Archive for October 7th, 2008

นอกจากต้องเหนื่อยกับลูกค้าแล้ว ยังต้องเหนื่อยกับการแก้ปัญหาพวกที่ชอบเข้ามา ยิง Server แก้ได้ก็แก่กันไปแต่รู้สึกหลังๆจะมีแนวๆใหม่ๆมาเยอะ
ปกติจะเป็นพวกยิงแล้ว Traffic ขึ้นสูงจนเต็มสาย พอเต็มเมื่อไร Server ค้างเมื่อนั้น อันนี้ ไม่ ซีเรียสเท่าไร เพราะท่อในตู้ เป็น Gigabit ต้องยิงมาเยอะพอสมควร ถึงจะรู้สึก ไหนจะมี ลูกหลอกข้างในเครื่องอีก

หลังๆก็มีแบบยิงมานิดนึงเหมือนไม่ยิงเลย น้อยมากๆ Traffic ขาเข้าขึ้นนิดเดียว แต่ ขา ออกนี่ดรอปบาน เข้าจะว่ามันทำอะไรสักอย่างให้เครื่องทำงานหนักแล้วก็ค้าง พวกนี้ผมยังดักข้อมูล Package ไม่ได้เลย เพราะมันมักจะยิงตอนผมไม่อยู่ เซ็งเป็ด

อีกแบบนึงก็มียิงแบบ Traffic ไม่ขึ้นเลยสักนิดเดียว แต่ ขา ออก ดรอป บรรลัย อันนี้ เคย Sniffer เจอ ก็มันเล่นยิง Malformed package มา ขนาดแต่ละอัน 0k คือเหมือนมันยิงเปล่าๆ แต่มันยิงอะไรเข้ามา เหอะๆ งงเลย ขา ออก ดรอปวูบไปเลย งงไปตามๆกัน อันนี้ก็พอจะกันได้บ้างแล้ว

ที่ปวดกระบาลขึ้นมาก็คือ เอา Server หลายๆตัวรุมยิงนี่ซิ เพราะ Gigabit ก็เอาไม่ไหวเหมือนกันนะ เดือนก่อนโดนไป 800m เฮ้อ ยิงจาก inter เข้าใจว่า hack พวก ssh หรือ ftp พวก hosting นอกที่ admin config ไม่ค่อย secure เท่าไร เลยโดน Generate พาสเอาของไปฝังแล้วสั่งยิง อันนี้ admin ต้องหมั่นตรวจสอบเครื่องว่ามีทราฟฟิกวิ่งออกสูงแปลกๆไหม

เรื่องยิงๆมันก็พอกันได้บ้างเพราะเรารู้ IP ที่เป็น Source
แต่ให้เรื่องที่ เล่นเอามึนเลยก็คือ Bug ตัวนึงของ โปรแกรม Camfrog ที่มันปล่อยรั่วถึงขนาดที่ user ใครก็ไม่รู้สามารถส่งข้อความหน้าห้องแบบ ยาวๆ ไม่ได้ส่งตรงๆหรอกเพราะส่งไม่ได้ มันใช้โปรแกรมเสริมตัวนึงช่วย แต่ไม่บอกนะเดี่ยใช้กันตึม -*-

เจอครั้งแรกในไทยก็ประมาณ 1-2 อาทิตย์ก่อนเอง ที่มีพวกเข้ามากวนตีนๆฟลัดข้อความยาวๆำแบบนี้
ครั้นจะดูว่าใครยิงก็ไม่เห็น เพราะมันเล่นฟลัดแบบข้อความเก่าๆตกหน้าไปหมด คือทั้งโปรแกรมเห็นแต่ข้อความมัน แล้วชื่อมันก็ไม่เห็น คือ ข้อความยาวได้โครตๆเลย จะเอาบอท เก็บ log ดักก็ไม่้ไหวเพราะเยอะขนาดที่ว่า CamfrogBot รันจนดับไปเลย ห้องก็ ค้าง ไปเลย เพราะทำงานหนักมากๆ ตอนมันมาใหม่ๆมันไล่ฟลัดหน้าห้องไปทั่ว เล่นเอางงไปเลยทำได้ไง ฮ่าๆ

ก็เลย report ไปที่ Camfrog หลักเลยว่ามาแบบนี้ๆแล้วห้อง Official ก็โดนด้วย
ถัดไปไม่กี่วัน Camfrog ก็อัพเดท Server ของ ห้อง Official ใหม่ทุกห้อง
ปรากฏว่าลองไป Flood ดู มันไม่เข้าซะแล้ว คนที่มาฟลัดกระเด็นหลุดไปเอง
แต่ Version ที่ Fix Bug ตัวนั้นเห็นเขาบอกว่ายังไม่สมฐุรณืเลยยังไม่ปล่อยออกมา ก็ได้แต่นั่งดูคนฟลัดแก้ง่วงไปกันก่อนนะ ส่วนพวก admin ที่ดู Server หรือพวก ที่รับเปิดห้อง ก็ รับโทรศัพท์ลูกค้าไปก่อนล่ะกัน

ถ้าดูจากทราฟฟิกอันนี้จะมาแบบ ทราฟฟิกขาออกจะเยอะ สูง เหมือนเรายิงออกข้างนอก ของผม วิ่งออกไปถึง 300m คือจากการโดนฟลัดนี่แหละ ขาเข้าก็ขึ้นนิดนึงน่ะ นิดเดียว บางคนสงสัยว่าทำไมขาออกขึ้น อันนี้ต้องนั่งคิดดีๆ คนส่งข้อความเข้ามาใช่ไหม สมมุติ ทั้งหมด 1mb ในห้องมีคนเท่าไร สมมุติไปว่ามี 300 คน ดังนั้นเนี๊ยะ ข้อความที่ส่งมา 1m นั้นนะ จะต้องถูกส่งไปให้ Users ตอนนั้น ถึง 300 users ดังนั้น 1m*300users ก็ ขาออก 300m / ขาเข้า 1m วู้วววววววว ห้องค้าง ถ้าสาย 100 ก็ แถม แบนวิตเต็มเข้าไปด้วย ฮาา เล่นแรง!!! มีรูปให้ดู อันนี้ capture ไว้ตอนโดนน้อยๆ

วันนี้โดน 300m จริงๆแต่ไม่ทัน capure ไว้เพราะรีบทำอย่างอื่น อิอิ

ขอบอกว่าโดนทุกคืน………
ก็เลยว่าจะหาตัวการซะหน่อย idea ที่เข้ามาในหัวก็คือ Sniffer traffic แม่งซะเลยเหมือนตอนหาพวกยิง….

ว่าแล้วก็ เปิด โปรแกรม Sniffer Traffic รอไว้เลยการฟลักมันมาแบบทิ้งช่วงไว้เท่าๆกัน ก็เลยกะว่าพอใกล้ๆถึงก็ เปิด Capture รอเลย พอทราฟฟิกขึ้นสูงปุป ก็ปิดปั๊ป แล้วก็ มานั่งหา โดยดูจากว่า ก่อนที่ เครื่อง Server จะเป็น Source ที่ส่งออกไปเยอะๆนั้น มี ช่วงไหนบ้างที่เป็น Destination ที่รับเอา package ขนาดไม่เหมือนชาวบ้านเข้ามา

ได้การตามนี้

ในภาพที่คือ ทราฟฟิกที่เครื่องเรายิงออก เพราะ เครื่องเราเป็น Source
ทีนี้ก็แค่เลื่อนไปข้างบนไปดูว่าก่อนที่เครื่องเราจะยิงไอ้พวกนี้ออกนะ มันมีตอนไหนบ้างทีเป็น Destination และ IP ที่ยิงมา เป็น Source ก็ลองหาทราฟฟิกที่ยิงเข้ามาที่มี ขนาดเท่ากับขาออก ซึ่งผมคิดว่าน่าจะเท่ากัน หรือเข้ามาน่าจะมากกว่าหน่อยนึง เอา รายการ Package เหล่านั้นมาดูว่า ข้อมูล ใน Package ที่ส่งเข้ามา กับที่เครื่องเราส่งไป นั้น เหมือนกันไหม
ได้ IP มาก็เก็บมันซะ…..

สรุป คืนนี้สำเร็จ จัดการมันได้ แต่ไม่รู้คราวหน้าจะมาตอนไหนอีก
เอาเป็นว่าใช้แบบนี้ไปก่อนจนกว่า Camfrog จะออกตัวที่ fix มาให้ ฮ่าๆ แก้ขัดๆ
เล่นขำขำไปก่อน สนุกดีเหมือนกันน่ะ แต่ขอบอกว่าตาลายเป็นบ้าเลย วินาทีนึงมาหลายหมื่น package -*-