0167 | แตกต่างเหมือนกัน – Getsunova
Sunday, September 29th, 2013 Posted in Misc | No Comments »แตกต่างเหมือนกัน cover by icez
วันเวลาที่คอยเปลี่ยนแปลง ต้องเจอปัญหา เข้ามาไม่เคยหยุด เข้ามาไม่เคยหยุด
บนเส้นทางที่ดูสับสน เส้นทางที่เดิน เลือกไปเพราะใจบอก เลือกไปเพราะใจบอก
แล้วทำไมมีใครต่อใคร ต้องคอยตัดสิน ว่าทางนั้นมันผิด เพียงเพราะว่ามันต่าง
อยากจะแก้ให้ดีกว่าเดิม แต่ทำอะไร สุดท้ายก็โดนบ่น สุดท้ายก็โดนด่า
แต่จะอยู่ที่ตรงไหน ก็ไม่เจอกับใคร ที่จะรู้ความจริงข้างใน และยังคงเฝ้ามองหา เวลารู้สึกอ้างว้าง อยากจะรู้
บนเส้นทางที่ต่าง มีใครสักคนมั้ย ที่มองเห็นทุกอย่าง เข้าใจที่ฉันเป็น
เลือกเดินก้าวผ่าน ทางเดียวเหมือนกันกับฉัน แตกต่างเหมือนกัน
เพียงต้องการแค่ใครซักคน จับมือฉันไว้ ในวันที่มันเหนื่อย ในวันที่มันเหนื่อย
ไม่ใช่ใครที่คอยเหยียบซ้ำ ในช่วงเวลา ที่ฉันนั้นล้มลง ที่ฉันนั้นล้มลง
แต่จะอยู่ที่ตรงไหน ก็ไม่เจอกับใคร ที่จะรู้ความจริงข้างใน และยังคงเฝ้ามองหา เวลารู้สึกอ้างว้าง อยากจะรู้
บนเส้นทางที่ต่าง มีใครสักคนมั้ย ที่มองเห็นทุกอย่าง เข้าใจที่ฉันเป็น
เลือกเดินก้าวผ่าน ทางเดียวเหมือนกันกับฉัน แตกต่างเหมือนกัน
บนเส้นทางที่ต่าง มีใครสักคนมั้ย ที่มองเห็นทุกอย่าง เข้าใจที่ฉันเป็น
เลือกเดินก้าวผ่าน ทางเดียวเหมือนกันกับฉัน แตกต่างเหมือนกัน
บนเส้นทางที่ต่าง มีใครสักคนมั้ย ที่มองเห็นทุกอย่าง เข้าใจที่ฉันเป็น
เลือกเดินก้าวผ่าน ทางเดียวเหมือนกันกับฉัน แตกต่างเหมือนกัน
บนเส้นทางที่ต่าง มีใครสักคนมั้ย ที่มองเห็นทุกอย่าง เข้าใจที่ฉันเป็น
เลือกเดินก้าวผ่าน ทางเดียวเหมือนกันกับฉัน แตกต่างเหมือนกัน
บนเส้นทางที่ต่าง มีใครสักคนมั้ย ที่มองเห็นทุกอย่าง เข้าใจที่ฉันเป็น
เลือกเดินก้าวผ่าน ทางเดียวเหมือนกันกับฉัน แตกต่างเหมือนกัน
Tags: getsunova, karaoke, lyrics, แตกต่างเหมือนกัน
0166 | DNS Resolver ของทรูถูกวางยา
Friday, September 6th, 2013 Posted in IP Network | 1 Comment »ความจริงเคยเกิดเหตุการณ์อย่างนี้หลายครั้งแล้ว แต่เหมือนว่าไม่มีการปรับปรุงระบบอะไรที่สามารถป้องกันปัญหานี้ได้เลย
วันที่ 5 กันยายนที่ผ่านมา มีรายงานจากผู้ใช้อินเทอร์เน็ตทรูจำนวนมาก ว่าเข้าเว็บไซต์ปกติอยู่ดีๆ ถูกเด้งไปเว็บไซต์ “parking.ps”
ซึ่งส่วนตัวก็เจอบ้างเหมือนกัน อ่านเว็บโน่นนี่นั่นอยู่ดีๆ เด้งไปเว็บนี้หน้าตาเฉย พยายาม view source เว็บที่ดูแล้วก็ไม่มีอะไรผิดปกติ จนปะเข้ากับความเห็นนี้ใน pantip ครับ
ก็เลยนึกขึ้นได้ว่าก่อนหน้านี้ก็เคยมีเหตุการณ์ประมาณนี้บ้างแล้วเหมือนกันคือ (ถ้าจำไม่ผิด) google.co.th โดน poison ไปเว็บโฆษณาอะไรซักอย่าง ที่มีปัญหาเฉพาะคนที่ใช้ DNS resolver ของทรู…
การโจมตีรูปแบบนี้เรียกว่า DNS Cache Poisoning ครับ หลักการคือการอาศัยช่องโหว่ของการทำงานของระบบ DNS ปกติ ที่จะมี DNS resolver เป็นคนที่ “ช่วย” client ในการหาว่า domain ที่ client ต้องการทราบข้อมูล IP (หรือ dns record อื่นๆ) ซึ่งมีขั้นตอนการทำงานประมาณนี้ (ตัวอย่างนะครับ)
- client ถาม resolver ว่า xxx.com มี IP อะไร
- resolver ตรวจสอบใน cache ว่ามีข้อมูลอยู่แล้วรึเปล่า ถ้ามีก็ตอบไปเลย
- ถ้าไม่มี resolver ก็จะไล่ถามมาตั้งแต่ root server (ด้วย root hint record ภายใน resolver เอง) > gtld server (ที่ได้รับจาก root server) > auth server ของโดเมน
ไล่เป็น Hierachy ได้ประมาณนี้
ซึ่งการทำงานนี้ เมื่อ resolver ได้ผลลัพท์จาก authoritive server (สีฟ้าๆ) มาแล้ว มันก็จะ cache ผลลัพท์นั้นๆ ไว้ที่ตัวเองจนกว่าจะหมดอายุตามที่ auth server ตอบมา เพื่อความเร็วในการตอบ client ครั้งต่อๆ ไปจะได้ไม่ต้องไปถามซ้ำ
ด้วยการที่ DNS ทำงานบน protocol UDP ทำให้เราสามารถปลอมแปลง packet ได้ง่าย ผู้ไม่ประสงค์ดีก็จะสามารถส่งข้อมูลปลอมๆ ตอบไปหา resolver แทนได้ถ้าสามารถคาดเดาข้อมูลการ request DNS ของ resolver ได้ (ซึ่งไม่ยากเลย…) และเมื่อปลอมได้แล้ว resolver ก็จะเก็บข้อมูลปลอมๆ นั้นไว้กับตัวเอง จนกว่าจะหมดอายุที่ระบุไว้ตามข้อมูลปลอมๆ นั้น
พอ client ได้ ip ผิด มันก็เลยติดต่อไปหา server ผิดตัว ทำให้ได้รับข้อมูลผิดกลับไป เป็นเหตุให้เกิดเหตุการณ์ประมาณนี้ขึ้นมานั่นเองครับ
วิธีป้องกัน… จริงๆ มันมีมาตรฐาน DNSSEC ที่ช่วยป้องกันการปลอมแปลงข้อมูลพวกนี้อยู่น่ะนะครับ แต่… แทบจะไม่ค่อยมีใครใช้กันซักเท่าไหร่ เพราะตั้งค่ายาก+ซับซ้อนพอควร
บวกกับจริงๆ แล้ว resolver ที่ใช้ software ใหม่ๆ จะมีระบบป้องกัน DNS poisoning ด้วยหลายๆ เทคนิคประกอบกันทำให้การโจมตีแบบนี้ยากขึ้นมาก (แต่ก็ยังเป็นไปได้) ล่ะนะ
ปล. เขียนตอนง่วงๆ อาจอ่านไม่รู้เรื่องนะครับ (ฮา)
