🔍 บทนำ

(เนื้อหาเริ่มต้นของบทความ DNS Forensics: แกะรอยเส้นทางดิจิทัลจาก Domain สู่เจ้าของจริง)

! เรามาถึงจุดสูงสุดของ TCP/IP Model นั่นคือ Layer 7 (Application Layer)

DNS (Domain Name System) คือ “ขุมทรัพย์” ของเบาะแส เพราะเกือบทุกกิจกรรมบนอินเทอร์เน็ตต้องเริ่มจากการถามชื่อ Domain เสมอ หากเราคุม DNS ได้ เราจะรู้ทันทีว่าเหยื่อกำลังจะไปไหน หรือมัลแวร์กำลังแอบติดต่อกลับไปหาเจ้านาย (C2 Server) ของมันที่ใด

🔍 10-DNS Forensics: แกะรอยเส้นทางดิจิทัลจาก Domain สู่เจ้าของจริง

ถ้า IP Address คือพิกัดละติจูด/ลองจิจูด DNS ก็คือ “ชื่อสถานที่” บนแผนที่โลกดิจิทัลครับ ในบทนี้เราจะไม่ได้มองแค่ว่าใครคุยกับใคร แต่เราจะดูว่า “เขาคุยเรื่องอะไร” และ “เขากำลังพยายามปกปิดตัวตนอย่างไร” ผ่านโปรโตคอลการถาม-ตอบชื่อนี้

📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary)

คำศัพท์คำอ่านความหมายในเชิงเทคนิค
Recursive Resolverรี-เคอร์-ซีฟ รี-ซอล-เวอร์เซอร์เวอร์ที่เป็น “คนรับใช้” คอยวิ่งไปถามคำตอบจากที่ต่างๆ มาให้เรา (เช่น 8.8.8.8)
Authoritative Serverออ-ธอ-ริ-เท-ทีฟ เซอร์-เวอร์เซอร์เวอร์ “ตัวจริง” ที่เป็นเจ้าของข้อมูลของ Domain นั้นๆ
NXDOMAINเอ็น-เอ็กซ์-โด-เมน(Non-Existent Domain) คำตอบที่บอกว่า “ไม่มีชื่อนี้ในโลก” (นักสืบใช้ตรวจจับมัลแวร์ที่สุ่มชื่อโดเมน)
DGAดี-จี-เอ(Domain Generation Algorithm) อัลกอริทึมที่มัลแวร์ใช้สุ่มสร้างชื่อโดเมนนับพันเพื่อหลบเลี่ยงการถูกบล็อก
Passive DNSแพส-ซีฟ ดี-เอ็น-เอสการเก็บฐานข้อมูลประวัติการถามตอบ DNS ในอดีต เพื่อดูว่า IP นี้เคยผูกกับชื่ออะไรมาบ้าง
DNS Tunnelingดี-เอ็น-เอส ทัน-เนล-ลิ่งการแอบ “ส่งข้อมูลลับ” ผ่านคำถาม DNS เพื่อหลบเลี่ยง Firewall

🕵️ เทคนิคสืบสวน: การอ่านใจมัลแวร์ผ่าน DNS

นักสืบเครือข่ายจะมองหาความผิดปกติ 3 อย่างนี้ใน Log ของ DNS ครับ:

  1. การถามชื่อประหลาด (DGA Detection):

    หากคุณเห็นเครื่องในบริษัทพยายามถามชื่ออย่าง ax7f2z9l.com หรือชื่อที่ดูเหมือนการสุ่มตัวอักษรมั่วๆ นั่นคือสัญญาณว่าเครื่องนั้นติดมัลแวร์ที่กำลังพยายามติดต่อกลับหา C2 Server

  2. ข้อมูลไหลออกทาง TXT Record:

    โจรบางคนแอบขโมยไฟล์โดยแบ่งข้อมูลเป็นชิ้นเล็กๆ แล้วส่งออกไปผ่านคำถาม DNS TXT Record เพราะส่วนใหญ่ Firewall มักจะปล่อยผ่านพอร์ต 53 (DNS) เสมอ

  3. Fast Flux:

    เทคนิคที่โจรใช้เปลี่ยน IP ของ Domain ไปเรื่อยๆ ทุกๆ 5-10 นาที เพื่อไม่ให้เราบล็อก IP ได้ทัน

🛠 เครื่องมือและการวิเคราะห์ด้วย Tshark

บน Arch Linux ของคุณ เราสามารถส่องดูคำถาม DNS ได้แบบ Real-time ครับ:

1. ดักจับคำถามและคำตอบ DNS (Query & Answer)

Bash

sudo tshark -i eth0 -f "udp port 53" -T fields -e dns.qry.name -e dns.a

คุณจะเห็นชื่อ Domain ที่ถูกถาม และ IP Address ที่ได้รับตอบกลับมา

2. ตรวจหา NXDOMAIN (พฤติกรรมมัลแวร์)

Bash

sudo tshark -i eth0 -f "udp port 53" -Y "dns.flags.rcode == 3"

ถ้าเห็นคำตอบเป็น Rcode 3 (NXDOMAIN) โผล่มาเยอะๆ แสดงว่ามีการสุ่มชื่อโดเมนเกิดขึ้น

3. ใช้คำสั่ง dig เพื่อสืบสวนด้วยตัวเอง

Bash

dig +short knupan.com
dig -x 8.8.8.8  # Reverse Lookup (หาชื่อจาก IP)

📝 บันทึกการวิเคราะห์: ร่องรอยที่ลบไม่ออก

  • WHOIS Investigation: เมื่อได้ชื่อ Domain ที่สงสัยแล้ว ให้ใช้คำสั่ง whois เพื่อดูว่าใครเป็นคนจดทะเบียน จดเมื่อไหร่ และจดที่ไหน

  • DNS over HTTPS (DoH): ปัจจุบันเบราว์เซอร์เริ่มใช้ DoH เพื่อเข้ารหัสคำถาม DNS ซึ่งทำให้นักสืบทำงานยากขึ้น เพราะเราจะมองไม่เห็นคำถามใน Tshark อีกต่อไป (ต้องใช้วิธีอื่นในการถอดรหัส)

💡 ขั้นตอนต่อไปที่คุณควรลอง:

  1. ลองรัน Tshark แล้วเปิดเว็บที่คุณไม่เคยเข้ามาก่อน สังเกตว่าเครื่องของคุณถาม DNS ตัวไหนบ้าง

  2. ลองใช้ dig TXT google.com เพื่อดูว่า Google ใส่ข้อมูลอะไรไว้ใน TXT Record (ส่วนใหญ่จะเป็นข้อมูลความปลอดภัยอีเมลเช่น SPF/DKIM)