Thai language document.

บางท่านอาจจะทราบมาแล้ว หรือบางท่านอาจจะยังไม่รู้ว่า Windows 95 นั้นมีข้อผิดพลาด(bug)
ในระบบการสื่อสารทาง internet ซุกซ่อนอยู่หลายจุด   จุดอ่อนเหล่านี้ได้ถูกนำมาใช้ในการกลั่นแกล้ง
โดยการส่งข้อมูลที่ผิดๆ (สร้างโดยโปรแกรมอย่างจงใจ) มายังเครื่อง windows 95 (และอื่นๆ) ที่
online อยู่ เพื่อทำให้เครื่องปลายทางเกิดเสียการติดต่อโดยฉับพลัน (บางท่านคงเคยโดนมาแล้ว)
และบางท่านก็อาจทราบมาว่าต้องติดตั้ง winsock 2 update เพื่อกันการโจมตีนี้   ผมเองก็ได้
พยายามค้นคว้าข้อมูลเพิ่มเติมเกี่ยวกับ nuke และ winsock 2 มาให้ทุกๆท่านที่ยังคงใช้
Windows อยู่   เชิญอ่านรายละเอียดกันได้เลยครับ

อะไรคือ Winsock 2 update?
ขั้นตอนในการติดตั้ง winsock 2
ถ้าไม่ติดตั้ง winsock 2 ล่ะ?
ข้อมูลอ้างอิง

ความเข้าใจเกี่ยวกับจุดอ่อนของ windows 95 ในส่วนของTCP/IP
จะขอกล่าวถึงการสื่อสารใน internet ก่อน   ระบบการรับส่งข้อมูลของ internet แบบ TCP/IP
จะรับส่งข้อมูลจะส่งเป็นส่วนย่อยๆ (packet) หลายๆส่วนและ packet จะถูกรับส่งโดยขึ้นอยู่กับ
ช่องสัญญาณ (port) ต่างๆ ชึ่งแต่ละ port ก็จะใช้ทำหน้าที่แตกต่างกันไป เช่น port 21 ใช้สำหรับ
การรับส่งแฟ้ม (FTP) หรือ port 80 ใช้กับการรับส่งข้อมูลแบบ hypertext (HTTP หรือที่เราคุ้นเคย
ก็คือ www นั่นเอง)   ทีนี้ปัญหามันเกิดตรงที่ Microsoft ไม่ได้เขียน windows 95 ให้ตอบสนอง
ในกรณีที่เกิดมีข้อมูลที่ผิดปรกติเข้ามา เช่น Ping of Death เป็นต้น   และเมื่อ windows 95 ได้รับ
ข้อมูลที่ผิดปกตินี้เข้าไปก็จะตอบสนองแบบผิดๆ ซึ่งอาจทำให้ขาดการติดต่อเฉียบพลัน หรือทำให้
ระบบหยุดทำงาน(hang) ก็ได้   รายละเอียดของจุดอ่อนแต่ละจุดใหญ่ๆ มีดังนี้
1) Out Of Band (OOB) ( อ่าน text อ้างอิงที่ rootshell.com)
  โจมตีโดยส่ง OOB message มาให้ Windows 95/NT โดยส่งเข้าไปตาม TCP port ต่างๆ
  เช่น 139 (NetBIOS) พอ Windows แสนซื่อรับการติดต่อก็เกิดอาการไม่ดีต่างๆ นาๆ
  อาทิ hang reboot สายหลุด เป็นต้น

2) Teardrop ( อ่าน text อ้างอิงที่ rootshell.com)
  เป็นการโจมตีโดยการส่ง IP ที่ผิดๆ (IP fragment) มาให้ Windows 95/NT   พอ Windows
  รับการติดต่อก็เกิด hang หรือ reboot ทันที

3) Ping of Death (SPing) ( อ่าน text อ้างอิงที่ The Ping o' Death Page!)
  PING เป็นการทดสอบการเชื่อมโยงของ computer 2 ตัวบน network ว่ายังใช้ได้
  หรือไม่โดยการส่งข้อมูลในรูป ICMP (internet control messageing protocol)
  จากเครื่องหนึ่งไปให้อีกเครื่องหนึ่งตอบกลับมา   ปัญหามันมีอยู่ว่าถ้าเกิดมีการส่งข้อมูลที่
  ใช้ทดสอบขนาดใหญ่มากเกินไปจะทำให้ computer ตัวรับทำงานผิดพลาดได้ (นับว่า
  เป็นความผิดพลาดของ protocol ที่เปิดช่องให้มีการโจมตีนี้ก็ได้)

ระบบที่มีปัญหาเรื่องเกี่ยวกับ nuke ไม่ใช่มีแค่ windows (ทั้ง 3.1, 95, NT)
แต่มีอีกหลายระบบ เช่น Linux, MacOS เป็นต้น   บางระบบอาจไม่ออกอาการ
แต่บางที่ถึงกับล่ม (crash) ลูกเดียว เช่น windows 95   ถ้าเป็นเครื่องส่วนตัว
ก็คงไม่เสียหายมากนัก   แต่ถ้าเป็น server ใหญ่ๆ โดนเข้าแล้วถึงกับ hang เลยล่ะ?

อะไรคือ Winsock 2 update?
Winsock 2 update เป็นชุดติดตั้งเพื่อแก้ไขข้อผิดพลาดของ winsock 2 รุ่นสำหรับนักพัฒนา
โปรแกรม (แปลจาก release notes ของ winsock 2 update ที่ microsoft.com) ดังนั้น
winsock 2 นั้นยังเป็นโปรแกรมที่ยังอยู่ในขั้นทดสอบการทำงาน(beta test) ไม่ใช่ของที่มีไว้ใช้ใน
การป้องกันการถูก nuke ตามที่หลายท่านเข้าใจ แต่ไม่มีใครห้ามคุณที่อยากจะนำมาติดตั้งหรอกครับ
เพราะของใหม่มักจะดีกว่าของเก่า
note: winsock 2 ที่มีใน microsoft.com เป็นรุ่น 2.2 แล้ว   แต่ทว่าเอกสารจากบางแหล่งก็ยังแนะนำให้ใช้ patch หลังจาก
ที่ลง winsock 2 แล้ว

ขั้นตอนในการติดตั้ง winsock 2 (Patch ทั้งหมดนี้สำหรับ windows 95 เท่านั้น)
การติดตั้งต้องลงตามลำดับ อย่าข้ามขั้นตอน (ผมได้พยายามให้เหตุผลประกอบด้วยแล้ว)
และหลังจากติดตั้งแต่ละตัวแล้วโปรด restart windows ด้วย
1) ติดตั้งแฟ้ม winsock update (wsockupd.exe) ก่อนสุด (แนะนำโดย microsoft
  เพื่อปรับปรุงการทำงานของ winsock กับ DUN ตัวใหม่)
2) ติดตั้ง Microsoft Dail-Up networking 1.2 (msdun12.exe) เพราะถ้าติดตั้งก่อน
  winsock 2 แล้ว   แฟ้มบางแฟ้มจาก winsock 2 จะถูกแทนที่โดยแฟ้มรุ่นเก่าใน
  MSDUN 1.2 โดยไม่มีการเตือน   และ DUN ตัวใหม่นี้ก็ได้แถมสิ่งที่ไม่มีใน DUN เก่า
  หลายอย่าง เช่น การทำ script เพื่อ login อัตโนมัติ การสนับสนุน SLIP และ ISDN
note:
1) ถ้าคุณใช้ windows 95 รุ่น OSR2 ขึ้นไป ไม่ต้องลง 2 ตัวแรกนี้ (เพราะมีอยู่แล้วในระบบ)
2) ที่ site ของ microsoft ได้ออก MSDUN 1.3 แล้ว ใช้ติดตั้งบน win95 OSR2 ได้
  (ปรับปรุงจากรุ่น 1.2 ในเรื่อง bug และความปลอดภัย)
3) ติดตั้ง winsock 2 update (ws2setup.exe)
4) ลง vipup20.exe   ตัว update จะเตือนว่าสำหรับใช้กับ winsock 2 เท่านั้น
5) vtcpup20.exe   ถ้า winsock 2 กันการลอบยิงได้จริง
  แล้วทำไมต้องมี update เฉพาะสำหรับ winsock 2 ออกมาด้วยล่ะครับ?
6) สุดท้าย ป้องกันการตีที่ netbios service (port 139; WinNuke) โดยเปลี่ยนชื่อแฟ้ม
  vnbt.386 ที่ system folder ใน directory ของ win95 เป็นอย่างอื่น   หรือใช้ patch นี้
File ในข้อ 1) ถึง 5) ถ้าหาไม่พบ หรือ download ไม่ได้ที่ Microsoft ก็มีที่ samart FTP
อีกครับ

ถ้าไม่ติดตั้ง winsock 2 ล่ะ?
ถ้าไม่ติดตั้ง winsock 2 ก็ยังกัน nuke ได้โดยติดตั้ง Winsock update ตามด้วย
msdun12.exe แล้วติดตั้ง vtcpup11.exe และ vipup11.exe ลงไป   และป้องกัน netbios
service โดยเปลี่ยนชื่อแฟ้ม vnbt.386 ที่ system folder ใน directory ของ win95
เป็นอย่างอื่น   หรือใช้ patch นี้

ข้อมูลอ้างอิง
Microsoft.com Support Online
http://www.irchelp.org/irchelp/nuke/
Winfiles.com Bugs and Fixes
WinPlanet - Reports - Windows 95 and NT Internet-related Exploits
Rootshell

ปรับปรุงล่าสุด : 21 กุมภาพันธ์ 2542
ถ้าคุณมีข้อคิดเห็นหรือข้อมูลใหม่เกี่ยวกับเรื่องนี้   ส่ง e-mail มาได้เลยครับ