Tunneling

TH: Lab 6 – ตรวจจับ DNS Tunneling ขั้นตอน เปิด lab6_dns_tunnel.pcap Filter: dns มองหา: โดเมนยาวผิดปกติ entropy สูง subdomain random คำถาม มีโดเมนที่เข้าข่าย tunnel หรือไม่? EN: DNS Tunneling Lab

TH: ภาพรวมเชิงลึก (Deep Overview – TH) (อธิบายโปรโตคอลนี้แบบเชิงลึก: ทำงานอย่างไรตามลำดับขั้น (message flow) Field สำคัญใน Header / Options จุดที่ใช้ตรวจหาผิดปกติ / หลักฐานในงานสืบสวน) EN: Deep Overview (EN) (Explain the protocol workflow in detail: Message sequence Critical header fields / options Forensic / detection points) Packet Structure & Fields (สรุปโครงสร้าง packet แบบเป็นหัวข้อ เน้น field ที่ควรโฟกัสเมื่อเปิดใน Wireshark / Zeek / Suricata) Normal vs Abnormal Behaviour พฤติกรรมปกติ (Normal pattern) พฤติกรรมผิดปกติ (Suspicious pattern) ตัวอย่าง Filter / Rule ที่ใช้จับ Forensic / Detection Notes (แนวคิดสำหรับ: ...

TH: ภาพรวมเชิงลึก (Deep Overview – TH) (อธิบายโปรโตคอลนี้แบบเชิงลึก: ทำงานอย่างไรตามลำดับขั้น (message flow) Field สำคัญใน Header / Options จุดที่ใช้ตรวจหาผิดปกติ / หลักฐานในงานสืบสวน) EN: Deep Overview (EN) (Explain the protocol workflow in detail: Message sequence Critical header fields / options Forensic / detection points) Packet Structure & Fields (สรุปโครงสร้าง packet แบบเป็นหัวข้อ เน้น field ที่ควรโฟกัสเมื่อเปิดใน Wireshark / Zeek / Suricata) Normal vs Abnormal Behaviour พฤติกรรมปกติ (Normal pattern) พฤติกรรมผิดปกติ (Suspicious pattern) ตัวอย่าง Filter / Rule ที่ใช้จับ Forensic / Detection Notes (แนวคิดสำหรับ: ...

Case Study: Data Exfiltration via DNS – การขโมยข้อมูลผ่าน DNS TH: บริบทเหตุการณ์ (Context) (สรุปสถานการณ์ เช่น อาการที่พบ, ผู้แจ้งเหตุ, พื้นที่เครือข่ายที่เกี่ยวข้อง อธิบายให้ผู้อ่านเห็น “จุดเริ่มต้นของเหตุการณ์”) EN: Incident Context (Explain symptoms, environment, what triggered the investigation.) Evidence (หลักฐานที่ผู้สืบสวนได้รับ) PCAP / Logs ผู้ใช้แจ้งว่า… Firewall หรือ NAT มีข้อความ… Packet Pattern น่าสงสัย… (ใส่ตารางหรือ bullets เพิ่มได้) Investigation Steps (ขั้นตอนสืบสวน) 1. Formulate Initial Hypothesis (TH + EN) 2. Inspect Key Packets Wireshark Filter Expected behavior vs abnormal behavior 3. Correlate Across Layers (เชื่อม OSI/TCP-IP/Protocols) ...