เน็ตคัท ปัญหา ARP ที่เรียกว่า เน็ตคัต
อะไรคือปัญหา ARP หรือ โปรแกรมจำพวกเน็ตคัต (Netcut) มันเล่นงานอย่างไร?
กลุ่ม หอพัก อพาร์ทเม้นท์ โรงแรม
หรือผู้ที่ให้บริการอินเตอร์เน็ต สำหรับ สถานที่พัก โดยเฉพาะ กลุ่ม
นักศึกษา พวกนี้ มักพบปัญหา ค่อนข้าง มาก จาก การโดนเล่นงาน หลายๆ รูปแบบ
หนึ่งในนั้นคือ NETCUT หรือ เน็ตคัท ที่พื้นฐานของปัญหาจริงๆ คือ
ARP ปัญหาของ ARP มีหลายอย่าง ไม่ว่าจะเป็นการโจมตี ไวรัสก็นิยม ใช้จุดออ่น
ARP ในการปฎิบัติการเช่นกัน แต่ปํญหาใหญ่ คือเรื่องการ Spoof
เพราะสามารถหยุดการใช้งานเน็ต ของเครื่องเป้าหมาย หรือทำให้ไม่สามารถใช้งาน
และยังเป็น ผลเสียหาย ต่ออายุการใช้งาน ของอุปกรณ์ เครือข่าย ทั้ง LAN
Card, Wireless device เพราะมันจะใช้วิธี กำหนด Mac address ของ Gateway
ผิดๆ ให้เป้าหมาย
ปัญหาจากวีดีโอ ข้างบน ถือว่า เป็น ARP Spoof แบบง่ายๆ คือผู้เล่นงาน ส่ง ARP ไปยัง เป้าหมายผ่าน Gateway วิธีแก้คือ ผู้ใช้งาน ต้องเซ็ตค่า Mac Address ของ Gateway ที่ใช้งาน ให้ถูกต้อง และกำหนดให้เป็นแบบถาวร (Static Mac Address)
สำหรับ ฝั่ง เซิร์ฟเวอร์ ในกรณีนี้ สามารถช่วยป้องกัน ผู้ใช้งานได้ โดย Block ตัว แพทเกต ที่เป็น ARP ทั้งหมด (Port 137 ถึง 139 ทั้ง TCP และ UDP) แต่ มันไม่สามารถช่วย ในกรณี ที่จะกล่าวต่อๆ ไป
วิธีการเซ็ต Mac Adress แบบถาวร ( Static Macaddress ) สำหรับ ระบบปฎิบัติการ Windows โดยกด Start->Run สำหรับ XP และ Start-Search พิมพ์ cmd จะเข้าสู่ DOS prompt และใช้คำสั่ง arp -a เพื่อแสดงค่า ARP cache มองหาค่าไอพี ของ Gateway ที่ถูกต้อง และ ใช้คำสั่ง arp -s ตามด้วย ค่า ไอพี ของเกตเวย์ ที่ใช้งาน และ ตามด้วย ค่า เมคแอดเดรส ท่านสามารถ ชม วิดีโอ ด้านล่าง เพื่อความเข้าใจยิ่งขึ้น
การเล่นงาน โดยไม่ผ่าน เซิร์ฟเวอร์
จะเป็นอย่างไร ถ้า ผู้ไม่หวังดี เปลี่ยน หรือ เซ็ต Gateway เพิ่ม โดย ชี้ไปตรงๆ กับ เหยื่อ หรือ ผู้ใช้งานที่ต้องการ เล่นงาน คำตอบคือ การป้องกันระดับ เซิร์ฟเวอร์ ไม่มีประโยชน์อีกต่อไป เพราะ ARP แพทเกต ไม่วิ่งผ่านเซิร์ฟเวอร์ อีกต่อไป แต่กลับ วิ่งตรงไป เล่นงาน เป้าหมายแทน
- ไม่ว่าจะเป็นกรณีไหน ของ ปัญหา ARP Spoofing ผู้ใช้งาน ต้องทำ Mac Address ให้ถูกต้อง การเซ็ต Static Mac Address สำหรับ Gateway ในเครื่องของตนจึงเป็น การป้องกัน และแก้ไข ที่ดีที่สุด เท่าที่ผู้ใช้งานจะทำได้ แต่ไม่ได้หมายถึงว่า เซ็ตถูกต้อง แล้วจะใช้งานได้ตลอด ราบรื่น (รายละเอียดอยู่ในกรณีศึกษาถัดไป)
- ยกเว้น กรณีศึกษาแรกเท่านั้น ในการทำการ ของผู้ไม่หวังดี ถือว่า จงใจเล่นงานมุ่งหวัง ทำลาย และ ถ้ามองที่เจตนา ของการกระทำ ถือว่า มีเจตนา ที่ต้องการทำให้เกิดการเสียหาย 100 เปอร์เซ็นต์ ทั้งนี้เพราะ เครื่องที่โจมตี หรือเล่นงาน จะไม่สามารถใช้งาน อะไรได้เลย ถึงแม้ จะ Cut เครื่องใดๆ ออกไปจาก เครือข่าย เพื่อสวมรอยแทน ก็ตาม (ทางทฤษฎี อาจจะทำได้ด้วย Virtual Machine ไม่ยืนยัน) สรุปคือ มีเพียงกรณีแรกเท่านั้น ที่สามารถทำให้ เครื่องที่เล่นงานผู้อื่น ยังสามารถใช้งานได้ เพราะค่า Gateway ยังปกติ
ป้องกัน ได้ 100%… จริงหรือ?
คำถามนี้ ถ้าจะตอบว่ายาก ในการที่จะป้องกัน ปัญหานี้ ได้ 100 เปอร์เซ็นต์ ก็ไม่เชิง สมัยก่อน ก็เคยแก้ปัญหาแบบนี้ โดยให้ Server ช่วย Blocked ก็ช่วยได้ เพราะ เครื่องมือ หรือ ซอฟต์แวร์ มันแค่ ARP Spoof การจะทำกรณีเล่นงาน ที่เครื่องเหยือ ตรงๆ ต้องใช้ทักษะ ของตนเองช่วย (add route , เปลี่ยน Gateway) แต่ปัจจุบัน เป็นอย่างที่หลายคนประสบ ส่วนหนึ่งอาจจะ มาจากการ ความแพร่หลายของ Wireless หรือเน็ตไร้สาย เพราะถ้าเป็นเครือข่าย แบบใช้สาย (Wiring หรือ Cable Network) รับประกันได้ว่า แก้ปัญหานี้ 100 เปอร์เซ็นต์ ได้แน่นอน ปัญหาคือ อุปกรณ์อื่นๆ ที่อยู่ในเครื่อข่าย คือส่วนที่จะบอกว่า สามารถแก้ปัญหาได้ 100 เปอร์เซ็นต์หรือไม่ ตัวที่สำคัญสุดคือ Access Point ที่ต้องมีในเครือข่าย เพราะมันก็มี Mac Address และระดับล่าง อย่าง ARP ก็ส่งไปถึง บางที ถึงก่อนที่จะไปถึงเป้าหมายที่เป็นเครื่องคอมเสียด้วยซ้ำ ถ้าเล่นงานผ่าน Server การป้องกันที่ Server ช่วยได้ แต่ถ้าเป็นกรณีหลังที่กล่าวไปก่อนหน้านี้ คงยาก
ณ. ตอนนี้เรา สามารถป้อง ได้ 100 เปอร์เซ็นต์ เพราะตัว Access Point ที่เป็นจุดอ่อน ที่กล่าวไป เราสามารถทำ Static Mac ได้เช่นกันรายละเอียด ให้อ่านบทความ เกี่ยวกับ การเซ็ต Static Mac ให้กับ Access Point หรือ Access Point คัทไม่ตาย ที่จะได้ลงไว้นะที่นี้ต่อไป
การป้องกัน Access Point ไม่ให้ถูกเล่นงาน
ก็ใช้หลักการเดียวกันกับเครื่องคอม คือ ป้องกัน การเข้าใจผิด ในค่าของ Mac Address แบบถาวร โดยการระบุ IP ของ Gateway ว่าค่า Mac ที่ถูกต้องคืออะไร แต่มันไม่ใช่ว่าจะมีให้ เซ็ต ทุกยี่ห้อ นี่เองที่คือคำตอบ ว่า การป้องกันได้ 100 เปอร์เซ็นต์ หรือไม่ ต้องถามว่า มีอุปกรณ์อะไรที่อยู่ใน เครือข่ายบาง การแก้ปํญหาด้วยเซิร์ฟเวอร์ ทำได้เช่นกัน หลักการก็คือ ให้มัน ส่ง ARP ที่ถูกต้องไป แต่ต้องชี้ Gateway ไปที่ AP ด้วย (วิธีนี้น่าจะเหมือนโปรแกรม AntiNetcut ซึ่งไม่แนะนำให้ใช้ เพราะถ้าเวลาเดียงวกัน มีทั้งผู้ Cut และ AntiNetCut สิ่งที่ได้รับผลกระทบคือ ตัวอุปกรณ์ เครือข่าย ที่อาศัย Mac Address ทั้งหมดไม่ว่าจะเป็น NIC , Layer switch , Wireless device, AP อาจจะเสียหายได้เร็วกว่าที่ควรจะเป็น) อีกวิธี ซึ่งมันอาจจะดูตลก นิดหน่อย เพราะวิธีการคือ ซ่อน หรือ ทำให้ผู้เล่นงาน มองไม่เห็นมันง่ายๆ แน่นอน Server ต้องปิดกั้นหรือ Block การ Scan IP และตัว AP เองต้องทำให้เงียบสงบมากที่สุด ก็คือต้องไม่ส่ง Packet อะไร ออกมาจากตัว AP (โหมด AP ปกติจะทำงานเป็น Passive คือแค่เชื่อมต่อและส่งผ่าน ยกเว้นบางรุ่นที่เป็นแบบ Router) ดังนั้นแนะนำให้ปิด Feature บางอย่างที่มีโอกาสจะ Broadcast ข้อมูลออกมา เช่น UPnP (น่าจะเป็น Port 1900 ที่มี Packet รับส่ง) หรือ Syslog และเป็นไปได้ ให้อยู่ IP คนละกลุ่ม ไปเลย (มันจะเป็นแค่ Logical) แต่ต้อง Route ไป Gateway ได้ด้วย (SmallOne ใช้หลักการนี้) คือทำให้ผู้เล่นงาน มืดมนให้มากที่สุด หรือทำให้มีโอกาสถูกเล่นงานได้น้อยที่สุด เท่าที่จะทำได้ เพราะ ARP อยู่ระดับล่าง ถ้าไม่ใช่พวก Layer Switch จะแตะต้องมันยาก
ฝั่ง เซิร์ฟเวอร์ ต้องจัดการเรื่อง Static Mac address ด้วย
แน่นอนที่สุด การจะป้องกันปัญหา ARP แบบ 100 เปอร์เซ็นต์ ไม่ง่าย แต่สุดท้าย ทุกอย่างจำเป็นต้องป้องกันทั้งหมด หรือทำให้มากที่สุด นั่นคือ ฝั่งเซิร์ฟเวอร์ ต้อง Block ข้อมูลทุกอย่างที่เป็น ARP และ ต้องเซ็ต Mac address แบบ static ให้ทั้ง อุปกรณ์ เช่น Access Point และผู้ใช้งาน ด้วย (ดูรายละเอียดการเซ็ต Mac address ของ Access Point ให้กับ เจ้าตัวเล็กที่ หน้า Configuration) ทั้งหมดคือสิ่งที่ “เจ้าตัวเล็ก” พยายามทำทั้งหมด เท่าที่ฝั่งเซิร์ฟเวอร์จะทำได้ และช่วยเหลือผู้ใช้งาน สามารถเซ็ต Static Mac addres ได้ง่ายขึ้น โดยการจัดเตรียมของ ค่า address ของตน (Gateway) ให้ผู้ใช้งาน เซ็ตได้ง่ายขึ้น
ยังมีวิธีการที่ป้องกันที่ดีกว่า Static Mac หรือ ไม่?
เท่าที่ทดสอบ Static Mac คือวิธีการที่ถูกต้อง สำหรับแก้ปัญหา Mac ที่ไม่ถูกต้อง ส่วน Server ก็มีอีกวิธีคือ Blocked ทั้งหมด ทุกอย่าง และ นำ Mac Address ของผู้ที่ต้องการใช้งาน มาใส่ในกลุ่ม Allow ของ Firewall ที่ Server จะทำให้เครื่องที่ไม่ต้องการไม่สามารถ เข้าร่วมเครือข่ายได้เลย เพราะไม่ได้แม้กระทั่ง IP ที่ DHCP ของ Server แจก แต่ก็ป้องกันได้แค่ กลุ่มมือสมัครเล่น เพราะผู้ไม่หวังดียังสามารถ Fix IP (ต้องรู้ข้อมูล IP อยู่แล้ว ไม่ใช่กลุ่มขาจร) แล้วชี้ Gateway ไปยังเหยื่อที่ต้องการเล่นงานได้อยู่ดี ดังนั้น ทุกเครื่องที่เป็นผู้ใช้งานจำเป็นอย่างยิ่ง ต้องป้องกันตนเอง ด้วยวิธี Static Mac. ของ Server ให้ถูกต้อง และอีกประการที่สำคัญ ผู้ไม่หวังดี มักจะไม่ใช้ Mac Address จริงๆ ของเครื่องตนเองในการทำความผิด ในเมื่อเปลี่ยน Mac Address ได้ แล้วทำไมจะเปลี่ยน Mac Address ของตนเองให้อยู่ในกลุ่ม Allow ไม่ได้
อุปกรณ์ Switch Layer ช่วยได้หรือไม่?
ช่วยได้ระดับหนึ่ง แต่ราคาค่อนข้างสูง ซื้อมาแล้วต้อง Set Blocked ให้เหมาะสม แล้วยังต้องคิดอีกด้วยว่า Access Point มันอยู่บน Switch ก็จริง แต่คนที่เล่นงาน ไม่ได้ต้องการ วิ่งไปถึง Switch แต่ต้องการเล่นงานที่ Access Point ตัวที่เกาะอยู่โดยตรงจะทำอย่างไร (ถึงแม้ AP จะชี้ Gateway ไป Server ผ่าน switch ก็ตาม , IP คนโจมตีไม่ชนกับ Server แต่ Mac ก็ใช่ว่าจะทำให้เหมือน Server ไม่ได้)
ref:https://sites.google.com/site/internetcontrolgateway/net-khath-payha-arp-thi-reiyk-wa-net-khat
คำถามนี้ ถ้าจะตอบว่ายาก ในการที่จะป้องกัน ปัญหานี้ ได้ 100 เปอร์เซ็นต์ ก็ไม่เชิง สมัยก่อน ก็เคยแก้ปัญหาแบบนี้ โดยให้ Server ช่วย Blocked ก็ช่วยได้ เพราะ เครื่องมือ หรือ ซอฟต์แวร์ มันแค่ ARP Spoof การจะทำกรณีเล่นงาน ที่เครื่องเหยือ ตรงๆ ต้องใช้ทักษะ ของตนเองช่วย (add route , เปลี่ยน Gateway) แต่ปัจจุบัน เป็นอย่างที่หลายคนประสบ ส่วนหนึ่งอาจจะ มาจากการ ความแพร่หลายของ Wireless หรือเน็ตไร้สาย เพราะถ้าเป็นเครือข่าย แบบใช้สาย (Wiring หรือ Cable Network) รับประกันได้ว่า แก้ปัญหานี้ 100 เปอร์เซ็นต์ ได้แน่นอน ปัญหาคือ อุปกรณ์อื่นๆ ที่อยู่ในเครื่อข่าย คือส่วนที่จะบอกว่า สามารถแก้ปัญหาได้ 100 เปอร์เซ็นต์หรือไม่ ตัวที่สำคัญสุดคือ Access Point ที่ต้องมีในเครือข่าย เพราะมันก็มี Mac Address และระดับล่าง อย่าง ARP ก็ส่งไปถึง บางที ถึงก่อนที่จะไปถึงเป้าหมายที่เป็นเครื่องคอมเสียด้วยซ้ำ ถ้าเล่นงานผ่าน Server การป้องกันที่ Server ช่วยได้ แต่ถ้าเป็นกรณีหลังที่กล่าวไปก่อนหน้านี้ คงยาก
ณ. ตอนนี้เรา สามารถป้อง ได้ 100 เปอร์เซ็นต์ เพราะตัว Access Point ที่เป็นจุดอ่อน ที่กล่าวไป เราสามารถทำ Static Mac ได้เช่นกันรายละเอียด ให้อ่านบทความ เกี่ยวกับ การเซ็ต Static Mac ให้กับ Access Point หรือ Access Point คัทไม่ตาย ที่จะได้ลงไว้นะที่นี้ต่อไป
การป้องกัน Access Point ไม่ให้ถูกเล่นงาน
ก็ใช้หลักการเดียวกันกับเครื่องคอม คือ ป้องกัน การเข้าใจผิด ในค่าของ Mac Address แบบถาวร โดยการระบุ IP ของ Gateway ว่าค่า Mac ที่ถูกต้องคืออะไร แต่มันไม่ใช่ว่าจะมีให้ เซ็ต ทุกยี่ห้อ นี่เองที่คือคำตอบ ว่า การป้องกันได้ 100 เปอร์เซ็นต์ หรือไม่ ต้องถามว่า มีอุปกรณ์อะไรที่อยู่ใน เครือข่ายบาง การแก้ปํญหาด้วยเซิร์ฟเวอร์ ทำได้เช่นกัน หลักการก็คือ ให้มัน ส่ง ARP ที่ถูกต้องไป แต่ต้องชี้ Gateway ไปที่ AP ด้วย (วิธีนี้น่าจะเหมือนโปรแกรม AntiNetcut ซึ่งไม่แนะนำให้ใช้ เพราะถ้าเวลาเดียงวกัน มีทั้งผู้ Cut และ AntiNetCut สิ่งที่ได้รับผลกระทบคือ ตัวอุปกรณ์ เครือข่าย ที่อาศัย Mac Address ทั้งหมดไม่ว่าจะเป็น NIC , Layer switch , Wireless device, AP อาจจะเสียหายได้เร็วกว่าที่ควรจะเป็น) อีกวิธี ซึ่งมันอาจจะดูตลก นิดหน่อย เพราะวิธีการคือ ซ่อน หรือ ทำให้ผู้เล่นงาน มองไม่เห็นมันง่ายๆ แน่นอน Server ต้องปิดกั้นหรือ Block การ Scan IP และตัว AP เองต้องทำให้เงียบสงบมากที่สุด ก็คือต้องไม่ส่ง Packet อะไร ออกมาจากตัว AP (โหมด AP ปกติจะทำงานเป็น Passive คือแค่เชื่อมต่อและส่งผ่าน ยกเว้นบางรุ่นที่เป็นแบบ Router) ดังนั้นแนะนำให้ปิด Feature บางอย่างที่มีโอกาสจะ Broadcast ข้อมูลออกมา เช่น UPnP (น่าจะเป็น Port 1900 ที่มี Packet รับส่ง) หรือ Syslog และเป็นไปได้ ให้อยู่ IP คนละกลุ่ม ไปเลย (มันจะเป็นแค่ Logical) แต่ต้อง Route ไป Gateway ได้ด้วย (SmallOne ใช้หลักการนี้) คือทำให้ผู้เล่นงาน มืดมนให้มากที่สุด หรือทำให้มีโอกาสถูกเล่นงานได้น้อยที่สุด เท่าที่จะทำได้ เพราะ ARP อยู่ระดับล่าง ถ้าไม่ใช่พวก Layer Switch จะแตะต้องมันยาก
ฝั่ง เซิร์ฟเวอร์ ต้องจัดการเรื่อง Static Mac address ด้วย
แน่นอนที่สุด การจะป้องกันปัญหา ARP แบบ 100 เปอร์เซ็นต์ ไม่ง่าย แต่สุดท้าย ทุกอย่างจำเป็นต้องป้องกันทั้งหมด หรือทำให้มากที่สุด นั่นคือ ฝั่งเซิร์ฟเวอร์ ต้อง Block ข้อมูลทุกอย่างที่เป็น ARP และ ต้องเซ็ต Mac address แบบ static ให้ทั้ง อุปกรณ์ เช่น Access Point และผู้ใช้งาน ด้วย (ดูรายละเอียดการเซ็ต Mac address ของ Access Point ให้กับ เจ้าตัวเล็กที่ หน้า Configuration) ทั้งหมดคือสิ่งที่ “เจ้าตัวเล็ก” พยายามทำทั้งหมด เท่าที่ฝั่งเซิร์ฟเวอร์จะทำได้ และช่วยเหลือผู้ใช้งาน สามารถเซ็ต Static Mac addres ได้ง่ายขึ้น โดยการจัดเตรียมของ ค่า address ของตน (Gateway) ให้ผู้ใช้งาน เซ็ตได้ง่ายขึ้น
ยังมีวิธีการที่ป้องกันที่ดีกว่า Static Mac หรือ ไม่?
เท่าที่ทดสอบ Static Mac คือวิธีการที่ถูกต้อง สำหรับแก้ปัญหา Mac ที่ไม่ถูกต้อง ส่วน Server ก็มีอีกวิธีคือ Blocked ทั้งหมด ทุกอย่าง และ นำ Mac Address ของผู้ที่ต้องการใช้งาน มาใส่ในกลุ่ม Allow ของ Firewall ที่ Server จะทำให้เครื่องที่ไม่ต้องการไม่สามารถ เข้าร่วมเครือข่ายได้เลย เพราะไม่ได้แม้กระทั่ง IP ที่ DHCP ของ Server แจก แต่ก็ป้องกันได้แค่ กลุ่มมือสมัครเล่น เพราะผู้ไม่หวังดียังสามารถ Fix IP (ต้องรู้ข้อมูล IP อยู่แล้ว ไม่ใช่กลุ่มขาจร) แล้วชี้ Gateway ไปยังเหยื่อที่ต้องการเล่นงานได้อยู่ดี ดังนั้น ทุกเครื่องที่เป็นผู้ใช้งานจำเป็นอย่างยิ่ง ต้องป้องกันตนเอง ด้วยวิธี Static Mac. ของ Server ให้ถูกต้อง และอีกประการที่สำคัญ ผู้ไม่หวังดี มักจะไม่ใช้ Mac Address จริงๆ ของเครื่องตนเองในการทำความผิด ในเมื่อเปลี่ยน Mac Address ได้ แล้วทำไมจะเปลี่ยน Mac Address ของตนเองให้อยู่ในกลุ่ม Allow ไม่ได้
อุปกรณ์ Switch Layer ช่วยได้หรือไม่?
ช่วยได้ระดับหนึ่ง แต่ราคาค่อนข้างสูง ซื้อมาแล้วต้อง Set Blocked ให้เหมาะสม แล้วยังต้องคิดอีกด้วยว่า Access Point มันอยู่บน Switch ก็จริง แต่คนที่เล่นงาน ไม่ได้ต้องการ วิ่งไปถึง Switch แต่ต้องการเล่นงานที่ Access Point ตัวที่เกาะอยู่โดยตรงจะทำอย่างไร (ถึงแม้ AP จะชี้ Gateway ไป Server ผ่าน switch ก็ตาม , IP คนโจมตีไม่ชนกับ Server แต่ Mac ก็ใช่ว่าจะทำให้เหมือน Server ไม่ได้)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น