มารู้จักกับตัวดักจับข้อมูลหรือ Sniffer กันเถอะ

ตอนนี้บรรดากระแสคนใน Social Networking ของประเทศไทย รวมไปถึง Internet User จะพูดกันหนาหูมาก เกี่ยวกับเรื่องที่ว่า  ไอซีทีจับมือ5 หน่วยงานวางแนวกำกับการละเมิดทรัพย์สินทางปัญญาผ่านอินเทอร์เน็ต ซึ่งผลของมันทำให้ผู้ใช้งานอินเตอร์เน็ตในประเทศไทยเริ่มตื่นตัวกับสิ่งที่เรียกว่า ความเป็นส่วนตัวบนโลกอินเทอร์เน็ตมากขึ้น หลังจากที่ก่อนหน้านี้ไม่ค่อยสนใจกันเลย (ลองอ่านเรื่องความเป็นส่วนตัวได้จาก Blog ของ @markpeak และ @molek ได้นะครับ) ดังนั้นโปรแกรมแจกฟรีตอนนี้ก็ต้องเอาให้เข้ากับประเด็นร้อนที่กำลังระอุในบ้านเราซะหน่อย ผมเลยจะมาแนะนำ เครื่องมือที่พวกเรา Network Admin ใช้ในการตรวจสอบสถานะของ Network กัน ที่เรียกว่า Wireshark ครับ

Wireshark เป็นโปรแกรมประเภท Packet Analyzer หรือตัววิเคราะห์ข้อมูลที่ส่งกันไปใน Network .. ความสามารถของ Wireshark มี 2 อย่างง่ายๆครับ อย่างแรกก็ดักจับข้อและบันทึกมูลทุกอย่างที่ผ่านการ์ด LAN หรือ Network Interface Card ใดๆของเรา และอีกข้อก็คือเอามาแสดงผลให้เราดู เพื่อที่เราจะสามารถวิเคราะห์ได้ว่าตอนนี้มีข้อมูลอะไรอยู่บ้างวิ่งใน Network ส่วนใหญ่ จะเอาไว้แก้ไขปัญหาบน Network เช่น

• Loopback : มีไอ้เวงตัวไหนแอบเอาสาย LAN ไปเสียบ 2 ช่องพร้อมกัน
• Worm : ค้นหาว่า PC หรือ Network Device ตัวไหน ปล่อย Worm ออกมาทำลาย Network
• Netcut : หาพวกนิสัยเสียแอบตัด Internet ชาวบ้าน
• Bittorrent : หาพวกแอบโหลดบิท ทำให้ Network เค้าช้าไปหมด

และอื่นๆอีกมากมาย แต่เอาพื้นฐานที่คนทั่วไปเข้าใจมันก็ประมาณนี้นะครับ

บรรดา Network Admin อย่างเราๆ ใช้ Wireshark ก็เพราะเราไม่สามารถเอาตาไปส่องสาย LAN ข้างในได้ว่า มันมีข้อมูลอะไรวิ่งอยู่ในนั้นบ้าง ดังนั้นเราจึงต้องอาศัยเครื่องมือประเภท Packet Analyzer แบบ Wireshark นี่แหละครับ ซึ่งไอ้ชื่อ Packet Analyzer ก็เป็นอีกชื่อหรูๆของคำว่า Sniffer (แอบดักฟัง) นั่นเองครับ

ซึ่งข้อมูลที่ Wireshark หรือพวก Sniffer แบบเนี่ยจับได้ เราจะสามารถเอามาดูได้หมดเลย ว่า ใคร ส่งอะไร ไปหาใคร ตอนกี่โมงกี่ยาม และ ข้อมูลที่อยู่ข้างใน เป็นอะไรบ้าง ซึ่งถึงแม้ว่าจะดูยากซักหน่อย แต่ถ้าใช้ Network Keyword ที่ Search แล้วโดนมันก็หาข้อมูลออกมาให้ได้ครับ ซึ่งจากข่าวตัวปัญหาที่บอกว่า ICT จะจับมือกับ 5 หน่วยงาน บังคับให้ ISP เอา Sniffer มาวางที่ Gateway หรือต้นทางของ Internet แล้วดักจับข้อมูลทุกอย่างของเรา แล้วเอาไปขยายผลว่า ใครแอบโหลดโปรแกรมผิดลิขสิทธิ์ จากนั้นก็ตามไปสอยมันซะ

โอว..

นี่มัน

สมองส่วนไหนวะเนี่ย???

ตามทฤษฏีของ Packet Analyzer แล้ว ถือว่า ทำได้ เพราะใน Packet Analyzer สามารถก๊อปปี้และนำไปวิเคราะห์ได้ทั้งหมด แต่ว่า…

• อุปกรณ์ที่ ISP ใช้ดักจับข้อมูลตรงนั้นจะต้องแพงมากๆ ถ้าผมจำไม่ผิด Spec ที่เอามาใช้ระดับ Gateway ของ ISP มี 8 หลักแน่นอน แถมค่าดูแลอีกเท่าไหร่
• ต้องมีอุปกรณ์บันทึกข้อมูลขนาดมหาศาลมากๆ เพราะมันเหมือนต้องก๊อปปี้ทุกอย่างที่วิ่งผ่าน ISP ไป .. นี่ยิ่งกว่าเก็บ Log 90 วันอีกนะครับ .. ลองนึกสภาพว่าๆ วันๆนึงคุณโหลดอะไรไปกี่ Gb ลอง x จำนวนลูกค้าทั้งหมดของ ISP เข้าไปดู
• ค่าจ้าง Network Admin โคตรเทพที่จะสามารถ วิเคราะห์ Packet ที่วิ่งผ่านไปมา ในมหาสมุทรข้อมูลอันมหาศาลเหล่านั้น มันต้องใช้ ไอ้เทพพวกนี้กี่คนครับ

แค่ 3 อย่างนี้ก็พอจะเข้าใจแล้วว่า แทบเป็นไปไม่ได้ และอีกอย่างที่ทำให้เทคโนโลยีนี้เอามาใช้กับบ้านเราไม่ได้ ก็เพราะว่าพวก Sniffer มันมีให้ใช้กันกว่า 10 ปีแล้ว มันก็มีคนคิดวิธีแก้ไขการดักจับข้อมูลกันมาแล้วทั้งนั้นครับ ไม่ว่าจะเป็น

• การ Login เข้าเว็บด้วยโปรโตคอล https หรือเข้ารหัสการใช้งาน HTTP
• อยากเปิดเว็บแบบไม่มีใครรู้ ก็ไปหา Proxy ที่มันเข้ารหัสมาใช้
• อยากส่ง Email แบบไม่ให้อ่านได้ ก็เข้ารหัส Email ด้วย PGP
• ใช้ Protocal  POP3S และ SMTPS ในการส่งและรับ Email (Gmail ใช้ได้สบายๆ)

นี่ถ้าเกิด Bittorrent มันบ้าๆ เข้ารหัสการรับส่งข้อมูลใน Bittorrent แค่นี้มันก็ถอดรหัสไม่ได้แล้ว แถมตอนนี้ยังมี TOR Project .. ระบบการเล่น Internet แบบไร้ตัวตนที่ทางกระทรวงกลาโหมสหรัฐเป็นคนสนับสนุนซะด้วย งานนี้ผมว่า ขืนทำไปก็มีแต่เจ๊งกับเจ๊ง เพราะไม่ได้ผลอะไรขึ้นมาเลย

httpv://www.youtube.com/watch?v=ngQPmM9ZiI8

สรุปคร่าวๆจาก Project นี้

• เป็นแค่การใช้ Photoshop (สร้างภาพ) ว่าตรูก็ทำงาน
• เป็นแค่โต๊ะจีนลิง
• และถ้าเกิดมี Case อะไรที่มันเป็นปัญหาละเมิดลิขสิทธิ์ ก็แค่ไปหยิบข้อมูลมาโขยงนึง ซึ่งแน่นอนว่า ไม่มีใครเข้าใจ มาโชว์ให้ดูว่า โอ๊ะ ไอ้นี่ผิดจริง

เฮ้อ….

เอ้อ เกือบลืมรายละเอียดโปรแกรม

ชื่อ : Wireshark

โดย : Gerald Combs

ขนาด : 18Mb

ดาวน์โหลด : http://www.wireshark.org/