไปยัง broadcast address ในเครือข่ายที่เป็นตัวกลาง(ปกติจะเรียกว่า amplifier) โดยปลอม source IP address เป็น IP address ของระบบที่ต้องการโจมตี ซึ่งจะทำให้เครือข่ายที่เป็นตัวกลางส่ง ICMP Echo Reply กลับไปยัง IP address ของเป้าหมายทันที ซึ่งทำให้มีการใช้งานแบนด์วิดธ์อย่างเต็มที่

7. การโจมตีรูปแบบอื่น ๆ

การโจมตีรูปแบบอื่น ๆ สามารถเกิดขึ้นได้ จำเป็นต้องมีการตรวจสอบและป้องกันแก้ไขตามเหตุการณ์ที่เกิดขึ้น

ความเสียหายที่เกิดโดยการโจมตีในรูปแบบ DoS

ความเสียหายที่เกิดจากDoSส่งผลให้ผู้ใช้งานแต่ละส่วนไม่เหมือนกัน แล้วแต่ว่าเขาจะอยู่ในส่วนใด เช่น เป็นผู้เข้าไปใช้งาน เป็นพนักงานในองค์กรที่โดนโจมตี หรือเป็นเจ้าของเครื่องที่ถูกใช้ในการโจมตี หรือจะมองในแง่ขององค์กรที่โดนโจมตี ทุก ๆ ฝ่ายล้วนแล้วแต่เป็นฝ่ายเสียทั้งนั้น ยกเว้นคนที่ทำให้เหตุการณ์นี้เกิดขึ้น หรือคนที่เป็นคนบงการอยู่เบื้องหลังเท่านั้นที่ได้ประโยชน์จากการโจมตีนั้น

ถ้าเราจะจัดความเสียหายของDoSนั้นก็สามารถจัดได้ตามประเภทของการทำงานของตัว DoS เอง ซึ่งสามารถแบ่งได้เป็นสองประเภทด้วยกันคือ

1. ความเสียหายกับเครื่องคอมพิวเตอร์

ในส่วนความเสียหายของเครื่องคอมพิวเตอร์นั้น เราก็สามารถมองได้สองมุมด้วยกันคือ ในมุมของเครื่องที่ถูกใช้ในการโจมตีกับในมุมของเครื่องที่โดนโจมตี

1.1 เครื่องที่ถูกใช้เป็นเครื่องมือในการโจมตี อันดับแรกคือเราสูญเสียการควบคุมของเครื่องเราเองทำให้คนอื่นสามารถเข้ามาบงการเครื่องของเราให้ไปทำอย่างโน้นทำอย่างนี้ตามที่เขาต้องการได้ อันดับสองคือการเสียทรัพยากรของเครื่องเองไม่ว่าจะเป็น ซีพียู เมโมรี หรือแบนด์วิดธ์ เป็นต้น ทรัพยากรต่าง ๆ ของเครื่องที่กล่าวไปแล้วนั้นจะถูกใช้ไปรันโปรแกรมที่จะใช้ในการเข้าไปโจมตีเครื่องเหยื่อ ทำให้เครื่องคอมพิวเตอร์ของเรานั้นไม่สามารถใช้งานได้อย่างเต็มที่

1.2 เครื่องที่เป็นเหยื่อในการโจมตีครั้งนี้ แน่นอนว่าทำให้เครื่องนั้นไม่สามารถให้บริการต่อไปได้ เพราะจุดประสงค์หลักของ DoS ก็คือสิ่งนี้ เพราะเครื่องนั้นมัวแต่ประมวลผล Request จำนวนมากที่ถูกส่งเข้ามาทำให้เครื่องนั้นทำงานหนักจนไม่สามารถรับงานได้อีกต่อไป บางเครื่องอาจจะแฮงก์ไปเฉย ๆ หรือระบบอาจจะ Crash เลยก็เป็นไปได้ทำให้เครื่องนั้นไม่สามารถให้บริการได้อีก

2. ความเสียหายกับระบบเน็ตเวิร์ก

ความเสียหายที่เกิดขึ้นกับระบบเน็ตเวิร์กนั้นเราก็สามารถมองได้สองมุมเช่นกัน คือมองในมุมของผู้ที่ถูกใช้เป็นเครื่องมือในการโจมตี และผู้ที่ถูกโจมตี

2.1 มุมที่ผู้ถูกใช้เป็นเครื่องมือ ทำให้แบนด์วิดธ์ที่เราควรจะมีเหลือไว้ใช้นั้นถูกใช้ไปกับการโจมตีเสียหมด บางครั้งก็กินแบนด์วิดธ์ทั้งหมดที่เรามีอยู่เพื่อใช้ในการโจมตีทำให้เครื่องหรือระบบที่ถูกใช้เป็นเครื่องมือในการโจมตีนั้นไม่สามารถใช้งานระบบเน็ตเวิร์กได้อีกต่อไป

2.2 มุมที่ผู้ถูกโจมตี เช่นเดียวกับแบนด์วิดธ์ของผู้ที่ถูกโจมตีนั้นก็จะใช้ไปอย่างรวดเร็วจนหมด ทำให้บริการที่เตรียมไว้ที่เครื่องที่ถูกโจมตีนั้นไม่สามารถใช้งานได้อีกต่อไป เครื่องที่ต้องการที่จะติดต่อเข้ามาที่เครื่องนี้ หรือผ่านเครื่องนี้เพื่อเข้าไปในระบบข้างใน (ในกรณีที่เป็นไฟร์วอลล์)ไม่สามารถใช้งานได้ ผู้ที่อยู่ด้านในของระบบก็จะไม่สามารถเชื่อมต่อกับระบบภายนอกได้เช่นเดียวกัน แต่ระบบ LAN ภายในก็ยังสามารถใช้งานได้ตามปกติ

3. ความเสียหายกับองค์กร

3.1 เมื่อเกิดการโจมตีขึ้นแล้วก็มีแต่เสียกับเสียเท่านั้น ยิ่งองค์กรที่ถูกโจมตีด้วยแล้วความเสียหายนั้นก็เกิดขึ้นอย่างมากมายทีเดียว เริ่มตั้งแต่ความเสียหายของตัวเครื่องคอมพิวเตอร์หรือระบบที่โดนโจมตีเองทำให้ต้องเสียเวลาเสียค่าใช้จ่ายในการซ่อมแซมเพื่อที่ให้สามารถกลับมาให้บริการได้อย่างเดิม

3.2 เสียโอกาสทางธุรกิจโอกาสที่จะทำธุรกรรมกับเครื่องที่โดนโจมตี หรือการทำธุรกรรมอื่น ๆ กับระบบภายในที่จำเป็นต้องต่อเชื่อมกับอินเทอร์เน็ตสูญเสียโอกาสที่จะทำธุรกรรมทางอินเทอร์เน็ต โอกาสที่ลูกค้าจะเข้ามาในเว็บ โอกาสที่จะปิดการขาย โอกาสที่จะสร้างรายได้ และอีกหลาย ๆ โอกาสที่ทางองค์กรจะต้องเสียไป

3.3 เสียภาพลักษณ์ขององค์กร องค์กรที่ถูกโจมตีด้วยการโจมตีประเภทDoS นั้น ทำให้การบริการที่องค์กรนั้นเตรียมพร้อมไว้ให้บริการไม่สามารถให้บริการได้ ทำให้ภาพลักษณ์ขององค์กรนั้นเสียไป เพราะไม่สามารถป้องกันเหตุที่เกิดขึ้นได้ หรือไม่มีวิธีการแก้ไขที่รวดเร็วจนทำให้เกิดความเสียหายขึ้น ทำให้ลูกค้าขาดความเชื่อมั่นในองค์กรว่าจะสามารถตอบสนองความต้องการของตนได้ อาจเป็นเหตุให้ลูกค้าเปลี่ยนใจไปใช้บริการขององค์กรอื่นแทนในที่สุด

การป้องกันการถูกโจมตีระบบเครือข่าย

- การโจมตีที่เกิดขึ้นมักจะทำให้เกิดการใช้งานแบนด์วิดธ์จนเต็มที่ เช่น SYN flood ถ้าหากทำการกรองแพ็คเก็ตที่ ISP ได้ ก็จะสามารถลดผลกระทบที่จะเกิดขึ้นได้

- ติดตั้ง hardwareที่มีขีดความสามารถสูงไว้ระหว่างเครือข่ายของท่านกับของระบบที่ต้องการป้องกัน เช่น การติดตั้งอุปกรณ์สวิทช์หรือเราเตอร์ประสิทธิภาพสูงที่สามารถทำ filteringรวมไปถึงการมีฟังก์ชั่น DoS Attack Protection ได้

อุปกรณ์สวิทช์ Allied Telesyn รุ่น AT-8524M และรุ่น AT-9424Tดังกล่าวมีฟีเจอร์ที่สามารถป้องกันการโจมตีโดย Denial of Service (DoS)

-โดยปกติการโจมตีแบบ DoSผู้โจมตีมักจะโจมตีไปยังเป้าหมายโดยระบุเป็น IP addressโดยตรง ไม่ได้ผ่านการทำ DNS lookup มาก่อน ดังนั้นเมื่อเกิดการโจมตีขึ้น ยังสามารถหาหนทางหลบหลีกการโจมตีดังกล่าวได้ 2วิธีคือ 1.เปลี่ยน IP address เมื่อเกิดการโจมตี 2.เปลี่ยน IP address ไปเรื่อย ๆ แม้จะไม่มีการโจมตี ซึ่งการกระทำทั้งสองรูปแบบก็มีข้อดีข้อเสียต่างกัน ในรูปแบบแรกจะต้องมีระบบตรวจจับที่ดี สามารถแจ้งเตือนผู้ดูแลระบบให้สามารถปรับเปลี่ยน IP address ได้อย่างรวดเร็ว จะเห็นว่ามีช่องว่างระหว่างการดำเนินงานอยู่ แต่ก็มียังมีข้อดีที่ผู้โจมตีจะไม่สามารถรู้แทกติกนี้จนกว่าจะเริ่มโจมตี ในขณะที่วิธีที่สองจะมีความยากลำบากในการเริ่มโจมตีมากกว่า

DoS กับ DDos จุดประสงค์ของทั้งสองตัวก็คือ ขัดขวาง หรือทำลาย เครื่อง server หรือเครื่องเป้าหมายในเครือข่ายคอมพิวเตอร์ แต่แตกต่างกันอย่างสิ้นเชิงในเรื่องของผลที่ได้ DDosให้การโจมตีที่รวดเร็วและรุนแรงกว่าเพราะใช้การโจมตีจากหลายๆที่โจมตีไปยังที่เดียว

ผู้โจมตีที่ใช้ Dos/DDoSเพื่ออะไร ?

เป็นเหตุผลทั่วไปที่ผู้ที่เป็นผู้ใช้จะกระทำสิ่งเหล่านี้ เพราะไม่ว่าเหล่าผู้โจมตีจะใช้วิธีไหน เหตุผลก็ไม่ต่างกัน ยกตัวอย่างเช่น
1. ความอยากรู้อยากเห็น
ผู้โจมตีระดับ Script-Kiddies จะมีความอยากรู้อยากเห็นมากที่สุด เพื่อความต้องการอยากรู้ถึงความสามารถของโปรแกรมที่ตนสามารถหามาได้และไม่ได้นึกถึงความเสียหายของเป้าหมายที่เขาได้ก่อขึ้นมา

2. เจตนาร้าย
ความไม่ลงรอยในธุรกิจหรือแม้แต่ผู้โจมตีที่แค่เห็นหน้าเว็บแล้วรู้สึกไม่ชอบโดยไร้เหตุผลประกอบ แค่ว่าไม่ชอบ และไม่มีเหตุผลที่แน่นอน
3. ผลประโยชน์ทางการเงิน
บริษัทหนึ่งที่อาจถูกโจมตีเพื่อให้เลื่อนการเปิดตัวบริการออนไลน์ หรือการทำลายความน่าเชื่อถือขอบบริษัทคู่แข่ง ผู้โจมตีอาจได้รับการจ้างจากคู่แข่ง เพื่อผลประโยชน์ทางการเงินของผู้โจมตี ผู้โจมตีจึงไม่สนใจในเรื่องความผิดชอบชั่วดีในโลกออนไลน์

แหล่งที่มา

http://www.mvt.co.th/viewarticle.php?cid=3&nid=82&page=4

http://www.dpu.ac.th/compcntre/news.php?id=871

สมาชิกกลุ่ม

นางสาว ณัฏฐา รังษีอาจศึก 2551051542309

นางสาว ณัฐณิชา คงแก้ว 2551051542310

นางสาว พิชญา ภาษาประเทศ 2551051542312

นางสาว ศิริรัตน์ อุดมมงคลไพศาล 2551051542318

คำศัพท์ครั้งที่ 10

1. ASIM -Automated Security Incident Measurement คือ การวัดเหตุการณ์ความปลอดภัยแบบอัตโนมัติ การเฝ้าดู traffic ในเครือข่ายและเก็บสะสมข้อมูลจากเครือข่าย เป้าหมายโดยการตรวจจับกิจกรรมที่ไม่ได้รับอนุญาตในเครือข่าย

2. Administrative Security คือ การบริหารเรื่องความปลอดภัย ข้อกำหนดทางการจัดการและสิ่งควบคุมเสริมต่างๆที่ตั้งขึ้นมาเพื่อให้การป้องกันข้อมูลอยู่ในระดับที่ยอมรับได้

3. Active Attack คือ การโจมตีแบบ active เป็นการโจมตีที่ทำให้เกิดการเปลี่ยนสถานะโดยไม่ได้รับอนุญาต เช่น การเปลี่ยนแปลง file หรือการเพิ่ม file ที่ไม่ได้รับอนุญาตเข้าไป

              

4. Scan คือ การเข้าถึงเป้าหมายกลุ่มหนึ่งโดยเข้าถึงทีละเป้าหมาย เพื่อที่จะตรวจสอบว่าเป้าหมายใดมีคุณลักษณะเฉพาะที่มองหาอยู่

 

5. Security Violation คือ การล่วงล้ำความปลอดภัย การที่ผู้ใช้หรือบุคคลอื่นข้ามผ่าน หรือเอาชนะการควบคุมของระบบให้ได้มาซึ่งการเข้าถึงข้อมูลในระบบหรือการเข้าถึงทรัพยากรของระบบโดยไม่ได้รับอนุญาต

 

6.Security Audit คือ การตรวจหาในระบบคอมพิวเตอร์ถึงปัญหาและความล่อแหลมทางความปลอดภัยต่างๆ

 

7. Terminal Hijacking คือ การที่ผู้โจมตีที่อยู่บนเครื่องหนึ่งควบคุม session บน terminalใดๆ ที่กำลังดำเนินอยู่hacker ที่โจมตีสามารถส่งและรับ I/O ของ terminal ในขณะที่ผู้ใช้กำลังใช้terminal นั้นอยู่

 

8. Firewall คือ ระบบหนึ่งหรือหลายระบบรวมกันที่สร้างหรือบังคับให้มีเส้นแบ่งเขตระหว่างสองเครือข่ายขึ้นไปเป็น Gateway ที่จำกัดการเข้าถึงในเครือข่ายต่างๆ ให้เป็นไปตามนโยบายการรักษาความปลอดภัยของเครือข่ายนั้นๆ Firewall ที่ใช้กันทั่วไปจะเป็นเครื่อง micro computer ที่ run UNIX อยู่บนเครื่องนี้จะไม่มีข้อมูลที่สำคัญอยู่ จะมี modem และ portต่างๆ ที่เชื่อมต่อกับเครือข่ายภายนอก และมีเพียง port เดียว(ที่ได้รับการเฝ้าดูอย่างใกล้ชิด) ต่อกลับมายังเครือข่ายภายใน

 

9. Information Security คือ การรักษาความปลอดภัยโดยการใช้นโยบายหรือระเบียบปฏิบัติ

 

10. Hacking คือ การใช้โดยไม่ได้รับอนุญาตหรือการพยายามที่จะใช้อุบายหรือข้ามผ่านระบบรักษาความปลอดภัยเพื่อเข้าสู่ระบบข้อมูลและเครือข่าย

คำศัพท์ครั้งที่ 9

1. Active Attack
การโจมตีแบบ active : การโจมตีที่ทำให้เกิดการเปลี่ยนสถานะโดยไม่ได้รับอนุญาต เช่น การเปลี่ยนแปลง file หรือการเพิ่ม file ที่ไม่ได้รับอนุญาตเข้าไป
2. Attacker
ผู้โจมตี คือ บุคคลหนึ่งซึ่งพยายามโจมตีครั้งหนึ่งหรือหลายๆ ครั้ง เพื่อที่จะให้บรรลุจุดประสงค์
3. Reporting Sites
Site ที่รายงาน :ชื่อของ site ต่างๆ ที่เป็นผู้รายงานเหตุการณ์ฯ
4. Retro-Virus
เป็น virus ที่รออยู่จนกระทั่ง backup media ที่มีอยู่ทั้งหมดติดเชื้อก่อน ดังนั้นจึงทำให้ไม่สามารถฟื้นฟูระบบให้กลับสู่สภาพเดิมได้
5. Availability
ความพร้อมใช้ :การรับรองว่าข้อมูลและบริการการสื่อสารต่างๆ พร้อมที่จะใช้ได้ในเวลาที่จะต้องใช้
6. Computer Security
ความปลอดภัยคอมพิวเตอร์:ระเบียบการทางเทคนิคและทางการบริหารที่นำมาใช้กับระบบคอมพิวเตอร์เพื่อให้มั่นใจถึงความพร้อมใช้ ความสมบูรณ์ และความลับของข้อมูลที่ระบบคอมพิวเตอร์จัดการอยู่

7.Assessment คือ การสำรวจและตรวจสอบ การวิเคราะห์ถึงความล่อแหลมของระบบ ตลอดจนกระบวนการนำมาและตรวจดูซึ่งข้อมูล ที่จะช่วยผู้ใช้ให้สามารถตัดสินใจถึงการใช้ทรัพยากรในการปกป้องข้อมูลในระบบ

 

8.Exploit Code คือ โปรแกรมที่ออกแบบมาให้สามารถเจาะระบบโดยอาศัยช่องโหว่ของระบบปฏิบัติการหรือแอพพลิเคชั่นที่ทำงานอยู่บนระบบ เพื่อให้ไวรัสหรือผู้บุกรุกสามารถครอบครอง ควบคุม หรือกระทำการอย่างหนึ่งอย่างใดบนระบบได้

 

9.Key logger คือ โปรแกรมหรือซอฟต์แวร์ที่เข้ามาฝังไว้ยังเครื่องเป้าหมายเพื่อมุ่งหวังในการมาสืบความลับข้อมูลต่าง ๆ ส่วนมากจะมุ่งหวังข้อมูลส่วนตัวต่าง ๆ เช่น ชื่อผู้ใช้ระบบและรหัสผ่าน เพื่อนาเข้าไปใช้เข้าระบบต่าง ๆ และกระทำการใด ๆ ต่อไป

 

10.Penetration คือ การเข้าถึงโดยไม่ได้รับอนุญาตในระบบอัตโนมัติโดยการเจาะผ่านเข้าสู่ระบบเพื่อทำการใดๆ

คำศัพท์ครั้งที่ 8

1 Firewall หมายถึง การรักษาความปลอดภัยของระบบคอมพิวเตอร์แบบหนึ่ง จะทำหน้าที่ควบคุมการใช้งานระหว่าง Network ต่าง ๆ จะคอยตรวจสอบข้อมูลที่ผ่านเข้ามาเพื่อป้องกันข้อมูลที่ไม่พึงประสงค์ ตลอดจนข้อมูลที่ไมมีความสมบูรณ์เข้ามาสร้างความเสียหายกับระบบ เปรียบเสมือนยามรักษาความปลอดภัยของระบบระดับหนึ่ง

2 Application Firewall หมายถึง ตัวกลาง” ที่คอยติดต่อระหว่างภายใน กับ ภายนอก นึกถึงสภาพใน Network ภายในองค์กร Client ต้องการออกไปข้างนอก จะต้องวิ่งไปหา Proxy ก่อน และ Proxy จะวิ่งออกไปข้างนอก เพื่อเอา Data มาส่งต่อให้กับ Client อีกทีหนึ่ง ซึ่งจะเพิ่มความปลอดภัยมากขึ้น เพราะ Client เองไม่ได้ติดต่อกับภายนอกโดยตรง

3 Vulnerability Assessment หมายถึง การประเมินหาความเสี่ยงที่เกิดจากช่องโหว่ที่ค้นพบ เมื่อพบก็จะทำการวิเคราะห์ถึงช่องโหว่ที่พบ แล้วการประเมินสรุป เพื่อดำเนินการแก้ไข
 
4 Penetration Testing หมายถึง การทดสอบเพื่อหาช่องทางในการเข้าถึงระบบ เพื่อการทดสอบความปลอดภัย โดยที่ผู้ประเมินพยายามที่จะบุกรุกเข้าผ่านระบบรักษาความปลอดภัยของระบบ เพื่อทำการหา Black Box ก็ได้ คือ การใช้เครื่องคอมพิวเตอร์จำลองเป็นนักโจมตีระบบเพื่อหาทางเข้าสู่ระบบเครือข่ายองค์กรที่ให้ทำการประเมินความเสี่ยงที่อาจเกิดกับระบบ เพื่อนำไปปรับปรุงแก้ไขระบบต่อไป

5 Alert หมายถึง การแจ้งเตือนเป็นข้อความที่ถูกเขียนขึ้นมาเพื่อใช้อธิบายสถานการณ์ที่เกี่ยวข้อง กับความปลอดภัย การแจ้งเตือนมักจะเกิดมาจากการตรวจสอบแล้วพบสิ่งที่อาจมีผลกระทบต่อระบบ จึงมีการแจ้งเตือนเพื่อดำเนินการป้องกัน

6 Implementation Vulnerability หมายถึง ความล่อแหลมช่องโหว่ที่เกิดจากการใช้งาน hardware หรือ software ที่ออกแบบมา อาจเกิดขึ้นจากตัวผู้ใช้งานเองหรือความผิดพลาดของระบบ

7 Passive Threat หมายถึง การคุกคามในการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต เป็นชนิดของการคุกคามที่เกี่ยวข้องกับการดักจับข้อมูลแต่ไม่มีการเปลี่ยนแปลงข้อมูลใดๆ

8 Scareware หมายถึง โปรแกรมที่หลอกให้ผู้ใช้ดาวน์โหลดหรือซื้อมัน โดยให้ผู้ใช้คิดว่ามันจะช่วยซ่อมแซมคอมพิวเตอร์ให้ดีขึ้น ซึ้งจริง ๆ แล้วมันจะเป็นตัวที่ทำให้คอมพิวเตอร์ของเรามีปัญหา

9 Key Logger หมายถึง อาชญากรรมที่เกิดขึ้นกับคอมพิวเตอร์ที่รุนแรงมากอย่างหนึ่ง เพราะผู้ไม่หวังดีจะบันทึกการกดแป้นพิมพ์บนคอมพิวเตอร์ของคุณ ขโมยข้อมูลทุกอย่างที่อยู่บนเครื่อง ตั้งแต่รหัสผ่านอีเมล รหัสถอนเงินผ่าน e-banking รหัสซื้อขายหุ้น และความลับทุกอย่างที่คุณพิมพ์บนเครื่องคอมพิวเตอร์ ซึ่งแฮกเกอร์พวกนี้จะนำข้อมูลของคุณไปเพื่อข่มขู่ แบล็กเมล นำรหัสบัตรเครดิตไปซื้อสินค้า รวมทั้งนำข้อมูลไปใช้ในทางมิชอบอื่นๆ

10 Trojan หมายถึง โปรแกรมจำพวกหนึ่งที่ถูกออกแบบขึ้นมาเพื่อแอบแฝง กระทำการบางอย่าง ในเครื่องของเรา จากผู้ที่ไม่หวังดี ชื่อเรียกของโปรแกรมจำพวกนี้ มาจากตำนานของม้าไม้แห่งเมืองทรอย โทรจันจะถูกแนบมากับ อีการ์ด อีเมล์ หรือโปรแกรมที่มีให้ดาวน์โหลดตามอินเทอร์เน็ตในเว็บไซต์ใต้ดิน และสามารถเข้ามาในเครื่องของเรา โดยที่เราเป็นผู้รับมันมาโดยไม่รู้ตัวนั่นเอง

คำศัพท์ครั้งที่ 7

1 Physical Control หมายถึง การป้องกันทางกายภาพ การมีมาตรการการเข้าถึงศูนย์คอมพิวเตอร์ และเครื่องคอมพิวเตอร์ที่สำคัญได้เฉพาะเจ้าหน้าที่ที่เกี่ยวข้องเท่านั้น รวมทั้งมีระบบสำรองข้อมูลอย่างสม่ำเสมอ

2 Hardware Control หมายถึง การควบคุมความปลอดภัยของระบบโดยฮาร์ดแวร์ โดยเลือกใช้เทคโนโลยีทางด้านฮาร์ดแวร์ ที่สามารถควบคุมการเข้าถึง และป้องกันการทำงานผิดพลาด ด้วยอุปกรณ์ภายในตัวเอง

3 Internal Program Control หมายถึง การควบคุมจากระบบภายในของซอฟต์แวร์ คือ การที่โปรแกรมนั้นได้มีการควบคุมสิทธิการเข้าถึง และสิทธิในการใช้ข้อมูลภายในระบบ ซึ่งถูกจัดเก็บไว้ในระบบฐานข้อมูลภายในระบบเอง 


 
4 Spam คือ การส่งอีเมลที่มีข้อความโฆษณาไปให้โดยไม่ได้รับอนุญาตจากผู้รับ โดยส่วนใหญ่ทำเพื่อการโฆษณาเชิงพาณิชย์ มักจะเป็นสินค้าที่น่าสงสัย หรือการเสนองานที่ทำให้รายได้อย่างรวดเร็ว หรือบริการที่ก้ำกึ่งผิดกฏหมาย ซึ่ง spam จะหาวิธีการให้ได้มาซึ่งอีเมล์แอดเดรสของกลุ่มผู้บริโภคที่เป็นกลุ่มเป้าหมาย ซึ่งสร้างความรำคาญในกับผู้ใช้อีเมล์หากได้รับอีเมล์ ประเภทนี้มากเกินไป ซึ่งบางครั้งจมีค่าใช้จ่ายให้ผู้รับอีเมลนั้นทางอ้อม
 













5 Threat หมายถึง ภัยคุกคามหรือสิ่งที่ละเมิดระบบรักษาความปลอดภัย และอาจก่อให้เกิดผลกระทบซึ่งเป็นอันตรายต่อระบบ ที่ส่งผลทำให้เกิดความเสียหาย หรือเป็นอันตรายต่อผู้อื่น โดยทั่วไปแล้วจะขัดต่อหลักกฎหมาย
  
6 Cracker หมายถึง ผู้ที่ลักลอบบุกรุกเข้าใช้ระบบ โดยผิดกฎหมาย เพื่อจุดประสงค์ใดๆ อาจบุกรุกเพื่อการทำลาย ระบบ และ รวมทั้งการลักลอบขโมยข้อมูลของบุคคลอื่นเพื่อไปเป็นประโยชน์ โดยกระทำของ cracker มีเจตนามุ่งร้ายเป็นสำคัญ 

7 Information Security หมายถึง การศึกษาเกี่ยวกับความปลอดภัยของระบบสารสนเทศทั้งหมด ซึ่งเกี่ยวโยงตั้งแต่อุปกรณ์ หรือ Hardware ทั้งที่เป็นระบบคอมพิวเตอร์และไม่ใช่คอมพิวเตอร์ ระบบ Software ทั้งหมด รวมทั้งศึกษาเกี่ยวกับเรื่องคนและเรื่องทางสังคม ที่เกี่ยวข้องกับความปลอดภัยของระบบสารสนเทศทั้งหมด

8 Confidentiality หมายถึง การรักษาความลับ ให้บุคคลมีสิทธิเท่านั้น เข้าถึงเรียกดูข้อมูลได้ ต้องมีการควบคุมการเข้าถึง ข้อมูลเป็นความลับต้องไม่เปิดเผยกับผู้ไม่มีสิทธิ

9 Availability หมายถึง ความสามารถพร้อมใช้เสมอ ให้บุุุึุคคลผู้มีสิทธเท่านั้นเข้าถึงข้อมูลได้ทุกเมื่อที่ต้องการ ต้องมีการควบคุมไม่ให้ระบบล้มเหลว มีสมรรถภาพทำงานต่อเนื่อง ไม่ให้ผู้ไม่มีสิทธมาทำให้ระบบหยุดการทำงาน

10 Integrity หมายถึง ความถูกต้องแท้จริง มีเกราะป้องกันความถูกต้องครบถ้วนสมบูรณ์ของข้อมูล และวิธีการประมวลผล ต้องมีการควบคุมความผิดพลาด ไม่ให้ผู้ไม่มีสิทธิมาเปลี่ยนแปลงแก้ไข

คำศัพท์ครั้งที่ 6

1 Mockingbird หมายถึงโปรแกรมคอมพิวเตอร์หรือ process ที่ทำทีเป็นว่าปฏิบัติหน้าที่ตามปกติในระบบแต่จะทำกิจกรรมที่มีเจตนาร้ายทันทีที่้ผู้ใช้สั่ง

2 Antivirus-Gateway หมายถึงเป็นบริการตรวจสอบค้นหาป้องกันและกำจัดไวรัสที่ติดมากับ Email ต่างๆของผู้ใช้บริการไม่ว่าจะเป็น Email ขาออกหรือ Email ขาเข้าองค์กรหนึ่งๆนั้นจะมีการติดตั้งโปรแกรม Antivirus ให้กับเครื่องของผู้ใช้งาน(Client) ในทุกๆเครื่องเพื่อป้องกันไวรัสที่อาจจะมาจากที่ต่างๆซึ่งหากผู้ใช้งานลืม Update Antivirus ก็จะทำให้ ไวรัสสามารถแพร่กระจายไปในองค์กรได้อย่างรวดเร็วโดยเฉพาะไวรัสที่ติดมากับ Email ต่างๆแต่ระบบ Antivirus-Gateway ทำให้Email ที่ผ่านการตรวจสอบจาก Antivirus-Gateway แล้วนั้นปลอดภัยถึงแม้ว่าผู้ใช้ในองค์กรจะลืมทำการโปรแกรม Update Antivirus ก็ไม่ต้องกังวล เรื่องความปลอดภัยของอีเมล์ที่เข้ามา

3 Security Violation หมายถึง การล่วงล้ำความปลอดภัยการที่ผู้ใช้หรือบุคคลอื่นข้ามผ่านหรือเอาชนะการควบคุมของระบบให้ได้มาซึ่งการเข้าถึงข้อมูลในระบบหรือการเข้าถึงทรัพยากรของระบบโดยไม่ได้รับอนุญาต

4 Support หมายถึงการสนับสนุนหลังการขายเครื่องคอมพิวเตอร์ หรืออาจหมายถึงบริการต่าง ๆที่ผู้ขายเสนอให้แก่ผู้ซื้อแต่ถ้าใช้กับฮาร์ดแวร์หรือซอฟต์แวร์หมายถึงการที่ฮาร์ดแวร์หรือซอฟต์แวร์นั้นสามารถจะนำไปใช้ร่วมกับฮาร์ดแวร์หรือซอฟต์แวร์อื่นได้เช่นถ้าพูดว่าโปรแกรมนี้สนับสนุนเครื่องพิมพ์เลเซอร์หมายความว่าโปรแกรมนี้ใช้กับเครื่องพิมพ์เลเซอร์ได้

5 Browser hijacker หมายถึง เกิดขึ้นมาจากการที่malwareหรือspywareได้ไปกระทำการเปลี่ยนStart page, error page หรือ search page ที่มีอยู่ ให้เปลี่ยนไปจากปกติด้วยวิธีการต่างๆที่เจ้าของไม่ยินยอม

6 Authentication (การพิสูจน์ตัวตน) หมายถึง ขั้นตอนที่ตรวจสอบหลักฐานเพื่อแสดงว่าเป็นบุคคลที่กล่าวอ้างจริง
 
7 Ethical hacker คือผู้เชี่ยวชาญทางด้าน security ผู้ซึ่งใช้ทักษะในการhacking เพื่อจุดประสงค์ในการป้องกันระบบจากการกระทำต่างๆของผู้ที่ลักลอบเข้ามาใช้งานเครื่องเราโดยไม่ได้รับอนุญาต

8 Unauthorized Access and Use หมายถึง เป็นการเข้าสู่ระบบและใช้คอมพิวเตอร์โดยไม่ได้รับอนุญาตโดยพวก Cracker หรือHacker ซึ่งพยามยามที่เจาะเข้าสู่ระบบเพื่อที่จะขโมยข้อมูลส่วนใหญ่จะกระทำผ่านทางระบบเครือข่ายเช่นขโมยข้อมูลบัตรเครดิต เจาะระบบหน่วยงานของรัฐบาลหรือองค์กรหรือเจาะเว็บไซต์ของบริษัทต่างๆเพื่อนำไปใช้ในวัตถุประสงค์ที่ไม่ดี

9 Tripwire หมายถึง เครื่องมือตรวจสอบความคงอยู่(Integrity assessment) ของข้อมูล ผู้ใช้สามารถทำการติดตั้งลงในระบบและconfigure ให้โปรแกรม Tripwire ทำหน้าที่เตือนภัยเมื่อมีการทำลายการเพิ่มเติมหรือการเปลี่ยนแปลงข้อมูลโดยผู้บุกรุกระบบเพื่อให้ระบบเตือนภัยสามารถแจ้งเตือนไปยังผู้ดูแลผ่านทางอี-เมล์ได้

10 Denial Of Service (DOS) หมายถึงการโจมตีเครื่องหรือเครือข่ายเพื่อให้เครื่องมีภาระการทำงานที่หนักจนไม่สามารถให้บริการได้หรือทำงานได้ช้าลงวิธีการโจมตีที่ใช้กันมากที่สุดต่อ ISP คือการโจมตีแบบ DOS ซึ่งแฮ็กเกอร์จะทำให้เน็ตเวิร์กหนึ่งๆล่มลงโดยการระดมยิงด้วยการจราจร(traffic) อย่างท่วมท้นจน ISP รับมือไม่ไหวหนทางที่ใช้โจมตีแบบ Dos มีด้วยกันหลายวิธีวิธีที่นิยมมากที่สุดคือการโจมตีแบบ Smurf , การโจมตีแบบ SYN Flood, การส่งแพ็กเก็ต ICMP ECHO,การส่งแพ็กเก็ต UDP จำนวนมากๆ