นี้เป็นอีกตัวอย่างหนึ่ง ที่แสดงให้เห็นว่า ไม่ว่าอยู่ที่ใดหากออกอินเตอร์เน็ตได้เราก็สามารถเข้ามาสำรวจ ตรวจสอบ และประเมินผลระบบเครือข่าย พร้อมทั้งวิเคราะห์ลักษณะการใช้งานข้อมูลบนตัวอุปกรณ์ SRAN ได้ หากทางเครือข่ายนั้นได้ทำการเปิด Port SSL และทำการ Re-Direct ไปที่เครื่อง SRAN ที่วางในเครือข่ายท่าน สิ่งที่ได้จาก SRAN คือ การวิเคราะห์ระดับข้อมูลการใช้งานหรือ Bandwidth ที่ใช้ Application Protocol ที่ใช้ รวมถึงข้อมูลทั้งที่ปกติและไม่ปกติ เพื่อรู้ทันปัญหาได้อย่างสะดวกขึ้น
จากกรณีศึกษาการใช้ SRANวิเคราะห์ Log ตอนที่ 2 นั้นหลายคนอาจสงสัยว่า นายพัฒบริษัท XXX ที่อยู่นอกสถานที่ สามารถทำการ Remote ผ่านมือถือเพื่อเข้าไปวิเคราะห์ผลความเสี่ยงที่พบบนเครือข่ายของตนเองได้อย่างไร เรามาย้อนเวลาดูกันครับ เป็น Step by Step
ใกล้มือที่สุด คือ iPhone คลิกปุ่มเพื่อทำการ Slide unlock และคลิกเกาะ Wi-fi ที่ทางรีสอร์ทจัดให้
เมื่อทำการติดต่อระบบ Wi-fi ได้ก็ลองเปิดบราวเซอร์ดูว่ามีการเชื่อมต่ออินเตอร์เน็ตได้หรือไม่ เมื่อได้แล้วพัฒไม่รอช้า
จึงเข้าสู่ Web Application บนอุปกรณ์ SRAN ที่ทาง Firewall บริษัท XXX ได้ Forward port 443 ให้แล้ว
ทำการ Login และใส่ User / Password ในระดับนักวิเคราะห์ระบบ (Analysis) หรือระดับ Member บนอุปกรณ์ SRAN SR-L
เข้าสู่หน้าจอวิเคราะห์ผล พัฒคลิกหน้า Summary ของ SRAN เพื่อดูภาพรวมข้อมูลจราจรของบริษัท XXX จากนั้นจึงคลิกเพื่อดูย้อนหลังลักษณะการใช้งาน
ทำการคลิกเข้าสู่ Menu –>LAW และคลิกดูผลการทำ Data Archive เพื่อดูถึงการบันทึกข้อมูลจราจรภายในองค์กร
เมื่อคลิกผลการบันทึกข้อมูลบนอุปกรณ์ SRAN ผ่านอินเตอร์เน็ทบนเครื่อง iPhone พบสิ่งผิดปกติคือ
มีลักษณะการบุกรุกที่เป็น DDoS เหมือนชนิดเครื่องภายในบริษัท XXX ติดเป็น Zombie อยู่ ซึ่งพัฒผ่านการอบรมจากทีมงาน SRAN ว่า Zombie คือเครื่องที่ติดโปรแกรมที่ไม่พึ่งประสงค์ (Malware) และ Zombie หลายตัว รวมเรียกว่า Botnet นั้นเอง แต่นี้เป็นเพียงขอสังเกตที่พัฒได้วินิฉัยเบื้องต้นเท่านั้น
(อ่านเพิ่มเติมได้ที่ กองทัพ Botnet คืออะไร)
เมื่อพัฒวิเคราะห์ถึงค่า Playload ของลักษณะการโจมตีนี้พบว่า เป็นการติดต่อ Ping Pong ซึ่งคล้ายๆกับ โปรแกรม Eggdrop หรือ TNT ที่เป็น Botnet ใน IRC และคงมีคนสั่งการผ่านทางอินเตอร์เน็ทให้ bot นี้ลักษณะนี้ ที่อยู่ในบริษัท XXX ยิงไปที่อื่นอยู่ พัฒเคยศึกษามาในบทความ Darkside of the Internet ของทีมงาน SRAN เขียนขึ้นเมื่อปี 2005 จากนั้นพัฒได้ดูประวัติ และพฤติกรรมการใช้งานของ IP ที่น่าสงสัยนี้ พบว่านอกจากเป็น Botnet แล้วยังพยายามยิง DoS ผ่านช่องโหว่ Web Dev อีกด้วยและพัฒได้จดบันทึกค่าที่ตนเองพบ ตามหลักการเก็บข้อมูล Chain of Event ทันที โดยพิจารณาจาก 5 คำถามคือ Who,What,Where,When,Why นั้นเอง
ตอนนี้ พัฒทราบสาเหตุเบื้องต้นแล้ว และรู้ทั้ง IP Source และ IP Destination จากที่ SRAN ได้บันทึกไว้แล้ว
สามารถอ่านตอนเชื่อมจากนี้ได้ที่ กรณีศึกษาการใช้ SRANวิเคราะห์ Log ตอนที่ 2
ทำการปิดการเชื่อมต่อ SRAN ในหน้าจอบราวเซอร์ขึ้นข้อความดังรูป จะเห็นว่าใช้งานสะดวกและรวดเร็วไม่จำเป็นต้องเป็นผู้เชี่ยวชาญมากก็สามารถวิเคราะห์เหตุการณ์ได้จาก SRAN นี้เองครับ
อ่านเนื้อเรื่องเต็มได้ที่ http://nontawattalk.blogspot.com/2008/03/sran-iphone.html
