วันเสาร์ที่ 12 กรกฎาคม พ.ศ. 2557

การวิเคราะห์ระบบเครือข่าย network ด้วย netstat command บนระบบปฎิบัติการ Windows

netstat คือ คำสั่งที่ใช้ในการแสดงรายละเอียดต่างๆ ที่เกี่ยวกับสถานะและเส้นทาง (Routing) ในการติดต่อสื่อสารระหว่างเครื่องผู้ใช้งาน (Client) กับเครื่องให้บริการแม่ข่าย (Server) หรือระบบเครือข่ายเน็ตเวิร์ก (Network) ดั้งนั้นผู้ใช้งานทั่วไปและผู้ดูแลระบบสามารถที่จะใช้ในการวิเคราะห์หรือตรวจสอบสถานะการทำงานต่างๆ บนระบบเครือข่ายคอมพิวเตอร์ได้

ขั้นตอนการใช้งาน

1. ดูรายละเอียดพารามิเตอร์ต่างๆ ในการใช้งานคำสั่ง netstat ด้วยคำสั่ง netstat /? ดังรูปที่ 1

 

รูปที่ 1 คำสั่ง netstat /?

 

คำอธิบาย

-a : แสดงสถานะทั้งหมดในการติดต่อสื่อสารของเครื่องผู้ใช้งาน (Client)

-b : แสดงรายชื่อโปรแกรมที่ใช้ในการสร้างการติดต่อสื่อสาร

ของเครื่องผู้ใช้งาน (Client)

-e : แสดงสถิติการรับส่งข้อมูลในการติดต่อสื่อสารบนขา Ethernet เป็นขนาดไบต์

-f  : แสดงชื่อเต็มของ Domain name

-n : แสดง ip address และ port number แทนชื่อเครื่องหรือชื่อเว็บไซต์

-o : แสดง PID (process id) ในการติดต่อสื่อสาร

-p : แสดงเฉพาะโปรโตคอล (protocol) ที่สนใจเท่านั้น เช่น TCP, UDP ,IP เป็นต้น

-r : แสดงเส้นทาง (Routing) การติดต่อสื่อสารในการติดต่อสื่อสารระหว่างเครื่องผู้ใช้งาน (Client) กับเครื่องให้บริการแม่ข่าย (Server) 

-s : แสดงสถิติการรับส่งข้อมูลในการติดต่อสื่อสารบนโปรโตคอล (protocol) เช่น TCP, UDP ,IP เป็นต้น สามารถใช้งานกับ option -p เพื่อใช้ในการเจาะจงโปรโตคอล (protocol) ที่จะให้แสดงสถิติได้ 

-t :แสดงสถานะ TCP offload

interval แสดงสถานะการติดต่อสื่อสารแบบต่อเนื่องด้วยการกำหนดเวลาเป็นวินาทีในการแสดงผล

2. ดูรายละเอียดพารามิเตอร์ต่างๆ ในการแสดงผล ดังรูปที่ 2

 

รูปที่ 2 แสดงผล

 

Proto : แสดงชื่อโปรโตคอลที่ถูกใช้งาน TCP หรือ UDP

Local Address : แสดงหมายเลข IP Address และ port number ของเครื่องผู้ใช้งานที่ใช้ในการติดต่อสื่อสาร

Foreign Address : แสดงหมาย IP Address และ port number ของเครื่องปลายทางที่ใช้ในการติดต่อสื่อสาร

State : แสดงสถานะการติดต่อสื่อสารระหว่างเครื่องผู้ใช้งาน (Client) กับเครื่องให้บริการแม่ข่าย (Server) หรือระบบเครือข่ายเน็ตเวิร์ก (Network) ซึ่งรายละเอียด ดังนี้

CLOSE_WAIT : รอการยกเลิกการเชื่อมต่อของเครื่องต้นทาง

CLOSED : ปิดการเชื่อมต่อทั้งหมด

ESTABLISHED : สถาปนาการเชื่อมต่อสำเร็จ

FIN_WAIT_1 : รอการตอบกลับการร้องขอยกเลิกการเชื่อมต่อไปที่เครื่องปลายทางหรือรับทราบการร้องขอยกเลิกการเชื่อมต่อในก่อนหน้านี้

FIN_WAIT_2 : รอการตอบกลับการร้องขอยกเลิกการเชื่อมต่อไปที่เครื่องปลายทาง

LAST_ACK : รอการรับรู้ตอบกลับการร้องขอยกเลิกการเชื่อมต่อจากเครื่องปลายทาง

LISTEN : รอการเชื่อมต่อ

SYN_RECEIVED : รอการตอบกลับเพื่อยืนยันการร้องขอในการเชื่อมต่อ

SYN_SEND : ร้องขอการเชื่อมต่อไปที่เครื่องปลายทาง

TIMED_WAIT : ระยะเวลาที่ใช้ในการรอขอยกเลิกการเชื่อมต่อไปที่เครื่องปลายทางตอบกลับมา

 

 
รูปที่ 3 แสดงสถานะการเขื่อมต่อของโปรโตคอล TCP อ้างอิง : http://commons.wikimedia.org/wiki/File:Tcp_state_diagram_fixed_new.svg



 

3. ตัวอย่างการใช้งานคำสั่ง netstat ที่ใช้งานเป็นประจำ

    3.1 netstat  -ano 

          แสดงรายละเอียดทั้ง IP Address และ port number รวมไปถึง PID (process id) 

    3.2 netstat -e -s 

          แสดงรายละเอียดสถิติในการรับส่งข้อมูล

    3.3 netstat -ab  

          แสดงรายละเอียดชื่อโปรแกรมที่ใช้ในการสร้างการติดต่อสื่อสาร

    3.4 netstat -ano | findstr :80 

          แสดงรายละเอียดเฉพาะการเชื่อมต่อไปที่ port 80 

    3.5 netstat -ano | findstr  202.183.165.* 

          แสดงรายละเอียดเฉพาะเบอร์ไอพีที่สนใจเท่านั้น

    3.6 netstat -ano 10 | findstr :80 

          แสดงสถานะการเชื่อมต่อแบบต่อเนื่องทุกๆ 10 วินาทีที่ port 80

    3.7  netstat  -ano | more 

           แสดงรายละเอียดครั้งละประมาณ 50 บรรทัด

    3.8  netstat -ano | findstr  LISTEN 

           แสดงสถานะรอการเชื่อมต่อ

    3.9  netstat -ano | findstr :80 | findstr  ESTABLISHED

           แสดงสถานะการเชื่อมต่อเครื่องผู้ใช้งานกับเครื่องปลายทาง

    3.10 netstat -rn

           แสดงรายละเอียดเส้นทางการเชื่อมต่อของเครื่องผู้ใช้งาน

   3.11 netstat -an >c:\netstat.txt 

          เก็บข้อมูลการแสดงรายละเอียดลงไฟล์เพื่อใช้ในการวิเคราะห์


4. สามารถใช้รายละเอียด port ของ trojan horses ที่เว็บไซต์ http://www.sans.org/security-resources/idfaq/oddports.php 

เพื่อใช้ในการวิเคราะห์และตรวจสอบการเชื่อมต่อบนเครื่องผู้ใช้งานว่าถูกเชื่อมต่อไปไปยัง port ต่างๆ เหล่านี้หรือไม่


อ้างอิง : www.microsoft.com

             tools.ietf.org/html/rfc793

เครดิต : พี่ชอง

        

เขียนโดย ที่ 3 ความคิดเห็น:

วันเสาร์ที่ 17 สิงหาคม พ.ศ. 2556

การติดตั้ง Ubuntu แบบง่ายด้วย Wubi

       Wubi  ย่อมาจากคำว่า "Windows-based Ubuntu Installer" เป็นซอฟต์แวร์ที่ใช้ในการติดตั้งระบบปฎิบัติการ Ubuntu บนเครื่อง Windows โดยที่ไม่ต้องแบ่ง Partition ในการติดตั้งสามารถติดตั้งใช้งานร่วมกับระบบปฎิบัติการ Windows ที่อยู่บนเครื่องได้ทันที่ Wubi ของ Ubuntu เป็นโครงการที่ถูกสร้างขึ้นมาตั้งแต่ Ubuntu เวอร์ชั่น 7.04 ปัจจุบันเวอร์ชั่นล่าสุดคือ 12.04

       จุดประสงค์ของโครงการเพื่อช่วยให้ผู้ที่ใช้งานที่ต้องการใช้งานระบบปฎิบัติการ Ubuntu ที่ยังไม่มีความเชี่ยวชาญและคุ้นเคยกับการติดตั้งระบบปฎิบัติการ Ubuntu แบบการแบ่ง Partition บน Windows เพื่อติดตั้ง 2 ระบบปฎิบัติการบนเครื่องเดียวกัน เพื่อไม่ให้เกิดความเสียหายของข้อมูลบนเครื่อง Windows

ขั้นตอนการติดตั้ง
  1.  ดาวน์โหลดซอฟต์แวร์ Wubi ได้จากเว็บไซต์ http://www.ubuntu.com/download/desktop/windows-installer    ดังภาพที่ 1

    ภาพที่ 1
  2. หลังจากที่คลิกที่ "Get the installer" ดังภาพที่ 1 จะเข้าสู่หน้าการบริจาคให้กับระบบปฎิบัติการ Ubuntu ให้ใส่ 0 ทุกช่องแล้วคลิกที่ "Download"
  3. เมื่อทำการดาวน์โหลดมาเรียบร้อยแล้วให้ทำการติดตั้ง wubi.exe ดังภาพที่ 2 
    ภาพที่ 2
  4. จากภาพที 2 ขั้นตอนที่ 1. ให้เลือกไดร์วที่จะติดตั้ง 2. ให้เลือกขนาดที่ติดตั้งที่ต้องการ 3.เลือกสภาพแวดล้อมแบบ "Ubuntu" 4. ให้เลือกภาษา 5.ใส่ชื่อผู้ใช้งาน 6.ใส่รหัสผ่าน แล้วกด "ติดตั้ง" ดังภาพที่ 3 
    ภาพที่ 3
  5. หลังจากที่ติดตั้งเสร็จจะแสดงหน้าจอขึ้นมาให้ทำการ Reboot ให
ภาพที่ 4
        
*หมายเหตุ :: หลังจากที่ Reboot จะขึ้นหน้าจอดังภาพที่ 5 ให้เลือกระบบปฎิบัติการ Windows หรือระบบปฎิบัติการ Ubuntu

ภาพที่ 5






             http://www.ubuntu.com/download/desktop/install-ubuntu-with-windows

เครดิต :: คุณทรงฤทธิ์ ศรีลาศักดิ์ (ผู้แนะนำ)
            
*หมายเหตุ :: ถ้าไม่สามารถติดตั้งได้ให้ดาวน์โหลดไฟล์ "Wubi" ที่เว็บไซต์ http://releases.ubuntu.com/precise/
เขียนโดย ที่ ไม่มีความคิดเห็น:

วันจันทร์ที่ 12 สิงหาคม พ.ศ. 2556

การสร้างความปลอดภัยบนไฟล์ PDF

    ในวันหนึ่งผมได้รับมอบหมายให้ส่งใบเสนอราคาให้กับลูกค้าแต่มีข้อแม้ว่าจะต้องทำเป็นไฟล์ PDF ที่มีความปลอดภัย คือ ห้าม Copy ห้าม Print ห้ามแก้ไขไฟล์ PDF ทำให้ผมต้องหาข้อมูลใน google เพื่อทำการสร้างไฟล์ PDF ที่มีความปลอดภัยดังที่กล่าวไว้ข้างต้นได้  ทำให้ผมได้เจอกับซอฟต์แวร์ดีๆ และฟรีแบบมีคุณภาพอย่าง  PDF Creator ที่มีความสามารถแทบจะเทียบเท่าซอฟต์แวร์เสียเงินอย่าง Adobe Acrobat Professional

ขั้นตอนการการสร้างความปลอดภัยบนไฟล์ PDF
  1. ดาวน์โหลดซอฟต์แวร์ได้ที่ http://www.pdfforge.org/download แล้วทำการติดตั้งให้เรียบร้อย
  2. หลังจากติดตั้งเสร็จให้ทำการเปิดซอฟต์แวร์ PDF Creator ขึ้นมาเพื่อทำการตั้งค่าความปลอดภัยดังภาพที่ 1
     
    ภาพที่ 1
  3. คลิกที่ Formats แล้วไปที่แถบ Security ติ๊ก Use Security ตามด้วยหัวข้อ Encryption Level ติ๊ก Low แล้วไปที่หัวข้อ Disallow User to ติ๊กเลือกทั้งหมดแล้วกด Save ดังภาพที่ 2
    4. ภาพที่ 2
จากภาพที่ 2 เมือทำการตั้งค่าเสร็จเรียบร้อยแล้วก็จะสามารถที่จะสร้างความปลอดภัยให้ไฟล์เอกสาร PDF ได้

หมายเหตุ :: การ Print เป็นไฟล์ PDF ทุกครั้งจะต้องใส่ Password ทุกครั้งเพื่อป้องกันการ Copy การ Print การแก้ไขไฟล์ PDF
อ่านเพิ่มเติม »
เขียนโดย ที่ ไม่มีความคิดเห็น:

วันศุกร์ที่ 9 สิงหาคม พ.ศ. 2556

การ Downgrading ไฟล์ image Vmware Workstation เวอร์ชั่น 9 ไปเป็นไฟล์ image Vmware Workstation เวอร์ชั่น 8 และ เวอร์ชั่น 7

            เนื่องจากช่วงเวลานี้ผมได้เข้าอบรมหลักสูตร Certified Hacking Forensics Investigator (CHFIv8) ที่มหาวิทยาลัยเทคโนโลยีมหานคร ได้เกิดปัญหาเรื่อง Vmware image ที่ได้รับมาใน
ในการอบรมครั้งนี้เป็น Vmware Workstation เวอร์ชั่น 9 ซึงไม่สามารถที่จะเปิดบน Vmware Workstation เวอร์ชั่น 8 บนเครื่อง Notebook ของผมได้ ผมจึงได้หาทางแก้ไขและได้เขียนบทความนี้ขึ้นมาดังขั้นตอนดังต่อนี้
  1. ทำการ Backup ไฟล์ Vmware image ของ Vmware Workstation เวอร์ชั่น 9 
  2. ทำการแก้ไขไฟล์ Vmware image ที่มีนามสกุล .vmx ยกตัวอย่างชื่อไฟล์ vm2008R2-CHFI.vmx ผมทำการเปิดไฟล์ด้วยโปรแกรม Notepad++ เพื่อการแก้ไขจาก config.version = "9" เป็น config.version = "8" และ virtualHW.version = "9" เป็น virtualHW.version = "8" ดังภาพที่ 1
  3. ภาพที่ 1

    หมายเหตุ :: ในกรณีที่ Vmware Workstation ของท่านเป็นเวอร์ชั่น 7 ก็สามารถแก้ไขเป็นเวอร์ชั่น 7 ได้เลย แต่สำหรับท่านใดที่มี Vmware Workstation ต่ำกว่าเวอร์ชั่น 7 ลงไปท่านจะต้องทำการแก้ไข virtual hardware เพิ่มเติมจาก scsi0.virtualDev = “lsisas1068” เป็น scsi0.virtualDev = “lsilogic” เนื่องจาก Vmware Workstation เวอร์ชั่นที่ต่ำกว่าเวอร์ชั่น 7 ไม่รู้จัก virtual hardware

    อ้างอิง :: http://communities.vmware.com/thread/338404?start=0&tstart=0

     

เขียนโดย ที่ ไม่มีความคิดเห็น:

วันศุกร์ที่ 12 กรกฎาคม พ.ศ. 2556

SSH Login Banner Messages บนระบบปฎิบัติการ Linux

การทำตามมาตรฐาน ISO27001 ด้านความมั่นคงปลอดภัยสารสนเทศ ในหัวข้อ 11.5 Access Control ที่หัวข้อย่อย 11.5.1 เกี่ยวกับขั้นตอนการควบคุมการเข้าถึงโดยไม่ได้รับอนุญาตในการตรวจสอบจะต้องมีหัวข้อการทำข้อความแจ้งเตือนหรือที่เรียกว่า Banner Messages เพื่อเป็นแจ้งเตือนแก่ผู้ที่ไม่มีสิทธิในการเข้าถึงระบบผ่านทางโปรโตคอล SSH ให้ทราบถึงข้อบังคับทางกฎหมาย
 
ขั้นตอนการทำ SSH Login Banner Messages บนระบบปฎิบัติการ Linux 

1.  การทำ SSH Login Banner Messages บน CentOS 6.4 จะมี 2 ไฟล์คือ

issue.net คือ แสดงข้อความแจ้งเตือนก่อนการ Login เข้าสู่ระบบ

motd คือ แสดงข้อความเมื่อทำการ Login เสร็จแล้ว

 
2.  ทำการสร้างข้อความแจ้งเตือนที่ไฟล์ issue.net

# vi /etc/issue.net

เพิ่มข้อความแจ้งเตือน



พิมพ์ wq เพื่อทำการ save ข้อมูล
 
 
3.  เปิดการใช้งานข้อความแจ้งเตือนบนโปรโตคอล SSH
 
        # vi /etc/ssh/sshd_config
 
      บรรทัดที่ 129 จาก
 
      #Banner none
 
      เปลี่ยนเป็น
 
      Banner  /etc/issue.net
 
      พิมพ์ wq เพื่อ save ข้อมูล
 
4ทำการ Restart Service ของโปรดตคอล SSH ด้วยคำสั่ง
 
# service sshd restart
 
5.  ทดสอบด้วยโปรแกรม Putty
 







เขียนโดย ที่ ไม่มีความคิดเห็น:

วันศุกร์ที่ 13 กรกฎาคม พ.ศ. 2555

Vmware not support Windows server 2008 64 bit


เหตุการณ์เกิดขึ้นตอนที่ผมทำ Project ethical hacking เรื่อง Microsoft Hyper-V Server ซึ่งต้องทำการติดตั้ง Windows Server 2008 R2 Standard บน Vmware แล้วเกิด Error 0xc00035a ดังรูปที่

รูปที่ 1 Error 0xc00035a




จากรูปที่ 1 ในข้างต้นเกิดจากการที่ Bios บนเครื่องคอมพิวเตอร์นั้นไม่ได้เปิดให้ Visualization Technology ในหมวดของ CPU นั้นรองรับการติดตั้งระบปฎิบัติการแบบ 64 bit ดังรูปที่ 2

รูปที่ 2 BIOS




 จากรูปที่ 2 ในข้างต้นให้ทำการรีสตาร์ทเครื่องคอมพิวเตอร์แล้วเข้าไปปรับแต่งค่าใน BIOS ในหมวด Advanced BIOS Features แล้วเลือกที่ Visualization Technology แล้วคลิก Enabled


หมายเหตุ :: การปรับแต่งค่าใน BIOS ในรูปที่ 2 นั้นอาจจะแตกต่างกันไปขึ้นอยู่กับของรุ่นแต่ละ BIOS
เขียนโดย ที่ 2 ความคิดเห็น:

วันพฤหัสบดีที่ 5 กรกฎาคม พ.ศ. 2555

สร้าง Bootable บน USB ด้วยโปรแกรม UNetbootin

การสร้าง Bootable บน USB ด้วยโปรแกรม UNetbootin เพื่อให้สามารถใช้ในการติดตั้งระบบปฎิบัติการต่างๆ เช่น Windows, Linux, and Mac OS X. เป็นต้น หรือทำเป็นแผ่น Live USB เพื่อใช้ในการรันระบบปฎิบัติการต่างๆ ดังที่กล่าวไว้ข้างต้น เพื่อเป็นการใช้ทดแทนแผ่น CD-ROM ที่มีการใช้งานอย่างสิ้นเปลืองเป็นอย่างมาก  ซึ่งในปัจจุบัน USB ก็มีราคาถูกลงจากเมื่อก่อนมากรวมไปถึงคอมพิวเตอร์รุ่นใหม่ๆ ก็สามารถที่จะ BOOT ผ่าน USB ได้แล้วทั้งนั้นซึ่งสามารถที่จะเข้าไปทำการตั้งค่าให้สามารถ BOOT ผ่าน USB ได้โดยการเข้าไปตั้งค่าที่ BIOS ของเครื่องคอมพิวเตอร์

ขั้นตอนการใช้งาน

1. ดาวน์โหลดโปรแกรม UNetbootin ได้ที่เว็บไซต์ http://unetbootin.sourceforge.net/

2. ดาวน์โหลดระบบปฎิบัติการต่างๆ เช่น Windows, Linux, and Mac OS X ที่เป็นนามสกุล ISO หรือจะใช้โปรแกรม UNetbootin ดาวน์โหลดให้ก็ได้

3. เปิดโปรแกรม UNetbootin ขึ้นมาจะมี 2 ฟังก์ชั่นให้เลือก

    3.1 จากรูปที่ 1 ท่านสามารถเลือกดาวน์โหลดระบบปฎิบัติการต่างๆ ที่โปรแกรม UNetbootin นั้นมีมาให้โดยการเลือกที่ Distribution แล้วคลิกที่ช่อง Select Distribution

 
รูปที่ 1
    3.2 จากรูปที่ 2 ท่านสามารถเลือกไฟล์ที่อยู่บนเครื่องคอมพิวเตอร์ของตัวท่านเองได้โดยการเลือกที่  Diskimage แล้วคลิกเลือกไฟล์ที่ปุ่มด้านหลังพร้อมทั้ง Drive USB ที่ต้องการจะเขียนข้อมูลลงไปแล้วกดปุ่ม OK

รูปที่ 2


 ปล. หวังว่าข้อมูลเหล่านี้คงจะมีประโยชน์ไม่มากก็น้อย
เขียนโดย ที่ 6 ความคิดเห็น:
สมัครสมาชิก: ความคิดเห็น (Atom)