สมัยนี้การดักข้อมูลบนเครือข่ายคอมพิวเตอร์เป็นวิธีการที่สามารถทำได้อย่างสะดวก เนื่องจากมีวิธีการสอนหลักการนี้ในอินเตอร์เน็ตและหนังสือเกี่ยวกับการสอน Hack ตามแผงร้านหนังสือทั่วไป จึงทำให้มีคน download โปรแกรม sniffer เช่น Cain , Netcut หรืออื่นๆที่สามารถดักข้อมูลพนักงานในองค์กร รวมถึงเจ้านายที่ทำงานได้
ดังนั้นจึงเกิดคำถามว่า เราจะรู้ได้อย่างไรว่ามีใครกำลังใช้โปรแกรม Cain & Abel เพื่อดักข้อมูลของเราได้
หน้าจอโปรแกรม Cain ที่ใช้ในการดัก User : password ของคนที่อยู่ในเครือข่าย (Network) เดียวกัน ซึ่งเป็นเครื่องมือสำหรับนักเจาะระบบที่รู้จักกันดี (ภาพจาก techtarget.com)
จึงทำให้ทีมพัฒนา SRAN ได้เพิ่มคุณสมบัติการตรวจจับการดักข้อมูล (sniffer) ชนิด MITM (Man in the Middle) ได้ เนื่องจากวิธี MITM นี้จะทำให้สามารถดักข้อมูลได้ทั้งเข้ารหัส (Encryption) และไม่เข้ารหัส (plain text) อีกจึงเป็นเทคนิคการดักข้อมูลที่อันตราย และตรวจสอบได้ยากเนื่องจากการดักข้อมูลมักเกิดขึ้นใน Layer 2 ซึ่งทำให้เราไม่สามารถตรวจได้ว่าเป็น IP Address ต้นทาง และ IP Address ปลายทางได้เลย
ดังนั้น SRAN Light จึงได้ทำระบบ HBW (Human Behavioral Warning) เพื่อจับค่า MAC Address กับรายชื่อ User ในการระบุตัวตนได้หากมีการดักข้อมูลเกิดขึ้นในเครือข่ายองค์กร
ภาพหน้าจอ Monitor บน SRAN Light ซึ่งสามารถระบุชื่อพนักงานที่ทำการดักขั้อมูล (Sniffer) จากการใช้โปรแกรม Cain ได้ซึ่งจะทำให้ระบุได้ว่าใครทำอะไรที่ไหนเวลาใด ได้อย่างครบถ้วน
การตรวจหาการดักข้อมูลใน SRAN Light ใช้เทคนิค Unicast Detection ซึ่งอาศัยการมอง Protocol ARP
ที่ผิดปกติจากเครื่องต้นทางที่ทำการส่งข้อมูลมายังเครื่องปลายทาง ประเภท Unicast Traffic ในขณะที่ไม่มีการร้องขอ
จากเครื่องปลายทางส่งไปยังเครื่องต้นทาง จากการ Patch core engine ใหม่ของ SRAN ให้สามารถตรวจจับความผิดปกติที่เกิดขึ้นใน Layer 2 ได้ และเชื่อมโยงฐานข้อมูล Inventory ที่ได้จาก HBW ทำให้เราระบุตัวบุคคลที่กระทำความผิดได้
การ Configuration เพื่อตรวจจับความผิดปกติจากการปลอมแปลงค่า MAC Address (Spoof MAC) ที่เป็น
เครื่อง Gateway หรือ Server ที่สำคัญ เพื่อใช้ในการเฝ้าระวังเป็นพิเศษได้
การดักข้อมูลหรือที่เรียกว่า sniffer เพื่อดักจับ User : password ของบุคคลอื่นหากทำด้วยเจตนาที่ไม่พึ่งประสงค์ โดยทำให้ผู้อื่นได้รับความเสียหายแล้วจะข่ายผิดมาตรา 8 ใน พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย
รายละเอียด SRAN Light อ่านเพิ่มเติมได้ที่ http://sran.org/q
ข้อมูลภัยคุกคามตาม Layer ทั้ง 7 บน OSI 7 layer อ่านได้ที่ http://nontawattalk.blogspot.com/2009/08/layer-7.html
