Cyber Investigator Roadmap

🔍 บทนำ (เนื้อหาเริ่มต้นของบทความ Abnormal Flags Analysis: สแกนหาจุดพิรุธผ่าน TCP Flags) บทที่ 7 นี้เราจะเจาะลึกสิ่งที่เรียกว่า “สีหน้าพิรุธ” ของ Packet ครับ ในบทก่อนเราเรียนรู้การจับมือที่ปกติ แต่ในโลกของการจารกรรม ผู้บุกรุกมักจะใช้เทคนิคการตั้งค่า Flag (ธง) ใน TCP Header ให้ผิดธรรมชาติเพื่อหลบเลี่ยงการตรวจจับของ Firewall หรือเพื่อระบุประเภทของระบบปฏิบัติการเป้าหมาย หากคุณอ่าน Flag เหล่านี้ขาด คุณจะเห็น “เจตนาซ่อนเร้น” ของผู้บุกรุกทันทีครับ 🚩 07-Abnormal Flags Analysis: สแกนหาจุดพิรุธผ่าน TCP Flags ในสถานการณ์ปกติ TCP Flags จะถูกตั้งค่าตามลำดับขั้นตอนของโปรโตคอล แต่สำหรับนักสืบเครือข่าย เมื่อเราพบ Packet ที่มีตัวเลือกแปลกๆ เช่น การส่งสัญญาณปิดการเชื่อมต่อทั้งที่ยังไม่ได้เริ่มจับมือ หรือการส่ง Packet ที่ไม่มี Flag เลยแม้แต่ตัวเดียว สิ่งเหล่านี้คือ “ธงแดง” (Red Flags) ที่บอกว่ามีคนกำลังพยายามทำอะไรบางอย่างกับระบบของคุณ 📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary) คำศัพท์ คำอ่าน ความหมายในเชิงเทคนิค Evasion อี-เว-ชัน เทคนิคการ “หลบหลีก” ระบบป้องกัน เช่น การดัดแปลง Packet เพื่อให้ Firewall มองข้าม Out-of-State เอาต์-ออฟ-สเตท Packet ที่โผล่มาแบบ “ผิดจังหวะ” เช่น ส่งคำตอบรับ (ACK) มาทั้งที่ไม่มีการส่งข้อมูล Xmas Scan คริสต์-มาส สแกน การส่ง Packet ที่เปิด Flag ทุกตัวจนสว่างไสวเหมือนไฟต้นคริสต์มาส (FIN, PSH, URG) Null Scan นัล สแกน การส่ง Packet ที่ “ว่างเปล่า” ไม่มีการตั้งค่า Flag ใดๆ เลย (000000) Bitwise Filter บิต-ไวส์ ฟิล-เตอร์ การกรองข้อมูลระดับบิต ซึ่งนักสืบใช้เพื่อหาเจาะจงเฉพาะ Flag ที่สนใจใน Tshark 🕵️ วิเคราะห์การสแกนแบบผิดธรรมชาติ (Evasion Scans) ผู้บุกรุกมักใช้ Nmap ในโหมดพิเศษเพื่อทดสอบว่า Firewall ของเป้าหมายฉลาดแค่ไหน: ...

🕵️ 01-ARP Deep Dive: เจาะลึกกระบวนการระบุตัวตนทางกายภาพ ในโลกของเครือข่าย เรามี “ที่อยู่” สองแบบ คือ IP Address (ชื่อสมมติ) และ MAC Address (เลขบัตรประชาชน) แต่ปัญหาคืออุปกรณ์ที่ส่งข้อมูลในวงแลนอย่าง Switch มันไม่รู้จัก IP! มันรู้จักแค่ MAC Address เท่านั้น ARP (Address Resolution Protocol) จึงถูกสร้างมาเพื่อเป็น “ล่าม” ที่คอยแปลชื่อ IP ให้กลายเป็นที่อยู่ทางกายภาพ เพื่อให้ข้อมูลส่งไปถึงมือผู้รับอย่างถูกต้อง 🔍 1. ทำไมเราถึงต้องมี ARP? (The Purpose) ลองจินตนาการว่าคุณอยู่ในหอพัก (LAN) คุณรู้ว่าเพื่อนชื่อ “นายเขียว” (IP) แต่คุณไม่รู้ว่าห้องเขาอยู่ห้องไหน (MAC) คุณจึงต้องใช้ ARP ในการตะโกนถามคนในหอว่า “นายเขียวอยู่ห้องไหน?” เพื่อที่คุณจะได้เดินไปเคาะประตูห้องถูกนั่นเอง หัวใจสำคัญ: ARP คือสะพานเชื่อมระหว่าง Layer 3 (Network) และ Layer 2 (Data Link) ⏱️ 2. ARP เริ่มทำงานตอนไหน? (The Trigger) ARP ไม่ได้ทำงานตลอดเวลา แต่มันจะ “ตื่น” ขึ้นมาใน 2 จังหวะชีวิตที่สำคัญ: ...

🔍 บทนำ (เนื้อหาเริ่มต้นของบทความ DNS Forensics: แกะรอยเส้นทางดิจิทัลจาก Domain สู่เจ้าของจริง) ! เรามาถึงจุดสูงสุดของ TCP/IP Model นั่นคือ Layer 7 (Application Layer) DNS (Domain Name System) คือ “ขุมทรัพย์” ของเบาะแส เพราะเกือบทุกกิจกรรมบนอินเทอร์เน็ตต้องเริ่มจากการถามชื่อ Domain เสมอ หากเราคุม DNS ได้ เราจะรู้ทันทีว่าเหยื่อกำลังจะไปไหน หรือมัลแวร์กำลังแอบติดต่อกลับไปหาเจ้านาย (C2 Server) ของมันที่ใด 🔍 10-DNS Forensics: แกะรอยเส้นทางดิจิทัลจาก Domain สู่เจ้าของจริง ถ้า IP Address คือพิกัดละติจูด/ลองจิจูด DNS ก็คือ “ชื่อสถานที่” บนแผนที่โลกดิจิทัลครับ ในบทนี้เราจะไม่ได้มองแค่ว่าใครคุยกับใคร แต่เราจะดูว่า “เขาคุยเรื่องอะไร” และ “เขากำลังพยายามปกปิดตัวตนอย่างไร” ผ่านโปรโตคอลการถาม-ตอบชื่อนี้ 📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary) คำศัพท์ คำอ่าน ความหมายในเชิงเทคนิค Recursive Resolver รี-เคอร์-ซีฟ รี-ซอล-เวอร์ เซอร์เวอร์ที่เป็น “คนรับใช้” คอยวิ่งไปถามคำตอบจากที่ต่างๆ มาให้เรา (เช่น 8.8.8.8) Authoritative Server ออ-ธอ-ริ-เท-ทีฟ เซอร์-เวอร์ เซอร์เวอร์ “ตัวจริง” ที่เป็นเจ้าของข้อมูลของ Domain นั้นๆ NXDOMAIN เอ็น-เอ็กซ์-โด-เมน (Non-Existent Domain) คำตอบที่บอกว่า “ไม่มีชื่อนี้ในโลก” (นักสืบใช้ตรวจจับมัลแวร์ที่สุ่มชื่อโดเมน) DGA ดี-จี-เอ (Domain Generation Algorithm) อัลกอริทึมที่มัลแวร์ใช้สุ่มสร้างชื่อโดเมนนับพันเพื่อหลบเลี่ยงการถูกบล็อก Passive DNS แพส-ซีฟ ดี-เอ็น-เอส การเก็บฐานข้อมูลประวัติการถามตอบ DNS ในอดีต เพื่อดูว่า IP นี้เคยผูกกับชื่ออะไรมาบ้าง DNS Tunneling ดี-เอ็น-เอส ทัน-เนล-ลิ่ง การแอบ “ส่งข้อมูลลับ” ผ่านคำถาม DNS เพื่อหลบเลี่ยง Firewall 🕵️ เทคนิคสืบสวน: การอ่านใจมัลแวร์ผ่าน DNS นักสืบเครือข่ายจะมองหาความผิดปกติ 3 อย่างนี้ใน Log ของ DNS ครับ: ...

🔍 บทนำ (เนื้อหาเริ่มต้นของบทความ Flow vs Packet: เมื่อไหร่ควรใช้ Wireshark และเมื่อไหร่ควรใช้ Zeek) ในบทสุดท้ายของหมวด Transport Layer (Layer 4) นี้ เราจะมาคุยเรื่อง “ยุทธศาสตร์” การเลือกเครื่องมือครับ เมื่อคุณก้าวเข้าสู่สนามจริง คุณจะพบว่าข้อมูลเครือข่ายนั้นมีปริมาณมหาศาลมาก จนบางครั้งการเก็บทุกอย่างไว้อาจจะทำให้ “ถังเก็บข้อมูลเต็ม” หรือ “เครื่องค้าง” ได้ นักสืบระดับโปรจึงต้องเลือกระหว่างการเก็บ “ทุกรายละเอียด” (Packet) หรือการเก็บแค่ “บทสรุป” (Flow) เพื่อให้การทำงานมีประสิทธิภาพสูงสุดครับ ⚖️ 09-Flow vs Packet: เมื่อไหร่ควรใช้กล้องจุลทรรศน์ และเมื่อไหร่ควรใช้ภาพถ่ายดาวเทียม ในการสืบสวนเครือข่าย เรามักจะพบกับทางเลือกระหว่าง Full Packet Capture (FPC) และ Flow Analysis (Metadata) ทั้งสองอย่างมีดีคนละแบบ และนักสืบที่ฉลาดจะรู้วิธีใช้พวกมันร่วมกันครับ 📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary) คำศัพท์ คำอ่าน ความหมายในเชิงเทคนิค Full Packet Capture ฟูล แพ็กเก็ต แคปเจอร์ การเก็บข้อมูล “ทุกบิต ทุกไบต์” ที่วิ่งผ่านสายแลน (เหมือนการบันทึกวิดีโอเหตุการณ์ทั้งหมด) NetFlow / IPFIX เน็ต-โฟล มาตรฐานการเก็บข้อมูลแบบสรุปผล (ใคร คุยกับใคร เมื่อไหร่ นานแค่ไหน) โดยไม่สนเนื้อหาข้างใน Metadata เมตา-ดาต้า “ข้อมูลเหนือข้อมูล” เช่น ชื่อไฟล์ที่ถูกส่ง, หัวข้ออีเมล (Zeek เก่งเรื่องนี้มาก) DPI (Deep Packet Inspection) ดี-พี-ไอ การแกะดูเนื้อหาข้างใน Packet เพื่อดูว่ามันคือแอปพลิเคชันอะไรกันแน่ Evidence Retention เอ-วิ-เดนซ์ รี-เทน-ชัน ระยะเวลาในการเก็บรักษาหลักฐาน (Packet เก็บได้สั้นเพราะใหญ่, Flow เก็บได้นานเพราะเล็ก) 📊 ตารางเปรียบเทียบ: เลือกอาวุธให้ถูกงาน คุณสมบัติ Packet Analysis (Tshark/Wireshark) Flow/Metadata Analysis (Zeek/NetFlow) ความละเอียด ระดับรูขุมขน (เห็นทุกบิต) ระดับภาพรวม (เห็นพฤติกรรม) ขนาดไฟล์ ใหญ่มาก (GB/min) เล็กมาก (MB/day) ความเร็วในการค้นหา ช้า (ต้องไล่ดูทีละ Packet) เร็วมาก (ค้นหาจากหลักล้านรายการได้ทันที) การใช้งาน ใช้พิสูจน์หลักฐาน (Forensics) ใช้ตรวจจับความผิดปกติ (Threat Hunting) ตัวอย่าง “เขาแฮกรหัสอะไรไป?” “เมื่อวานนี้มีใครแอบคุยกับ IP ในต่างประเทศไหม?” 🕵️ ยุทธศาสตร์การสืบสวนแบบ 2 ขั้นตอน (The Hybrid Approach) นักสืบส่วนใหญ่มักจะทำแบบนี้ครับ: ...

🔍 บทนำ (เนื้อหาเริ่มต้นของบทความ ICMP Analysis: อ่านค่าจาก Ping และ Traceroute เพื่อระบุตัวตนเป้าหมาย) บทที่ 3 ของเราขยับขึ้นมาที่ Internet Layer (Layer 3) ครับ หลังจากที่เรารู้ว่าใครเป็นใครในวงแลนผ่าน ARP แล้ว คราวนี้เราจะใช้ ICMP เปรียบเสมือน “เครื่องส่งสัญญาณโซนาร์” เพื่อตรวจสอบว่าเป้าหมายที่เราสนใจนั้น “มีตัวตน” อยู่หรือไม่ และเขาอยู่ห่างจากเราแค่ไหน 🛰️ 03-ICMP Analysis: อ่าน “เสียงสะท้อน” เพื่อระบุตัวตนเป้าหมาย ICMP (Internet Control Message Protocol) ไม่ใช่โปรโตคอลสำหรับส่งข้อมูลเหมือน TCP หรือ UDP แต่มันคือ “ข้อความแจ้งสถานะ” ของระบบเครือข่าย นักสืบใช้ ICMP เพื่อทำ Host Discovery (การหาว่าเครื่องเปิดอยู่ไหม) และ Network Mapping (การวาดแผนผังเส้นทาง) 📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary) คำศัพท์ คำอ่าน ความหมายในเชิงเทคนิค Payload เพย์-โหลด ข้อมูลส่วนเกินที่แถมไปกับ Packet (โจรบางคนใช้ช่องนี้ซ่อนข้อมูลลับที่เรียกว่า ICMP Tunneling) TTL (Time To Live) ที-ที-แอล “อายุขัย” ของ Packet ที่จะลดลง 1 ทุกครั้งที่ผ่าน Router (Hop) ใช้เพื่อป้องกัน Packet วนลูปไม่รู้จบ Hop ฮ็อป การกระโดดจาก Router ตัวหนึ่งไปยังอีกตัวหนึ่ง Unreachable อัน-รีช-อะ-เบิล สถานะที่ปลายทางบอกว่า “มาไม่ถึง” หรือ “ไม่มีช่องทางเข้า” Quench เคว็นช์ การส่งสัญญาณบอกให้ต้นทาง “ลดความเร็ว” ในการส่งข้อมูลลงหน่อยเพราะระบบรับไม่ไหว 🔍 วิเคราะห์ประเภท ICMP ที่พบบ่อย (Common Types) ในหน้าจอ Tshark คุณจะเจอตัวเลข Type และ Code ซึ่งเป็นภาษาลับของ ICMP: ...

🔍 บทนำ (เนื้อหาเริ่มต้นของบทความ Infrastructure OSINT: การใช้ Shodan ร่วมกับ Nmap สืบสวนจากภายนอก) บทที่ 5 นี้เราจะขยายขอบเขตจากการสแกนในวงแลนหรือการสแกนเป้าหมายตรงๆ มาสู่การสืบสวนแบบ “ไม่ให้เขารู้ตัว” ครับ นี่คือหัวใจของ OSINT (Open Source Intelligence) ในระดับโครงสร้างพื้นฐาน หาก Nmap คือการเดินไปเคาะประตูบ้านเพื่อเช็คว่าใครอยู่ไหม Infrastructure OSINT ก็คือการไปเปิด “สมุดเหลือง” หรือ “ฐานข้อมูลทะเบียนราษฎร์” เพื่อดูว่าบ้านหลังนั้นจดทะเบียนไว้อย่างไร โดยที่เราไม่ต้องเดินไปที่บ้านเขาแม้แต่ก้าวเดียวครับ 🌐 05-Infrastructure OSINT: สืบสวนโครงสร้างพื้นฐานจากภายนอก ในการสืบสวนยุคใหม่ การสแกนเป้าหมายโดยตรง (Active Scanning) อาจทำให้คุณถูกระบบป้องกัน (IPS/IDS) ตรวจพบและบล็อก IP ได้ นักสืบสาย Deep จึงต้องรู้จักการทำ Passive Reconnaissance หรือการหาข้อมูลจาก “ร่องรอย” ที่เป้าหมายทิ้งไว้บนอินเทอร์เน็ตครับ 📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary) คำศัพท์ คำอ่าน ความหมายในเชิงเทคนิค OSINT โอ-ซินท์ การรวบรวมข้อมูลจากแหล่งข้อมูลสาธารณะที่ใครๆ ก็เข้าถึงได้ (Open Source Intelligence) Banner Grabbing แบน-เนอร์ แกร็บ-บิ้ง การอ่านข้อความ “ทักทาย” ที่ Server ส่งออกมา ซึ่งมักระบุชื่อซอฟต์แวร์และเวอร์ชัน Passive Recon แพส-ซีฟ รี-คอน การสืบสวนแบบ “ไม่สัมผัสเป้าหมาย” เพื่อลดความเสี่ยงในการถูกตรวจพบ Honeypot ฮัน-นี่-พ็อต “น้ำผึ้งล่อแมลง” คือระบบที่ตั้งไว้หลอกให้คนมาแฮก เพื่อเก็บข้อมูลพฤติกรรมของผู้บุกรุก 🔎 เครื่องมือหลัก: Shodan (The Search Engine for Everything) หาก Google มีไว้หา “เว็บไซต์” Shodan ก็มีไว้หา “อุปกรณ์” ครับ Shodan จะคอยกวาดสแกนอุปกรณ์ทุกตัวในโลกที่เชื่อมต่ออินเทอร์เน็ต แล้วเก็บ Banner ของอุปกรณ์เหล่านั้นไว้ในฐานข้อมูล ...

🔍 บทนำ (เนื้อหาเริ่มต้นของบทความ Maltego Relationship Mapping: วาดแผนผังความสัมพันธ์จากข้อมูลเครือข่าย) บทที่ 12 นี้คือขั้นตอนการ “ต่อจิ๊กซอว์” ครับ หลังจากที่เราได้ข้อมูลมหาศาลจาก Tshark, Zeek และ Spiderfoot มาแล้ว ความท้าทายคือจะทำอย่างไรให้เราเห็น “ภาพรวม” ของความสัมพันธ์เหล่านั้น Maltego คือเครื่องมือระดับมาตรฐานสากลที่นักวิเคราะห์ภัยคุกคามและนักสืบดิจิทัลใช้เพื่อเปลี่ยน “รายการข้อมูล” (Lists) ให้กลายเป็น “แผนผังความสัมพันธ์” (Link Analysis Graph) เพื่อหาว่าใครคือตัวบงการที่อยู่เบื้องหลังโครงข่ายนี้ครับ 🕸️ 12-Maltego Relationship Mapping: วาดแผนผังความสัมพันธ์จากข้อมูลเครือข่าย หาก Spiderfoot คือหุ่นยนต์ที่ไปขุดหาเบาะแส Maltego ก็คือ “กระดานสืบสวน” ที่เราใช้ปักหมุดและโยงด้ายสีแดงเข้าหากันครับ มันช่วยให้เราเห็นความเชื่อมโยงที่มองไม่เห็นด้วยตาเปล่า เช่น IP Address 3 ตัวที่ดูเหมือนไม่เกี่ยวกัน จริงๆ แล้วอาจจะจดทะเบียนด้วยอีเมลเดียวกัน หรือมาจากบริษัทเดียวกันก็ได้ 📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary) คำศัพท์ คำอ่าน ความหมายในเชิงเทคนิค Entity เอน-ทิ-ตี “วัตถุ” บนแผนผัง เช่น ชื่อคน, เบอร์โทรศัพท์, IP Address, หรือชื่อโดเมน Transform ทรานส์-ฟอร์ม “ฟังก์ชันการขุด” คือการสั่งให้ Entity หนึ่งไปค้นหาข้อมูลที่เกี่ยวข้อง (เช่น สั่งให้ IP ไปหา Domain) Link Analysis ลิงก์ อะ-แน-ลิ-ซิส การวิเคราะห์หาความสัมพันธ์ผ่านเส้นที่เชื่อมต่อกันระหว่างวัตถุ Hub ฮับ จุดรวมที่มีเส้นเชื่อมต่อเข้ามาเยอะที่สุด มักเป็น “จุดยุทธศาสตร์” ของเป้าหมาย Pivot พิ-ว็อต การเปลี่ยนจุดสนใจ เช่น เริ่มจากสืบ IP แล้ว “Pivot” ไปสืบอีเมลที่ค้นเจอแทน 🔍 กลไกการทำงาน: Entities & Transforms Maltego ทำงานบนหลักการของ Nodes (ปม) และ Edges (เส้นเชื่อม): ...

🔍 บทนำ (เนื้อหาเริ่มต้นของบทความ Man-in-the-Middle Investigation: ตรวจจับการทำ ARP Spoofing) บทความที่ 2 นี้คือการก้าวเข้าสู่โลกของ “การสืบสวนคดีอาชญากรรมทางไซเบอร์” อย่างเต็มตัวครับ หลังจากที่เราเข้าใจแล้วว่า ARP คือการถามชื่อและที่อยู่ บทนี้เราจะมาดูว่า “โจร” ใช้ความใจดีของโปรโตคอลนี้มาดักฟังเราได้อย่างไร รับ 🕵️ 02-MITM Investigation: ตรวจจับ “จอมโจรในเงา” MITM (Man-in-the-Middle) คือสถานะที่ผู้บุกรุกแอบแทรกตัวอยู่ตรงกลางระหว่างคุณกับอินเทอร์เน็ต โดยที่คุณไม่รู้ตัวเลย เพราะคุณยังใช้งานเน็ตได้ปกติ แต่ข้อมูลทุกอย่าง (รหัสผ่าน, แชท, ประวัติการเข้าเว็บ) จะไหลผ่านเครื่องของโจรคนนั้นก่อน 📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary) ก่อนจะไปดูวิธีสืบสวน มาทำความเข้าใจคำศัพท์ที่หาไม่ได้ในพจนานุกรมทั่วไปกันก่อนครับ: คำศัพท์ คำอ่าน ความหมายในเชิงเทคนิค Spoofing สปูฟ-ฟิ่ง การ “สวมรอย” หรือปลอมตัวเป็นคนอื่นเพื่อให้เป้าหมายไว้ใจ Poisoning พอย-ซัน-นิ่ง การ “วางยา” ข้อมูล เช่น การส่งค่า MAC Address ปลอมไปหลอกให้เครื่องเป้าหมายจำค่าผิดๆ Gateway เกต-เวย์ “ประตูทางออก” ส่วนใหญ่หมายถึง Router ที่พาเราออกไปสู่อินเทอร์เน็ต Gratuitous ARP กรา-ทู-อิ-ทัส เอ-อาร์-พี การส่งข้อมูล ARP ออกไป “โดยที่ไม่มีใครถาม” มักใช้เพื่ออัปเดตข้อมูลหรือใช้ในการโจมตี Full Duplex ฟูล ดู-เพล็กซ์ การสื่อสารที่ส่งและรับข้อมูลได้พร้อมกัน (โจร MITM มักพยายามดึงข้อมูลทั้งขาไปและขากลับ) Unicast ยู-นิ-แคสต์ การส่งข้อมูลแบบ “เจาะจงตัวบุคคล” (ส่งจาก 1 ไป 1) ⚠️ กลไกการโจมตี: ARP Poisoning โจรจะใช้เครื่องมือ (เช่น Bettercap) ส่ง Packet ไปหลอกคน 2 ฝั่งพร้อมกัน: ...

🔍 บทนำ (เนื้อหาเริ่มต้นของบทความ Nmap Packet Analysis: แกะรอยการทำงานของ Scanner ระดับโลก) บทที่ 4 นี้เราจะก้าวขึ้นมาสู่อีกระดับของการเป็นนักสืบครับ เราจะมา “แกะรอย” เครื่องมือสแกนเนอร์ที่ทรงพลังที่สุดในโลกอย่าง Nmap (Network Mapper) หากบทที่แล้วคือการเคาะประตูบ้าน (Ping) บทนี้คือการเดินสำรวจรอบบ้านเพื่อดูว่าหน้าต่างบานไหนเปิดอยู่บ้าง (Port Scanning) โดยเราจะใช้ Tshark เป็นกล้องวงจรปิดคอยดูว่า Nmap แอบทำอะไรในระดับ Packet ครับ 🔍 04-Nmap Packet Analysis: แกะรอยการทำงานของ Scanner ระดับโลก นักสืบส่วนใหญ่มักใช้ Nmap เพียงแค่พิมพ์คำสั่งแล้วดูผลลัพธ์ แต่ “สาย Deep” แบบเราจะเจาะลึกไปดูว่า Nmap ส่ง Packet อะไรออกไป และเป้าหมายตอบกลับมาอย่างไร เพราะการเข้าใจจังหวะเหล่านี้จะช่วยให้เราตรวจจับผู้บุกรุก (Intrusion Detection) ได้แม่นยำครับ 📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary) คำศัพท์ คำอ่าน ความหมายในเชิงเทคนิค Port Scanning พอร์ต สแกน-นิ่ง การตรวจสอบว่าช่องทางสื่อสาร (Port) ของเป้าหมายเปิดให้บริการอยู่หรือไม่ Stealth Scan สเตลธ์ สแกน การสแกนแบบ “หลบซ่อน” ไม่ให้ระบบ Log ของเป้าหมายบันทึกการเชื่อมต่อ (หรือที่เรียกว่า Half-Open Scan) Three-way Handshake ทรี-เวย์ แฮนด์-เชค การจับมือ 3 ขั้นตอนของ TCP (SYN -> SYN-ACK -> ACK) Zombie Host ซอม-บี้ โฮสต์ เครื่องคอมพิวเตอร์ที่ถูกใช้เป็น “ทางผ่าน” ในการสแกนเพื่อปกปิดตัวตนของผู้สแกนจริง (Idle Scan) 🕵️ วิเคราะห์เทคนิคการสแกนผ่านเลนส์ของ Tshark Nmap มีวิธีการ “เคาะประตู” หลายแบบ มาดู 2 แบบที่ใช้บ่อยที่สุดครับ: ...

🔍 บทนำ (เนื้อหาเริ่มต้นของบทความ Spiderfoot Automation: การเก็บข้อมูล OSINT แบบอัตโนมัติ) บทที่ 11 นี้เราจะก้าวเข้าสู่โลกของ “การสืบสวนแบบอัตโนมัติ” (Automated Reconnaissance) ครับ หลังจากที่เราเรียนรู้วิธีการขุดหาข้อมูลด้วยมือ (Manual) มาหลายบท ตั้งแต่ระดับ ARP ไปจนถึง DNS ตอนนี้ถึงเวลาที่เราจะใช้เครื่องมือระดับ “หุ่นยนต์นักสืบ” อย่าง Spiderfoot เพื่อรวบรวมเบาะแสจากทั่วทั้งอินเทอร์เน็ตมาให้เราในคลิกเดียวครับ 🤖 11-Spiderfoot Automation: การเก็บข้อมูล OSINT แบบอัตโนมัติ ในการสืบสวนเป้าหมายหนึ่งราย (เช่น ชื่อโดเมน หรือ IP Address) หากเราต้องไปนั่งเช็ค DNS, ดู WHOIS, สแกน Shodan, เช็คประวัติอีเมล และดู Social Media ทีละอย่างคงต้องใช้เวลาเป็นวัน Spiderfoot คือเครื่องมือที่รวบรวมโมดูลการสืบสวนกว่า 200 รายการมาทำงานร่วมกัน เพื่อวาดภาพโครงข่ายของเป้าหมายให้เราเห็นแบบเบ็ดเสร็จครับ 📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary) คำศัพท์ คำอ่าน ความหมายในเชิงเทคนิค Footprinting ฟุต-พรินต์-ทิ่ง การเก็บรวบรวม “ร่องรอย” ของเป้าหมายเพื่อสร้างขอบเขตของโครงสร้างพื้นฐาน API Key เอ-พี-ไอ คีย์ “กุญแจรหัส” สำหรับเชื่อมต่อ Spiderfoot เข้ากับฐานข้อมูลภายนอก (เช่น Shodan, VirusTotal) Scraping สเกรป-ปิ้ง การส่งหุ่นยนต์ไป “ขูด” ข้อมูลจากหน้าเว็บไซต์เพื่อหาอีเมลหรือเบาะแสที่ซ่อนอยู่ Correlations คอร์-เร-เล-ชัน การหา “ความเชื่อมโยง” ระหว่างข้อมูลที่ดูไม่เกี่ยวกัน (เช่น IP นี้เคยใช้กับอีเมลนี้) Passive Scan แพส-ซีฟ สแกน การสืบสวนที่ไม่สัมผัสเป้าหมายเลย (เน้นถามจากฐานข้อมูลอื่น) เหมาะกับการสืบสวนทางลับ 🔍 กลไกการทำงานของ Spiderfoot Spiderfoot ทำงานเป็นลำดับขั้น (Pipeline) ดังนี้: ...