ว.วทย. มข. 44(2) 384-397 (2559) KKU Sci. J. 44(2) 384-397 (2016)
การเพมประสทธภาพระบบตรวจจบการบกรกในการรกษาความมนคง ทางไซเบอรดวยฮนนพอท
Enhanced Efficiency of Intrusion Detection Systems with Honey Pot in Cyber Security
อรรถพล ปอมสถตย วทยาลยนานาชาตพระนคร มหาวทยาลยราชภฏพระนคร บางเขน กรงเทพฯ 10220
E-mail: [email protected]
บทคดยอ งานวจยการเพมประสทธภาพระบบตรวจจบการบกรกในการรกษาความมนคงทางไซเบอรดวยฮนนพอทนาเสนอการศกษาการบกรกเครอขายโดยใชฮนนพอทในการหลอกลอ หนวงเวลา หรอเบยงเบน ผบกรกไมใหโจมตไปทเครองแมขาย ในการโจมตรปแบบการปฏเสธการมการใหบรการ 3 รปแบบไดแก TCP Flood, UDP Flood และ ICMP Flood โดยฮนนพอทจะใชโปรแกรม Honeyd ในการจาลองเครองคอมพวเตอรหรอเครองแมขายใหอยในแผนผงเครอขายทตองการจะรกษาความปลอดภยโดยกาหนดใหไมมการใชงานไฟรวอลและการรกษาความปลอดภยรปแบบอนๆ ซงจะใชระบบปองกนการบกรกและฮนนพอทเทานนในการรกษาความปลอดภยเครอขาย สวนระบบตรวจจบการบกรกเครอขายจะใชโปรแกรม Snort โดยโปรแกรมทงหมดจะพฒนาในรปแบบ Open Source อยบนระบบปฏบตการ Linux จากผลการทดสอบการโจมตจากระบบเครอขายภายใน และภายนอกของงานวจยนทาใหไดวธการเพมประสทธภาพระบบตรวจจบการบกรกในการรกษาความมนคงทางไซเบอรเมอนาฮนนพอททางานรวมกบระบบตรวจจบการบกรก โดยการโจมตผานระบบเครอขายแลน มความเสยงในการถกโจมตใกลเคยงระบบเครอขายแลนไรสาย และการโจมตแบบ TCP Flood มอตราการตรวจจบการบกรกไดสงสดเมอเปรยบเทยบกบการโจมตแบบ ICMP Flood ทมอตราการตรวจจบการบกรกในการโจมตผานระบบเครอขายภายในตางกน 33.75% และโจมตผานระบบเครอขายภายนอกตางกน 53.47% นนหมายถงในการรกษาความมนคงทางไซเบอร จะตองมการปองกนการโจมตแบบ TCP Flood และการโจมตจากภายในซงมอนตรายมากทสด
งานวจย วารสารวทยาศาสตร มข. ปท 44 เลมท 2 385
ABSTRACT This paper presents how Honeypot can help enhancing the efficiency of the Intrusion Detection Systems (IDS) in cyber security. Honeypot will distract, delay, or deviate hackers from attacking the computer network. There are three attacking technique which cause Denial of Service (DOS), delay or deviate: TCP Flood, UDP Flood and ICMP Flood. Honeyd, a part of Honeypot will be used to create a virtual computer or a virtual server within a particular secured network, without firewall or any other forms of security. Only Honeypot will be deployed on the network, while the Snort program will be used on IDS. All programs will be developed as Open Source on Linux OS. As a result of test on the internal and external network attack, we found that we can enhance the efficiency of the Intrusion Detection Systems (IDS) in cyber security by using Honeypot. The attacked rates on LAN network and WLAN network were not much different. However, comparing TCP Flood attack and ICMP Flood attack, TCP Floods attacked rate was 33.75% higher on internal network and 53.47% higher on external network than ICMP Flood attacked rate. In conclusion, TCP Flood attack and all forms of internal attacks are most harmful in cyber security.
คาสาคญ: ระบบตรวจจบการบกรก การปฏเสธการใหบรการ การรกษาความมนคงทางไซเบอร ฮนนพอท
Keywords: Intrusion Detection System, Denial of Service, CyberSecurity, Honeypot
1. บทนา ในปจจบนเทคโนโลยดานการรกษาความมนคงทางไซเบอรไดกาวไปขางหนาอยางรวดเรวซอฟตแวรและฮารดแวรตางๆ ทเกยวของกบความปลอดภยดานสารสนเทศไดถกวจยและพฒนาขนเพอตอบสนองความตองการของผใชมากขน ซงระบบตรวจจบการบกรก (Intrusion Detection System: IDS) หรอระบบตรวจจบการบกรกเปนเครองมอทใชสาหรบตรวจจบความพยายามบกรกเครอขายโดยระบบจะแจงเตอนไปยงผดแลระบบเมอมการบกรก หรอมการพยายามทจะบกรกเครอขาย โดยระบบจะรายงานเฉพาะสงทกาหนดใหรายงานเทานน ซงมอยสองสงทผดแลระบบจะตองกาหนดคาใหกบ ระบบตรวจจบการบกรกสงแรกคอ Signature ของการบกรก
สงทสองคอเหตการณทผดแลระบบใหความสาคญหรอเหตการณทคาดวาจะเปนผลไปสการบกรกในภายหนา ซงเหตการณตางๆเหลานอาจเปนสญญาณจราจรทไมปกตหรออาจเปนบางขอความใน log การกาหนดคา Signature ใหกบระบบตรวจจบการบกรกของแตละองคกรนนอาจจะไมเหมอนกน ซงจะขนอยกบวาองคกรนนจะใหความสนใจกบการบกรกประเภทใด และในการตรวจสอบลกษณะขอมลของผใชทเขามาใชบรการในระบบโดยระบบจะมตวคดกรองความถกตองหรอตองสงสย ถาเกดลกษณะการเ รยกใช ขอมลของผใชบรการเกดผดปกตหรอตองสงสย ระบบตรวจจบการบกรกจะทาการตรวจจบขอมลดงกลาวและทาการแจงเตอนในรปแบบสถตในการโจมต (อรรถพล ปอมสถตย, 2554)
386 KKU Science Journal Volume 44 Number 2 Research นอกจากนการโจมตในระบบเครอขายไดมการพฒนารปแบบการโจมตขนอยางรวดเรวดงนน ฮนนพอท (Honeypot) (Pomsathit A., 2012) จงเปนระบบความปลอดภยอกชนดหนงทเสรมการทางานของระบบตรวจจบการบกรกไดเปนอยางด ซ ง ฮ น น พ อ ท ก ค อ ค อ ม พ ว เ ต อ ร ห ร อ ก ล ม ข อ งคอมพวเตอรทถกตดตงไวสาหรบลอลวงใหผบกรกทาการโจมต และเพอเรยนรเทคนคทผบกรกใชและนาความรเหลานนมาใชในการหาทางปองกนการโจมตใหมๆทเกดขน อกทงฮนนพอทยงสามารถใชลดความเสยงของเครองแมขายในระบบทอาจถกโจมตหรอใชเปนระบบตรวจสอบการบกรกไดอกทางหนงดวย โดยปกตแลวฮนนพอทจะถกตดตงในเครอขายทแยกจากเครอขายทใชงานจรง หรอตดตงในบรเวณเดยวกบเครองแมขายเพอปองกนไมใหเครองแมขายทใชงานเครอขายภายในถกโจมตไดงายจากผบกรกซงแมวาจะมการปองการอยางดจากอปกรณรกษาความปลอดภยเครอขาย อาท ไฟลวอล หรอโปรแกรมปองกนไวรสตางๆ
ในงานวจ ยน ไ ด ใชฮนนพอทชนด Low-Interaction Honeypot ซงจะมการตอบสนองตอการโจมตในแบบการปฏเสธการใหบรการ (Denial of Service : DoS) (Zhenxin Z., Maochao X. and Shouhuai X., 2013) ของผบกรกตามขอมลของฮนนพอททกาหนดไว ซงโดยปกตมกจะกาหนดใหผบกรกสามารถใชงานฮนนพอทไดอยางจากด หลงจากทผบกรกเขาไปไดแลว ฮนนพอทจะใหขอมลเกยวกบการโจมตของผบกรก โดยใชซอฟตแวร Honeyd ทาการจาลอง Services ตางๆทคาดวาผบกรกจะทาการโจมตเชน HTTP (หมายเลขพอรต 80), SSH (หมายเลขพอรต 22) หรอ SMTP (หมายเลขพอรต 25) เปนตน ดงนนเพอเปนการปองกนหรอลดชองทางในการกระทา
ความผดตามทไดกลาวมาขางตน ผวจยจงมแนวคดในการทาวจยเพมประสทธภาพระบบตรวจจบการบกรกในการรกษาความมนคงทางไซเบอรดวยฮนนพอท เพอปองกนการโจมตจากผบกรกในการระงบ ชะลอ ขดขวาง หรอรบกวนจนเครองแมขายไมสามารถทางานตามปกตได โดยผลลพธทไดจากการวจยจะสามารถนามาใชในปรบปรงและพฒนาการดาเนนงานของผ ดแลระบบเครอขายของมหาวทยาลย หนวยงาน ภาครฐและภาคเอกชน เพอนาไปสความมนคงของร ะ บ บ ค อ ม พ ว เ ต อ ร ต า ม ว ต ถ ป ร ะ ส ง ค ข อ งพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร ป 2550
2. วธการดาเนนการวจย 2.1 ออกแบบผงเครอขาย ในการออกแบบผงเครอขายนนไดออกแบบใหผงเครอขายมความใกลเคยงกบระบบทมการใชจรงกบหนวยงานของภาครฐและเอกชนเพอใหสามารถนาไปประยกตใชไดจรง อนประกอบดวย
1. ระบบเครอขายภายใน (internal) เปนการระบบเครอขายภายในองคกรทสมมตใหการทดลองไมมการปองกนจากอปกรณรกษาความปลอดภยทางคอมพวเตอร ตางๆ อาท ACLของอปกรณ และไฟลวอล โดยจะมการตดตงเครองคอมพวเตอรแมขาย และระบบตรวจจบการบกรกเปนองคประกอบหลกโดยเชอมตออปกรณทงหมดผานอปกรณสวตซ
2. ระบบเครอขายภายนอก (External) เปนระบบเครอขายทอยภายนอกองคกรหรออาจสมมตวาเปนเครอขายอนเทอรเนต โดยจะมการตดตงเครองคอมพวเตอรสวนบคคลเปนองคประกอบหลกโดยเชอมตออปกรณทงหมดผานอปกรณสวตซ โดยทงสวนระบบเครอขายภายในและระบบเครอขายภายนอกจะเชอมตอผานอปกรณเราทเตอร ทงนแผนผงเครอขาย
งานวจย วารสารวทยาศาสตร มข. ปท 44 เลมท 2 387 รวมจะค าน ง ถ งจ านวน อปกรณ ท ม อ ย จ ร งของหองปฏบตการ Network Security โดยมรายละเอยด
การออกแบบผงเครอขายทงหมดดงรปท 1
Internal External
รปท 1 แสดงผงเครอขาย
2.1.1. การตดตงและกาหนดคาอปกรณเครอขายตางๆ ดงตอไปน
1. กาหนดคาอปกรณเราทเตอรใหสามารถใชคณสมบต DHCP Pool และคณสมบต เราทเตอร RIP ได
2. การกาหนดคาอปกรณสวตซใหสามารถทาการ Spanning Port คอ การทสวตชจะสงตอทกๆ แพกเกตทรบจากพอรตหนงไปยงอกพอรตหนง และการกาหนดคา Port mirror ใหกบสวตซซงเปนเทคโนโลยทเปนประโยชนและถกนามาใชอยางมากในการตรวจสอบและเกบสถตตางๆในการรบ-สงขอมลของพอรตหนงบนอปกรณดงกลาว 2.1.2. การตดตงโปรแกรมทใชในการทดลอง 1. โปรแกรมทใชในการโจมต ประกอบดวย
1.1 โปรแกรม Nessus สาหรบการคนหาชองโหวของเครอขาย โดยความสามารถคอจะคนหาเครอง
คอมพวเตอรในเครอขายแลวจะรายงานชองโหวของคอมพวเตอรแตละเครอง
1.2 โปรแกรม SuperScan โปรแกรมสาหรบใชในการคนหาพอรต TCP ping resolver โดยจะทางานในแบบ connect-based ใชเทคนคแบบ Multithreaded และ asynchronous ซงทาใหการทางานมความเรวมากและใชงานไดในหลายแบบ 2. ระบบปฏบตการ Linux มความสามารถในการรองรบการทางานรวมกนโปรแกรมอนๆ ไดเปนอยางด 3. โปรแกรม Snort เปนโปรแกรมรกษาระบบความปลอดภยทางเครอขายทมผพฒนาอยางตอเนองจากทวโลกเรอยมาจนถงปจจบน ซงในการวจยนไดเลอกใชระบบจบการบกรก ชนดระบบตรวจหาการบกรกบนเครองคอมพวเตอร (Host-based IDS) (Jianrong Xi., 2011) ซงจะทางานในเครองคอมพวเตอรดวยการตดตามตรวจสอบสญญาณจราจร
388 KKU Science Journal Volume 44 Number 2 Research ทอยในรปของแพกเกตขอมลและตรวจสอบการใชงานโปรแกรมประยกต (Application) ในเครองคอมพวเตอรจากไฟลบนทกขอมลการใชงานการจราจรเครอขายเพอตรวจสอบวาแพกเกตใดมลกษณะทผดปกต
3.1 การกาหนดคา Rule ของโปรแกรม Snort
Rule นนกคอกฎหรอขอบงคบในการตรวจจบรปแบบการโจมตหรอ แพคเกต ทโปรแกรมตรวจจบได โดยทาการตงคาและปรบแตงคา Rule ของโปรแกรม Snort เอง เพราะคา Rule ปกตทโปรแกรมตงคาใหนนเปนคา Rule ทวเคราะหรปแบบการโจมตแบบธรรมดา ซงตวโปรแกรมจะไมเปดการใชงาน Rule ทงหมด ตวโปรแกรมจะใชงาน Rule บางสวนทเปนรปแบบการโจมต ท มผล รนแรงเ ทาน น ทา ใ หในการศกษาและวจยนนไมสามารถเปรยบเทยบคาประสทธภาพทสงสดในการตรวจจบการโจมตของโปรแกรมได ดงนนจงทาการตงคา Rule โดยทาการแกไข ปรบแตงและตงคาในไฟล snort.conf ของโปรแกรม โดยทาการเปดใชงาน Rule ทงหมดทโปรแกรมสามารถตรวจจบได และทาการ Update คาของ Rule ใหเปนเวอรชนลาสด (version.2.9) ดงทแสดงไวในรปท 2 4. ฮนนพอท Honeyd เปนซอฟตแวรทใชในการหลอกลอผทเขามาโจมต โดยทซอฟตแวรตวนไดมการใชกนอยางแพรหลายจงมการพฒนาอยางตอเนองจนมาถงปจจบน ทาใหตวโปรแกรมเปนทยอมรบและไดมาตรฐาน Honeyd (Pauna A and Bica I., 2014) สนบสนน
คณลกษณะทหลากหลายททาใหมความยดหยนใหกบการสราง host และเครอขายเสมอนแบบ ฮนนพอท 4.1 แสดงขนตอนการทางานของโปรแกรม Snort และโปรแกรม Honeyd จากแผนผงการทางานของระบบตรวจจบการบกรกเครอขายและฮนนพอทจะมขนตอนการทางานดง ทไ ดแสดงไว ในรปท 2 ซงจะทางานเ รมจากท Sensor หนงตวหรอมากกวานน (ขนอยกบการออกแบบของแตละองคกร) อานคากาหนดคาตามทผตดตงหรอผดแลระบบไดกาหนดคาไว แลวโปรแกรมจะทาการอานคาของ Rule ตางๆ ทไดทาการตงคาไว เมอระบบอานคาตางๆ จะทาการตรวจจบและวเคราะห การจราจรเครอขายของแพกเกตตางๆ เปรยบเทยบกบ Rule ของโปรแกรมตามทตงคาไวและวเคราะหรปแบบการถกโจมตรปแบบตางๆ วาเปนโจมตนนเปนชนดใดและมจานวนหรอมระดบความเสยงตอระบบมากนอยเพยงใด และเกบขอมลเหตการณหรอ Log ลงฐานขอมล ซงขอมลหรอ Log ทเกดขนของ Sensor ทมอยแตละตวจะมาเกบลงในฐานขอมลทเครองแมขายตวเดยวกน ตอมาในการแสดงผลการตรวจจบนน จะแสดงออกมาทหนาเวบทดงจากขอมลในฐานขอมลมาแสดงเพอความสะดวกในการใหผดแลระบบไดจดการหรอปองกนระบบไดอยางมประสทธภาพ สวนโปรแกรม Honeyd นนกจะเรมจากการกาหนดคาตามทผดแลระบบไดกาหนดคาไว ตอจากนนจะทาการอานคาทไฟล honeyd.conf และเปดโปรแกรม farpd แลวทาการตงคา IP Address ตามทตองการจาลองแบบใหมเครองแมขาย (Keith Harrison, James R. Rutherford and Gregory B. White., 2015)
งานวจย วารสารวทยาศาสตร มข. ปท 44 เลมท 2 389
รปท 2 แสดงการทางานของระบบตรวจจบการบกรกและฮนนพอท
3. ผลการวจย (Results) การวเคราะหประสทธภาพการโจมตดวยฮนนพอท จากการดาเนนงานไดแบงการทดลองออกเปน 2 การทดลองคอ
1. การโจมตเครองแมขาย และฮนนพอทจากภายใน (Internal) 2. การโจมตเครองแมขาย และฮนนพอทจากจากภายนอก (External)
390 KKU Science Journal Volume 44 Number 2 Research เพอทจะใหทราบถงประสทธภาพการทางานของฮนนพอท และความแตกตางระหวางการโจมตผานระบบเครอขายแลนและการโจมตผานระบบเครอขายแลนไรสาย เพอวเคราะหประสทธภาพการตรวจจบการบกรกทมประสทธภาพมากทสด ซงในการทดลองนจะใชการโจมตแบบปฏเสธการใหบรการโดยแบงการโจมตออกเปน 3 ประเภท ไดแก TCP Flood, UDP Flood และ ICMP Flood ซงทาการทดสอบประสทธภาพดวยการใชระบบตรวจจบการบกรกเพอเกบขอมลการบกรกทเกดขนทงในเครองแมขาย และฮนนพอท โดยผลการทดลองจะเปรยบเทยบจานวนเหตการณ ทระบบตรวจจบการบกรกซงสามารถจบไดระหวางการโจมตผานระบบแลน และการโจมตผานระบบเครอขายแบบแลนไรสาย ทมการโจมตจากภายในและภายนอกโดยมเราทเตอรทาหนาทแบงพนทระบบเครอขายภายในและภายนอกดงทไดแสดงไวในรปท 1 ซงการดาเนนการตามขนตอนการทดลองไดทาการรวบรวมขอมลจากผลการดาเนนงานหาคาเฉลย และแสดงอยในรปของกราฟเพอใหงายตอการวเคราะหขอมลโดยในทกรปของผลการทดลองแกน x จะแสดงถงจานวนครงในการแจงเตอนการโจมตซงเปนผลทไดจากระบบตรวจจบการบกรก สวนแกน y จะแสดงถงจานวนครงในการทดลอง
โจมตระบบในระยะเวลาเทาๆกน คอ 30 วนาท โดยมการสงแพกเกตในการโจมตจานวน 1,000 แพกเกต 3.1 เปรยบเทยบการโจมตเครองแมขาย และฮนนพอทแบบแลนจากภายในเครอขาย การเปรยบเทยบผลการโจมตจากภายในเครอขายแลนโดยทาการเปรยบเทยบจากรปแบบการโจมตประเภทปฏเสธการใหบรการ ทมการควบคมจานวนการโจมตใหเทากนทกรปแบบแลวบนทกผลการทดลองเปนเหตการณทเกดขนในแตละอปกรณจะเหนไดวา เหตการณสวนมากจะเกดขนจากการโจมตทโพรโทคอล TCP โดยใชรปแบบการโจมตคอ TCP Flood ทงนเนองจากโพรโทคอล TCP เปนโพรโทคอลหลกทใชในการเชอมตอระหวางเครองแมขายผใหบรการกบผใชบรการอยแลว และในการทดลองทโพรโทคอล TCP จะเหนไดวาเกดเหตการณทฮนนพอทมากกวาเครองแมขายในรปแบบการโจมตเดยวกน เปนจานวนประมาณ 34 เหตการณหรอประมาณ 5.35 % ในสวนของการโจมตในรปแบบ UDP Flood ทโพรโทคอล UDP จากผลการทดลองจะไดคาเฉลยผลการทดลองทฮนนพอทมากกวาเครองแมขายประมาณ 1.91 % และการโจมตรปแบบ ICMP Flood มเหตการณเกดขนทฮนนพอทมากกวาเครองแมขายประมาณ 3.34% ดงทไดแสดงไวในรปท 3
งานวจย
3.2 และฮนนพอทแบ การเปเครอขายแลนรปแบบการโจมควบคมจานวนบนทกผลการท
รปท 3
เปรยบเทยบกบบแลนไรสายจาปรยบเทยบผลกไรสายโดยทากมตประเภทปฏเสนการโจมตใหเทดลองเปนเหตกา
วารสารวทยาศ
เปรยบเทยบผล
ารโจมตเครองแกภายในเครอขายการโจมตจากภการเปรยบเทยบสธการใหบรการทากนทกรปแบบารณทเกดขนใน
ศาสตร มข. ปท
ลการโจมตจากภ
มขายย ายในบจากร โดยบแลวแตละ
อปกรโจมตฮการโจมใกลเคยแมขายดงทแส
ท 44 เลมท 2
ายในผานเครอขา
ณจะเหนไดวา ฮนนพอทแบบ TCมตแบบ TCP Fยงกบผลการทดลย และฮนนพอทสดงไวในรปท 4
ายแลน
เกดเหตการณมCP Flood สวนFlood ทเครองลองตามรปท 3 กทแบบแลนจากภ
391
มากทสดทการนรองลงมาเปนแมขาย ซงมคาการโจมตเครองภายในเครอขาย
39
และ เครประโจมเหตทดTCคาทดUDUDแมขUDประFlo
2
ร
3.3 เปะฮนนพอท แบบแ
การเปรยรอขายโดยทาการะเภทปฏเสธการมตใหเทากนทกรปตการณทเกดขนใลองทโพรโทคอลP Flood จะเหนเฉลยการเกดเหลองทโพรโทคอล
DP Flood จะเหนDP มจานวนนอยขาย โดยฮนนพอ
DP นอยกวาเคระมาณ 7.52 %
ood จะเหนไ
KKU Sc
รปท 4 เปรยบ
ปรยบเทยบการโจแลน จากภายนอบเทยบผลการโจรเปรยบเทยบจากรใหบรการ โดยคปแบบแลวบนทกในแตละอปกรณจล TCP โดยรปนไดวาฮนนพอทแตการณทเทากนล UDP โดยรปนไดวาเหตการณทยกวา TCP ทงฮนอทมคาเฉลยเหตกองแมขายในโพรโ
% สวนในการทดลไดวาฮนนพอทแล
cience Journ
เทยบผลการโจมต
จมตเครองแมขากเครอขาย จมตจากภายนอกรปแบบการโจมควบคมจานวนกาผลการทดลองเปจะเหนไดวาในกาปแบบการโจมตคและเครองแมขายน ในสวนของกาปแบบการโจมตคทเกดในโพรโทคอนนพอทและเครอการณทโพรโทคอโทคอลเดยวกนอลองรปแบบ ICMละเครองแมขาย
al Volume 4
ตจากภายในผาน
าย
อกมตารปนารคอ ยมารคอ อล องอล อยMP ยม
คาเฉลยเหเพยง 0.2 ไวในรปท 5 3และฮนนพ กเครอขายแการโจมตปจานวนการทดลองเปนไดวาในการโจมตคอ Tพอทมากทการโจมตเคการทดลอสญญาณไร
4 Number 2
เครอขายแบบแล
หตการณทใกลเคเหตการณหรอเท5 3.4 เปรยบเทอท แบบแลนไรสการเปรยบเทยบแบบไรสายทากาประเภทปฏเสธกรโจมตใหเทากนทนเหตการณทเกดรทดลองทโพรโท
TCP Flood จะเหสด ดงทไดแสดงไครองแมขายแบบองแตกตางคอนขรสาย ณ ชวงเวลา
R
ลนไรสาย
ยงกนอยางมากโทากบ 0.05 % ด
ทยบการโจมตเครสายจากภายนอกเบผลการโจมตจาารเปรยบเทยบจารใหบรการ โทกรปแบบแลวบนดขนในแตละอปกคอล TCP โดยร
หนไดวาเกดเหตกไวในรปท 6 และใบ TCP Flood ครขางมากเกดจากาเกดการขดของ
Research
โดยตางกนงทไดแสดง
รองแมขายเครอขาย กภายนอกากรปแบบโดยควบคมนทกผลการกรณจะเหนรปแบบการารณทฮนนในสวนของรงท 4 มผลกการรบสง
งานวจย
รปท 5
รปท 6 เปรย
วารสารวทยาศ
เปรยบเทยบผล
ยบเทยบผลการโจ
ศาสตร มข. ปท
ลการโจมตจากภา
จมตจากภายนอก
ท 44 เลมท 2
ยนอกผานเครอข
กผานเครอขายแบ
ขายแลน
บบแลนไรสาย
393
394 KKU Science Journal Volume 44 Number 2 Research 4. วเคราะหผลการวจย 4.1. ผลการทดลองเปรยบเทยบการโจมตภายในเครอขาย การเปรยบเทยบการโจมตเครองแมขายและฮนนพอททงแบบแลน และแบบแลนไรสายจากภายในเครอขาย โดยระบบเครอขายแลน มความเสยงในการถกโจมตใกลเคยงระบบเครอขายแลนไรสาย และการโจมตแบบ TCP Flood มอตราการตรวจจบทสง ทสดในทกการทดลอง โดยเฉพาะอยางยงการตรวจจบการบกรกเมอมการใชฮนนพอทในระบบแลนมคาเฉลยการตรวจจบประมาณ 635.8 แพกเกต ซงเปน
คาสงสด เมอเปรยบเทยบกบการโจมตแบบ ICMP Flood ทมอตราการตรวจจบการบกรกนอยทสดในเกอบทกการทดลอง โดยการใชฮนนพอทในระบบแลนมคาเฉลยการตรวจจบประมาณ 421.2 แพกแกต ซงตางกนถง 33.75% และทสาคญจะเหนไดวาฮนนพอทมจานวนการตรวจจบไดมากกวากรณไมมฮนนพอทในแทบทกการทดลองแมเฉลยตางกนไมเกนประมาณ 8% นนเปนการยนยนไดวาฮนนพอทสามารถชวยหลอกลอผประสงครายในการโจมตเครองแมขายไดอยางมประสทธภาพ ดงทไดแสดงไวในตารางท 1
ตารางท 1 เปรยบเทยบผลการโจมตแบบภายในเครอขาย Internal Attack
Attack Time Average
1 2 3 4 5 6 7 8 9 10 Total (%)
Serve
r (LAN
) TCP Flood 600 618 600 600 600 600 600 600 600 600 601.8 94.65
UDP Flood 442 400 400 400 400 400 400 444 400 400 408.6 64.27
ICMP Flood 400 400 400 400 400 400 400 400 400 400 400 62.91
Hone
ypot
(LAN
) TCP Flood 638 696 654 600 600 770 600 600 600 600 635.8 100
UDP Flood 482 472 454 400 400 400 400 400 400 400 420.8 66.18
ICMP Flood 424 480 508 400 400 400 400 400 400 400 421.2 66.25
Serve
r (Wifi)
TCP Flood 686 574 600 576 588 588 396 600 588 586 578.2 90.94
UDP Flood 388 354 396 358 438 394 386 200 362 394 367 57.72
ICMP Flood 362 396 394 386 176 346 338 390 398 390 357.6 56.24
Hone
ypot
(Wifi)
TCP Flood 600 594 600 600 582 568 576 602 732 576 603 94.84
UDP Flood 372 384 380 396 392 292 344 196 404 398 355.8 55.96
ICMP Flood 390 392 396 400 400 202 400 372 400 400 375.2 59.01
งานวจย วารสารวทยาศาสตร มข. ปท 44 เลมท 2 395
4.2. ผลการทดลองเปรยบเทยบการโจมตภายนอกเครอขาย การเปรยบเทยบการโจมตเครองแมขาย และฮนนพอททงแบบแลนและแบบแลนไรสายจากภายนอกเครอขาย โดยระบบเครอขายแลน มความเสยงในการถกโจมตใกลเคยงระบบเครอขายแลนไรสาย และการโจมตแบบ TCP Flood มอตราการตรวจจบไดสงสดในทกการทดลอง โดยเฉพาะอยางยงการตรวจจบการบกรกเมอมการใชฮนนพอทในระบบแลนคาเฉลยการตรวจจบประมาณ 400.2 แพกเกต ซงเปนคาสงสด
เมอเปรยบเทยบกบการโจมตแบบ ICMP Flood ทมอตราการตรวจจบการบกรกนอยทสดในทกการทดลอง โดยการใชฮนนพอทในระบบแลนมคา เฉลยการตรวจจบประมาณ 186.2 แพกเกต ซงตางกน 53.47% และท ส าคญจะเหนไ ด วาฮนนพอทมจ านวนการตรวจจบไดมากกวากรณไมมฮนนพอทในแทบทกการทดลองแมเฉลยตางกนไมเกนประมาณ 7 % นนเปนการยนยนไดวาฮนนพอทสามารถชวยหลอกลอผประสงค รายในการโจมตเครองแมขายไดอยางมประสทธภาพ ดงทไดแสดงไวในตารางท 2
ตารางท 2 เปรยบเทยบผลการโจมตแบบภายนอก External Attack
Attack Time Average
1 2 3 4 5 6 7 8 9 10 Total (%)
Serve
r (LAN
) TCP Flood 400 400 400 402 400 400 400 400 400 400 400.2 100
UDP Flood 200 200 200 200 200 200 200 200 200 200 200 50
ICMP Flood 186 186 186 186 186 186 186 186 186 186 186 46.48
Hone
ypot
(LAN
) TCP Flood 400 400 400 400 400 400 400 400 402 400 400.2 100
UDP Flood 200 200 200 200 200 200 100 100 100 200 170 42.48
ICMP Flood 188 186 186 186 186 186 186 186 186 186 186.2 46.53
Serve
r (Wifi)
TCP Flood 400 400 400 272 404 400 400 400 400 400 387.4 96.8
UDP Flood 130 200 200 200 200 200 200 200 200 200 193 48.23
ICMP Flood 200 184 184 182 180 184 184 184 184 178 184.4 46.08
Hone
ypot
(Wifi)
TCP Flood 400 360 400 402 400 400 400 400 400 400 396.2 99
UDP Flood 200 200 200 200 200 200 200 200 200 200 200 49.98
ICMP Flood 184 182 184 184 182 182 182 182 184 180 182.6 45.63
396 KKU Science Journal Volume 44 Number 2 Research 5. สรปผลการทดลอง การโจมตแบบปฏเสธการใหบรการจากภายในมจานวนการตรวจจบการบกรกทมากกวาการโจมตจากภายนอกเฉลยรวมประมาณ 48.3% นนหมายถงการใชเราทเตอรเ พอแยกระบบเครอขายออกเปนสวนๆ แมไมการใชไฟรวอลลและกาหนดคณสมบตดานความปลอดภยใดๆกบเราทเตอรสามารถลดโอกาสในการโจมตแบบปฏเสธการใหบรการจากผประสงครายตอเครองแมขายไดอยางมาก และการโจมตแบบ TCP Flood สามารถตรวจจบการบกรกไดมากทสดนนเปนเพราะ TCP โพรโทคอลเปนไดรบความนยม การใหบรการ และมการใชงานของเครองแมขายโดยทวไปจานวนมาก จงทาใหระบบตรวจจบการบกรกสามารถตรวจจบการบกรกไดแตกตางมากกวาโพรโทคอลอนๆ และในสวนการโจมตแบบปฏเสธการใหบรการผานระบบแลน และแลนไรสายท มค าใกลเคยงกนในทกการทดลองเปนเพราะจานวนรวมเครองลกขายของแลนไรสายมจานวนไมเกน 3 เครอง ดงนนหากในกรณทจานวนรวมเครองลกขายของแลนไรสายมจานวนมากกวา 100 เครอง ผลลพธของการทดลองระหวางแลน และแลนไรสายจะมคาตางกน โดยการตรวจจบในเครอขายแลนไรสายจะมคานอยกวาเครอขายแลนเนองจากกลไกการสอสารของแลนไรสายเปนแบบ Carrier Sent Multiple Access/Collision Avoidance (CSMA/CA) (Alshami, I.H., Ahmad, N.A. and Sahibuddin, S., 2014) ซงเปนการสอสารของอปกรณไรสายแบบ Half Duplex กลาวคอจะตองใชการหลกเลยงการชนของสญญาณทมการเสยเวลาในการรอคอยชองสญญาณจานวนมาก อกทงยงอาจเกดปญหาการรบกวนสญญาณ หรอการสญหายของสญญาณระหวางการสอสารไรสาย จงทาใหมผลลพธของการโจมต ท มความลาช า กวาการสอสารใน
เครอขายแลนซงใชกลไกการสอสารแบบ Full Duplex กลาวคอไมตองหลกเลยงการชนของสญญาณในชองสญญาณทจากด และทสาคญจะเหนไดวาเมอมการใชระบบตรวจจบการบกรกรวมกบฮนนพอทจะมจานวนการตรวจจบไดมากกวากรณไมมฮนนพอทในทกการทดลองโดยเฉลยตางกนประมาณ 7% นนเปนการยนยนไดวาฮนนพอทสามารถเพมประสทธภาพในการรกษาความมนคงทางไซเบอรโดยชวยหลอกลอผประสงครายในการโจมตเครองแมขายไดเปนอยางด
กตตกรรมประกาศ ผวจยขอขอบพระคณ มหาวทยาลยราชภฏพระนคร ทใหการสนบสนนดานงบประมาณในการจดทาการวจย และหองปฏบตการ Network security คณะวศวกรรมศาสตร มหาวทยาลยเทคโนโลยราชมงคลรตนโกสนทร ทสนบสนนอปกรณทางดานเครอขาย อาท เราทเตอร คอมพวเตอร เพอใชในการทางานวจย
เอกสารอางอง อรรถพล ปอมสถตย. (2554). การวดประสทธภาพระบบ
ตร ว จ จ บ ก า รบ ก ร ก เ ค ร อ ข า ย แบบก ร ะ จ า ย (Performance Measurement of Intrusion Detection System Across Distributed Sensors). CIT 2011 proceeding, Mahidol Univ. p. 166-169.
อรรถพล ปอมสถตย. (2555). Effective of Unicast and Multicast IP Address Attack Over Intrusion Detection System with Honeypot. การประชม Asia-Pacific Advanced Network: APAN ครงท 33. เชยงใหม.
Alshami, I.H., Ahmad, N.A. and Sahibuddin, S. (2014). People effects on WLAN-Based IPS' accuracy experimental preliminary results. 8th
งานวจย วารสารวทยาศาสตร มข. ปท 44 เลมท 2 397
Malaysian Software Engineering Conference (MySEC). pp. 206-209.
Arunanto F.X., Djanali S., Pratomo B.A., Baihaqi A., Studiawan H. and Shiddiqi A.M. (2014). Aggressive web application honeypot for exposing attacker's identity. International Conference on Information Technology, Computer and Electrical Engineering (ICITACEE). pp. 212–216.
Jianrong Xi. (2011). A Design and Implement of IPS Based on Snort. Seventh International Conference on Computational Intelligence and Security (CIS). pp. 771- 773.
Keith Harrison, James R. Rutherford and Gregory B. White. (2015). The Honey Community: Use of Combined Organizational Data for Community Protection. 48th Hawaii International Conference on System Sciences (HICSS). pp. 2288 - 2297.
Pauna A. and Bica I. (2014). RASSH-Reinforced adaptive SSH honeypot. 10th International Conference on Communications (COMM). pp. 1 – 6.
Pomsathit A. (2012). Effective of Unicast and Multicast IP Address Attack over Intrusion Detection System with Honeypot. Spring Congress on Engineering and Technology (S-CET). pp. 1-4.
Qian G., Jie F. and Nige Li. (2015). The achieve of power manager application honey-pot based on sandbox. 5th International Conference on Electric Utility Deregulation and Restructuring and Power Technologies (DRPT). pp. 2523 - 2527.
Xinming C., Beipeng M. and Chen Z. (2011). A Collaborative Network Security Platform for In-network Security. Third International Conference on Communications and Mobile Computing (CMC). pp. 59-64.
Zhenxin Z., Maochao X. and Shouhuai X. (2013). Characterizing Honeypot-Captured Cyber Attacks: Statistical Framework and Case Study. IEEE Transactions on Information Forensics and Security. pp. 1775 – 1789.