การโจมตีแบบ Denial of Service (DoS) คืออะไร ?
การโจมตีแบบ denial of service สามารถเข้าใจได้ง่ายและมีประสิทธิภาพมาก ผู้โจมตีพยายามทำให้ service (งานที่ทำ/หรือเสนอให้โดยเซิร์ฟเวอร์)ของไซต์นั้นไม่สามารถทำงานได้โดยการส่งคำร้องขอ(requests) ลักษณะเหมือนกับการที่เด็กน้อยอายุ 5 ขวบ พยายามดึงเสื้อขนสัตว์ของแม่อย่างไม่หยุดหย่อนในขณะที่เธอกำลัง คุยโทรศัพท์อยู่ คุณสามารถทำได้หลายอย่างในเวลาเดียวเท่านั้น เช่น ถ้าคุณมีเซิร์ฟเวอร์รับส่งเมลที่สามารถ รับและส่งเมล 10 ข้อความในหนึ่งวินาที ผู้โจมตีก็เพียงแต่ส่งข้อความไปยังเซิร์ฟเวอร์นั้น 20 ข้อความต่อหนึ่งวินาที อาจทำให้การติอต่อสื่อสารกับภายนอกที่ถูกต้อง(เช่นเดียวกันกับ การติดต่อสื่อสารที่ประสงค์ร้าย) ก็จะถูกตัดขาด หรืออาจทำให้เมลเซิร์ฟเวอร์อาจหยุดการตอบรับทั้งหมด โดยทั่วไปผู้โจมตีจะโจมตีเป้าหมายที่เด่นชัด เช่น เว็ปเซิร์ฟเวอร์ หรือเป้าหมาย ที่เป็นโครงสร้างพื้นฐาน เช่น เราเตอร์(router) และการเชื่อมโยงของเน็ตเวิร์ค
การโจมตีแบบ Distributed Denial of Service (DDoS) คืออะไร ?
ถ้ามีการใช้คอมพิวเตอร์เพียงเครื่องเดียวเพื่อโจมตีเน็ตเวิร์คของคุณได้ผล การใช้คอมพิวเตอร์ 50 หรือ 5,000 เครื่อง อาจจะได้ผลมากกว่า (ทำให้ผู้โจมตีสามารถโจมตีเซิร์ฟเวอร์ของธุรกิจขนาดใหญ่ เช่น Yahoo! ได้) นอกจากนี้ยังทำให้การย้อนรอยหาต้นตอของเครื่องที่ผู้โจมตีใช้จริง ๆ ยังทำได้ยากกว่าอีกด้วย
ดูรายละเอียดเพิ่มเติมที่
http://www.all.net/books/dca/top.html
http://www2.axent.com/swat/news/ddos.htm
http://www.cert.org/reports/dsit_workshop.pdf
http://www.research.att.com/~smb/talks/nanog-dos/index.htm
http://www.icsa.net/html/communities/ddos/index.shtml
http://xforce.iss.net/alerts/advise43.php3
การโจมตีแบบ Dos/DDos สามารถทำอันตรายต่อข้อมูลที่เป็นความลับได้หรือไม่ ?
โดยทั่วไปการโจมตีแบบ Dos และ DDoS ไม่ทำอันตรายต่อข้อมูลที่เป็นความลับโดยตรง โดยทั่วไปผู้โจมตี จะพยายามทำให้เซอร์วิสไม่สามารถใช้งานได้ ไม่ใช่การละเมิดระบบรักษาความปลอดภัยของเซอร์วิสนั้นโดยตรง อย่างไรก็ตามการโจมตีแบบ DoS/DDoS สามารถใช้เพื่อเบนความสนใจในขณะที่การโจมตีอีกชนิดหนึ่งที่เกิดขึ้น เพื่อละเมิดระบบรักษาความปลอดภัยจริง ๆ นอกจากนี้ผู้บริหารระบบดูเหมือนยังทำผิดพลาดในระหว่างการถูก โจมตีและอาจเป็นไปได้ที่จะเปลี่ยนค่าที่กำหนดไว้บางอย่างซึ่งทำให้เกิดช่องโหว่เพื่อการใช้ประโยชน์จากมัน เซอร์วิสอาจจำเป็นที่จะต้องหยุดการทำงานหรือเริ่มทำงานใหม่อีกครั้ง ถ้าทำอย่างไม่ถูกต้องปัญหาอาจเกิดขึ้นมาได้ เมื่อเปลี่ยนแปลงบางอย่างในเน็ตเวิร์คต้องมั่นใจว่าคุณเข้าใจผลการกระทบของสิ่งที่คุณกำลังทำ (อาจแตกต่างจาก สภาพปกติในขณะที่กำลังถูกโจมตี)
ใครเป็นผู้โจมตี Dos/DDoS และเพื่ออะไร ?
มีหลากหลายเหตุผลที่เกินกว่าจะกล่าวได้หมด แต่มีสองสามเหตุผลที่พอจะกล่าวให้เห็นภาพได้
* ความอยากรู้อยากเห็น
ผู้โจมตีบางคนทำเพียงเพื่อการทดสอบหรือต้องการเล่นสนุกกับเครื่องมือที่พวกเขาดาวน์โหลดมาและไม่ได้ ตระหนักถึงความเสียหายที่พวกเขาสามารถก่อขึ้นมาได้
* เจตนาร้าย
ผู้โจมตีบางคนไม่เห็นด้วยกับนโยบายของบริษัท หรือสีสันที่ใช้ในเว็ปไซต์นั้น และการโจมตีไซต์โดยปราศจาก เหตุผลที่แน่นอน เหมือนกับคนที่ชอบพ่นสเปรย์ตามกำแพงตึก
* ผลประโยชน์ทางการเงิน
ถือเป็นฝันร้ายอย่างแท้จริง ยกตัวอย่างเช่น มีบริษัทหนึ่งที่อาจถูกโจมตีเพื่อให้เลื่อนการเปิดตัวบริการออนไลน์ หรือเพื่อทำลายความน่าเชื่อถือ ผู้โจมตีอาจได้รับการจ้างจากคู่แข่ง หรือจากความพยายามที่จะทำให้ มีผลกระทบต่อราคาหุ้นของบริษัทนั้น
ผู้โจมตีจะถูกจับกุมตัวหรือไม่ และมีโทษอย่างไรสำหรับการโจมตีแบบ DoS/DDos ?
ยากที่จะกล่าวได้ ผู้โจมตีส่วนใหญ่ไม่มีความเชี่ยวชาญสูงแต่อย่างใด แต่เครื่องมือที่พวกเขาใช้สามารถปกปิดร่องรอย ได้อย่างดี พวกเขาอาจถูกจับได้จากการเฝ้าดูที่ต้องใช้ความพยายาม และการอ้างอิงจากสิ่งที่บันทึกไว้ในระบบ และข้อมูลจากคนที่ชอบคุยโอ้อวดว่าไปโจมตีมา หรือจากการแจ้งให้ทราบจากผู้หวังดีใน IRC การตอบคำถามสื่อมวลชนของ FBI ในวันที่ 9 กุมพาพันธ์แถลงว่าเป็นไปได้ว่าอาจเป็นการลงโทษจำคุก 5-10 ปี
ดูรายละเอียดเพิ่มเติมที่
http://abcnews.go.com/sections/tech/DailyNews/yahoo000209.html - FBI press conference
ผมสามารถป้องกันระบบและเน็ตเวิร์คของผมจากการโจมตีแบบ DoS/DDoS ได้อย่างไร ?
โดยทั่วไปการปฏิบัติที่ดีในด้านการรักษาความปลอดภัยเป็นการป้องกันระยะยาวที่ดีที่สุด การปิดการใช้งานเซอร์วิส ที่ไม่จำเป็นทั้งหมด หมั่นอัพเดทซอฟท์แวร์ให้ทันสมัยอยู่เสมอ และการสมัคร maling list ที่เกี่ยวกับ การรักษาความปลอดภัยต่าง ๆ จะช่วยได้ การมีรายชื่อที่อยู่ที่สามารถติดต่อได้ในกรณีฉุกเฉินจะเป็นประโยชน์มาก ในช่วงเวลาที่เกิดเหตุการณ์ฉุกเฉิน ไม่มีสิ่งหนึ่งสิ่งใดเพียงอย่างเดียวที่คุณสามารถทำได้เพื่อหยุดการโจมตีแบบ DoS/DDoS (เช่น ไม่มีซอฟท์แวร์ "Anti DoS attack version 1.0" ถึงแม้ว่าผู้ผลิตซอฟท์แวร์จะอ้าง อย่างนั้นก็ตาม"
ดูรายละเอียดเพิ่มเติมที่
http://www.securityportal.com/topnews/yahoo20000208.html
http://all.net/journal/netsec/0004.html
http://www.cert.org/security-improvement/
การป้องกันเครื่องที่ใช้ติดต่อกับภายนอกเน็ตเวิร์คและเกตเวย์
เครื่องคอมพิวเตอร์ของเน็ตเวิร์คที่ใช้ติดต่อกับภายนอกผู้โจมตีมักสามารถเข้าถึงได้ และเป็นที่ที่เหมาะที่สุด สำหรับการโจมตี(ไซต์ส่วนใหญ่จะมีการเชื่อมโยงหนึ่งที่ต่อไปยังอินเทอร์เน็ต ถ้าทำให้มันหยุดทำงาน คุณก็ได้ทำให้เซอร์วิสที่มีในไซต์นั้นหยุดทำงานลงไปด้วย) มีมาตรการหลายอย่างที่คุณสามารถทำ เพื่อป้องกันเราเตอร์ที่อยู่ภายนอกได้ เช่น การกำหนดค่าของไฟร์วอล (เช่นการบล๊อก address ที่ปลอมขึ้น และการกำหนดค่าอื่น ๆ) และการป้องกันกลไกที่ใช้สำหรับ การส่งและรับข้อมูลเส้นทางการติดต่อ(routing information)จากภายนอก (เช่น BGP, OSPF, และอื่น ๆ )
ดูรายละเอียดเพิ่มเติมที่
http://securityportal.com/rfc/rfc2267.txt
http://securityportal.com/rfc/rfc2644.txt
การป้องกันเซิร์ฟเวอร์อินเทอร์เน็ต
ให้ปิดการใช้งานเซอร์วิสที่ไม่จำเป็นทุกชนิดและตรวจให้แน่ใจว่าซอฟท์แวร์เป็นเวอร์ชันใหม่อยู่เสมอ ถ้าเป็นไปได้ควรให้มีไฟร์วอลอย่างน้อยหนึ่งไฟร์วอลที่อยู่ระหว่างเซิร์ฟเวอร์และอินเทอร์เน็ต ด้วยวิธีนี้ถ้ามีการโจมตีเซิร์ฟเวอร์คุณก็อาจจะบล๊อกมันได้ที่เซิร์ฟเวอร์ ตามความเป็นจริงแล้วถ้าผู้โจมตีรู้ว่าเขาสามารถ ระดมส่งข้อมูลเพื่อโจมตีแบนวิดธ์ของคุณได้ แล้วจะไม่มีวิธีใดเลยที่คุณสามารถแก้ไขในทางฝั่งเน็ตเวิร์คของคุณ สิ่งสำคัญสำหรับไซต์ส่วนใหญ่คือการกรองการติดต่อก่อนที่มันจะเข้ามายังการเชื่อมต่อของคุณ ซึ่งหมายความว่า ไฟร์วอลของคุณจะถูกโจมตี การโจมตีนี้อาจเป็นไปไม่ได้ถ้าการโจมตีมาจากคอมพิวเตอร์ที่มีมากไม่พอสำหรับการโจมตี (เช่น เป็นไปไม่ได้ที่จะกำหนดค่าให้ไฟร์วอลถึง 10,000 ค่าเพื่อรับการโจมตี)
การป้องกันเซิร์ฟเวอร์ที่อยู่ภายในเน็ตเวิร์คและเครื่องลูกข่าย
ทำได้โดยการป้องกันโดยใช้ไฟร์วอล ไม่ควรอนุญาตให้มีโฮสต์ภายนอกที่สามารถเข้าถึงโฮสต์ภายในเน็ตเวิร์คของคุณได้ ถ้าจำเป็นที่จะต้องการโฮสต์ภายนอกสามารถเข้าถึงได้ คุณควรพิจารณาใช้ Virtual Private Networking (VPN) เพื่อให้มันสามารถให้การเข้าถึงที่มีการรักษาความปลอดภัยมายังระบบ LAN ที่อยู่ภายใน
Cisco routers
ดูรายละเอียดที่นี่
http://www.cisco.com/warp/public/707/newsflash.html
http://www.cisco.com/warp/public/707/21.html
http://www.cisco.com/warp/public/707/22.html
Linux
ลีนุกซ์สนับสนุนซอฟท์แวร์ที่สามารถทำหน้าที่เป็นไฟร์วอลได้และลีนุกซ์เจ้าต่าง ๆ ก็มีซอฟท์แวร์เหล่านี้ให้มาด้วย IPCHAINS (ซอฟท์แวร์ไฟร์วอลสำหรับลีนุกซ์ในขณะนี้) สามารถบล๊อก packet ที่มุ่งร้ายได้หลากหลายชนิด และสามารถเซ็ตอัพเพื่อป้องกันเครื่องจากการ spoof สำหรับข้อมูลข่าวสารเกี่ยวกับ IPCHAINS และยูทิลิตี้ที่ช่วยทำให้การกำหนดค่าของมันง่ายขึ้น ดูที่
http://www.securityportal.com/lasg/firewall/index.html
คุณสามารถป้องกัน IP spoofing จากเครื่องอื่นได้อย่างง่ายดายโดยการเปิดการใช้งาน การตรวจสอบความถูกต้องของที่อยู่ของเครื่องที่ส่ง (source address verification) โดยใช้สคริปท์
rp_filter จาก IPCHAINS-HOWTO ในส่วนของ miscellaneous section
#!/bin/bash
# This is the best method: turn on Source Address
# Verification and get spoof protection on all current
# and future interfaces.
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
echo -n "Setting up IP spoofing protection..."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
echo "done."
else
echo PROBLEMS SETTING UP IP SPOOFING PROTECTION. BE WORRIED.
echo "CONTROL-D will exit from this shell and continue system startup."
echo
# Start a single user shell on the console
/sbin/sulogin $CONSOLE
fi
ให้คุณสร้างไฟล์นี้ขึ้นเป็น /etc/rc.d/init.d/rp_filter (หรือที่อื่น ๆ ที่เหมาะสม) และจึงเปิดการใช้งานของมัน ให้ทำงานเวลาบูตเครื่องโดยการสร้าง symbolic link มาที่นี่ หรือเรียกจาก startup script คาดหวังว่า ในอนาคตผู้ผลิตจะเพิ่มมันเข้าไปให้เป็นมาตรฐานและเปิดการใช้งานให้เป็นค่าเริ่มต้น IPCHAINS-HOWTO อยู่ที่
http://www.linux.org/help/ldp/howto/IPCHAINS-HOWTO.html
Windows 95 / 98
โชคไม่ดีที่ Windows 95 / 98 ไม่มีลักษณะเด่นที่สามารถป้องกันการโจมตีได้ อย่างไรก็ตาม มีผลิตภัณฑ์เสริมหลายอย่างที่สามารถป้องกันคุณจากการโจมตีโดยทั่วไปได้ เราไม่ได้รับรองการทำงานซอฟท์แวร์เหล่านี้ เราเพียงแต่บอกถึงทางเลือกที่มีเท่านั้น
http://www.zonelabs.com/download_ZA.htm - ซอฟท์แวร์ ZoneAlarm ของ Zone labs แจกฟรี
http://www.mcafee.com/products/#Guard Dog - Guard Dog 2.0 ของ McAfee ราคา 29.95 เหรียญ สหรัฐ ฯ
http://www.networkice.com/Download/PURCHASE.HTM - BlackICE Defender ของ Network ICE ราคา 39.95 เหรียญ สหรัฐ ฯ
http://www.symantec.com/sabu/nis/ddos.html - Norton Internet Security 2000 ของ Symantec ราคา 53.95 เหรียญ สหรัฐ ฯ
Windows NT 4.0
Windows NT 4.0 มีลักษณะเด่นด้านไฟร์วอล แต่มันก็ไม่น่าเชื่อถือได้ 100 % เราแนะนำว่าคุณไม่ควรพึ่งมัน ให้เป็นเพียงมาตรการรักษาความปลอดภัยเพียงอย่างเดียว มีผลิตภัณฑ์ที่เกี่ยวกับไฟร์วอลสำหรับ NT หลายผลิตภัณฑ์ด้วย
http://www.networkice.com/Download/PURCHASE.HTM - BlackICE Defender ของ Network ICE ราคา 39.95 เหรียญ สหรัฐ ฯ สามารถทำงานในเซิร์ฟเวอร์แต่คุณจำเป็นต้องกำหนดค่า ให้มันอนุญาตการเข้าถึงบางอย่าง(โดยค่าเริ่มต้นมันจะบล๊อกการเข้าถึงส่วนใหญ่) Network ICE ได้ออกเวอร์ชันสำหรับเซิร์ฟเวอร์ในปีนี้ ราคา 50 เหรียญสำหรับการอัพเกรด หรือ 139.95 เหรียญสำหรับเวอร์ชันเต็ม
http://www.checkpoint.com/products/firewall-1/index.html - Firewall 1
Windows 2000
Windows 2000 (ที่เพิ่งออกมาไม่นานมานี้) มีลักษณะเด่นด้านไฟร์วอลที่ดีมาก(ดีกว่า NT 4.0 มาก) เหมาะสำหรับเครื่องของผู้ใช้งานปลายทาง(end user)และเซิร์ฟเวอร์ขนาดเล็กและขนาดกลาง สำหรับเซิร์ฟเวอร์ที่ใหญ่กว่าคุณอาจพิจารณาใช้ผลิตภัณฑ์เสริม การกำหนดค่าของไฟร์วอลทำได้โดยการใช้ Microsoft Management Console tools คุณอาจทำได้ผ่านคอมพิวเตอร์เครื่องอื่น(remotely) (แน่นอนว่าคุณต้องทำอย่างระมัดระวังเพราะมันอาจทำให้คุณหลุดจากการติดต่อกับเครื่องนั้นได้)
OpenBSD
OpenBSD มี IPF ให้มาด้วย มันทำหน้าที่กรอง packet ได้ดีมาก(แจกฟรี)
ข้อมูลข่าวสารเพิ่มเติมดูได้ที่
http://www.securityportal.com/closet/closet20000216.html
NetBSD NetBSD มี IPF ให้มาด้วย มันทำหน้าที่กรอง packet ได้ดีมาก(แจกฟรี)
ข้อมูลข่าวสารเพิ่มเติมดูได้ที่
http://www.securityportal.com/closet/closet20000216.html
FreeBSD
FreeBSD มี IPF ให้มาด้วย มันทำหน้าที่กรอง packet ได้ดีมาก(แจกฟรีด้วย)
ข้อมูลข่าวสารเพิ่มเติมดูได้ที่
http://www.securityportal.com/closet/closet20000216.html
Solaris
Solaris สามารถใช้ IPF หรือผลิตภัณฑ์ไฟร์วอลเสริมอื่น ๆ
ข้อมูลเพิ่มเติมเกี่ยวกับ IPF ดูได้ที่
http://www.securityportal.com/closet/closet20000216.html
http://www.checkpoint.com/products/firewall-1/index.html - Firewall 1
เราจะสามารถป้องกันระบบและเน็ตเวิร์คของผมจากการถูกใช้เพื่อการโจมตีแบบ DoS/DDoS ในตอนนี้ได้อย่างไร ?
ใช้ไฟร์วอลเพื่อกั้นขวางเซอร์วิสที่ไม่จำเป็นทุกชนิด ปิดเซอร์วิสที่ไม่จำเป็นทุกชนิด วิธีนี้จะช่วยลดจำนวนของเซอร์วิส ที่อาจถูกโจมตีได้ เพื่อป้องกันให้การโจมตีทำสำเร็จยากที่สุดเท่าที่จะเป็นไปได้สิ่งที่ดีที่สุดที่คุณสามารถทำได้คือ การใช้เซิร์ฟเวอร์ที่ทรงพลังที่สุดที่สามารถหาได้ และปรับแต่งซอฟท์แวร์(ในขณะที่ถูกโจมตี ถ้าจำเป็น) ให้สามารถรับมือกับการเชื่อมโยงมากที่สุดเท่าที่เป็นไปได้ ลดค่าของ timeout ในการเชื่อมโยงไปยังเซอร์วิส จะลดผลกระทบของการโจมตีได้ แต่การเชื่อมโยงที่ถูกต้องก็อาจล้มเหลวเช่นเดียวกันด้วย
เราจะสามารถป้องกันระบบและเน็ตเวิร์คของผมจากการถูกใช้เพื่อการโจมตีแบบ DoS/DDoS ในอนาคตได้อย่างไร ?
ดูรายละเอียดได้ที่
http://www.ietf.org/internet-drafts/draft-moskowitz-hip-01.txt
http://www.ietf.org/internet-drafts/draft-moskowitz-hip-impl-00.txt
http://www.ietf.org/internet-drafts/draft-moskowitz-hip-arch-01.txt
ผมสามารถตรวจหาการโจมตีแบบ DoS/DDoS ที่โจมตีมาที่คอมพิวเตอร์ของผมได้อย่างไร ?
การติดต่อเข้ามาที่มีขนาดใหญ่ผิดปกติ เซิร์ฟเวอร์ทำงานหนักกว่าปกติในทันทีทันใด สิ่งเหล่านี้อาจเป็น สัญญาณของการถูกโจมตีแบบ DoS/DDoS ในแง่อื่นบางทีมันอาจแสดงให้เห็นถึงจุดที่มีการใช้งานหนัก ในเหตุการณ์ใด ๆ ก็ตาม คุณควรตรวจสอบการติดต่อและรูปแบบการใช้งาน ถ้าการติดต่อนั้นถูกต้อง คุณอาจจะต้องปรับค่าของเน็ตเวิร์คและเซิร์ฟเวอร์ของคุณหรืออาจเพิ่มอุปกรณ์เข้าไป ถ้าการติดต่อนั้นเป็นการโจมตี คุณก็จำเป็นที่จะต้องจัดการกับมันอย่างเหมาะสม มีระบบ Network Intrusion Detection Systems (NIDS) จำนวนมากที่สามารถตรวจพบการโจมตีอย่างมีเจตนาร้ายได้อย่างแม่นยำ พวกมันอาจทำงานคุ้มค่ากับการลงทุนถ้าคุณ install และดูแลรักษาอย่างถูกต้อง
ควรทำอย่างไรถ้าองค์กรของเราเป็นเป้าหมายของการโจมตีแบบ DoS/DDoS ?
ดูรายละเอียดที่
http://www.sans.org/y2k/DDoS.htm
เราจะตรวจหาการโจมตีแบบ DoS/DDoS ที่มีต้นกำเนิดมาจากคอมพิวเตอร์ของผมได้อย่างไร ?
วิธีการหนึ่งที่มีประสิทธิภาพมากคือการใช้ไฟร์วอลกลั่นกรองการติดต่อสู่ภายนอกที่ไม่ได้มีต้นกำเนิดมาจาก เน็ตเวิร์คของคุณจริง ๆ (ข้อมูลถูกปลอมขึ้นมา - spoofed data) ถ้าคุณพบว่าการติดต่อแบบนี้พยายามที่จะ ผ่านออกจากไฟร์วอลของคุณ คุณมั่นใจได้ว่าโฮสต์ภายในของคุณถูกใช้เพื่อเจตนาร้าย พยายามย้อนกลับไปที่ เครื่องต้นกำเนิด ซึ่งไม่น่าจะยากเกินไป เนื่องจาก(ในทางทฤษฏี) เน็ตเวิร์คอยู่ในการควบคุมของคุณ และขึ้นอยู่กับนโยบายด้านการรักษาความปลอดภัยของคุณด้วย คุณอาจจะปิดเครื่องนั้นและทดสอบดู อีกวิธีหนึ่งที่มี ประสิทธิภาพคือการบล๊อกพอร์ตที่มักจะถูกใช้(เช่น 37337) เพื่อการควบคุมเครื่องที่ใช้พอร์ตนั้นจากเครื่องจากที่อื่น
นอกจากนี้ผมแนะนำว่าคุณควรสแกนเน็ตเวิร์คของคุณเพื่อหาพอร์ตที่เปิดอยู่ โดยใช้เครื่องมือเช่น nmap หรือ saint ถ้ามีการเปลี่ยนแปลงใด ๆ เกิดขึ้นมันจะมันบอกให้คุณรู้และคุณใช้มาตรการที่เหมาะสมกับมัน มีเน็ตเวิร์คสแกนเนอร์ ที่ดีอีกตัวหนึ่งที่เรียกว่า Nessus มันสามารถหาช่องโหว่โดยทั่วไปส่วนใหญ่ได้ มันใช้ง่ายมาก