behind the network rack

เรื่องเล่าหลังตู้ Rack : เจอมือถือติดไวรัสปลอมตัวเองเป็น Router ในระบบ

ขอแจ้งไว้ก่อน ผมไม่ได้ฟันธงว่า ปัญหาน่าจะมาจาก Brand นะครับ เพราะผมว่าอาการแบบนี้น่าจะโดนไวรัสมามากกว่า เพราะเชื่อว่า Brand นี้ก็ไม่น่าทำแบบนี้ครับ

อันนี้เป็นปัญหาที่ เอิ่มมม เรียกว่าไงดีนะ เจอต้นตอ เจอ Error แต่ยังไม่รู้สาเหตุ และยังหาทางแก้อยู่ครับ
เรื่องของเรื่องคือ มีลูกค้าเจ้านึงที่วางระบบกับผมมานานมากแล้ว แล้วก็ระบบก็ทำงานมาปกติหลายปี ไม่มีอะไร
จนเมื่อซัก 2-3 อาทิตย์ที่ผ่านมา ได้รับแจ้งว่า Internet ใช้ไม่ได้

พอ Remote เข้าไป ก็ใช้ได้นี่หว่า
ระบบก็ไม่ได้ Down
แล้วก็ไม่ได้คิดอะไร

ซักพัก แจ้งมาอีก พอเข้าไปดูก็ไม่มีอะไรอีก
แล้วก็มีมาเรื่อยๆ จนไม่ไหวแล้วเว้ยย อัลไลของที่นี่เนี่ย
สุดท้ายพอผมไปหน้างานแล้วก็ไปตั้ง Notebook ทดสอบใช้งานหน้างาน

เออ มันใช้ไม่ได้จริงๆด้วยว่ะ

แต่ระบบไม่ได้ Down , Internet ไม่ได้ตัด , Uptime ปกติ
ไม่ได้เป็นที่เครื่องลูกค้าด้วย เพราะผมเอา Macbook Pro ผมไปตั้งทดสอบ มันก็ใช้ไม่ได้
อาการคือ อยู่ดีๆ เน็ตก็อึ้ง…. แบบค้างไปเลย ไม่ตอบสนอง ซักพักกกกกกกยาวๆเลย มันก็กลับมาใช้ได้แบบงงๆ
แล้วเป็นแบบจับจังหวะไม่ได้ คือ อยากเป็นก็เป็น ไม่เป็นก็ไม่เป็น

แล้วอีกสาเหตุนึงที่จับสังเกตได้อีกอย่าง ตอนผม Internet ใช้ไมไ่ด้ แต่เครื่องลูกค้าข้างๆใช้ได้ปกติ มันคละกันไปหมดทั้งคนใช้ได้ และคนใช้ไม่ได้ สลับไปสลับมา

อาการมันคุ้นๆ

131619955 10164582855495524 8927335880726698906 o

จังหวะที่เครื่องผมใช้ไม่ได้ปั๊บ ผมก็ลองรัน nmap เพื่อ Scan ว่าเห็นใครใน Network บ้าง

มันมาโป๊ะเช๊ะตรงที่ ทำไม Gateway ของผม ที่ผมใช้เป็น Mikrotik มาโดยตลอด ตัว nmap มันดัน Scan แล้วบอกว่าเจอเป็น Huawei ฟระ

ผมเลยสงสัย เอ๊ะ หรือใครเอา Router Huawei ที่เป็น ONU มาเสียบสายแปลกๆแล้ว IP ชนกับระบบของผมหรือเปล่าเนี่ย

พอไปไล่สาย ก็ไม่มี สายทุกอย่างปกติ ไม่ได้อุปกรณ์อะไรแทรกเข้ามาเลย
เลยเอา Mac Address ไป Search ในระบบพบว่าเป็นมือถือ Huawei ตัวนึง ก็ไปเดินไล่หา เพราะว่า Client มันเกาะแล้วก็ แจ้งมาใน Access Point อยู่แล้วว่าเป็นเครื่องไหน

131573282 10164582855485524 4885054661993803928 o

พอเจอเสร็จ ก็เป็นมือถือ Huawei ธรรมดา ที่ Office นี้ซื้อให้พนักงานใช้ในงานองค์กร มือถือธรรมดาไม่มีอะไร แถมตัวมันเองก็รับ IP Address จาก DHCP ในระบบผมแบบปกติ ไม่มีอะไร

ตอนหยิบมาดูยังแบบ อัลไลของเมิงเนี่ย
แต่ที่แน่ๆ Mac Addrss ของ มือถือเครื่องนี้ พยายาม Spoof ตัวเองเป็น Gateway เพื่อพาคนอื่นออก Internet ผ่านตัวมัน แต่ตัวมันไม่มี SIM มีแต่ WIFI เลยออกไม่ได้

ผมก็กดๆ มือถือดูยังไม่เจออะไร ก็ว่าจะเก็บตัวอย่างไว้วิเคราะห์ก่อน
แต่สุดท้าย มือถือมันก็ต้องให้พนักงานใช้ แล้วระบบจะปล่อยให้ Down ก็ไมไ่ด้ เลยให้พนักงาน reset default เจ้ามือถือนั่นทิ้ง แล้วก็กำลังจะเก็บของกลับบ้าน

เจออีกรอบ
เลยลองรันคำสั่ง arp -a เพื่อแสดง Mac Address List ในเครื่องผมดู นั่นไง เจออีกแล้ว อาการเดิม เพิ่มเติมคือ เป็นอีก Mac Address มาแทรก พอ Track ย้อนไป เฮ้ยยย มือถือ Huawei รุ่นเดียวกัน แต่เป็นอีกเครื่องนึง
เครื่องที่ Office ซื้อให้พนักงานใช้เหมือนกันเลย แต่เป็นคนละเครื่อง

ผมก็ เฮ้ยยย
เลยนั่ง Monitor อีกแปบ
เจออีกเป็นมือถือ Huawei เครื่องที่ 3
นั่งอีกแปบ เจออีกเป็นเครื่องที่ 4
มือถือ 4 เครื่องพยายามปลอมตัวเองเป็น Gateway
อัลไลของมัน

แต่ช่างเถอะ ผมยังไม่รู้สาเหตุว่าทำไมมือถือ 4 เครื่องนี้ ถึงมีอาการแบบนี้ น่าจะติดไวรัสมา เพราะว่า อาการแบบนี้คือ มือถือที่พยายามจะหลอกเอาดักข้อมูล เพราะจะให้คนอื่นมาวิ่งผ่านตัวเอง
และการเป็น 4 เครื่องเนี่ย มันก็งงๆ ว่าทำไม แต่อาจจะเพราะ 4 เครื่องนี้ คือ 4 เครื่องที่พนักงานวนๆใช้กันใน Office อาจจะมีใครซักคนเล่นอะไรแล้วเผลอติดไวรัสมาก็ได้

แล้วทางแก้ในเชิง Network คืออะไร??

ถ้าเป็นพวก managed Switch ที่สามารถทำ Packet Filtering ก็สามารถป้องกันปัญหาตรงนี้ได้ (แต่ Switch ต้องแรงหน่อยนะครับถ้าเอา Switch ธรรมดามาใช้ CPU พุ่ง ความเร็วตกแน่นอน)
ความบรรลัยก็คือ ที่นี่ผมดันใช้ UNIFI Switch แล้ว UNIFI Switch ดันไม่รองรับ Packet Filtering นี่สิ
ตอนนี้ก็กำลังหาทางแก้ไขแบบไม่ให้เหนื่อย User และ Owner อยู่
ทางแก้แบบประหยัดแรง เช่น
– ทำ Static ARP เพื่อระบุไปเลยว่า Gateway เป็นใคร จะได้ไม่จำผิด แต่นะ ทำบนคอมได้ แต่ทำบนมือถือไม่ได้
– ทำ Port Isolation อาจจะกันได้เป็นโซน แต่ก็กันได้ไม่หมดอยู่ดี
– เปลี่ยน Switch เป็น Cisco Catalyst (Owner กระอักเลือดจ้า)
นั่นแหละ ยังหาทางแก้อยู่ครับ
เฮ้ออออออออ