cyber criminal ေတြလက္စဲြသံုးတဲ့ scanning tools ေတြအေျမာက္အမ်ားရိွပါတယ္...security expert ေတြ...white hat ေတြေရာပါႏွစ္ျခိဳက္သေဘာက်တဲ့ open source scanning tools တစ္ခုကေတာ့ "nmap" ျဖစ္ပါတယ္..."nmap" နဲ ့ဆိုရင္ကြ်န္ေတာ္တို့ က ping scanning လုပ္ႏိုင္ပါတယ္...
ping scan ဆိုတာဘာလဲ ?
ping scan ကိုမရွင္းျပခင္အရင္ဆံုး ping ရဲ ့သဘာ၀ကိုရွင္းျပပါမယ္....ကြ်န္ေတာ္တို့က host တစ္ခုခုက network ေပၚမွာရိွမရိွသိခ်င္တဲ့အခါ ping ေခါက္ၾကည့္ပါတယ္....သင္ကဘယ္လို os ကုိပဲသံုးသည္ျဖစ္ေစ ...ping ေတာ့ေခါက္ၾကည့္လို ့ရတယ္... ( ဘယ္လို linux host ကပဲျဖစ္ျဖစ္.....ဘယ္လို windows version ကပဲျဖစျ္ဖစ္....ဘယ္လုိ Apple MaC OS ကပဲျဖစျ္ဖစ္.....ဘယ္လို vmware hypervisor terminal ကပဲျဖစ္ျဖစ္....သံုးလို ့ရပါတယ္...)
အဲဒီလို ့ ကြ်န္ေတာ္တို ့က "are you there?" ဆိုျပီး ping (ip-address) လုပ္လိုက္တာကို ping အလုပ္ခံရတဲ့ ip ရိွတဲ့ ့host ( server လည္းျဖစ္ခ်င္ျဖစ္မယ္....networked device လည္းျဖစ္ခ်င္ျဖစ္မယ္...)မွာ "Yes, I am here" ဆိုျပီး reply from (ip-address or host-name) ျပန္လုပ္ပါတယ္...အမွန္ကေတာ့ ping ေခါက္ဖို ့ကြ်န္ေတာ္တို ့က test packet တစ္ခ်ိဳ ့ကို network ေပၚမွာျဖန္ ့လႊတ္လိုက္ျပီး အဲဒီ test packet ကို သက္ဆိုင္တဲ့ ( packet ထဲမွာ source IP(ဘယ္ကလာတယ္) တို ့...destination IP(ဘယ္ကိုသြားမလို ့) ...data length ဘယ္ေလာက္ကိုသယ္လာတယ္...ဆိုတာေတြပါတယ္....) host က reply လုပ္ပါတယ္.....
အဲဒီ process ကို icmp echo request ( ping request) and icmp echo reply ( ping reply) လုပ္တယ္လို ့..စာလုိေခၚပါတယ္....ဒီ process တစ္ခုလံုးကို ping လုပ္တယ္ေခၚပါတယ္...ping ေခါက္ၾကည့္တယ္... reply ျပန္တယ္..မျပန္ဘူး...( မျပန္ဘူးဆိုတဲ့ေနရာမွာလည္း error ေပၚမူတည္ပါေသးတယ္..)
destination host unreachable ဆိုရင္ network ၾကိဳး ျပဳတ္ေနတာတို ့....wifi မခ်ိတ္မိတာတို ့ေၾကာင့္ျဖစ္ တဲ့ error ပါ.....စသည္ျဖင့္ အေျခအေနေပၚမူတည္ျပီးျဖစ္တဲ့ error ေတြေၾကာင့္ ping reply မျပန္တာမ်ိဳး လည္းရိွတတ္္ပါတယ္....
ping မပိတ္ထားရင္ဘယ္လိုအက်ိဳးဆက္မ်ိဳးေတြ ရိွႏိုင္သလဲ ?
ကဲ...ကြ်န္ေတာ္က ကြ်န္ေတာ့္ရဲ ့lab ထဲမွာ linux server တစ္လံုးရိွတယ္...အဲဒီ server မွာကြြ်န္ေတာ္က ကြ်န္ေတာ့္ Company အတြက္အေရးၾကီးတဲ့ program ေတြ run ထားတယ္...server ကိုလည္းအေကာင္း ဆံုး secure လုပ္ထားတယ္....ဒါေပမယ့္ ping မပိတ္ထားမိဘူး......
cyber criminal ကနည္းလမ္းတစ္ခုခုနဲ ့ကြ်န္ေတာ့္ network ကိုေရာက္လာတယ္...ျပီးေတာ့ ကြ်န္ေတာ့္ server ကို scan လုပ္တယ္....သူဘာမွလုပ္လို ့မရဘူး....ဒါေပမယ့္ သူက ping ၾကည့္တာ ping လို ့ရေန တယ္....ဒါနဲ ့သူက malicious packet ေတြနဲ ့ကြ်န္ေတာ္ ့server ကို access လုပ္ဖို ့ၾကိဳးစားပါေလေရာ...
ဒါကကြ်န္ေတာ့္ testing environment lab ထဲမွာေနာ္...အျပင္မွာသာဆိုဘယ္လိုလုပ္ၾကမလဲ....ဒီေတာ့ ကြ်န္ေတာ္က ကြ်န္ေတာ့္ server ကို ping လို ့မရေအာင္ လုပ္လိုက္တယ္.....
အရင္ဆံုး attacker စက္ကေန ping လုပ္ၾကည့္တယ္...( attacker စက္ကို windows ပဲထားလိုက္ပါ )
server ဘက္ကိုသြားပါမယ္... server ထဲက log ေတြကိုစစ္ၾကည့္လိုက္တဲ့အခါ
ကဲ...ေတြ ့ေနရပါျပီ...... attacker ကလာျပီး scanning လုပ္ေနတဲ့ log ေတြကို......attacker ရဲ ့IP ရယ္...attacker လုပ္ေနတဲ့ advanced stealth scan ေတြကို detection မိတာေတြေရာ...ကြ်န္ေတာ္သတ္မွတ္ထားတဲ့ action ( "deny" and "reject") ေတြကုိေရာ....တစ္ျပိဳက္နက္တည္းေတြ ့ျမင္ႏိုင္ပါျပီ....
ကြ်န္ေတာ္က mail notifier နဲ ့ ခ်ိတ္ထားရင္ တစ္မိနစ္အတြင္း attacker ကကြ်န္ေတာ့္စက္ကို ping လုပ္တဲ့ attempt ကိုသိႏိုင္ပါတယ္...ရိုးရိုး ping တာမ်ိဳးဆိုရင္သူ ့ default ရိွရမယ့္ reply ေတြထက္ေက်ာ္လြန္ေနရင္ ping scan attack တို ့...ping of death ( POD) attack တို ့ျဖစ္ေနတတ္ပါတယ္...
ping ကိုပိတ္သင့္တယ္...မပိတ္သင့္ဘူးဆိုတာ ကိုယ့္လုပ္ငန္းခြင္ရဲ ့လိုအပ္ခ်က္ေပၚမူတည္ျပီးဆံုးျဖတ္လုပ္ ေဆာင္ရမွာျဖစ္ပါတယ္....google ေတာင္မွ သူ ့ရဲ ့dns IP ကို ping လုပ္ခြင့္ေပးထားပါတယ္..ဒါကလည္း သူ ့လုပ္ငန္းလိုအပ္ခ်က္ေၾကာင့္လုပ္ထားတာျဖစ္ပါတယ္...
ကြ်န္ေတာ္ကေတာ့ကြ်န္ေတာ္စမ္းသပ္ထားတာေလးကိုမွ်ေ၀တာျဖစ္ပါတယ္.... ပညာဗဟုသုတတိုးပြားတယ္ ဆိုရင္ ကြ်န္ေတာ္ေရးရက်ိဳးနပ္ပါျပီ....
Phyo Sithu Maung
B.Sc ( Physics)
CCNA ( 200-120 ---Routing & Switching)
CEH ( EC-Council )
Red Hat Certified System Administrator ( RHCSA)
Zyxel Certified Network Professional
No comments:
Post a Comment