คัดลอกมาจาก
http://board.efaxthai.com/index.php?topic=5.0 นะครับ
อาจจะมีประโยชน์สำหรับผู้พัฒนานะครับ เท่าที่คิดออก และมักพบบ่อยๆ ของผู้ที่มักจะโจมตี หรือหาทางใช้งานเน็ตฟรี
1) เคยดู Clip วีดีโอ ของโปรแกรมควบคุม ยี่ห้อ หนึ่ง ดูไปเพลินๆ ก็ถึงตอน Login เข้าระบบ Authentication มีหน้าจอเล็ก แต่ก็เห็นมี URL ที่เกิดจากการ Submit ตอนลีอกอิน แล้วเห็น URL ตามด้วยค่าล๊อกอินและพาส ประมาณนี้
http://x.x.x.x/login?user=xxxx&pass=xxxx จุดนี้ไม่ควรจะมีอย่างยิ่งเลย เพราะง่ายเกินไป ถึงแ้ม้หน้าจอนั้น จะปรากฎแค่สักพัก ก่อนจะ Redirect ไปหน้าอื่น เพราะที่เครื่องดักข้อมูล จะเห็นตลอด เป็นเหมือนดู log ไฟล์
2) หน้าล๊อกอิน ไม่เข้ารหัส สิ่งที่ต้องคำนึงเสมอคือ ข้อมูลที่ส่งผ่านเครือข่าย โดยเฉพาะเน็ตไร้สาย ไม่ปลอดภัย เหมือนมีคนดักฟัง โทรศัพท์ ตลอดเวลาโดยการ Sniff Packet ดังนั้นอะไรก็แล้วแต่ที่สำคัญ เช่น รายละเอียดล๊อกอิน และ รหัสผ่าน ควรจะผ่าน การเข้ารหัส ก่อน Submit ทุกครั้ง
3) ใช้โปรแกรม จำพวก VMware ทำเป็นเหมือนมี 2 เครื่อง หรือใช้ 2 เครื่อง หรือ 2 อุปกรณ์ Wireless แล้วใช้ NETCUT ตัดเน็ต เครื่องเป้าหมาย โดยเก็บรายละเอียดทั้ง IP และ Mac address ไว้หรือเซ็ตให้กับ เครื่องหรือตัวที่เซ็ตไว้ อีก IP (ตอนเซ็ต IP ซ้ำ มันจะร้องว่าซ้ำก่อน แต่ถ้า CUT ตัวจริงหลุดก็จะครอง IP นั้นๆ ได้) ต้องใช้ทั้ง IP และ Mac Address เพราะส่วนมาก โปรแกรมควบคุมมัก ควบคุมทั้ง IP และ MAC address เมื่อเลิก CUT เหยื่อ ตอนนี้เหยื่อจะกลายเป็น ผู้ที่ใช้งานไม่ได้แทน เพราะจะได้รับแจ้งว่า IP ซ้ำ แทน เพราะตอนนี้ ตัวจริงกลับกลายไปเป็นตัวปลอม แต่ตัวปลอมกลับมาเป็นต้วจริง
แก้ปัญหานี้ ก็ต้องทำ Static Mac Address ทั้ง 2 ฝั่ง
4) ขโมยดัก Login และ Password การ Sniff ส่วนมากพวกนี้ มักจะเข้าไปดูที่หน้า ลีฮกอิน ก่อน ว่าผู้พัฒนาใช้ ชื่อตัวแปร Login และ Password ใน Form ว่าอะไร จากนั้น จะดักจับข้อมูลแบบ มีเงื่อนไข Pattern ให้ตรงกับ ตัวแปรนั้นๆ เพื่อที่จะได้ ไม่มีข้อมูลผลลัพธ์ ที่เยอะเกินไป และตรวจหายุ่งยาก เมื่อได้แล้วก็จะเก็บไว้ใช้งาน
แก้ปัญหานี้ ต้องเข้ารหัสที่หน้าล๊อกอิน หรือทำเพิ่มขั้นตอนในการเก็บรายละเอียด Mac Address ผูกกับ Login โดย SmallOne ก็ใช้วิธีการนี้นอกจากการเข้ารหัส SSL ที่หน้าล๊อกอินแล้ว ในการล๊อกอินใช้งานครั้งแรก ถ้า Mac Address = NULL ก็ให้บันทึกค่า Mac Address เก็บใส่ไว้เลย ดังนั้น ถ้า ล๊อกอิน นั้นๆ เกิดหลุดไปถึงผู้มือผู้อื่น แล้วทำการ Login ก็ตรวจสอบว่า Mac Address ตรงกันหรือไม่ ถ้าไม่ตรง ก็แจ้งประมาณว่า "ไม่สามารถใช้งานต่างเครื่อง" , "Cannot login as a difference machine.."
5) สำหรับ Gateway ที่มักใช้ Proxy หรือทำ transparent proxy แล้วพบว่า เครื่องที่ใช้งาน ไม่ล๊อกอิน แต่ Scan หา Port หรือใช้โปรแกรมจำพวก Scan หา Proxy หรือ WPAD ที่ไว้แจ้งหากันของพวก Auto Proxy แล้วตั้งค่านั้น ทะลุ ออกใช้งานเน็ต โดยไม่ต้องล๊อกอิน ผ่านตัวควบคุม
แก้ปัญหานี้ ต้องดูว่าท่านเขียนส่วนควบคุม เองหรือใช้พวก Open Source ตัวไหน แต่ส่วนมากจะเหมือนๆ กัน ถ้าเขียนเอง ก็น่าจะแก้ปัญหาได้อยู่แล้ว เพราะเข้าใจหลักอยู่แล้ว ส่วนพวกใช้ของฟรี ก็ลองหา ขั้นตอน ตอนที่จัดการเรื่อง Redirect ไปที่หน้าล๊อกอิน (เพราะทุกค่าย มักจะทำ Redirect ไปที่หน้าล๊อกอิน) แล้วเพิ่มค่าดังกล่าว จาก Port 80 ให้เป็น Port ของ Proxy ด้วย และกำหนดไว้ที่ส่วนที่ Priority ต่ำกว่า เช่น INPUT หรือ FORWARD (ส่วนมากจะเป็น iptables) นั่นหมายความว่า rule ที่เพิ่มนี้ จะปล่อยให้ทะลุ ถ้าท่านผ่านล๊อกอิน ส่วน Filter นั้น มีแค่ 3 ระดับ ไม่แน่ใจก็ใส่ ไปทั้ง 3 ระดับเลยก็เลย คือ "-m mark --mark 1, -m mark --mark 2, -m mark --mark 3" รายละเอียด ก็ลืมๆ ไปแล้วเหมือนกัน ต้องไปอ่าน พวกเรื่อง mangle อะไรประมาณนี้นะถ้าจำไม่ผิด
rule แก้ไขเพิ่มเติม สำหรับ ส่วนทำ Transparency Proxy
iptables ..... -m mark --mark 1 -p tcp -d ! $GatewayIP --dport 80 -j REDIRECT --to-port 3128
iptables ..... -m mark --mark 2 -p tcp -d ! $GatewayIP --dport 80 -j REDIRECT --to-port 3128
iptables ..... -m mark --mark 3 -p tcp -d ! $GatewayIP --dport 80 -j REDIRECT --to-port 3128
ส่วนใส่ rule ไว้ตรงไหน ก็กลับไปค้นหาดู แล้วให้อยู่ระดับล่าง หรือทำงานต่ำกว่า redirect
นอกจากนี้ ก็เพิ่ม rule สำหรับ ป้องกันการเซ็ตโดยตรง ออกเน็ต โดยไม่ผ่าน การ Authentication ในส่วน INPUT หรือ FORWARD ไว้ให้สูงสุดเลย ก็ได้ รายละเอียด rule ก็ mark และ PORT ก็ให้ตรงกับที่ใช้งาน แค่นี้ก็ป้องกัน การใช้งานตรงได้แล้ว
6) สร้าง Connection เยอะๆ เพื่อให้ Server ล่ม ปัญหานี้ มักจะพบกับท่านที่ใช้ Open Source เพราะเห็นๆ Code กันอยู่ คือ ส่วนมาก จะใช้ iptables ให้ redirect ไปยังหน้าล๊อกอิน ขั้นตอนนี้ บางโปรแกรม จะ Redirect ไปที่ Port ของโปรแกรม อีกตัวที่จะไปเรียกหน้าล๊อกอิน ปัญหาไม่ได้อยู่ที่ iptables แต่อยู่ที่ โปรแกรม ที่เปิด Port ไว้รอตรวจสอบเพื่อ Redirect ถ้าโปรแกรมเขียนแล้วใช้ Load หรือ Resource เช่น CPU , RAM น้อยๆ ก็ได้เปรียบ ส่วนมาก Code จะเป็นภาษาซี แต่ก็ยังมีปัญหาแต่น้อยกว่ากลุ่มที่ใช้ พวก Interpreter (พวก C Language จะเป็น Compiler) พวกนี้จะใช้โหลดมากว่าเยอะ
วิธีการเล่นงาน คือ เปิดหรือสร้าง Connection เยอะๆ ให้เกิด Redirect ที่ Server จนล่ม แต่พวกมืออาชีพจะทำให้เนียน โดยการ ใช้พวก Update Antivirus (ส่วนมากจะใช้ NOD) แล้วใส่ค่า Server ที่ update ไว้เยอะๆ จะได้ไม่ต้องกดบ่อย มันจะสร้างแต่ละครั้งเยอะมากๆ พอจบ ก็กดซ้ำ ไปเรื่อยๆ อีกหน้าต่างก็ทดสอบ Redirect ว่าเริ่มช้าลงหรือยัง เพื่อตรวจสอบผลงาน
การแก้ปัญหา มีหลายวิธี ตั้งแต่ Block กลุ่ม IP ที่มักสร้างปัญหา ให้หมด โดยกำหนดใน iptables ให้ rule อยู่ระดับสูงกว่า Redirect แต่วิธีนี้ อาจจะมีปัญหากับผู้ใช้งานปกติ คือ ล๊อกอินเข้าระบบแล้วก็ไม่สามารถ update หรือ ไปยังปลายทางที่ block ไว้ได้
วิธีที่ 2 คือ ดูว่า Open Source ตัวที่ใช้งานนั้นๆ มีตัวแก้ปัญหาหรือไม่ เพราะ Open Source บางตัว จะมีโปรแกรม อีกตัวมาช่วยแก้ปัญหา นี้
วิธีที่ 3 คือ ใช้ iptables เหมือนแบบวิธีแรก แต่ กำหนดเงื่อนไข จำนวน Limited จำนวน Connection
ส่วน SmallOne ใช้วิธีการ จำกัดจำนวน Connection ที่จะเข้าค่ายโจมดี โดยการ Block ทันที แต่ก็อาจจะสร้างปัญหาเช่นกัน เพราะบางเครื่อง ไม่ได้มีเจตนาโจมตี หรือ สร้าง Connection เช่น เปิดครื่องขึ้นมาได้รับ IP จาก SmallOne แล้วโปรแกรม update ไวรัสก็ทำงาน SmallOne ก็ Block เพราะ Connection เยอะเนื่องจาก update ไวรัสมักจะวิ่งหา Server ปลายทาง เรียงไปเรื่อยๆ เลยทำให้ เครื่องนั้น ไม่วิ่ง หรือ auto redirect ไปที่หน้าล๊อกอิน เพราะถูก Block ดังนั้นหากท่านจะใช้วิธีนี้ ต้องกำหนด เงื่อนไข อีกข้อให้อยู่ระดับสูงกว่า เงื่อนไขนี้ คือ ต้องสามารถเข้าที่ไอพี ของหน้าล๊อกอินได้ตลอดเวลา เพราะอย่างไรก็ตามยังสามารถเข้าหน้าล๊อกอิน โดยพิมพ์เข้าตรงๆ ที่หน้าล๊อกอิน ถึงแม้จะถูก Block ก็ยังสามารถเข้าล๋อคอินได้ตลอดเวลา
7) พวก Hacker Tools มีโปรแกรมที่เป็นเครื่องมือ หลายตัวบางตัวก็ทำงานด้านเครื่อข่าย บางตัวก็มีหน้าที่โจมตี เท่าที่พบส่วนมาก จะทำงาน
7.1 กลุ่ม Scan Port และ Scan IP
7.2 กลุ่ม ยิง Port ที่อนุญาต หรือเปิดไว้
7.3 กลุ่ม เล่นงานช่องโหว่ ARP ไม่ว่าจะเป็นพวก NETCUT หรือ หา Share Resource
7.4 เซิร์ฟเวอร์ที่เป็นลีนุกซ์และติดตั้ง SAMBA ก็มีโอกาสเพิ่มช่องโหว่และถูกโจมตี ส่วน ARP และถ้ายิ่งแย่มากขึ้นถ้า share foder เพราะ สามารถ upload ไวรัสใส่ไว้ รอคนอื่นมัน run หรือเพลอไป เปิด เป็นต้น
การป้องกันเครื่องจากการทำงานต่างๆ ไม่ยาก แต่นักพัฒนามักจะลืมคือ เมื่อล๊อกอินเข้าระบบได้แล้ว กลับได้ระดับหรือเข้า rule ที่สูงกว่า rule ที่ป้องกัน เลยทำให้ผู้ที่เล่นงาน จะสมัครหรือเข้าใช้บริการตามปกติ แล้วกลับมาโจมตี
8.) มี Script สำหรับ ผู้ที่ใช้ ลีนุกซ์ เป็นเซิร์ฟเวอร์ ในการทำ Anti Netcut หรือ นักพัฒนาที่พยายาม ทำ Anti Netcut ที่เซิร์เวอร์ ในการจำ Mac Address ตอนรับค่า DHCP เป็นค่าที่ถูกต้อง และค่อยตรวจว่า Mac เครื่องใดถูก CUT และทำการปรับเปลี่ยให้ถูกต้อง ซึ่งบางครั้งก็วิ่งถึง เครื่องลูกที่ถูก CUT บางคร้งก็ไม่ถึง ซึ่งก็เป็นอีกหนึ่งแนวทาง แต่มันมีผลเสียคืออุปกรณ์ที่เกี่ยวข้องกับเครือข่ายที่ ต้องใช้ Mac Address จะมีโอกาสเสียหาย หรือพังได้เร็วกว่าปกติ วิธีที่ดีสุดคือ พยายามทำ Static ทั้ง 2 ฝั่ง
หมายเหตุ ถ้าทำ Static ที่ฝั่ง เซิร์ฟเวอร์ การตรวจและใช้งาน Anti Netcut กับเครื่อง Client จะไม่ได้ผลเพราะจะไม่พบว่าเครื่องไหนถูก CUT และอีกข้อคือ นักพัฒนาที่อาศัย ARP Cache ในการตรวจ สถานะ การเชื่อมต่อ (กลุ่มที่เขียนเอง ไม่ได้ใช้ Radius) ก็จะไม่สามารถตรวจว่าเครื่องนั้นๆ ยังคงเชื่อมต่อกับ เซิร์ฟเวอร์ หรือไม่ ถ้าทำ Static Mac ที่ฝั่งเซิร์ฟเวอร์ เพราะจะเห็นค่าเป็นเชื่อมต่อ ตลอดเวลา วิธีแก้ไข SmallOne เปลี่ยนจาก ใช้เซิร์ฟเวอร์ตรวจสถานะ เป็น ให้เครื่องใช้งาน (Client) วิ่งมาแจ้งสถานะ โดย SmallOne ก็ให้วิ่งมาแจ้ง แล้ว Server ก็ส่งผลลัพธ์ เป็นเวลากลับไป จะได้รู้ว่ามีการเปลี่ยนแปลงหรือ วิ่งไปปรับปรุงค่าหรือไม่
เครื่องมือหลายๆ ตัว จะทำงาน แบบวิ่งออกไปหา ค่าต่างๆ เช่น การเชื่อมต่อ เหมือนคำสั่ง PING, ผ่าน Proxy มากี่ชั้น หรือแม้กระทั่ง ผู้ใช้งานที่มีทักษะ ก็จะตรวจสอบเครื่องตนเองได้ว่า ตอนนี้เราสามารถใช้งานเน็ต หรือ ทะลุผ่านเกตเวย์ ได้หรือไม่ ตัวอย่าง เว็บ ที่แจ้งผลลัพธ์ จากการ PING
http://64.14.29.50/Ping.asp ซึ่งวิธีเช็ค หรือ เครื่องมือประกอบ ฝั่งเซิร์ฟเวอร์แบบนี้ มีเป็นร้อย บางตัวมีผลลัพธ์แค่บรรทัดเดียว แต่ถ้าใช้ เครื่องมือ ที่เหมาะสมกับมัน จะพบว่า มันส่ง Header ที่เป็นข้อมูลจริงๆ เกี่ยวกับเครือข่าย หลายค่า แต่ยังไงก็มี กลุ่มพวกค่า Environment เหมือน พวก env.cgi หรือ phpinfo.php เป็นพื้นฐานที่ทราบได้ ทั่วไป
9) ARP Cache วิธีการโจมตี คือ จะอาศัยการ Overflow ของ ARP Cache ซึ่งมีโอกาสถูกโจมตี ทุกเซิร์ฟเวอร์ ทุก O.S. หลักการ ก็ประมาณว่า สร้างการเชื่อต่อ ไปยัง IP กลุ่ม 169.254.0.0 ซึ่ง IP กลุ่มนี้ ทุกเครือข่าย ทุกระบบปฎิบัติการ รู้จัก เพราะเป็นไอพีที่กันไว้สำหรับ กลุ่มที่ ไม่ได้รับ IP จาก DHCP แล้วให้วิ่ง ตั้งแต่ 169.254.0.0 - 169.254.255.255 เพื่อให้ ARP Cache ล้น แล้วแต่ว่า O.S. นั้นๆ ใช้ค่ากับส่วนนี้ ขนาดกี่ BIT ซึ่งจะเป็นตัวบอกจำนวนที่เก็บค่า ARP Cache
การเล่นงานนี้ ต้องใช้เวลาที่รวดเร็วในการโจมตี จึงมักเขียนโปรแกรม ให้ยิงเร็วที่สุด ทั้งนี้เพราะ ARP Cache ที่ปรากฎจะเป็น ค่า IP 169.254.x.x (incomplete) แล้วถ้าเป็น (incomplete) ฝั่งเซิร์ฟเวอร์ ก็จะล้างทิ้ง (Clear) ตลอดเวลา แต่ถ้าลบไม่ทัน กับการถูกยิง ก็อาจจะสร้างปัญหาได้
วิธีแก้ 1. Block ด้วย rule -d 169.254.0.0/16 -j DROP และ 2. กำหนดค่า Clear Cache ที่เป็น (incomplete) ให้เร็วสุดเลย เช่น 1 วินาที แต่ไม่แน่ใจว่าทำได้หรือไม่ ไม่เคยทดลอง เพราะ SmallOne ใช้วิธีแรก แต่ยังไงถ้าแก้ด้วยวิธีนี้ ให้ลองค้นหาใน Google ดูแล้วกัน
วิธีการคำนวณ สำหรับ ผู้ที่ลืม หรือ คืน อาจารย์ผู้สอนไปแล้ว ถ้าพยายาม สร้าง ARP Cache แบบที่กล่าวมาข้างต้น เท่ากับว่า จะได้ ARP ทั้งสิ้น 255x255 หรือ 255 ยกกำลัง 2 เท่ากับ 65025 ค่า
หาก OS ใช้ตัวแปรสำหรับ ARP เป็น แบบ ARRAY (อะแรย์ น่าจะเข้าใจง่ายหน่อย จริงๆ เขียน OS มักไม่ใช้อะแรย์) INTEGER แบบ 32 Bits หรือ 4 Byte จะเท่ากับว่า รองรับได้ 0 ถึง 65535 หรือ ประมาณ 65536 ค่า (unsigned short) ถ้าเช่นนี้ กรณีนี้ ไม่เกิด Overflow อย่างแน่นอน แต่น่าจะมีผล กับการประมวณผล ความสามารถ น่าจะลดลง แต่คงเป็นแค่ช่วงเวลาหนึ่ง
10) การกำหนดค่า Net Mask หรือ Subnet ที่แจกด้วย DHCP เป็น 255.255.255.255
มีช่วงหนึ่ง เราเคยพยายามแก้ปัญหา NETBIOS , ARP และ NETCUT โดยกำหนดให้ Net Mask ของแต่ละเครื่องเป็น 255.255.255.255 โดยหวังว่า เมื่อผู้โจมตี พยายาม Broadcast หรือใช้ ARP เพื่อสร้างปํญหา จะได้ถูกจำกัดขอบเขต ของเครือข่าย ของแต่ละเครื่องเป็น เพียง 1 เครื่อง ทดสอบใช้งานไปนานพอสมควร ปรากฏว่า มีผู้ใช้งานใช้เครื่อง MacBook ก็ใช้งานปกติมาตลอด จนวันหนึ่ง ซื้อ MacBook รุ่นใหม่ล่าสุดมาใช้แทน ก็ใช้งานไม่ได้ ก็ตรวจสอบหาปัญหาจนพบว่า เจ้า Subnet 255.255.255.255 ทำให้ MacBook รุ่นใหม่ๆ ไม่สามารถใช้งานได้
ดังนั้น DHCP ให้ปล่อยค่า Netmask ไปตามปกติคือ 255.255.255.0
ล่าสุด อ่านเจอในเน็ตอีกว่า iPad ของ ค่ายนี้ ใช้งานเน็ตไร้สาย มาตรฐาน IEEE802.11 หรือ wifi แล้วมีปัญหาอีก แต่ไม่ใช่ปัญหาแบบเดียวกับ MacBook เลยคิดว่าต้องรอไว้ทดสอบเอง จะให้ข้อมูลได้มากกว่านี้
11) ปัญหาเจาะระบบ ด้วยหลักวิธีของพวก Hacker ผ่านหน้าเว็บ หรือ port 80
ปัญหาที่นักพัฒนา เว็บแอพพลิเคชั่น ที่เป็นแนว System Programming (กลุ่ม Gateway หลีกไม่พันต้องเกี่ยวข้องกับ System ซึ่งต้องการสิทธิ ในการสั่งงาน ในระดับ root) มักเจอคือ จะทำอย่างไร ให้ ผู้ที่ใช้งานผ่านเว็บ สามารถ หรือมีสิทธิ ในการเขียนหรือแก้ config ไฟล์ระบบของ เพื่อจะได้ทำหน้า config ผ่านหน้าเว็บ ส่วนตัวเคยเห็น นักพัฒนาบางท่าน เอาง่ายเข้าว่า โดยการ เอาไฟล์ config ทุกตัวที่ต้องการเซ็ตผ่านเว็บ ย้ายไปใส่ใน path เว็บ ซะเลย และแก้สิทธิของไฟล์ให้สามารถเขียนได้ผ่าน port 80 มันอันตราย พอๆ กับ เปลี่ยน nobody เป็น root เลยก็ว่าได้
12) ลงทุนอย่างแรง ในการพยายามจะขโมย Accout และ Password
วิธีการคือ ตั้ง SSID ให้ใกล้เคียง หรือ เหมือนกันเลยก็ได้ ปล่อย Broadcast ไปเนียนๆ เหมือนกับของจริง จากนั้น ทำหน้า ล๊อกอิน อาจจะไม่ต้องเหมือนกับของจริง ก็ได้ เพราะผู้ใช้งานส่วนมาก ไม่ได้ให้ความสนใจเท่าไหร่ แล้วก็เก็บทั้งล๊อกอิน และ รหัสผ่าน พร้อม Mac (สำหรับ บางระบบ รวมทั้ง SmallOne ที่ต้องมี Mac Address ให้ตรงกันด้วย)
พวกนี้ มัก เปิดๆ ปิดๆ มักไม่เปิดไว้นาน เพราะอาจจะโดนจับได้ และมีความผิดทางกฎหมาย เพราะเจตนาชัดเจน ในการจรกรรมข้อมูล
วิธีแก้ คือเครื่อง Client (ตรวจสอบด้วยว่า ได้ IP และค่า Gateway ถูกต้องหรือไม่) ทำ Static สำหรับ Gateway ที่ถูกต้อง แบบ เซ็ตเองทุกครั้งที่ BOOT เครื่อง หรือไส่ที่ Startup (ไม่ขอกล่าวรายละเอียดตรงนี้ ท่านสามารถหาได้จากเว็บของ SmallOne) หรือ เซ็ตให้ถูกต้อง ทุกครั้ง ก่อนเข้าหน้าล๊อกอิน เพราะจะทำให้ ไม่สามารถไปยัง Gateway ที่ผิดค่าได้ (แต่คิดดีๆ ถ้าฝั่งโจรเปลี่ยน Mac Address ให้เหมือนกับ ของจริงก็โดนได้เหมือนกัน แต่ถ้าลงทุน และพยายาม ขนาดนั้น ก็ปล่อยๆ ให้เล่นไปเถอะ แล้วไปสร้าง PIN ให้หมดเร็วๆ จะได้เหนื่อย เพราะต้อง ทำการ ขโมย บ่อยๆ)
แต่หากตรวจสอบเจอว่า มี PIN ถูกขโมยไปใช้งาน และ ผู้ที่ได้ PIN สามารถเปลี่ยน Mac ของเครื่องตนเอง เป็นค่าเดียวกับเครื่องที่เป็นเจ้าของ PIN แนะนำให้ ยกเลิก PIN ที่ถูกขโมยไป และแจก PIN ใหม่แบบระยะ เวลาการใช้งานสั้นๆ เช่นปกติ PIN 1 เดือน ก็ทำเป็น 3 ใบ ใบละ 10 วัน
ต่อมา คือผู้ใช้งานต้องสังเกตุความผิดปกติ เช่น SSID (Channel หรือช่องสัญญาณ อันนี้บางที่จะไม่มีราละเอียด) แต่ที่พอจะดูได้ คือ ความเข้ม หรือ ความแรง ของสัญญาณ ของตัว Access Point ที่เราใช้งานอยู่ประจำ ถ้าเจอชื่อใกล้เคียงกันในลักษณะเพิ่มขึ้นมา (แต่ทางผู้ให้บริการไม่ได้เพิ่ม)
ส่วนผู้ให้บริการ อาจจะใช้เครื่องมือ ในการทวนและตรวจหาสัญญาณ WiFi กลุ่ม 2.4G มีหลายตัวที่บอกรายละเอียด เช่น net stumbler มาเดินหาที่มาของ SSID ที่มุ่งดัก แบบลงทุน กรณีนี้ได้
มีอีกวิธีคือ ปล่อยให้กลุ่มคนพวกนี้ทะลุผ่านออกไปเลย หรือให้ใช้งานได้ปกติ เลย แล้วตรวจดูใน log เอาว่าใช้งานอะไรบ้าง เผื่อจะได้เบาะแส
13) ข้อนี้ ไม่เคยเจอ เพียงแค่คิดว่า จะทำอะไรได้บ้างกับเทคนิคนี้ (เคยอ่านผ่านๆ ในเน็ต)
ปัจจุบัน Microsoft มี IP v6 ติดมาให้กับ OS ตัวใหม่ๆ ไม่ว่าจะเป็น Win7 หรือ Vista ที่หยุดพัฒนาไปแล้ว และมีหลักการหนึ่งเกิดขึ้นมาพร้อมๆ กับ IP v6 คือ การใช้งานหรือ การทำงานที่เรียกว่า IP v6 Over IP v4 (รายละเอียดหาอ่านใน Google) คร่าวๆ คือ การทำให้สามารถใช้งาน ด้านเครือข่าย เหมือนสร้างท่อใช้งาน จาก IP v6 ไปเป็น v4 (ส่วนตัวไม่เคยทดสอบ IP v6 เพราะฝั่งเซิร์ฟเวอร์ไม่เคยเปิดใช้งาน และ ไม่ได้เรียนรู้กลุ่มนี้เลย)
เท่าที่ดู กลุ่มพวก Gateway ที่ใช้งานมักมีคำสั่ง และ rule ที่ทำงานกับ IP v4 แล้วถ้าเครื่องใช้งาน ไม่เปิด v4 เปิดแต่ v6 ก็น่าจะเข้าร่วม เครือข่าย หรือ ได้รับ DHCP จากเซิร์ฟเวอร์ที่มี v6 หรือเปล่า แล้วจะยังคง ใช้กฎเกรณ์ ต่างๆ ที่ใช้กับ v4 ได้หรือเปล่า (ว่าจะทดสอบอยู่ แต่ไม่มีเวลาซะที)
อีกข้อคือ ถ้า Client ด้วยกัน เปิด IP v6 (สมมุติเป็น A และ B) และเครื่อง A ได้รับ authorized หรือสามารถใช้งานผ่าน Gateway ได้ และถ้าเครื่อง B ปิด v4 เปิดแต่ v6 จะพยายามใช้งาน v6 ของ B คุยหรือเชื่อมต่อกับ A ได้หรือไม่ (โดยที่ A ไม่เปิด Internet Sharing) แน่นอนฝั่งเซิร์ฟเวอร์ จะเห็นแต่ IP v4 ของ A เท่านั้นเวลาใช้งาน
วิธีปิด IP v6 ของผู้ที่ใช้ เซิรฟ์เวอร์ เกตเวย์ เป็นลีนุกซ์
ขอนำข้อความ ของเก่า จากหน้า Auto Torrent detection (
http://efaxthai.com/2009/index.php?autodetect ) ของปี 2009 มาลง เกี่ยวกับ วิธีการปิด การเซ็ต IP v6 ของเกตเวย์ เซิรฟ์เวอร์ ที่เป็นลีนุกซ์
---------------------------------------------
สำหรับกลุ่ม Gateway control และ Wireless control system ไม่จำเป็นต้องเปิดใช้งาน IPV6 (ไม่แนะนำ) วิธีการตรวจสอบ ใช้คำสั่ง ifconfig แล้วดู Address ถ้าพบว่ามี IPv6 และต้องการปิด ให้ทำดังนี้
echo "alias net-pf-10 off" >> /etc/modprobe.conf
เซ็ต หรือใส่ ข้อความ “NETWORKING_IPV6=no” ในไฟล์ /etc/sysconfig/network จากนั้น restart เครื่อง
---------------------------------------------
