13:57 น. ของวันที่ 9 ธันวาคม 2552 ต่อจากความเดิมตอนที่แล้วอ่านที่ http://www.sran.net/archives/296
“โห” เสียงร้องแสดงความประหลาดใจ ของนาย ก. ไก่ ดังขึ้น แล้วกล่าวว่า “Bandwidth ที่เต็มกลับลดลงอย่างรวดเร็ว นายทำไง และมันเกิดอะไรขึ้นล่ะเนี้ย”
ภาพจากตอนที่แล้ว http://www.sran.net/archives/296
“นายใช้เวลาวิเคราะห์ไม่นานก็รู้ถึงสาเหตุ แถมยังทำให้สถานะการณ์ Bandwidth บริษัทกลับมาใช้งานได้ปกติ ถามจริงๆ เถอะว่านายเก่ง หรือ อุปกรณ์ SRAN มันเก่งกันแน่” นาย ก.ไก่ ถาม
“เก่งทั้งคู่แหละ หุหุ” คือ “เครื่องมือดีอย่างเดียวไม่ได้หลอก เทคโนโลยีมันก็ส่วนหนึ่งที่ช่วยให้เราใช้งานในการวิเคราะห์หาข้อมูลได้สะดวกขึ้น ถ้าใช้งานเป็นนะก็จะมีประโยชน์มาก แต่ถ้าเครื่องมือดีใช้งานไม่เป็นก็เหมือนเดิมล่ะเพื่อนเอ๊ย SRAN ได้เปรียบหน่อยตรงที่คนเขียนก็อยู่ในประเทศไทยนี้เอง จะรู้ลึกซึ้งกว่า” นาย ข. ไข่เสริม
นายดูนี้สิ เสียงแนะนำจาก นาย ข.ไข่ “เวลาเราจะดูข้อมูลจราจร (Traffic Log) บนระบบเครือข่ายคอมพิวเตอร์บริษัทนาย แบบวิเคราะห์เชิงลึกนะ เราก็คลิกไปดูที่เมนู Monitor แล้วคลิกที่ Unique Alerts บนหน้าจอบริหารจัดการเครื่อง SRAN ผ่าน IP Management 192.168.1.100 เราก็จะเห็นว่ามีตั้ง 64 ลักษณะการใช้งานบนเครือข่ายคอมพิวเตอร์นายนะ
ภาพที่ 3 เหตุการณ์บางส่วนของลักษณะการใช้งานไอทีบนเครือข่ายคอมพิวเตอร์ XYZ มีทั้งหมด 4 หน้าหยิบมาให้ดู 2 หน้าจาก 64 เหตุการณ์
วิธีสังเกตดูตัวเลข ที่อยู่ด้านหลังชื่อ Signature หรือลักษณะการใช้งาน ตัวไหนที่มีตัวเลขมาก แสดงว่าใช้ข้อมูลเยอะ จึงมีเหตุการณ์เยอะตามไปด้วย ในภาพที่ 3 พบว่ามีการเปิดเว็บ ทั้งที่เป็น HTTP GET , HTTP Post จำนวนมาก และใช้ HTTP ผ่าน Proxy มีจำนวนหนึ่ง จากรูปที่ 3 จะเห็นว่ามีการใช้งาน Chat ผ่านโปรแกรม MSN อยู่จำนวนมากเหมือนกัน นั้นไม่แปลกอะไร แต่ที่มีแปลกๆ ก็มี เช่น บริษัทนายมีคนติดพวก Backdoor อยู่ด้วยนะ และมีพวกที่เป็น Bad traffic (ข้อมูลขยะ) จากรูป ก็มี Spam และ DNS ที่มีการ spoof อยู่ ซึ่ง Bad traffic เช่น DNS Spoof ส่วนนี้อาจจะเกิดจากปัญหาของการเชื่อมต่อ หรือการ config อุปกรณ์ เช่น Router , Firewall ไม่เหมาะสม หรือมีการโจมตีจากภายนอกองค์กรเข้ามา เช่นพวก ผีไม่มีญาติ (ไวรัสคอมพิวเตอร์ที่วิ่งวนเวียนบนอินเตอร์เน็ต) และนี้แหละสิ่งพิเศษที่ SRAN มีมากกว่าการเก็บบันทึกข้อมูลจราจรธรรมดาไง มันแยกแยะประเภทภัยคุกคามให้สำเร็จเลย
พวกนี้ภัยคุกคามที่เจอในบริษัทนายนี้นะ อาจจะเห็นมีเหตุการณ์ไม่มากแต่ก็ประมาทไม่ได้ เหตุการณ์ที่กล่าวมานั้น มันก็มีทุกบริษัทนั้นแหละ ขึ้นอยู่กับว่าจะรู้ทันปัญหาพวกนี้ได้แค่ไหน และมีการรองรับปัญหาเหล่านี้ไม่ให้ปานปลายได้อย่างไรมากกว่า
แต่ตอนนี้บริษัทนาย เรียกว่า Bandwidth เต็ม ก็ที่น่าสงสัยมากที่สุดก็เห็นจะเป็นการใช้งาน P2P นี้สิ มันตัวทำให้ Bandwidth ของบริษัทเต็มได้นะ ดังนั้นเราก็มาคลิกดูว่า P2P มีใครใช้อยู่บ้าง
