DNS

TH: Lab 3 – วิเคราะห์ DNS ขั้นตอน เปิด lab3_dns.pcap Filter: dns ดู Query → Response ตรวจ NXDOMAIN / response time คำถาม Query อะไรถูกยิงบ่อยที่สุด? Server ตอบว่าอะไร? EN: DNS Analysis Lab

TH: Lab 6 – ตรวจจับ DNS Tunneling ขั้นตอน เปิด lab6_dns_tunnel.pcap Filter: dns มองหา: โดเมนยาวผิดปกติ entropy สูง subdomain random คำถาม มีโดเมนที่เข้าข่าย tunnel หรือไม่? EN: DNS Tunneling Lab

TH: บทนำ / Concept Overview (เขียนอธิบายหัวข้อนี้เป็นภาษาไทยแบบเข้าใจง่ายสำหรับผู้เริ่มต้น เชื่อมโยงกับภาพใหญ่ของ TCP/IP และ OSI: ทำหน้าที่อะไรในระบบเครือข่าย ผู้เรียนควรเข้าใจอะไรจากบทนี้ ) EN: Introduction / Concept Overview (Write the English explanation here for learners. Focus on: What this concept does in the network Why it matters Key terms) TH: หัวข้อสำคัญ (Key Points – TH) จุดที่ 1 จุดที่ 2 จุดที่ 3 EN: Key Points Point 1 Point 2 Point 3 TH: ตัวอย่าง / เปรียบเทียบ (ใช้ตัวอย่างในชีวิตจริงอธิบาย เช่น การส่งจดหมาย, เบอร์โทรศัพท์, บ้านเลขที่ ฯลฯ) ...

Case Study: DNS Poisoning – การตอบ DNS ปลอม TH: บริบทเหตุการณ์ (Context) (สรุปสถานการณ์ เช่น อาการที่พบ, ผู้แจ้งเหตุ, พื้นที่เครือข่ายที่เกี่ยวข้อง อธิบายให้ผู้อ่านเห็น “จุดเริ่มต้นของเหตุการณ์”) EN: Incident Context (Explain symptoms, environment, what triggered the investigation.) Evidence (หลักฐานที่ผู้สืบสวนได้รับ) PCAP / Logs ผู้ใช้แจ้งว่า… Firewall หรือ NAT มีข้อความ… Packet Pattern น่าสงสัย… (ใส่ตารางหรือ bullets เพิ่มได้) Investigation Steps (ขั้นตอนสืบสวน) 1. Formulate Initial Hypothesis (TH + EN) 2. Inspect Key Packets Wireshark Filter Expected behavior vs abnormal behavior 3. Correlate Across Layers (เชื่อม OSI/TCP-IP/Protocols) ...

TH: ภาพรวมเชิงลึก (Deep Overview – TH) (อธิบายโปรโตคอลนี้แบบเชิงลึก: ทำงานอย่างไรตามลำดับขั้น (message flow) Field สำคัญใน Header / Options จุดที่ใช้ตรวจหาผิดปกติ / หลักฐานในงานสืบสวน) EN: Deep Overview (EN) (Explain the protocol workflow in detail: Message sequence Critical header fields / options Forensic / detection points) Packet Structure & Fields (สรุปโครงสร้าง packet แบบเป็นหัวข้อ เน้น field ที่ควรโฟกัสเมื่อเปิดใน Wireshark / Zeek / Suricata) Normal vs Abnormal Behaviour พฤติกรรมปกติ (Normal pattern) พฤติกรรมผิดปกติ (Suspicious pattern) ตัวอย่าง Filter / Rule ที่ใช้จับ Forensic / Detection Notes (แนวคิดสำหรับ: ...

TH: บทนำ (สำหรับมือใหม่) Layer 4 — Application Layer (OSI Layer 5–7) “ชั้นบริการที่เราใช้งานจริง เช่น Web, Email, DNS” Protocol หลักที่ต้องรู้ Protocol ทำอะไร ภาพจำง่าย DNS แปลงชื่อเว็บเป็น IP สมุดโทรศัพท์ DHCP แจก IP อัตโนมัติ เจ้าหน้าที่ทะเบียน แจกบ้านเลขที่ใหม่ HTTP/HTTPS เปิดเว็บ ดูเว็บผ่านเบราว์เซอร์ TLS/SSL เข้ารหัสข้อมูลเว็บ ซองจดหมายกันอ่าน SMTP / IMAP / POP3 อีเมล ระบบไปรษณีย์สำหรับ Email SSH Remote Login ประตูเข้าบ้านแบบใช้กุญแจพิเศษ FTP / SFTP รับส่งไฟล์ ขนของไป-กลับ TH: บทนำ – Transport Layer คืออะไร? ชั้นนี้ทำให้ “โปรแกรมกับโปรแกรมคุยกันได้” ใช้ระบบ Port เพื่อระบุว่าแพ็กเก็ตควรเข้าโปรแกรมไหน หน้าที่: ควบคุมความน่าเชื่อถือของการส่งข้อมูล ตรวจสอบลำดับ เชื่อมการทำงานระหว่างบริการต่าง ๆ EN: Overview – What is the Transport Layer? This layer provides end-to-end communication between applications using ports. ...

Case Study: Data Exfiltration via DNS – การขโมยข้อมูลผ่าน DNS TH: บริบทเหตุการณ์ (Context) (สรุปสถานการณ์ เช่น อาการที่พบ, ผู้แจ้งเหตุ, พื้นที่เครือข่ายที่เกี่ยวข้อง อธิบายให้ผู้อ่านเห็น “จุดเริ่มต้นของเหตุการณ์”) EN: Incident Context (Explain symptoms, environment, what triggered the investigation.) Evidence (หลักฐานที่ผู้สืบสวนได้รับ) PCAP / Logs ผู้ใช้แจ้งว่า… Firewall หรือ NAT มีข้อความ… Packet Pattern น่าสงสัย… (ใส่ตารางหรือ bullets เพิ่มได้) Investigation Steps (ขั้นตอนสืบสวน) 1. Formulate Initial Hypothesis (TH + EN) 2. Inspect Key Packets Wireshark Filter Expected behavior vs abnormal behavior 3. Correlate Across Layers (เชื่อม OSI/TCP-IP/Protocols) ...

LAB: DNS Query/Response Lab Objective (วัตถุประสงค์) ผู้เรียนจะเข้าใจ… ผู้เรียนสามารถสังเกต… ผู้เรียนสามารถวิเคราะห์… Background (พื้นฐานก่อนเริ่ม) (อธิบายพื้นหลังของโปรโตคอลหรือเครื่องมือที่เกี่ยวข้อง) Requirements PCAP (แนบ path หรืออธิบายวิธีโหลด) Tools: Wireshark / tcpdump / Zeek / Suricata ระบบปฏิบัติการใดรองรับ Steps 1. เริ่มต้นการสังเกต Traffic คำอธิบาย + ตัวอย่าง Filter ตัวอย่างคำสั่ง หรือ filter 2. วิเคราะห์ Packet ตามลำดับ (อธิบาย Step-by-step แบบสอนสดได้) 3. ตอบคำถามสำคัญ Q1: … Q2: … Q3: … Expected Outcome (ผลลัพธ์ที่คาดว่าได้) (ผู้เรียนควรเห็นอะไรใน Wireshark / logs) Instructor Notes (เฉพาะผู้สอน) วิธีอธิบายให้เข้าใจเร็ว จุดที่ผู้เรียนมักผิดพลาด Demo ที่ควรทำให้ดู