ex1) กรณีโดน ARP poisoning ตัว network ที่อยู่ในรูปแบบของ LAN อุปกรณ์ที่เป็น Network Interface จะได้รับ ARP ปลอมเกือบทั้งหมด ซึ่งเราจะสามารถเห็นได้จากรูปแบบนี้
ใช้คำสั่ง arp -n
 |
| Netcut จากการมอง arp ด้วย Firewall :Screen shot by Net-mai.net |
example2) ARP poisoning อาจจะเกิดจาก malware/worm Botnet บางประเภทได้ แต่ไวรัสจะทำให้เกิด ARP poisoning แต่ mac address เป็นของผู้ที่ติด worm ซะเอง ซึ่งกรณีนี้หาง่าย เพราะใช้แค่ mac address ไปหา IP ที่เป็นเจ้าของจริงๆก็เจอแล้ว แต่ botnet รุ่นนี้ หายไปหมดแล้ว ตั้งแต่ออก Windows XP SP3 ที่แก้ไขช่องโหว่ของ RPC ที่ port 445
Work around
การแก้ netcut แก้ไขไม่ได้ แต่แค่ลดความรุนแรงลง เท่าที่ศึกษามามี 3 solutions ที่ใช้กันอยู่
- Static ARP เป็นการ run script เพื่อ fix ARP ไว้แบบ static ทำได้ทั้งบน linux และบน windows ซึ่งถ้าทำไว้แล้ว ระบบจะไม่สนใจข้อมูลจาก ARP เลย ดังนั้น จะไวรัสหรือ netcut ก็ทำอะไรไม่ได้ แต่ในทางปฏิบัติสำหรับ network คือ เราไม่สามารถที่จะนำ mac ทุกคนมาทำ static บน server ได้ และระบบจะขาดความยืดหยุ่นต่อการใช้งาน
- Isolate network เป็นการแยก network ออกเป็นส่วนๆ การทำ VLAN บนอุปกรณ์ที่รองรับ Multitag VLAN, การใช้อุปกรณ์ Wireless AP ที่สามารถทำ client isolation ได้ (แต่ AP นี้ก็ต้องอยู่บน Switch VLAN อยู่ดี ไม่งั้นมันก็ไปรวม pool กันที่ switch) วิธีนี้สามารถลดขอบเขตความเสียหายของ netcut แบบพื้นๆ ได้บ้าง และมีการทุนด้านอุปกรณ์สูง อีกทั้งระบบก็ไม่ได้รับประกันการป้องกันการทำ ARP poisoning ได้เลย
- PPPoE server เป็นการทำ dial-up บน L2 network ไปเลย หลังจากการทำ connection การสื่อสารระหว่าง client กับ server จะกลายเป็น Tunnel ของ PPPoE ซึ่งการทำ logical แบบนี้เป็นการตัดกลไกการ broadcast หรือ ตัดเรื่อง ARP poison ออกไปได้เลย การทำเทคนิคนี้เป็นที่นิยมกว่า เพราะลูกค้าจะทำแค่ PPPoE dial-up เพิ่มเติมขึ้นมาใหม่ใน PC ของตนเอง แต่ข้อเสียคือ ขาดความสามารถในการรองรับ mobile device แต่ปัญหาชะงักดีกว่าสองวิธีแรก
ระบบที่เป็นเป้าหมาย
- ที่เคยๆทำมา ถ้าระบบใหญ่กว่า 25 เครื่อง ก็มีโอกาสโดนแล้ว เพราะระบบเล็ก คน attack จะไม่ค่อยได้ bandwidth เพิ่ม เลยไม่ค่อยเป็นแรงจูงใจ จริงๆน่าจะทำเป็น reserch ว่าระบบขนาดไหนที่เป็นแรงจูงใจในการทำ netcut
No comments:
Post a Comment
Give a comment ...