ผู้เขียน หัวข้อ: มีคนส่งอะไรแปลกๆๆ มามี่ SERVER data ก็เลยเจอ Man in the Middle attack  (อ่าน 6965 ครั้ง)

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

doramon

  • บุคคลทั่วไป
DoS Attack & Man in the Middle attack
 
 
DoS Attack (Denial of Service) หมายถึง การขัดขวางหรือก่อกวนระบบเครือข่ายหรือ Server
จนทำให้เครื่อง Server หรือเครือข่ายนั้นๆไม่สามารถให้บริการได้ตามปกติ ซึ่งการโจมตีด้วยวิธีการ
DoS Attack (Denial of Service) นั้นโดยทั่วไปนั้นจะกระทำโดยการใช้ทรัพยากรของ Server
ไปจนหมด ยกตัวอย่างเช่น การส่ง Packet TCP/SYN เข้าไปหาเครื่องเป้าหมายโดยใช้ IP address
ที่ไม่มีอยู่จริงในการติดต่อ ทำให้เครื่องเป้าหมายนั้นต้องสำรองทรัพยากรไว้ส่วนหนึ่งเพื่อรองรับการเชื่อม
ต่อที่กำลังจะเกิดขึ้น(ซึ่งไม่มีทางเกิดขึ้น)ดังนั้นเมื่อมีการเชื่อมต่อในรูปแบบนี้เข้ามามากเรื่อยๆจะทำให้เครื่อง
เป้าหมายนั้นเกิดการใช้ทรัพยากรไปจนกระทั่งหมดและยุติการให้บริการในที่สุด

วิธีการ DoS (Denial of Service) ที่เป็นที่นิยมในปัจจุบัน
SYN Flood Attack คือการส่ง Packet TCP/SYN โดยใช้ IP ที่ไม่มีอยู่จริง
Mail Bomb คือการส่ง Mail ที่มีขนาดใหญ่เป็นจำนวนมากเข้าไปเพื่อให้เนื้อที่ใน Mail box เต็ม
Smurf Attack คือการส่งปลอม IP address เป็นของเครื่องเป้าหมายแล้วจึงส่ง Packet ping เข้าไปหา
Broadcast Address เพื่อให้กระจาย Packet เข้าไปทุกเครื่องแล้วหลังจากนั้นเมื่อทุกเครื่องได้รับแล้ว
จึงตอบ Packet ไปหาเครื่องเป้าหมายซึ่งอาจเกิด Buffer Overflow ได้
Fraggle Attack เหมือนกับ Smurf Attack แต่เปลี่ยนเป็นใช้ Packet ของ UDP แทน
Ping of Death คือการส่ง Packet Ping ที่มีขนาดใหญ่เกินกว่าปกติเข้าไปที่เครื่องเป้าหมาย
Teardrop Attack คือการส่ง Packet ที่ไม่สามารถประกอบได้ไปให้เครื่องเป้าหมายเพื่อให้เกิดความสับสน
ICMP Flood Attack คือการส่ง Packet Ping เข้าไปที่เครื่องเป้าหมายเป็นจำนวนมาก
UDP Flood Attack
 
 
 
 
 
 
 
Man in the Middle attack (การโจมตีแบบคนกลาง)
    Man in the middle attack (คำย่อยคือ MITM) ในบางครั้งจะเรียกว่า Bucket brigade attack
หรือJanus attack วิธีโจมตีด้วย Man in the middle attack มีอยู่มากมายหลากหลายวิธีแต่วิธีการ
ที่ได้รับความนิยมมากที่สุดก็คือ ARP Spoof โดยวิธีการโจมตีด้วย ARP Spoof นั้นผู้บุกรุกจะสร้างARP Reply
ปลอมเข้าไปหาเครื่องเป้าหมาย โดยจะโยง IP address ของเครื่อง Server เข้ากับMAC address ของเครื่อ
งผู้โจมตีเพื่อเป็นการลวงให้มีการ update ARP table ขึ้นใหม่และใช้วิธีการเดียวกันในการลวง Server
โดยจะสร้าง ARP Reply ขึ้นมาแล้วโยง IP address ของเครื่องเป้าหมายเข้ากับ MAC address
ทำให้การส่งข้อมูลทั้งหมดต้องผ่านผู้โจมตีซึ่งสามารถที่จะดักฟังข้อมูลข่าวสารหรือแก้ไขรวมไปถึงการขัดขวาง
การส่งข้อมูลทั้งหมดก็ย่อมเป็นไปได้โดยผู้โจมตีนั้นต้องทำให้เหยื่อเชื่อว่ากำลังเชื่อมต่อโดยตรงอยู่
 
ตัวอย่างวิธีการทำ man in the middle attack
สมมุติว่ามี A และ B ตังการที่จะส่ง password Game ให้กันและมี C คือคนที่ต้องการ
password game ของทั้งคู่
A : IP address = 192.168.0.2         MAC address = 11-00-11-00-11-00
B : IP address = 192.168.0.3          MAC address = 22-00-22-00-22-00
C: IP address = 192.168.0.4           MAC address = 33-00-33-00-33-00
C จะทำการส่ง ARP spoof เข้าไปหาที่เครื่อง A โดยบอกว่าเป็นการติดต่อมาจากเครื่อง B เพื่อให้
update ARP table ซึ่งมี IP address = 192.168.0.3 และ
MAC address = 33 00 33 00 33 00
ต่อมาจึงมีการส่ง ARP spoof เข้า ไปที่เครื่อง B โดยบอกว่าเป็นการติดต่อมาจากเครื่อง A เพื่อให้
update ARP table ซึ่งมี IP address = 192.168.0.2 และ
MAC address = 33 00 33 00 33 00
และเมื่อทั้งสองมีการติดต่อกันข้อมูลทั้งหมดจะเข้ามาอยู่ที่เครื่องของ C ซึ่งเครื่อง C สามารถที่จะส่งต่อ
ข้อมูลที่ได้รับมาหรือขัดขวางก็ได้และนี้คือ Man in the middle attack

วิธีการของ man in the middle attack โดยคร่าวๆ
   จะเห็นได้ชัดว่าในกรณีของการใช้ Man in the middle attack นั้นหลักๆก็คือการพยายามปลอมตัว
เข้าไปโดยหลอกให้เครื่องเป้าหมายทั้ง 2 เชื่ออยู่ว่ากำลังเชื่อมต่อกันอยู่โดยตรงซึ่งวิธีการนี้สามารถ
ป้องกันได้โดยการเข้ารหัสข้อความเอาไว้หรือว่าจะใช้โปรแกรมประเภท Anti ARP Spoof ก็ได้และถ้าเป็น
Web Application ก็จะต้องเป็น SSL เข้ามาช่วย
   ARP table นั้นโดยส่วนใหญ่จะมีอายุอยู่ประมาณ 15 วินาที
 
ตัวอย่างเครื่องมือที่ใช้ในการทำ man in the middle attack
dsniff
Cain(ยอดนิยม)
Ettercap
Karma
AirJack
wsniff

ออฟไลน์ peenan

  • Hero Member
  • *****
  • กระทู้: 532
  • Respect: 0
    • ดูรายละเอียด
Re: มีคนส่งอะไรแปลกๆๆ มามี่ SERVER data ก็เลยเจอ Man in the Middle attack
« ตอบกลับ #1 เมื่อ: พฤศจิกายน 20, 2010, 23:14:16 PM »
0
ขอบคุณครับ
แต่ adเมา อยากจะปีนขึ้นไปศึกษาบนยอดมะพร้าว
Huayploo hospital
แลกเปลี่ยนเรียนรู้ แชร์ประสบการณ์  สู่ความมั่นคงของระบบ ข้อมูลสารสนเทศด้านสาธารณสุข
mail:cmn11299@gmail.com

ออฟไลน์ SoRnKuNg

  • Sr. Member
  • ****
  • กระทู้: 334
  • Respect: +1
    • ดูรายละเอียด
Re: มีคนส่งอะไรแปลกๆๆ มามี่ SERVER data ก็เลยเจอ Man in the Middle attack
« ตอบกลับ #2 เมื่อ: พฤศจิกายน 21, 2010, 07:58:51 AM »
0
ขอบคุณครับสำหรับความรู้  เคยโดนมาแล้ว แต่ไม่รู้มันคืออะไร พึ่งรู้วันนี้แหละ  :o :o :o :o

เดี๋ยวหาโหลดเอาไปลองกับ server อ.อ๊อด ก่อน  ;D ;D ;D ;D
โรงพยาบาลกำแพงเพชร
- ขึ้นระบบ 14 มีนาคม 2552 เวลา 23.50น.
-  MA 7-11 ธันวาคม 2552 โดยทีม MA BMS
----------------------------------------------------------------
Server หลัก : IBM x3650 Xeon Quad Core 2.5 Ram 18G
Server สำรอง : IBM x3650M3 Xeon Quad Core 2.5 Ram 20G
SANS Storage
OS : CentOS 5.6 Mysql :  Percona Version 5.5.13
HosXP : File Version 3.54.9.14
-----------------------------------------------------------------
ไม่มีความรู้ที่ไหนจะวิ่งมาหาเราถ้าเราไม่ขวนขวายหามัน
เหมือนวัวย่อมไปหาหนองน้ำไม่ใช่ให้หนองน้ำวิ่งเข้ามาหาวัว