shadow server

Mikrotik Log แจ้งว่ามีคนขอเชื่อมต่อจาก IP 216.218.x.x อยู่ตลอดเวลา เราโดน Hack หรือเปล่า

สำหรับ Network Engineer ที่หมั่นเข้าไปดู Error Log ของระบบ ซึ่งจริงๆ ก็ไม่ใช่ Mikrotik เจ้าเดียวนะครับ จะ Cisco , Fortigate , Paloalto , Checkpoint ทุกเจ้าก็เจอเหมือนกันหมด

Screen Shot 2564 08 29 at 11.16.42 1

จะเป็น Error ประมาณข้างล่างนี้คือ คือ มี IP จากวง Network 216.218.x.x มาขอเชื่อมต่อ IPSec VPN กับเรา แต่เชื่อมต่อไม่ได้

ซักพักก็หายไป แล้วก็กลับมาใหม่ อย่างน้อยต้องเจอวันละครั้ง บางคนก็แก้ไขด้วยการ Block บางคนก็ไม่รู้ทำยังไงเหมือนกัน

เอ้อ แล้วมันคืออะไรล่ะ ตกลง Hacker มาเคาะประตูบ้านเราหรือยังไง

ผมเองก็รู้สึกรำคาญเหมือนกัน ก็เลยลองเอา IP Address ที่มันมา Scan ไปลองค้นหาต้นตอซักหน่อยว่ามันอยู่ภายใต้ Network ของใครกันนะ เผื่อจะแจ้งผู้ดูแลระบบว่า Network เอ็ง มันมี Malware Server รันอยู่หรือเปล่าเนี่ย ทำไมวิ่งมา Scan ชาวบ้านทั้งวัน

พอเอา IP Address ไปค้นดูก็เจอว่า ต้นตอมันมาจาก Hurricane Electric ผู้ให้บริการเครือข่าย Network + Colocation เจ้าใหญ่ของโลก 

เฮ้ย คงไม่ใช่ม้าง เครือข่ายระดับ Hurricane Electric ไม่น่าพลาดหรอก ค้นไปค้นมาสุดท้ายก็ไปเจอ Project นึงของ Hurricane Electric นั่นก็คือ shadowserver project ครับ (https://www.shadowserver.org)

Screen Shot 2564 08 29 at 12.57.28

ซึ่งไอ้ที่มันมาเคาะ Network เราทุกวัน ก็คือ Bot Network Scan จากองค์กรที่ชื่อว่า ShadowServer ครับ ไม่ใช่องค์กรชั่วร้ายอะไรแบบขบวนการช็อคเกอร์นะ

Screen Shot 2564 08 29 at 11.35.14

แต่เป็นองค์กรที่จะทำหน้าที่ Scan Internet ทั้งโลก เพื่อตรวจสอบด้าน Internet Security ซึ่งพี่แก Scan IPv4 ทั้งโลกวันละ 4 รอบ!!! เพื่อหาพวก Honeypot Server , Honeypot Client , C&C Server ของพวก Hacker , Malware , Scam Site และอื่นๆอีกมากมาย เพื่อเอามาสร้างเป็น Internet Security Report ซึ่งคุณสามารถขอ Subscribe Daily Network Report ของเค้าก็ได้ด้วยนะครับ 

Screen Shot 2564 08 29 at 13.09.05

นอกจากนั้น เค้ายังทำหน้าที่ Scan พวก Malware Server แล้วก็ส่ง URL ให้กับ DNS เพื่อไปทำระบบ DNS Sinkhole เพื่อป้องกันไม่ให้ User เผลอไปเข้าพวก Malware Server พวกนั้นด้วย

สรุปก็คือ ไม่ต้องตกใจ ทาง Shadow Server เค้ามาเก็บข้อมูลเราเฉยๆ ถ้าเราไม่อยากให้เค้ามา Trigger ระบบของเรา หรือ Log ของเรา ก็ไปขอให้เค้าทำ opt out หรือ บอกเค้าว่าไม่ต้องให้เค้ามา Scan เราก็ได้ แต่เราต้อง Proof ว่าเราเป็นเจ้าของ Network หรือ CIDR นั้นๆด้วยนะครับ

Screen Shot 2564 08 29 at 13.00.28

ซึ่งข้อมูลของ Shadow Server เนี่ย ก็จะถูกนำมาใช้กับ หน่วยงานด้าน National CSIRT หรือ หน่วยงานที่ดูแลเรื่องความปลอดภัยบนโลกไซเบอร์ของแต่ละประเทศ , หน่วยงานที่เกี่ยวข้องกับธุรกิจด้านเครือข่าย แล้วก็เจ้าหน้าที่ Law Enforcement โดยเฉพาะครับ

และสำหรับคนที่อยากจะขอ Daily Report ด้าน Internet Security จากทาง Shadow Server ก็สามารถไปกรอกแบบฟอร์มเพื่อขอ Daily Report ได้ที่ https://www.shadowserver.org/what-we-do/network-reporting/get-reports/

สำหรับคนที่ไม่อยากให้เค้ามา Scan ก็ ทำเรื่อง Block Network 216.218.0.0/17 แค่นี้ก็จบข่าวครับ เค้าก็จะ Scan เราไม่ได้อีกต่อไป

โดยส่วนตัวแล้วผมก็ Block ไปนะ ขี้เกียจให้ขึ้นมา Alert ใน Log ครับ ฮ่าๆ