เนื่องจากผมไปช่วยดูเครือข่ายคอมพิวเตอร์ซึ่งให้บริการอินเตอร์เน็ตในห้องพักซึ่งเชื่อมต่อกับหลายหอพักด้วย DSLAM และระบบเครือข่ายเกิดโดนโจมตี จึงเก็บประสบการณ์มาเล่าให้ฟังกันครับ

1. การโจมตีระรอกแรก : มีอาการคืออยู่ๆ เครือข่ายทั้งหมดก็ล่มไปโดยไม่ทราบสาเหตุ ทุกเครื่องติดต่อกับ gateway ไม่ได้ เลยเอาเอา snort ไปจิ้มกับ mirror port ที่เตรียมไว้ ผลที่ได้คือ ARP Spoofing เลยตามต่อกับ ARPWATCH

15:03:49 authgw arpwatch: ethernet mismatch 192.168.182.5 0:1d:60:20:fc:8a (3b:34:0:25:4e:22)
15:03:49 authgw arpwatch: ethernet mismatch 192.168.182.225 0:1d:60:20:fc:8a (3b:34:0:25:4e:22)
15:03:49 authgw arpwatch: ethernet mismatch 192.168.182.102 0:1d:60:20:fc:8a (3b:34:0:25:4e:22)
15:03:54 authgw arpwatch: ethernet mismatch 192.168.182.95 0:1d:60:20:fc:8a (3b:5:5d:7c:17:6f)
15:03:54 authgw arpwatch: ethernet mismatch 192.168.182.95 0:1d:60:20:fc:8a (3b:5:5d:7c:17:6f)

หมายเลขเครื่องที่โจมตีคือ 0:1d:60:20:fc:8a จึงใช้ Switch L3 ฺBlock ไว้ก่อน

acl number 4000
 rule 0 deny source 001d-6060-fc8a ffff-ffff-ffff

interface Ethernet1/0/24
 packet-filter inbound link-group 4000 rule 0

จากนั้นจึงทำหนังสือส่งไปยังเจ้าของหอที่ผู้โจมตีอยู่... และทำสำเนาเตรียมส่งตำรวจ

2. การโจมตีระลอกที่สอง : DHCP DoS Attack โดน request dhcp โดยใช้ mac ปลอมๆ มาเป็นจำนวนมหาศาล ทำให้ DHCP pool เต็ม เครื่องในเครือข่ายจะเข้าใช้บริการไม่ได้ อันนี้ Detect เจอจาก admin อีกคนที่คอย monitor อยู่ จึง block ไปด้วย switch L3

acl number 4000
  rule 1 deny source 0019-5bf7-6c37 ffff-ffff-ffff

interface Ethernet1/0/24
 packet-filter inbound link-group 4000 rule 1

และโทรไปแจ้งผู้ใช้บริการว่าให้หยุดการกระทำดังกล่าว พร้อมเตรียมหลักฐานส่งตำรวจ

(คนโจมตี ส่วนใหญ่เป็น นศ. คณะที่เรียนคอมเก่งๆ อะ คาดว่าคงอยากลองวิชา -_-)

นอกจากนี้ยังมีการโจมตีอีกหลายชนิด เลยลง Snort ไว้้ถาวรเลย