วันศุกร์ที่ 3 สิงหาคม พ.ศ. 2550

pulsing zombie

zombie ในเชิงของ computer security หมายถึงเครื่องคอมพิวเตอร์ที่ถูกแฮกและถูกนำมาใช้เป็นเครื่องมือเพื่อกระทำสิ่งต่างๆตามที่ผู้บุกรุกต้องการ ไม่ว่าจะเป็นทำการสแกนเครื่องของชาวบ้านเค้า โจมตี DoS (Denial of Service) หรือ DDoS (Distributed Denial of Service) เพื่อทำให้ระบบเครื่อข่ายหรือเซิร์ฟเวอร์เป้าหมายไม่สามารถใช้งานได้อย่างปกติ ด้วยลักษณะของการที่เครื่องคอมพิวเตอร์ที่ถูกแฮค (ตายไปแล้ว) และได้ถูกใช้มาทำการโจมตีระบบอื่นๆอย่างบ้าคลั่ง (ถูกปลุกขึ้นมาและอะละวาด) ทำให้เป็นที่มาของคำว่า zombie นั่นเอง

แต่วันนี้ผมจะไม่กล่าวถึง zombie เพราะรู้สึกว่าก็น่าจะรู้จักกันมาพอสมควรแล้ว แต่ที่จะกล่าวในวันนี้จะเป็นรูปแบบหนึ่งที่พัฒนาขึ้นจาก zombie แบบธรรมดา โดยจุดประสงค์ของมันเพื่อหลีกเลี่ยงการตรวจสอบของผู้ดูแลระบบ และถึงแม้สามารถตรวจพบก็ไม่สามารถมั่นใจได้ว่าเป็น zombie หรือไม่ ชื่อของมันคือ pulsing zombie

pulsing zombie คือ zombie ประเภทหนึ่ง เป็นเครื่องคอมพิวเตอร์ที่ถูกแฮกและถูกนำมาใช้เพื่อทำการโจมตีระบบอื่นเช่นเดียวกับ zombie แบบธรรมดา แต่อย่างไรก็ตามข้อแตกต่างระหว่าง pulsing zombie และ zombie แบบธรรมดาก็คือ pulsing zombie จะไม่โจมตีเป้าหมายอย่าง "บ้าคลั่ง" (จำนวนมาก/เวลาน้อย) แต่จะโจมตีเหยื่ออย่าช้าๆ ค่อยเป็นค่อยไป (จำนวนปกติ/เวลานาน) ด้วยเหตุนี้เองทำให้มีความยากลำบากในการตรวจสอบ pulsing zombie มากกว่า zombie แบบธรรมดา เพราะลักษณะการโจมตีจะเหมือนการใช้งานธรรมดาของผู้ใช้นั่นเอง

โดยปกติแล้ว pulsing zombie มักถูกนำมาใช้เพื่อทำการ slow-down เป้าหมายมากกว่าการ shutdown เป้าหมาย หรือเรียกอีกอย่างหนึ่งว่า Degradation of Service ซึ่งเป็นรูปแบบหนึ่งของ DoS นั่นเอง (ตัวย่อ DoS เหมือนกันด้วย เฮ่อๆ)

แล้วทำไมถึงใช้คำว่า "pulsing" ? คำนี้ๆสามารถแปลได้ว่า ลักษณะของบางสิ่งบางอย่างที่มีการเต้นขึ้น-ลง เหมือนกับคลื่นหัวใจ ซึ่งก็ถูกนำมาใช้กับเจ้า zombie รูปแบบนี้ที่คล้ายๆกับคนที่ยังมีชีวิตอยู่นั่นเอง (แต่ที่จริงมันก็ตายไปแล้วนั่นแหละนะ) :)

3 ความคิดเห็น:

:) กล่าวว่า...

หายไปนาน......เลย

หล่อครับหล่อ

:) กล่าวว่า...

ใช่วิธี fast-flux ด้วยเปล่าครับ?

Trirat Puttaraksa กล่าวว่า...

ว่ากำลังจะกล่าวถึง fast-flux อยู่พอดีเลยครับ อื้มมม... ถ้าถามว่า pulsing zombie ได้ใช้ concept ของ fast-flux หรือไม่ ผมมองว่าไม่จำเป็นครับ เพราะ fast-flux ใช้วิธีในเชิง dynamic dns ซึ่งทำให้หมายเลขไอพี ของระบบที่ผู้บุกรุกควบคุมอยู่เปลี่ยนไปเรื่อยๆ ตามระยะเวลาที่ทำหนดไว้ ทำให้ยากต่อผู้ดูแลระบบในการสืบกลับครับ แต่ระบบแบบ fast-flux อาจจะทำการโจมตีเหยื่อแบบ flooding หรือไม่ flooding ก็ได้ครับ ในขณะที่ pulsing zombie นั้นระบบที่ผู้บุกรุกควบคุมจะไม่มีการโจมตีแบบ flooding ครับ แต่จะเป็นการโจมตีแบบเรื่อยๆ ซึ่งทำให้คล้ายกับการใช้งานปกติ ผู้ดูแลระบบจึงลำบากในการแยกแยะ ว่าเป็นการโจมตีหรือการใช้งานธรรมดาครับ

โดยพื้นฐานแล้ว pulsing ไม่จำเป็นต้องใช้ fast-flux ก็สามารถสร้างขึ้นมาได้ครับ แต่ถ้าหากใช้ concept ของ fast-flux เข้ามาผนวกด้วยนี่จะทำให้ตรวจสอบยากมากกว่าเดิมอีกครับ นับเป็นไอเดียที่ดีครับ :)