Data Communication and Network

 RST (Reset the Connection): เป็ นบิตทีเครืองต้นทางใช้ในการยกเลิกการ
เชือมต่อทีมีเนืองจากตรวจพบขอ้ ผดิ พลาดในการส่ง

 SYN (Synchronize Sequence number): เป็ นบิตทีถูกกําหนดให้เป็ น “1” ก็
ต่อเมือ TCP Segment นีใช้ส่งไปยงั เครืองปลายทางเพือสร้างการเชือมต่อ โดย
ค่าในฟิ ลด์ Sequence Number ขนาด 4 ไบต์จะเก็บค่า ISN (Initial Sequence
Number)

 FIN (No more data from sender): เป็ นบิตทีถูกกาํ หนดให้เป็ น “1” ก็ต่อเมือ
เครืองตน้ ทางสินสุดการส่งขอ้ มูล และส่ง TCP Segment สุดท้ายไปแจง้ เครือง
ปลายทางวา่ สินสุดการติดตอ่ แลว้

 Window: ขนาด 2 ไบตเ์ ป็ นฟิ ลด์ทีเก็บขนาดของชุดขอ้ มูลทีเครืองปลายทางประกาศมา
และสามารถรับได้ สําหรับการติดตอ่ ในแต่ละการเชือมตอ่ (Connection) หรืออีกนยั หนึง
คือขนาดของ Buffer ทีรองรับชุดขอ้ มูลทีเครืองตน้ ทางจะส่งต่อไปยงั เครืองปลายทางได้
โดยมีหน่วยเป็ นไบต์ (ขนาดของ Windows นีถ้าเป็ นเครืองต้นทางจะเป็ นการกาํ หนด
ขนาดของ Send Window หากเป็ นเครืองปลายทางจะเป็ นการกาํ หนดขนาดของ Receive
Window)

 Checksum: ขนาด 2 ไบต์เป็ นค่าทีใช้ในการตรวจสอบวา่ ขอ้ มูลชุดนีทีส่งออกไปจะถึง
มือผูร้ ับอยา่ งถูกตอ้ ง โดยค่า Checksum สามารถป้องกนั ขอ้ ผิดพลาดจากการขนส่ง ไม่วา่
จะเป็ น Source Address ผิดผูส้ ่ง, Destination Address ผิดผูร้ ับ, โพรโทคอลเปลียนไป,
TCP Length ไม่ตรง ซึ งค่า Checksum ก็จะผิดไปด้วย สําหรับวิธีการคํานวณค่า
Checksum ใช้หลักการเดียวกบั UDP Checksum ดังทีกล่าวมาขา้ งต้นแล้ว จะมีความ
แตกตา่ งก็ตรง Pseudo Header ทีนาํ มาใชค้ าํ นวณนนั เปลียนจาก UDP Length เป็น TCP

 Length Urgent Pointer: ขนาด 2ไบต์ เป็ นฟิ ลด์ทีระบุลําดับข้อมูลไบต์สุดท้ายของ
ขอ้ มูลสําคัญเร่งด่วน (Urgent Data) ซึงจะถูกนาํ ไปใช้ก็ต่อเมือ URG bit ถูกกาํ หนดค่า
เป็น “1”

 Option: ขนาด n x 8 บิต เป็นส่วนเพิมเติมทีโพรโทคอล TCP รองรับโดยจะมีขนาดเป็ น
จาํ นวนเท่าของไบต์ (8บิต) โดยมีองคป์ ระกอบ 3 ส่วนดว้ ยกนั คือ Option Kind, Option
Length, Option Data ดงั ภาพที 14.10

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 550

ภาพที 14.10 องค์กอบของ Option

จากภาพที 14.10 องคป์ ระกอบของ Option ทงั 3 ส่วนมีรายละเอียด ดงั นี
 Option Kind: ขนาด 1 ไบตเ์ ป็ นฟิ ลด์ทีกาํ หนดประเภทของ Option มี
ดว้ ยกนั 3 ประเภท คือ

Option Kind Option Length Description
0 - End of option list
1 - No Operation
2 4 Maximum Segment Size

 Option Kind = 0000 0000 โพรโทคอล TCP สามารถเรียกใช้ออปชนั
ไดม้ ากกว่า 1 ออปชนั พร้อมกนั ดงั นัน เมือมีการระบุใช้ TCP Option
จะมีออปชนั กต็ ามจะตอ้ งปิ ดทา้ ยดว้ ย Option Kind = 0 ยกเวน้ ในกรณีที
Option สุดทา้ ยทีเรียกใชไ้ ปจบตรงไบต์สุดทา้ ยของ TCP Header พอดีก็
ไมต่ อ้ งปิ ดทา้ ยดว้ ย Option Kind = 0

 Option Kind = 0000 0001 ออปชันนีไม่มีการกระทาํ ใด ๆ โดยปกติ
มกั จะนาํ ไปใชเ้ ป็นออปชนั ทีคนั ระหวา่ งออปชนั

 Option Kind = 0000 0010, Option Length = 0000 0100 ออปชนั ทีใช้
กําหนดขนาดทีใหญ่ทีสุดของเซ็กเมนท์ (Maximum Segment Size:
MSS11) โดยจะเรี ยกใช้ออปชันนีตังแต่เซ็กเมนท์แรกทีร้องขอการ

11 MSS หรือ Maximum Segment Size ค่าเริมตน้ ที TCP กาํ หนดไวค้ ือ 536 ไบต์ ซึงเกิดจากการคาํ นวณมาจาก
คา่ MTU ทีนอ้ ยทีสุด Internet Protocol ยอมรับคอื 576 ไบต์ จากนนั หกั ลบ IP Header 20 Bytes, TCP Header 20 ไบต์
(ไมร่ วมขนาดของ Options อนื ๆ ) จึงเหลือเทา่ กบั 576-20-20 = 536 ไบตถ์ ือเป็ นค่ามาตรฐานทีโพรโทคอล TCP กาํ หนด
เพอื ลดการเกิด IP Fragmentation

แต่ถา้ หากวา่ เรามีการคาํ นวณแลว้ วา่ ขอ้ มูลทีส่งมีขนาดแน่นอนและไมม่ ีการระบุ Options เพมิ เชน่ ส่งขอ้ มลู
ขนาด 1 KB เสมอ เราอาจกาํ หนดคา่ MSS = 1000 ไบตก์ ไ็ ดห้ รือมากกวา่ อีกเลก็ นอ้ ย เพือใหส้ ามารถส่งขอ้ มลู ไดใ้ นคราว

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 551

เชือมต่อ (SYN bit = 1) ถา้ ไม่เรียกใช้ออปชนั นีตงั แต่แรก ค่า MSS จะ
ถูกกาํ หนดใหเ้ ป็ นค่าเริมตน้ เทา่ กบั 536 โดย Option Data ทีเกบ็ คา่ MSS
มีขนาด 2 ไบต์ ดงั นนั ค่า Option length จึง = 4
 Option Length (ขนาด 1 ไบต์) เป็ นฟิ ลด์ทีระบุขนาดของ Option
ประกอบดว้ ย (ขนาดของ Option Kind + Length + Option Data)
 Option Data เป็ นขอ้ มูลทีใชใ้ นแตล่ ะประเภทของ Option
 Padding: ทาํ หน้าทีเติมเต็มฟิ ลด์ Option ให้มีขนาดเป็ นจาํ นวนเท่าของ 32 บิต โดยค่าที
เติมเขา้ ไปคือคา่ “0”
 Data: ขอ้ มูลทีแอปพลิเคชนั ตน้ ทางตอ้ งการส่งไปยงั แอปพลิเคชนั ปลายทาง

14.5 โพรโทคอล TCP กบั การจัดการ Connection

หัวขอ้ นีจะอธิบายถึงการเชือมต่อ (Established Connection) จวบจนกระทงั สินสุดการเชือมต่อ
ระหว่างเครืองตน้ ทางกบั ปลายทาง (Terminated Connection) โดยจะเริมจากการนําเสนอ Finite State
Machine (FSM) ซึงเป็ น Diagram ทีใชอ้ ธิบายขนั ตอนการสร้างจนถึงการสินสุดการเชือมต่อ ซึงผเู้ ขียนได้
แบ่งการนาํ เสนอออกเป็ น 2 ส่วน คือ การสร้างการเชือมต่อ และการสินสุดการเชือมต่อ ดงั รายละเอียด
ต่อไปนี

TCP Finite State Machine (FSM)
FSM (Finite State Machine) เป็นเครืองมือทีมกั ใชใ้ นการอธิบายการทาํ งานของโพรโทคอล หรือ
อลั กอริทึมทีมีความซบั ซ้อนระดบั หนึง ซึงจะนาํ เสนอในรูปแบบของ Diagram ทีแสดงถึงความสัมพนั ธ์
ระหวา่ งส่วนตา่ ง ๆ โดย FSM นีมีองคป์ ระกอบหลกั ทีเกียวขอ้ งอยู่ 4 ส่วนดว้ ยกนั คอื
1. State หมายถึง สถานะของโพรโทคอลในแต่ละช่วงเวลา
2. Transition หมายถึง กระบวนการทีเกิดขึนระหวา่ งทีมีการเปลียนแปลงสถานะ (Change State)
3. Event หมายถึง เหตุการณ์ทีทาํ ใหเ้ กิด Transition

เดียวและทีสาํ คญั อาจจะตอ้ งปรบั ค่าของ Sliding Windows (Receive Windows, Send Window) ใหม้ ีขนาดสมั พนั ธ์กบั
ขอ้ มลู และ MSS ทีเรากาํ หนดดว้ ย

ซึงการกาํ หนดค่า MSS เราจะตอ้ งกาํ หนดลงใน SYN Message ทีใชใ้ นการร้องขอเพือสร้างการเชือมต่อโดย
สามารถระบุในส่วน Segment Header Options

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 552

4. Action หมายถึง กระบวนการทีเกิดขึนเพือตอบสนองกบั Event นนั ก่อนทีจะเกิดกระบวนการ
Transition สําหรับ FSM ทีจะนาํ เสนอต่อไปนีเป็ น FSM ทีใช้อธิบายการทาํ งานของโพรโทคอล TCP ใน
การสร้างการเชือมต่อจากเครืองตน้ ทาง (Client) ถึงเครืองปลายทาง (Server) และอธิบายถึงการสินสุดการ
เชือมตอ่ ดว้ ยเช่นกนั โดย TCP Finite State Machine ทีนาํ มาแสดงในทีนี ผเู้ ขยี นไดม้ ีการปรับแต่งบางส่วน
เพือให้รูป Diagram สามารถสือให้ผอู้ ่านเขา้ ใจไดง้ ่ายขึน ดงั ภาพที 14.11 แต่ก่อนอืนขออธิบายสัญลกั ษณ์
หรือขอ้ ความทีมีการนาํ มาใชร้ ่วมกนั ในการนาํ เสนอดงั นี

 ตัวอักษรภาษาอังกฤษพิมพ์ใหญ่ในกรอบสีเหลียมหมายถึง TCP Connection State
(สถานะของโพรโทคอล TCP สาํ หรับการเชือมตอ่ ในขณะนนั ) ยกเวน้ จุดเริมตน้ BEGIN
ซึงแทจ้ ริงแลว้ จะเป็นสถานะ CLOSED แต่เพือให้ไม่สับสนเลยเปลียนเป็ นคาํ วา่ BEGIN

 เส้นทางลูกศรแบบ เป็นเส้นทางแสดงการเปลียนสถานะของฝัง Server
 เส้นทางลูกศรแบบทบึ เป็ นเสน้ ทางการเปลียนสถานะฝังของ Client
 เส้นทางลูกศรแบบธรรมดา เป็ นเสน้ ทางแสดงการเปลียนสถานะทีเกิดขึนแบบไม่ปกติ
 ขอ้ ความทีเป็นส่วนสาํ คญั ในการอธิบาย TCP FSM ประกอบดว้ ย

 SYN หมายถึง แพ็กเก็ตทีเป็ น Synchronized Message นันคือ กําหนดให้บิต
SYN ใน TCP Header เป็ น “1” ซึง SYN Message นีจะใช้ในกรณี ทีต้องการ
สินสุดการเชือมต่อระหวา่ งเครืองตน้ ทางกบั เครืองปลายทาง

 FIN หมายถึง แพ็กเก็ตทีเป็ น Finished Message นันคือ กาํ หนดให้บิต FIN ใน
TCP Header เป็ น “1” ซึง FIN Message นีจะใช้ในกรณีทีต้องการสินสุดการ
เชือมตอ่ ระหวา่ งเครืองตน้ ทางกบั เครืองปลายทาง

 ACK หมายถึง แพ็กเก็ตทีเป็ น Acknowledgment Message นนั คือกาํ หนดให้บิต
ACK ใน TCP Header เป็ น “1” ซึง ACK Message นีใช้ในการตอบกลับการ

Request ดว้ ย SYN หรือ FIN Message
 สําหรับขอ้ ความ SYN, FIN, ACK ไดม้ ีการใส่หมายเลขเขา้ ไปดว้ ย เพือสือถึงแพ็กเก็ตที

เหมือนกัน หรือต่างกัน เช่น ACK-1, ACK-2 แสดงถึง ACK Message ตัวที 1, 2 ซึง
หมายถึง ACK Message ทีต่างกนั

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 553

ภาพที 14.11 TCP Finite State Machine (FSM)
จากภาพที 14.11 TCP สามารถอธิบายการทาํ งานของโพรโทคอล TCP ในการจดั การเชือมต่อ
ออกเป็น 2 ส่วนคือ การสร้างการเชือมต่อ (Established Connection) และสินสุดการเชือมตอ่ (Terminated
Connection) โดยจะกล่าวถึงรายละเอียดในแต่ละส่วนในหวั ขอ้ ถดั ไปนี
TCP กบั กระบวนการสร้างการเชือมต่อ (Established Connection)
ตามผงั FSM กระบวนการสร้างการเชือมต่อของ TCP แสดงอยูใ่ นส่วนบนของผงั โดยส่วนบน
ซ้ายจะเป็ นฝังเซิร์ฟเวอร์ และส่วนบนขวาจะเป็ นฝังไคลเอนท์ ซึงหากปกติเครืองต้นทางและเครือง
ปลายทางยงั ไม่ได้ทาํ อะไรเลยสถานะของการเชือมต่อจะอยู่ที CLOSEED ถือเป็ นจุดเริมตน้ ของการ
เชือมต่อ ดงั นนั เมือเครืองตน้ ทางตอ้ งการติดต่อกบั เครืองปลายทางจะเกิดสถานะทีเปลียนแปลง ดงั นี

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 554

ฝังเซิร์ฟเวอร์

 LISTEN สถานะนีเกิดขึนเมือเครืองเซิร์ฟเวอร์เปิ ดบริการขึนมา เช่น FTP (Port 21),
TELNET (Port 23) เป็นตน้

 SYN RECEIVED สถานะนีเกิดขึนเมือมีการร้องขอใช้บริการผ่านพอร์ตทีเปิ ดอยู่ใน
สถานะ LISTEN

 ESTABLISHED สถานะนี เปลียนจาก SYN RECEIVED เมือเครื องต้นทาง และ
ปลายทางสร้างการเชือมต่อสําเร็จแลว้

ฝังไคลเอนท์

 SYN SENT สถานะนีเกิดขึนเมือเครืองตน้ ทางร้องขอใชบ้ ริการไปยงั เครืองปลายทาง
 ESTABLISHED สถานะนีเปลียนจาก SYN SENT เมือเครืองต้นทาง และปลายทาง

สร้างการเชือมตอ่ สําเร็จแลว้

TCP กบั กระบวนการสินสุดการเชือมต่อ (Terminate Connection)
ตามผงั FSM กระบวนการสินสุดการเชือมต่อแสดงอยู่ในล่างของผงั โดยส่วนล่างขวาเป็ นฝัง
Server และส่วนล่างซ้ายเป็ นฝัง Client หลงั จากทีเครืองตน้ ทางสร้างการเชือมต่อกบั เครืองปลายทางได้
แล้ว สถานะของการเชือมต่อจะเป็ น ESTABLISHED จากนันจึงเริมส่งถ่ายขอ้ มูลระหวา่ งกนั จนกระทงั
เครืองต้นทางต้องการจบการติดต่อจึงเข้าสู่กระบวนการสิ นสุดการเชือมต่อโดยจะเกิดสถานะที
เปลียนแปลงต่าง ๆ ทงั ฝังเซิร์ฟเวอร์ และฝังไคลเอนท์ ดงั นี

ฝังเซิร์ฟเวอร์

 ESTABLISHED เป็นสถานะล่าสุดก่อนจะเขา้ สู่กระบวนการสินสุดการเชือมต่อ
 CLOSE-WAIT เป็ นสถานะทีเกิดขึนเมือมีการร้องขอเพือตอ้ งการสินสุดการเชือมตอ่ จาก

ไคลเอนทท์ ีมีการเชือมตอ่ กนั อยู่
 LAST ACK เป็ นสถานะทีเกิดขึนหลังจากทีแอปพลิเคชันจบการทํางานแล้ว และ

เซิร์ฟเวอร์ไดแ้ จง้ ไปยงั ไคลเอนทท์ ีเชือมตอ่ ยู่
 CLOSED เป็ นสถานะทีแสดงถึงการสินสุดการเชือมต่อ โดยจะเปลียนเป็ นสถานะนีได้

เซิร์ฟเวอร์จะตอ้ งไดร้ ับการตอบกลบั จากไคลเอนทก์ ่อนวา่ ไดส้ ินสุดการทาํ งานแลว้

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 555

ฝังไคลเอนท์

 ESTABLISHED เป็นสถานะล่าสุดก่อนจะเขา้ สู่กระบวนการสินสุดการเชือมตอ่
 FIN-WAIT1 เป็ นสถานะทีเกิดขึนเมือไคลเอนท์ได้ร้องขอสินสุดการติดต่อกับเครือง

Server
 FIN-WAIT2 เป็ นสถานะทีเกิดขึนเมือไคลเอนท์ทีอยูใ่ นสถานะ FIN-WAIT1 และไดร้ ับ

การตอบกลบั จากเซิร์ฟเวอร์วา่ ไดร้ ับการร้องขอแลว้ และจะปิ ดโปรแกรม
 CLOSING เป็ นสถานะทีเกิดขึนเมือไคลเอนท์ทีอยูใ่ นสถานะ FIN-WAIT1 ซึงกาํ ลงั รอ

การตอบกลับจากเซิร์ฟเวอร์ แต่อยู่ ๆ ไดร้ ับการร้องขอสินสุดการติดต่อเขา้ มา (FIN
Message)
 TIME WAIT เป็ นสถานะทีเกิดขึนเมือไคลเอนท์ไดต้ อบกลบั การร้องขอจากเซิร์ฟเวอร์
หลงั จากทีแอพลิเคชนั ฝังเซิร์ฟเวอร์จบการทาํ งานแลว้
 CLOSE เป็ นสถานการณ์สินสุดการเชือมต่อ หลงั จากทีไคลเอนท์อยู่ในสถานะ TIME
WAIT และรอจนกระทงั หมดเวลา Timer Expired

กระบวนการสินสุดการเชือมต่อเมือพิจารณาจาก FSM แล้วพบว่ามีกระบวนการเกิดขึนใน 2
ลกั ษณะ คือ

. การสินสุดการเชือมต่อแบบ One-Way Request Terminated เป็ นการสินสุดการเชือมต่อแบบ
ทวั ไป กล่าวคือ ฝัง Client เมือเสร็จสินการทาํ งานมีการร้องขอยกเลิกการเชือมตอ่ ไปยงั Server ซึง Server
เมือไดร้ ับการร้องขอยกเลิกการเชือมต่อ (FIN Message) มาแลว้ ก็จะดาํ เนินการต่าง ๆ โดยมีกระบวนการ
โตต้ อบระหวา่ ง Client-Server

2. การสินสุดการเชือมต่อแบบ Two-Way Request Terminated เป็ นการสินสุดการเชือมต่อที
ต่างจากแบบแรก คือ ทงั ฝังไคลเอนท์ และฝังเซิร์ฟเวอร์มีการร้องขอยกเลิกการเชือมต่อทงั คู่โดยทีไม่ได้
นัดหมาย ทําให้สถานการณ์เชือมต่อในกระบวนการสินสุดการเชือมต่อแตกต่างจากแบบ One-Way
Request Terminated

TCP กับหมายเลข Sequence Number
ในกระบวนการสร้างการเชือมต่อ (Connection Established) ของโพรโทคอล TCP ซึงมีรูปแบบ
การทาํ งานแบบ Three-Way Handshake เครืองตน้ ทางและเครืองปลายทางจะมีการรับ/ส่ง TCP Segment
ทีสําคญั 2 แบบ คือ SYN Message และ ACK Message โดยที SYN Message เป็ น TCP Segment สําหรับ

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 556

การร้องขอการเชือมต่อและ ACK Message จะเป็ น TCP Segment ทีตอบกลับการร้องขอจาก SYN
Message นนั

โดยเมือเครืองตน้ ทางส่ง SYN Message เพือไปร้องขอการเชือมตอ่ นนั โพรโทคอล TCP จะดึงค่า
Sequence Number ขึนมาค่าหนึง แลว้ กาํ หนดในฟิ ลด์ Sequence Number โดยมีการกาํ หนดบิต SYN = 1
จากนนั ส่งไปยงั เครืองปลายทางทีตอ้ งการเชือมตอ่ เมือเครืองปลายทางไดร้ ับ SYN Message แลว้ ก็จะตอบ
กลบั การร้องขอนนั ดว้ ย ACK Message โดยจะระบุค่า Acknowledgment Number = (Sequence Number ที
ไดร้ ับมา + ) และกาํ หนดบิต ACK=1 พร้อมทงั ส่ง SYN Message กลบั ไปดว้ ย ซึงเครืองปลายทางนีก็จะ
ดึงค่า Sequence Number ขึนมาค่าหนึงแลว้ ส่งกลับไปดว้ ย เมือฝังตน้ ทางไดร้ ับ SYN Message กลบั ไป
ดว้ ย ซึงเครืองปลายทางนีก็จะดึงค่า Sequence Number ขึนมาค่าหนึงแลว้ ส่งกลบั ไปดว้ ย เมือฝังตน้ ทาง
ไดร้ ับ SYN Message ใหม่มาก็จะตอบกลบั ดว้ ย ACK Message โดยระบุค่า Acknowledgment Number =
(Sequence Number ทีไดร้ บั มา +1)

14.6 โพรโทคอล SCTP (Stream Control Transmission Protocol)

SCTP เป็นโพรโทคอลตวั ใหม่บนชนั สือสารจดั การนาํ ส่งขอ้ มูล (Transport Layer) ถูกพฒั นาขึน
มาเพือให้รองรับการส่งขอ้ มูลทีไม่เหมาะสมทีจะส่งดว้ ยโพรโทคอล TCP โดย หน่วยงาน IETF (Internet
Engineering Task Force) และ SIGTRA (Signaling Transport) เผยแพร่ในเอกสาร RFC 2960 ซึง SCTP มี
ลกั ษณะการทาํ งานคลา้ ยกบั โพรโทคอล TCP แต่ไดเ้ พิมคุณสมบตั ิเพือแกจ้ ุดดอ้ ยของโพรโทคอล TCP
โดยคุณสมบตั ิทีเพิมเขา้ มามดี งั ตอ่ ไปนี

1. Multihoming คือ คุณสมบตั ิทียอมให้มีการเชือมต่อกับ Server ไดม้ ากกว่า 1 เครืองในเวลา
เดียวกนั เพือขจดั ปัญหาการสือสารขดั ขอ้ ง เครือข่ายหยุดทาํ งานโดยเมือ Server ใดมีปัญหาไม่สามารถ
ให้บริการได้ Client สามารถร้องขอขอ้ มูลจาก Server อืนไดท้ นั ทีโดยไม่จาํ เป็ นตอ้ งเริมขอการเชือมต่อ
ใหม่ ดงั แสดงในภาพที 14.12

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 557

ภาพที 14.12 Multi-Homing

2. Multi-Streaming เนืองจากปัญหาทีพบในโพรโทคอล TCP คือ มชี ่องทางในการสือสารเพียง
ช่องทางเดียว SCTP จึงพฒั นาให้สามารถส่งชุดขอ้ มูล (Chunk) ไปพร้อมกันได้ โดยเปรียบเสมือนกบั มี
หลายช่องทาง

ในการสถาปนาการเชือมต่อของ Multi-Streaming จะทําการสถาปนาเพียงครังเดียว ซึงจะ
กาํ หนดค่าเฉพาะให้กบั ขอ้ มูลในแต่ละช่องทาง เพือให้ขอ้ มูลสามารถส่งออกไปไดพ้ ร้อมกนั เมือ Client
ไดร้ ับขอ้ มูลในแต่ละช่องทางมาแลว้ Client จะดาํ เนินการจดั เรียงและตรวจสอบขอ้ มูลในแตล่ ะช่องทางที
ไดร้ ับ ถา้ มีการสูญหายของขอ้ มูลในช่องทางใด Client จะร้องขอขอ้ มูลเฉพาะของช่องทางนนั เท่านนั โดย
ทีไม่มีผลกระทบกบั ขอ้ มูลในช่องทางอืน ทาํ ให้ช่องทางอืนสามารถดาํ เนินการรับขอ้ มูลต่อไปได้ ไม่
จาํ เป็ นตอ้ งหยดุ รอทงั หมด ซึงเป็ นการแกป้ ัญหา HOL ดงั ทีพบในภาพที 14.13 แสดงการส่งขอ้ มูลระหวา่ ง
Client กบั Server ซึง Client สร้างช่องทางการสือสาร 4 ช่องทาง จะเห็นวา่ ถา้ หากขอ้ มูลลาํ ดบั ที 3 ซึงถูก
ส่งดว้ ยช่องทางดา้ นบนสูญหายไป จะไม่กระทบกบั การส่งขอ้ มูลในช่องทางอืนเลย ช่องทางอืนจะยงั คง
สามารถดาํ เนินการส่งขอ้ มูระหวา่ งกนั ได้ มีเฉพาะช่องทางดา้ นบนเท่านนั ทีหยุดรอเพือใหข้ อ้ มูลส่งมาใน
ลาํ ดบั ทีถูกตอ้ ง

ภาพที 14.13 Multi-Streaming หนา้ ที 558

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์

3. 4-Way Handshake รูปแบบการสถาปนาการเชือมตอ่ ของโพรโทคอล SCTP เป็นแบบ 4-Way
Handshake ดงั ภาพที 14.14 Client จะเริมขอสถาปนาการเชือมต่อโดยการส่ง INIT Segment เมือ Server
ไดร้ ับ INIT Segment แลว้ จะตอบรับการขอสถาปนาโดยส่ง INIT-ACK Segment กลบั ให้ Client ตาม IP
Address ที Client ส่งมาและกลุ่มตวั เลขสุ่มที Server สร้างขึนมาเรียกว่า “COOKIE” แล้ว Client จะส่ง
COOKIE ที ได้ไป กับ COOKIE-ECHO Segment เมื อ Server ได้รับ COOKIE-ECHO Segment และ
ตรวจสอบวา่ เป็ น COOKIE ทีตนสร้างขึนมาจริง Server ก็จะจองหน่วยความจาํ ของระบบเพือใช้ในการ
รับ-ส่งขอ้ มูลและส่ง COOKIE-ACK Segment กลับ และเริมการรับ-ส่งขอ้ มูลระหว่างกนั อย่างไรก็ตาม
การขอสถาปนาการเชือมตอ่ แบบ 4-Way Handshake เนืองจากทาํ ให้ประสิทธิภาพลดลง แต่ในความเป็ น
จริงแล้ว การสถาปนาการเชือมต่อของโพรโทคอล SCTP นัน Client สามารถส่งข้อมูลแนบไปกับ
COOKIE-ECHO Segment ได้ ซึงเท่ากบั วา่ เป็ นกระบวนการขนั ตอนที 3 เทียบเท่ากบั TCP เดิม และเพิม
ความปลอดภยั ของเครือข่ายเพิมขึน

ภาพที 14.14 กระบวนการ 4-Way Handshake

4. Receive Windows ขนาด 32-bit Receive Windows ใน SCTP มีขนาดเพิมขึนเป็ น 32-bit จาก
เดิมใน TCP ซึงมีเพียง 16-bit ทาํ ให้ SCTP สามารถใชท้ รัพยากรเครือขา่ ยไดอ้ ยา่ งเตม็ ประสิทธิภาพ

ความแตกต่างระหว่างโพรโทคอล UDP, TCP และ SCTP
ในหวั ขอ้ นีจะเป็นการเปรียบเทยี บความแตกต่างของโพรโทคอลทงั สามทีไดก้ ลา่ วมา ซึงสามารถ
สรุป ไดด้ งั นี

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 559

UDP เป็ นโพรโทคอลแบบคอนเน็คชันเลส (Connectionless) ทีไม่มีการสร้างสถาปนาการ
เชือมต่อกับปลายทาง การส่งผ่านข้อมูลจะทําเป็ นแบบเมสเสจโอเรียนเต็ด (Message-Oriented) โดย
กระบวนการส่งมอบข่าวสารไปยงั UDP จะมีการเอนแคปซูเลตอยใู่ นยูสเซอร์ดาตา้ แกรมและส่งผา่ นบน
เครือข่าย ขอ้ สําคญั ของ UDP เป็ นโพรโทคอลทีมีความน่าเชือถือตาํ ข่าวสารทีส่งไปอาจสูญหายหรือ
ซาํ ซอ้ นได้ รวมถึงไม่มีการจดั ลาํ ดบั หมายเลขขา่ วสาร

TCP เป็ นโพรโทคอลแบบคอนเน็คชนั โอเรียนเต็ด (Connection-Oriented) ทีสร้างการเชือมต่อ
กบั ปลายทางก่อนการส่งขอ้ มูลจริง ในการส่งผา่ นขอ้ มูลจะเป็นแบบไบตโ์ อเรียนเตด็ (Byte-Oriented) โดย
ข่าวสารทีจดั ส่งจะเป็ นแบบ Stream ของไบตท์ ีส่งไปในรูปแบบของเซ็กเมนท์ โพรโทคอล TCP มีความ
น่าเชือถือ หากเซ็กเมนทท์ ีส่งไปสูญหาย ก็จะส่งซาํ ไปให้ใหม่ มีการตรวจสอบเซ็กเมนท์ทีซาํ ซ้อน และ
ไบต์ทีส่งไปยงั ปลายทางจะมีการจดั ลาํ ดบั หมายเลข รวมถึงยงั มีกลไกการควบคุมการไหลของขอ้ มูล และ
การควบคุมขอ้ ผดิ พลาด

SCTP เป็ นโพรโทคอลทีนําข้อดีของ UDP และ TCP มาใช้ และได้บวกคุณสมบัติเฉพาะตวั
เพิมเติมเข้าไป โดย SCTP เป็ นโพรโทคอลแบบคอนเน็คชันโอเรี ยนเต็ด (Connection-Oriented)
เช่นเดียวกบั โพรโทคอล TCP แต่การส่งผ่านขอ้ มูลจะเป็ นชนิดเมสเสจโอเรียนเต็ด มีความน่าเชือถือสูง
เนืองจากไม่มีการสูญหายของขอ้ มูล โดยข้อมูลจะมีการแบ่งเป็ นชุดขอ้ มูลหลาย ๆ ชุดทีเรียกว่า Chunk
และสนับสนุนการส่ งข้อมูลแบบ Multi-Stream ทีเหมาะกับระบบงานแบบเรียลไทม์ (Real Time)
โดยเฉพาะระบบออดิโอและวิดีโอ เหมือนกับโพรโทคอล UDP ขณะที โพรโทคอล TCP เป็ นแบบ
Single-Stream นอกจากนี SCTP สนบั สนุนการเชือมต่อหลายผใู้ หบ้ ริการ หรือทีเรียกวา่ “Multi-Homing”
ซึงถือวา่ เป็ นระบบทีรองรับความคงทนตอ่ ความผดิ พลาด (Fault-Tolerant) ทงั นีหากมีเส้นทางสือสารหนึง
เกิดลม้ เหลว อินเทอร์เฟซอีกเส้นหนึงก็สามารถนาํ มาใช้เพือส่งผา่ นขอ้ มูลไดโ้ ดยปราศจากการอินเทอร์
รัปตแ์ ละป้องกนั ปัญหากรณี Single Point of Failure ได้

14.7 ชันสือสารการประยกุ ต์ (Application Layer)

ชนั สือสารการประยุกต์หรือ แอปพลิเคชนั เลเยอร์ มีหน้าทีเชือมต่อและให้บริการโดยตรงกบั
แอปพลิเคชนั โพรเซสของผูใ้ ช้ แอปพลิเคชนั เลเยอร์ของชุดโพรโทคอล TCP/IP นนั จะทาํ งานเทียบไดก้ บั
แอปพลิเคชันเลเยอร์ พรีเซนเตชันเลเยอร์และทรานสปอร์ตเลเยอร์ของแบบจาํ ลอง OSI โดยทวั ไป
แอปพลิเคชนั เลเยอร์จะมีฟังกช์ นั เกียวกบั การโพรเซสดาตา้ ของยูสเซอร์ เช่น การเขา้ และถอดรหสั ขอ้ มูล
และการบีบอดั ขอ้ มูล การสร้างคอนเน็คชันระหวา่ งแอปพลิเคชนั ทีสือสารกนั ในชุดโพรโทคอล TCP/IP

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 560

นนั จะไม่มีเซสชนั เลเยอร์ แต่ฟังก์ชนั ของเลเยอร์นีจะทาํ ในระดบั โฮสตท์ ูโฮสตเ์ ลเยอร์โพรโทคอลในระดบั
นีส่วนใหญ่จะให้บริการแอปพลิเคชันของผูใ้ ช้ในการแลกเปลียนข้อมูลซึงกนั และกนั และตอ้ งตกลง
เกียวกบั รูปแบบของขอ้ มูลทีจะเปลียนกนั

ยกตวั อย่างเช่น ถา้ ผูใ้ ชต้ อ้ งการท่องเวบ็ อินเทอร์เน็ตเพือคน้ หาขอ้ มูล ผูใ้ ช้ตอ้ งใช้โปรแกรมเวบ็
บราวเซอร์อย่างเช่น Chrome หรือ Firefox แลว้ แต่ความชอบของแต่ละคน โดยแอปพลิเคชันนีก็จะใช้
โพรโทคอลในระดบั แอปพลิเคชนั ในการสือสารกบั เวบ็ เซิร์ฟเวอร์ทีอยบู่ นอินเทอร์เน็ต ซึงมีหลายขนั ตอน
และอาจใชห้ ลายโพรโทคอล ก่อนทีจะสามารถดาวน์โหลดหน้าเวบ็ มาแสดงให้ผูใ้ ช้ดู ดงั นนั ในหัวขอ้ นี
ผเู้ ขียนจึงจะกล่าวถึงการใชง้ านโพรโทคอลทีไดร้ ับความนิยมในชนั การสือสารนี ซึงบางโพรโทคอลนนั
อาจลงลึกในรายละเอียด ขณะทีบางโพรโทคอลอาจจะกล่าวถึงเพียงคร่าว ๆ ดงั มีรายละเอียดต่อไปนี

Domain Name System (DNS)
ในช่วงแรก ๆ ของการใชง้ านเครือข่ายทีใชโ้ พรโทคอล TCP/IP นนั แต่ละโฮสต์จะใชห้ มายเลข
ไอพีเพือแยกแยะแต่ละเครือง การทีผูใ้ ชอ้ ีกเครืองหนึงจะติดต่อกบั ผใู้ ชอ้ ีกเครืองหนึง ผใู้ ชค้ นนนั ตอ้ งรู้จกั
หมายเลขไอพีของอีกเครืองหนึงการใชง้ านแบบนีเหมาะสมสําหรับเครือข่ายขนาดไม่ใหญ่มากนกั แต่
เนืองจากการเติบโตของอินเทอร์เน็ตเป็ นไปอยา่ งรวดเร็วทาํ ให้การจาํ หมายเลขไอพี ซึงระบบนีเรียกว่า
DNS (Domain Name System) ดงั นันระบบ DNS จะทาํ หน้าทีแปลงชือโฮสต์ให้เป็ นหมายเลขไอพี หรือ
บางกรณีก็อาจทาํ ในทางตรงขา้ ม คือ การแปลงหมายเลขไอพีใหเ้ ป็ นชือโดเมน คาํ วา่ “ชือโดเมน” คือชือ
ทีตงั ให้กบั แต่ละโฮสตใ์ นระบบ ซึงแน่นอนวา่ ชือเหล่านีจะตอ้ งไมซ่ าํ กนั เช่นเดียวกบั หมายเลขไอพนี นั เอง
ชือโดเมนก็อยา่ งเช่น www.google.co.th, www.neu.ac.th, www.facebook.com เป็ นตน้ ซึงเป็ นชือทีจาํ ง่าย
กวา่ การจาํ หมายเลขไอพี

DNS ทาํ หน้าทีคลา้ ยกบั สมุดโทรศพั ท์ กล่าวคือ เมือมีคนตอ้ งการจะโทรศพั ทห์ าใคร คนนันจะ
เปิ ดสมุดโทรศพั ท์ดูเพือค้นหาหมายเลขโทรศพั ท์ของคนทีต้องการติดต่อ คอมพิวเตอร์ก็เช่นกนั เมือ
ตอ้ งการสือสารกับคอมพิวเตอร์เครืองอืนเครืองนันก็จะสอบถามหมายเลขไอพีของเครืองทีต้องการ
สือสารดว้ ยกบั DNS Server ซึงจะคน้ หาหมายเลขดงั กล่าวในฐานขอ้ มูลแลว้ แจง้ ให้โฮสตด์ งั กล่าวทราบ
ระบบ DNS แบ่งออกเป็น 3 ส่วน คือ

 Name Resolvers: ดงั ทีได้กล่าวมาในข้างต้น จุดประสงค์ของ DNS คือ การแปลงชือ
คอมพิวเตอร์ให้เป็ นหมายเลขไอพี ในเทอมของ DNS แลว้ เครืองไคลเอนท์ทีตอ้ งการ
สอบถามหมายเลขไอพีจะเรียกว่า “รีโซลเวอร์ (Resolver)” ซอฟตแ์ วร์ทีทาํ หน้าทีเป็ น

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 561

รีโซลเวอร์นันจะถูกสร้างมากบั แอปพลิเคชันหรืออาจจะเป็ นไลบรารีทีมีอยู่ในเครือง
ไคลเอนท์
 Domain Name Space: ฐานขอ้ มูลของระบบ DNS มีโครงสร้างเป็ นตน้ ไม้ ซึงจะเรียกวา่
โดเมนเนมสเปซ (Domain Name Space) แต่ละโดเมนจะมีชือและสามารถมีโดเมนย่อย
หรือซับโดเมน (Subdomain) การเรียกชือจะใช้จุด (.) เป็ นตวั แบ่งแยกระหว่างโดเมน
หลกั และโดเมนยอ่ ย
 Name Server: เนมเซิร์ฟเวอร์ คือ เครืองคอมพิวเตอร์ทีรันโปรแกรมจดั การฐานขอ้ มูล
บางส่วนของระบบ DNS เนมเซิร์ฟเวอร์จะตอบกลับการร้องขอทันทีโดยการค้นหา
ข้อมูลในฐานข้อมูลตัวเอง หรือจะส่งต่อการร้องขอไปยงั เนมเซิร์ฟเวอร์อืน ถ้าเนม
เซิร์ฟเวอร์มีเรคคอร์ดของส่วนของโดเมนแสดงวา่ เนมเซิร์ฟเวอร์นนั เป็ นเจา้ ของโดเมน
นนั (Authoritative) ถา้ ไมม่ ีกจ็ ะเรียกวา่ “Non-Authoritative”

โดเมนเนม (Domain Name)
โครงสร้างของระบบ DNS นันจะเป็ นแบบมีลําดบั ชัน (Hierarchy) ดังแสดงในภาพที 14.15
สิทธิในการจดั การโดเมนนนั ก็ถูกแบ่งใหเ้ ป็ นลาํ ดบั ชนั เช่นกนั ซึงจะแบ่งออกเป็น 3 ระดบั คือ

ภาพที 14.15 โครงสร้างของระบบ DNS

ทีมาของภาพ: http://mars.netanya.ac.il/~unesco/cdrom/booklet/HTML/NETWORKING/node100.html

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 562

จากภาพที 14.15 ระดบั โครงสร้างของระบบ DNS อธิบายไดด้ งั นี

 Root Domain: ลําดับสูงสุ ดของระบบโดเมน คือ รูทโดเมน (Root Domain) ทุก ๆ
โดเมนจะอยู่ภายใตร้ ูทโดเมนหมด ดงั นนั รูทโดเมนจึงเป็ นส่วนทีสําคญั มากของระบบ
DNS ในระบบอินเทอร์เน็ตนนั รูทโดเมนประกอบดว้ ยเซิร์ฟเวอร์ 7 เครือง

 Top-Level Domain: ระดบั โดเมนทีอยถู่ ดั ลงมาจากรูทโดเมนจะเรียกวา่ โดนเมนระดบั
ทีหนึง (Top-Level Domain) โดเมนในระดบั นีจะถูกกาํ หนดให้โดยประเภทขององคก์ ร
และประเทศ โดเมนในระดับนีจะแบ่งออกเป็ นสามส่วน คือ โดเมนขององค์กร
โดเมนของประเทศ และโดเมนการแปลงกลบั

 Second-Level Domain: สําหรับโดเมนระดบั รองลงมาจากท็อปเลเวลนีจะเป็ นโดเมนที
แจกจา่ ยใหก้ บั องคก์ รหรือบุคคลทีตอ้ งการมชี ือโดเมน

โดเมนทแี บ่งตามหน้าทขี ององค์กร
โดเมนในระดบั ทีหนึงนีจะอยูถ่ ดั จากรูทโดเมน แต่ละโดเมนจะใชโ้ คด้ ทีเป็ นตวั อกั ษร 2-4 ตวั เพือ
บ่งบอกจุดประสงคห์ รือหนา้ ทีหลกั ขององคก์ รนนั ๆ ตวั อยา่ งเช่น .com เป็ นโดเมนในระดบั นี

ตารางที 14.1 โดเมนทวั ไป

โดเมน ประเภทขององค์กร
.aero สายการบนิ ตา่ ง ๆ (Aeronautics)
.arpa สาํ หรับการใชง้ านเกียวกบั โครงสร้างของอินเทอร์เน็ต (Address and Routing Parameter Area)
.biz เพือการทาํ ธุรกิจ
.cat องคก์ รทีทาํ เกียวกบั ภาษาและวฒั นธรรม (Catalan linguistic and cultural community)
.com องคก์ รทีทาํ เกียวกบั การพาณิชย์ เช่น Facebook.com (Commercial)
.edu กาํ หนดใหก้ บั สถานศึกษาในประเทศสหรัฐอเมริกา เช่น มหาวทิ ยาลยั วิทยาลยั
.gov กาํ หนดใหห้ น่วยงานราชการของรัฐบาลสหรัฐอเมริกา (Government)
.org กาํ หนดใหก้ บั องคก์ รทีไม่หวงั ผลกาํ ไร (Non-Profit Organization)
.pro องคก์ รทีทาํ ธุรกิจดา้ นสินเชือบตั รเครดิต (Credentialed Professional)

ดูรายละเอียดเพิมเติมเกียวกบั รายการโดเมนทวั ไป ไดท้ ี http://www.iana.org/gtld/gtld/gtld.htm

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 563

โดเมนของประเทศ
นอกจากการตงั ชือโดเมนให้เหมาะกบั ประเภทหรือหน้าทีขององคก์ รแลว้ การตงั ชือโดเมนยงั ใช้
ประเทศในการแบ่ง ซึงจะใชต้ วั อกั ษร 2 ตวั เป็นการบอกชือประเทศ เช่น ประเทศไทยจะใช้ .th เป็นตน้

ตารางที 14.2 โดเมนทวั ไป

โดเมน ประเทศ
.th ไทย
.uk องั กฤษ
.au ออสเตรเลีย
.jp ญีป่ ุน
.tv โดเมนเนมระดับประเทศทีกาํ หนดให้กับประเทศ Tuvalu ซึงเป็ นเกาะเล็ก ๆ ในมหาสมุทร
แปซิฟิ กอยา่ งไรก็ตามเนืองจากชือยอ่ นนั ไปตรงกบั Television ทาํ ให้สถานีโทรทศั น์หลายแห่ง
จดชือโดเมนโดยใชช้ ือนีดว้ ย

สาํ หรับชือโดเมนของประเทศต่าง ๆ สามารถดูไดท้ ี http://www.iana.org/cctld/cctld-whois.htm

ชือโดเมนยงั สามารถใชแ้ บบผสมระหว่างทงั สองประเภททีกล่าวขา้ งตน้ โดยโดเมนทีบ่งบอก
ประเทศจะอยู่ขวาสุด และถัดมาจะเป็ นตวั อักษร 2-3 ตัวของโดเมนทีบอกประเภทขององค์กร เช่น
.com+.th จะได้โดเมนเป็ น .co.th หมายความว่า โดเมนของบริษทั หนึงทีอยู่ในประเทศไทย สําหรับซบั
โดเมนอืน ๆ ในประเทศไทย เช่น .or.th สําหรับองค์กรทวั ไป .go.th สําหรับหน่วยงานราชการ .in.th
สาํ หรับเวบ็ ส่วนตวั

ประเภทของ DNS เซิร์ฟเวอร์
ขอ้ มูลทีเก็บไวใ้ น DNS เซิร์ฟเวอร์แต่ละเครืองจะแตกต่างกนั ขึนอยูก่ บั หน้าทีหรือประเภทของ
DNS เซิร์ฟเวอร์นนั หน้าทีของเซิร์ฟเวอร์จะเป็ นสิงทีกาํ หนดว่า ขอ้ มูลจะถูกเก็บไวใ้ นเซิร์ฟเวอร์อยา่ งไร
โดย DNS เซิร์ฟเวอร์แบ่งเป็นประเภทตา่ ง ๆ ดงั นี

1. Primary Name Server คือ เซิร์ฟเวอร์ทีอ่านขอ้ มูลทีเกียวกบั คอนฟิ กกุเรชนั จากไฟล์ทีเก็บอยู่
ในเครืองนนั การเปลียนแปลงขอ้ มูลของโซน เช่น การเพิมเรคคอร์ดต่าง ๆ จะตอ้ งทาํ ทีเนมเซิร์ฟเวอร์หลกั
เท่านนั โซนแต่ละโซนจะมีเนมเซิร์ฟเวอร์หลกั ไดแ้ คเ่ ครืองเดียวเท่านนั

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 564

2. Secondary Name Sever คือ เนมเซิร์ฟเวอร์รอง จะถ่ายโอนขอ้ มูลของโซนจากเนมเซิร์ฟเวอร์
เครืองอืน ซึงอาจเป็นเนมเซิร์ฟเวอร์หลกั หรือเนมเซิร์ฟเวอร์รองก็ได้ ขบวนการการถ่ายโอนขอ้ มูลเกียวกบั
โซนนีจะเรียกวา่ “โซนทรานสเฟอร์ (Zone Transfer)” การมีเครืองเซิร์ฟเวอร์รองนนั มีประโยชน์ ดงั นี

 Redundancy: แต่ละโซนจะต้องมีเนมเซิร์ฟเวอร์หลักหนึงเครือง และเซิร์ฟเวอร์รอง
หนึงเครือง เซิร์ฟเวอร์รองจะทาํ หน้าทีแทนเซิร์ฟเวอร์หลักขดั ขอ้ งหรือหยุดทาํ งาน ซึง
เป็นความน่าเชือถือใหก้ บั ระบบนนั เอง

 Distribution: เนมเซิร์ฟเวอร์รองควรตงั อยู่คนละทีกบั เนมเซิร์ฟเวอร์หลกั หรือที ๆ มี
ไคลเอนท์มากพอสมควรเพือเป็ นการช่วยลดปริมาณแพก็ เก็ตทีตอ้ งวิงผ่านระบบ WAN
เนืองจากเนมเซิร์ฟเวอร์รองก็ทาํ หนา้ ทีเหมือนกบั เนมเซิร์ฟเวอร์หลกั

 Load Blancing: การใช้เนมเซิร์ฟเวอร์รองนนั จะช่วยแบ่งเบาโหลดของเนมเซิร์ฟเวอร์
หลกั ได้ ซึงจะช่วยไดเ้ วลาในการโพรเซสและตอบกลบั (Response Time) เร็วขึน

เนืองจากขอ้ มูลเกียวกบั โซนจะเก็บไวใ้ นรูปแบบไฟล์เฉพาะในเนมเซิร์ฟเวอร์หลกั ดงั นัน เนม
เซิร์ฟเวอร์เครืองหนึงอาจทาํ หน้าทีเป็ นเนมเซิร์ฟเวอร์หลกั ของโซนหนึง และอาจเป็ นเนมเซิร์ฟเวอร์รอง
ของอีกเซิร์ฟเวอร์หนึงกไ็ ด้

3. Master Name Server เป็ นแหล่งขอ้ มูลโซนของเซิร์ฟเวอร์รอง ดงั นนั มาสเตอร์เนมเซิร์ฟเวอร์
อาจเป็ นเนมเซิร์ฟเวอร์หลกั หรือเนมเซิร์ฟเวอร์รองก็ได้ เมือเปิ ดเนมเซิร์ฟเวอร์รองครังแรก มนั จะติดต่อ
กบั มาสเตอร์เนมเซิร์ฟเวอร์เพือทาํ โซนทรานสเฟอร์ สําหรับแต่ละโซนทีเซิร์ฟเวอร์นีทาํ หน้าทีเป็ นเนม
เซิร์ฟเวอร์รอง โซนทรานสเฟอร์จะเกิดขึนเป็นช่วง ๆ หรือเมือใดก็ตามทีขอ้ มูลเปลียนแปลงบนมาสเตอร์
เนมเซิร์ฟเวอร์

4. Forwarders and Slaves เมือเนมเซิร์ฟเวอร์ไดร้ ับการสอบถาม (Query) เขา้ มา เครืองนนั ก็จะ
ตรวจสอบขอ้ มูลเกียวกบั โซนนนั ในเซิร์ฟเวอร์นนั ก่อน ถา้ เซิร์ฟเวอร์นนั ไม่มีขอ้ มูลอยู่ หรือไม่มีขอ้ มูลที
เป็ นตน้ ฉบบั (Non-Authoritative) ของโซนนนั มนั กจ็ ะติดตอ่ กบั เนมเซิร์ฟเวอร์เครืองอืน

โดยส่วนใหญ่แลว้ กรณีนีจะเกิดขึนเมือโซนทีสอบถามมานันไม่อยู่ในระบบเครือข่ายเดียวกนั
DNS จะกาํ หนดให้เนมเซิร์ฟเวอร์เครืองหนึงทาํ หน้าทีเป็ นเครืองส่งต่อ (Forwarder) เพือทาํ หน้าทีร้องขอ
ขอ้ มูลไปยงั เนมเซิร์ฟเวอร์อืนทีอยบู่ นอินเทอร์เน็ต และส่งผลทีไดก้ ลบั ไปยงั เนมเซิร์ฟเวอร์ทีร้องขอมา ถา้
เครืองฟอร์เวิร์ดเดอร์ไม่สามารถตอบการร้องขอไดเ้ นมเซิร์ฟเวอร์ทีร้องขอมาจะตอ้ งตดั สินเองวา่ จะตอบ

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 565

การร้องขออยา่ งไร การทีเนมเซิร์ฟเวอร์จะตอบการร้องขอเองในกรณีทีฟอร์เวิร์ดเดอร์ไมท่ าํ งานจะเรียกวา่
“นอนเอก็ ซ์คลซู ีพโหมด (Non-Exclusive Mode)”

เอ็กซ์คลูซีพโหมด (Exclusive Mode) คือ โหมดทีเนมเซิร์ฟเวอร์ทาํ งานเดียว ๆ เนมเซิร์ฟเวอร์นนั
จะถูกกาํ หนดให้ตอบกลบั ดว้ ยขอ้ มูลผิดพลาด เมือเครืองฟอร์เวิร์ดเดอร์ไม่ทาํ งาน เนมเซิร์ฟเวอร์ทีทาํ งาน
แบบนีจะเรียกว่า “สเลฟ (Slave)” เนมเซิร์ฟเวอร์ทีเป็ นสเลฟจะไม่ติดต่อกับเนมเซิร์ฟเวอร์เครืองอืน
นอกจากฟอร์เวิร์ดเท่านนั

5. Caching-only Name Server ดีเอ็นเอสเซิร์ฟเวอร์จะเก็บเรคคอรร์ดของโซนทีไดร้ ับการตอบ
กลบั แลว้ ไวใ้ นแคชเป็ นเวลาช่วงหนึง ซึงถา้ เซิร์ฟเวอร์นีไมม่ ีขอ้ มูลเกียวกบั โซนทีเก็บไวใ้ นรูปแบบไฟลจ์ ะ
เรี ยกว่า แคชชิงโอนลีเนมเซิ ร์ฟเวอร์ (Caching-Only Name Server) ดังนันมันจึงไม่มีการทําโซน
ทรานสเฟอร์

ในตอนแรกทีแคชเซิร์ฟเวอร์เริมทาํ งานในเซิร์ฟเวอร์จะไม่มีขอ้ มูลใด ๆ เลย ดงั นนั มนั จะส่งต่อ
การร้องขอทงั หมดไปยงั เนมเซิร์ฟเวอร์เครืองอืน ในขณะเดียวกนั ก็จะเก็บขอ้ มูลการร้องขอตา่ ง ๆ ทีไดร้ ับ
การตอบกลบั มาไวใ้ นแคช ครังต่อไปทีมีการร้องขอทีเหมือนกนั มนั ก็สามารถตอบกลบั ไดท้ นั ที ในตอน
แรกนนั แคชเซิร์ฟเวอร์จะรับส่งขอ้ มูลในปริมาณทีมากกบั เครือข่ายอินเทอร์เน็ต เนืองจากตอนแรกยงั ไม่มี
ขอ้ มูลอยูใ่ นแคชเลย แตเ่ นืองจากแคชเซิร์ฟเวอร์ไม่ตอ้ งทาํ โซนทรานสเฟอร์ ดงั นนั ปริมาณแพ็กเก็ตก็จะ
นอ้ ยลงเมือถึงช่วงเวลาหนึง

หลกั การทาํ งานของ DNS
ขบวนการร้องขอ (Query) ของระบบ DNS จะมดี ว้ ยกนั 3 วธิ ี คือ รีเคอร์ซีพ (Recursive), อินเทอร์
แอค็ ทีฟ (Interactive) และอินเวอร์ส (Inverse)

การร้องขอแบบรีเคอร์ซีพและอนิ เทอร์แอค็ ทฟี
โดยปกติการร้องขอแบบรี เคอร์ซีพ (Recursive Query) จะเกิดขึนระหว่างไคลเอนท์และ
เนมเซิร์ฟเวอร์ การทีเนมเซิร์ฟเวอร์ไดร้ ับการร้องขอแบบนีจะตอบกลบั ดว้ ยขอ้ มูลเกียวกบั โดเมนนนั หรือ
อาจตอบกลับเป็ นข้อความทีบอกการผิดพลาด ถ้าหากข้อมูลของโดเมนหรือโฮสต์นันไม่มีในระบบ
เนมเซิร์ฟเวอร์ทีไดร้ ับการร้องขอแบบรีเคอร์ซีพนีจะรับผิดชอบเกียวกบั การคน้ หาขอ้ มูลของโดเมนหรือ
โฮสต์ โดยไม่สามารถส่งตอ่ การร้องขอให้เนมเซิร์ฟเวอร์อืนได้ อยา่ งไรกต็ ามเนมเซิร์ฟเวอร์นีสามารถร้อง
ขอแบบอินเทอร์แอ็คทีฟ (Interactive Query) กบั เนมเซิร์ฟเวอร์อืนได้ เพือคน้ หาเนมเซิร์ฟเวอร์ทีมีสิทธิใน
การจดั การโดเมนดงั กล่าว

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 566

ส่วนการร้องขอแบบอินเทอร์แอ็คทีฟนนั จะเกิดขึนระหวา่ งเนมเซิร์ฟเวอร์ด้วยกันเอง การตอบ
กลบั ของการร้องขอแบบอินเทอร์แอ็คทีฟนนั ส่วนใหญ่ จะเป็ นขอ้ มูลเกียวกับเนมเซิร์ฟเวอร์ทีอาจจะให้
ขอ้ มูลเกียวกบั โดเมนนนั ในภาพที 14.17 แสดงขนั ตอนการทาํ งานของระบบ DNS โดยไคลเอนทเ์ ครือง
หนึงร้องขอหมายเลขไอพขี อง www.neu.ac.th มีขนั ตอนการทาํ งานเป็น ดงั นี

1. ไคลเอนท์ตอ้ งการทราบหมายเลขไอพีของโฮสต์ www.neu.ac.th การร้องขอนีจะส่งไปยงั
DNS เซิร์ฟเวอร์ทีไคลเอนทถ์ ูกกาํ หนดใหใ้ ช้ ดงั นนั การร้องขอนีจงึ เป็นแบบรีเคอร์ซีพ

. เนืองจาก DNS เซิร์ฟเวอร์ของเครืองไคลเอนทไ์ ม่มีอาํ นาจในการจดั การโดเมน neu.ac.th มนั จึง
ร้องขอแบบอินเทอร์แอ็คทีฟไปยงั รูทเนมเซิร์ฟเวอร์ ซึงเป็ นเนมเซิร์ฟเวอร์บนสุดของระบบอินเทอร์เน็ต
ดงั นนั เนมเซิร์ฟเวอร์ทุกเครืองทีอยบู่ นอินเทอร์เน็ตตอ้ งมีหมายเลขไอพขี องรูทเนมเซิร์ฟเวอร์

. รูทเนมเซิร์ฟเวอร์จะเก็บหมายเลขไอพีของเนมเซิร์ฟเวอร์ในระดบั รองลงมา จึงตอบกลบั ดว้ ย
หมายเลขไอพีของดอตทีเอช (.th) เนมเซิร์ฟเวอร์

. หลงั จากนนั เนมเซิร์ฟเวอร์ของไคลเอนทก์ ็จะร้องขอแบบอินเทอร์แอ็คทีฟไปยงั ดอตทีเอช (.th)
เนมเซิร์ฟเวอร์อีก

5. ดอตทีเอช (.th) เนมเซิร์ฟเวอร์ก็ตอบกลับมาดว้ ยหมายเลขไอพีของเนมเซิร์ฟเวอร์ทีจดั การ
โดเมน .ac.th

6.เนมเซิร์ฟเวอร์ของเครืองไคลเอนท์ก็ร้องขอไปยงั เนมเซิร์ฟเวอร์ของโดเมน .ac.th ขอเนม
เซิร์ฟเวอร์ทีจดั การโดเมน .neu.ac.th

7. เนมเซิร์ฟเวอร์ของโดเมน .neu.ac.th ก็ตอบกลบั พร้อมกบั หมายเลขไอพโี ฮสต์ www.neu.ac.th
8. ท้ายสุ ดเนมเซิร์ฟเวอร์ก็ตอบกลับไปยังไคลเอนท์พร้อมกับหมายเลขไอพีของโฮสต์
www.neu.ac.th ซึงเป็นการจบขบวนการ

ภาพที 14.16 การร้องขอแบบรีเคอร์ซีพและอนิ เทอร์แอค็ ทฟี หนา้ ที 567

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์

การร้องขอแบบอนิ เวิร์ส (Inverse)
การร้ องขอแ บบ อิ นเวิร์ ส จะตรงกัน ข้ามกับ การร้ อ งขอแบ บ รี เคอร์ ซี พ แล ะอิ น เทอ ร์ แอ็คที ฟ
กล่าวคือ การร้องขอแบบรีเคอร์ซีพและอินเทอร์แอ็คทีฟจะเป็ นการร้องขอหมายเลขไอพีของโดเมนหรือ
โฮสตท์ ีตอ้ งการทราบ ส่วนการร้องขอแบบอินเวิร์สจะเป็ นการร้องขอชือโดเมนหรือโฮสต์ของหมายเลข
ไอพีนัน ๆ การร้องขอแบบนีจะไม่เกิดขึนบ่อยนกั แต่จะใช้ในบางแอปพลิเคชนั เช่น ระบบรักษาความ
ปลอดภยั หรือใชส้ าํ หรบั การวเิ คราะห์ปัญหาทีเกียวกบั เครือข่าย เพือให้การร้องขอแบบอินเวริ ์สสาํ เร็จ เนม
เซิร์ฟเวอร์ตอ้ งสร้างโดเมนทีเรียกว่า in-addr.arpa รายการในโดเมนนีจะประกอบดว้ ยหมายเลขไอพีและ
ชือโฮสต์

World Wide Web: HTTP
เวิลด์ไวด์เว็บ หรือเรียกสัน ๆ ว่า เว็บ (Web) หรือ WWW เป็ นแอปพลิเคชันหนึงทีทําให้
อินเทอร์เน็ตเป็ นทีนิยมมากในปัจจุบนั WWW ใชโ้ พรโทคอล HTTP (Hyper Text Transfer Protocol) ซึง
เป็ นโพรโทคอลทีใช้รับส่งไฟล์ HTML (Hyper Text Markup Language) โดย HTML นันเป็ นภาษาทีใช้
อธิบายการแสดงเวบ็ เพจนันเอง WWW เป็ นแอปพลิเคชันทีทาํ งานแบบไคลเอนท์เซิร์ฟเวอร์ กล่าวคือ
WWW จะมีโฮสต์เครืองหนึงทีทาํ หน้าทีเป็ นเซิร์ฟเวอร์เรียกว่า “เว็บเซิร์ฟเวอร์ (Web Server)” ซึงทาํ
หนา้ ทีใหบ้ ริการเอกสาร HTML ส่วนเครืองไคลเอนทน์ นั ใชโ้ ปรแกรมเวบ็ บราวเซอร์ (Web Browser) เช่น
Google Chrome ซึงจะร้องขอไฟล์ HTML จากเวบ็ เซิร์ฟเวอร์และแสดงผลใหผ้ ใู้ ชด้ ู

กลไกการทาํ งานของ HTTP
โพรโทคอล HTTP เป็ นโพรโทคอลทีอยูใ่ นชนั แอปพลิเคชนั ของชุดโพรโทคอล TCP/IP ซึงจะ
เป็ นตวั กาํ หนดรูปแบบการร้องขอไฟลข์ องไคลเอนท์ (เวบ็ บราวเซอร์) จากเวบ็ เซิร์ฟเวอร์ และรูปแบบการ
ถ่ายโอนไฟล์จากเวบ็ เซิร์ฟเวอร์ไปยงั ไคลเอนท์ โดยขนั ตอนคร่าว ๆ นนั ได้แสดงไวใ้ นภาพที 14.17 ซึง
สามารถอธิบายไดด้ งั นีคือ ขบวนการนนั จะเริมทีทางฝังไคลเอนท์ โดยผใู้ ชค้ ลิกทีลิงคใ์ นเวบ็ เพจ หรือพมิ พ์
URL (Uniform Resource Locator) ในช่องทีอยู่ (Address) ของเวบ็ บราวเซอร์ หลงั นนั เวบ็ บราวเซอร์จะส่ง
การร้องขอ (HTTP Request) ผา่ นเครือข่ายไปยงั เวบ็ เซิร์ฟเวอร์ไดร้ ับการร้องขอ ก็จะคน้ หาไฟล์ทีกาํ หนด
ใน URL ซึงถา้ พบก็จะตอบกลบั (HTTP Response) พร้อมกบั ไฟล์กลบั ไปยงั ฝังไคลเอนท์ เวบ็ บราวเซอร์
เมือได้รับการตอบกลบั ก็จะแสดงไฟล์นันให้ผูใ้ ช้ดู โพรโทคอล HTTP นันไม่ได้กําหนดรูปแบบการ
แสดงผลใหผ้ ูใ้ ชด้ ู ซึงหน้าทีนีเป็ นของเวบ็ บราวเซอร์ ดงั นนั เวบ็ บราวเซอร์ทีต่างกนั อาจแสดงเวบ็ เพจไม่
เหมือนกนั ก็ได้

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 568

ภาพที 14.17 การทาํ งานของโพรโทคอล HTTP

การถ่ายโอนไฟล์ FTP (File Transfer Protocol)
FTP เป็ นโพรโทคอลสําหรับถ่ายโอนไฟล์ระหวา่ งสองเครือง โพรโทคอล FTP นนั มีมาพร้อมกบั
อินเทอร์เน็ตสมยั แรก ๆ และยงั คงเป็ นโพรโทคอลทีนิยมในปัจจุบนั FTP ถูกอธิบายในเอกสาร RFC 959
ดงั แสดงในภาพที 14.18 แสดงลกั ษณะของการถ่ายโอนไฟลร์ ะหวา่ งไฟลเ์ ครืองดว้ ย FTP

โดยทวั ไปเมือผใู้ ชต้ อ้ งการทีจะถ่ายโอนไฟลร์ ะหวา่ งเครือข่าย ผูใ้ ชก้ ็จะเปิ ดโปรแกรม FTP ซึงสิง
ทีผูใ้ ช้ตอ้ งระบุในการเชือมต่อครังแรก คือ ชือหรือทีอยู่ของ FTP เซิร์ฟเวอร์ พร้อมทงั ชือล็อกอินและ
รหสั ผา่ น หลงั จากนนั ไคลเอนทจ์ ะสร้างการเชือมต่อ TCP กบั เซิร์ฟเวอร์ และส่งขอ้ มลู เกียวกบั การล็อกอิน
เพือเซิร์ฟเวอร์จะไดต้ รวจสอบสิทธิของผูใ้ ช้ และถา้ ตรวจสอบสิทธิผา่ น ผูใ้ ชก้ ส็ ามารถอพั โหลดไฟล์ หรือ
ดาวน์โหลดไฟลร์ ะหวา่ งเครืองของผใู้ ชแ้ ละเซิร์ฟเวอร์ได้

ภาพที 14.18 การถ่ายโอนไฟล์ด้วยโพรโทคอล FTP

โพรโทคอล FTP และ HTTP มีหลายอย่างทีเหมือนกนั เช่น ทงั สองเป็ นโพรโทคอลสาํ หรับถ่าย
โอนไฟล์ และนอกจากนีใช้การเชือมต่อแบบ TCP เหมือนกัน อย่างไรก็ตามทังสองโพรโทคอลมี
ขอ้ แตกต่างทีสาํ คญั คือ โพรโทคอล FTP จะใชก้ ารเชือมต่อ TCP ทีขนานกนั สองการเชือมต่อ การเชือมต่อ

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 569

แรกใช้สําหรับการควบคุมการถ่ายโอนไฟล์ (Control Connection) ช่องการเชือมต่อควบคุมนันจะใช้
สําหรับการส่งขอ้ มูลหรือคาํ สังทีใช้สําหรับการถ่ายโอนข้อมูลหรือไฟล์ (Data Connection) ช่องการ
เชือมต่อควบคุมนันจะใช้สําหรับการส่งขอ้ มูลหรือคาํ สังทีใชส้ ําหรับควบคุมการถ่ายโอนไฟล์ระหว่าง
โฮสต์ เช่น ชือล็อกอิน รหัสผา่ น คาํ สังสาํ หรับการเปลียนไดเรคทอรีหรือคาํ สังสําหรับการอพั โหลดไฟล์
(put) และคาํ สังสาํ หรับการดาวนโ์ หลดไฟล์ (get) เป็ นตน้ ส่วนช่องการเชือมต่อขอ้ มูลนนั ก็ใชส้ าํ หรับการ
ถ่ายโอนไฟล์ ส่วนโพรโทคอล HTTP นันจะใช้การเชือมต่อเดียวสําหรับทงั รับทงั ส่งขอ้ มูลการควบคุม
และไฟลเ์ วบ็ เพจ

ขบวนการของการถ่ายโอนไฟลด์ ว้ ยโพรโทคอล FTP เริมจากเครืองไคลเอนทส์ ร้างการเชือมต่อ
TCP กบั ทางฝังเซิร์ฟเวอร์ทางพอร์ต 21 ซึงการเชือมตอ่ นีเป็ นช่องสาํ หรับการรับส่งขอ้ มูลการควบคุมการ
ถ่ายโอนไฟล์ เมือสร้างการเชือมตอ่ สําหรับต่อไปทางฝังไคลเอนท์ก็จะส่งขอ้ มูลล็อกอิน เช่น ชือผูใ้ ชแ้ ละ
รหสั ผา่ นไปให้ทางฝังเซิร์ฟเวอร์ตรวจสอบสิทธิ เมือเซิร์ฟเวอร์ตรวจสอบสิทธิผา่ น ไคลเอนทก์ ็สามารถ
ดาวน์โหลดหรืออพั โหลดไฟลไ์ ด้ ซึงมีขนั ตอน ดงั นี เมือไคลเอนทต์ อ้ งการดาวน์โหลดไฟล์ ไคลเอนทก์ ็
จะส่งขอ้ มูลเกียวกบั ไฟล์นนั ไปให้ทางเซิร์ฟเวอร์ผ่านทางพอร์ต 21 เมือเซิร์ฟเวอร์ไดร้ ับการร้องขอก็จะ
สร้างการเชือมตอ่ ใหม่โดยใชพ้ อร์ต 20 กบั ทางฝังไคลเอนท์ หลงั จากนนั ไฟล์ทีร้องขอนนั ก็จะถูกถ่ายโอน
ผา่ นทางพอร์ต 20 และเมือถ่ายโอนเสร็จก็จะปิ ดการเชือมต่อทีพอร์ต 20 และเมือมีการร้องขอใหม่ซึง
อาจจะเป็ นการอพั โหลดหรือดาวน์โหลดไฟล์ก็จะสร้างเชือมต่อ TCP ผา่ นพอร์ต 20 ใหม่ แต่ช่องการ
เชือมตอ่ สาํ หรับควบคุมนนั ยงั คงสภาพไวจ้ นกวา่ ทางฝังไคลเอนทจ์ ะยกเลิก

จดหมายอเิ ลก็ ทรอนิกส์ (E-Mail)
อีเมล หรือจดหมายอิเล็กทรอนิกส์ เป็ นอีกแอปพลิเคชนั หนึงทีนิยมมาก รองจากเวลิ ดไ์ วด์เวบ็ ใน
อินเทอร์เน็ตปัจจุบนั หลกั การทาํ งานของอีเมลนนั จะคลา้ ย ๆ กบั จดหมายทวั ๆ ไป กล่าวคือ ผใู้ ชส้ ามารถ
รับส่งขอ้ ความถึงกนั และกนั ได้ แตข่ อ้ ไดเ้ ปรียบของอีเมล คือ รวดเร็ว ง่ายตอ่ การส่ง และถูกกวา่ นอกจาก
ขอ้ ความธรรมดาแลว้ ปัจจุบนั เรายงั สามารถส่งขอ้ ความในรูปแบบของเอกสาร HTML ซึงเราสามารถใส่
ลิงค์ รูปภาพ เสียง หรือแมก้ ระทงั วิดีโอก็ไดด้ ว้ ย ซึงมีโพรโทคอลทีสนับสนุนการทาํ งานของจดหมาย
อิเล็กทรอนิกส์ ดงั นี

SMTP (Simple Message Transfer Protocol)
SMTP เป็ นโพรโทคอลทีสนับสนุนระบบจดหมายอิเล็กทรอนิกส์บนอินเทอร์เน็ต ซึงได้มีการ
อธิบายไวใ้ นเอกสาร RFC 821 ทาํ หนา้ ทีส่งอเี มลจากเมลเซิร์ฟเวอร์ของผูส้ ่งไปยงั เมลเซิร์ฟเวอร์ของผรู้ ับ

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 570

POP (Post Office Protocol)
POP เป็ นโพรโทคอลทีใช้อ่านจดหมายในกล่องรับจดหมาย ซึงเวอร์ชันทีใช้ในปัจจุบนั คือ
เวอร์ชนั 3(POP3) และรายละเอียดไดถ้ ูกอธิบายในเอกสาร RFC 1939 การทาํ งานนนั จะเริมจากไคลเอนท์
สร้างการเชือมต่อแบบ TCP กบั เมลเซิร์ฟเวอร์ผ่านพอร์ต 110 ซึงในระหว่างการเชือมต่อนันจะมีการ
เชือมต่ออยู่ 3 ระยะ ดงั นี ระยะแรกเมือไคลเอนท์สร้างการเชือมต่อกบั เซิร์ฟเวอร์แล้วก็จะส่งขอ้ มูลการ
ล็อกอิน คือ ชือผใู้ ช้ และรหัสผา่ น เพือตรวจสอบสิทธิการใชง้ าน ระยะทีสอง เป็ นการดาวน์โหลดอีเมล
จากเซิร์ฟเวอร์ และในระยะนีไคลเอนท์สามารถกาํ หนดว่า เมลไหนทีผูใ้ ช้ต้องการลบออกจากกล่อง
จดหมาย และระยะสุดทา้ ยคือ การสินสุดการเชือมต่อ โดยเมลเซิร์ฟเวอร์จะลบอีเมลทีผูใ้ ชต้ อ้ งการ และ
สินสุดการเชือมตอ่

IMAP (Internet Message Access Protocol)
ปัญหาของ POP3 คือ ผูใ้ ช้ไม่สามารถจดั การกบั กล่องจดหมายตวั เองได้ ทาํ ได้แค่ดาวน์โหลด
จดหมายและลบจดหมายทีไม่ตอ้ งการเท่านนั สําหรับผูใ้ ช้บางคนทีตอ้ งการเก็บจดหมายไวท้ ีเซิร์ฟเวอร์
เพือทีเขาจะไดอ้ ่านจดหมายจากเครืองใดก็ไดน้ นั เมือจดหมายทีเก็บไวใ้ นกล่องจดหมายเพิมจาํ นวนมาก
ขึน ก็อาจทาํ ใหผ้ ใู้ ชย้ ากทีจะจดั การจดหมายได้ ถา้ ใช้ POP3 นนั ผใู้ ชไ้ ม่สามารถบอกไดว้ า่ จดหมายไหนที
อา่ นแลว้ หรือผูใ้ ชไ้ ม่สามารถสร้างโฟลเดอร์ใหม่ทีเซิร์ฟเวอร์ได้ ทาํ ให้ยากตอ่ การคน้ หาจดหมายหรือถา้
ตอ้ งการอา่ นเฉพาะจดหมายใหม่ก็ทาํ ยาก
IMAP เป็นโพรโทคอลทีใชส้ าํ หรับจดั การกล่องจดหมาย โดยเวอร์ชนั ล่าสุด คือ เวอร์ชนั 4 ซึงได้
อธิบายในเอกสาร RFC และถูกคิดคน้ ขึนมาเพือแก้ไขปัญหาของ POP3 ซึง IMAP นีมีคุณสมบตั ิ
ต่าง ๆ มากกวา่ POP3 แต่จะซับซ้อนมากกว่า IMAP เป็ นโพรโทคอลทีอนุญาตให้ผูใ้ ชส้ ามารถจดั การ
กล่องจดหมายทีเซิร์ฟเวอร์ ตวั อย่างเช่น ผูใ้ ชส้ ามารถสร้างโฟลเดอร์เพือจดั เก็บจดหมายใหม่ทีเซิร์ฟเวอร์
ได้ และยงั สามารถยา้ ยจดหมายจากโฟลเดอร์หนึงไปยงั อีกโฟลเดอร์หนึงได้ และนอกจากนีเซิร์ฟเวอร์ยงั
เก็บรายละเอียดเกียวกบั วา่ จดหมายนีไดถ้ ูกเปิ ดอา่ นแลว้ หรือยงั เป็ นตน้ นอกจากนี IMAP ยงั อนุญาตให้
ผใู้ ชส้ ามารถดาวนโ์ หลดเฉพาะบางส่วนของจดหมายเท่านนั เช่น ขอ้ มูลส่วนหวั ของจดหมาย หรือถา้ เป็ น
จดหมายแบบมีไฟล์แนบ (Attachment) ผูใ้ ชอ้ าจกาํ หนดใหด้ าวน์โหลดเฉพาะขอ้ ความเท่านนั ส่วนไฟล์ที
แนบให้เก็บไวท้ ีเซิร์ฟเวอร์ก่อนคุณสมบัติเหมาะสําหรับในกรณีทีแบนด์วิดธ์ระหว่างไคลเอนท์และ
เซิร์ฟเวอร์ตาํ ซึงถา้ ดาวน์โหลดทงั จดหมายอาจใชเ้ วลานานเกินไป

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 571

ในการเชือมตอ่ แต่ละครัง IMAP นนั เซิร์ฟเวอร์จะอยใู่ น 4 สถานะคือ

 Non-Authenticated State: สถานะเริมเมือมีการสร้างการเชือมต่อในตอนแรก โดยใน
ขนั นีไคลเอนทต์ อ้ งส่งชือลอ็ กอินและรหสั ผา่ น เพือตรวจสอบสิทธิการใชง้ านไดเ้ ท่านนั

 Authentication State: เมือเซิร์ฟเวอร์ตรวจสอบผูใ้ ชผ้ า่ นแลว้ ขนั ตอนตอ่ ไปผใู้ ชต้ อ้ งส่ง
ขอ้ มลู เกียวกบั วา่ ตอ้ งการอา่ นหรือจดั การจดหมายทีอยใู่ นโฟลเดอร์ใด

 Selected State: เมือเลือกโฟลเดอร์แลว้ ผใู้ ช้ถึงมีสิทธิจดั การจดหมายได้ เช่น ดาวน์โหลด
ยา้ ยโฟลเดอร์ ลบจดหมาย หรือดาวน์โหลดบางส่วนของจดหมาย เป็นตน้

 Logout State: สถานะนีเริมเมือผใู้ ชส้ ินสุดการเชือมต่อ หรือเซิร์ฟเวอร์ยกเลิกได้

คาํ สังของ IMAP นันจะใช้กบั บางสถานะเท่านัน โดยถ้าไคลเอนท์ใช้คาํ สังไม่ถูกกบั สถานะ
เซิร์ฟเวอร์ก็จะส่งขอ้ ความเตือนให้ฝังไคลเอนท์ทราบ สาํ หรับรูปแบบการเชือมต่อนนั จะคลา้ ยของ POP3
แต่จะมีฟังกช์ นั ทีหลากหลายกวา่ และนอกจากนี IMAP เซิร์ฟเวอร์จะใหบ้ ริการทีพอร์ต 143

SNMP (Simple Network Management Protocol)
SNMP เป็ นโพรโทคอลในแอปพลิเคชันเลเยอร์ทีใช้สําหรับการบริ หารจัดการเครื อข่าย
โพรโทคอลนีเป็นส่วนหนึงในชุดโพรโทคอล TCP/IP ซึงช่วยใหผ้ ูด้ ูแลระบบสามารถจดั การประสิทธิภาพ
วเิ คราะห์ปัญหา และใหข้ อ้ มูลเพือใชส้ าํ หรับการวางแผนเพือการขยายเครือข่ายในอนาคต

โพรโทคอล SNMP ไดพ้ ฒั นามาแลว้ 2 เวอร์ชนั คือ SNMPv1 และ SNMPv2 ซึงทงั สองเวอร์ชนั มี
หลายคุณสมบตั ิทีเหมือนกนั แต่เวอร์ชนั 2 จะมีส่วนขยายเพิม ส่วนเวอร์ชนั 3 (SNMPv3) นนั จะเนน้ เพิม
ส่วนของการรักษาความปลอดภยั ในส่วนนีจะอธิบายหลกั การทาํ งานของโพรโทคอล SNMP

องค์ประกอบพืนฐานของ SNMP
การใชง้ านโดยทวั ไปของโพรโทคอล SNMP นนั ในเครือข่ายจะมีอุปกรณ์เครือข่ายจาํ นวนมากที
ตอ้ งการจดั การและจะมีระบบหนึงซึงทาํ หน้าทีเป็ นศูนยก์ ลางในการบริหารจดั การ ในแต่ละอุปกรณ์
เครือข่ายทีตอ้ งการบริหารจดั การก็จาํ เป็ นทีตอ้ งติดตงั เอเจนต์ (Agent) ซึงทาํ หนา้ ทีรายงานขอ้ มูลเกียวกบั
อุปกรณ์ตวั นนั ผา่ นโพรโทคอล SNMP มายงั เครืองเซิร์ฟเวอร์ทีทาํ หนา้ ทีบริหารเครือข่าย ระบบการจดั การ
ระบบเครือขา่ ยทีใชโ้ พรโทคอล SNMP จะประกอบดว้ ย 3 ส่วนคือ

 อุปกรณ์เครือข่ายทีตอ้ งการบริหารจดั การ (Managed Devices) หนา้ ที 572
 เอเจนต์ (Agents)
 ระบบบริหารจดั การเครือขา่ ย (Network Management Systems หรือ NMS)

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์

อุปกรณ์เครือข่ายทีตอ้ งการจดั การ (Management Devices) คือ อุปกรณ์เครือข่ายทีติดตงั เอเจนต์
SNMP ซึงเอเจนต์จะทาํ หน้าทีรวบรวมและเก็บสถิติขอ้ มูลของอุปกรณ์ และส่งขอ้ มูลนีกบั NMS โดยใช้
โพรโทคอล SNMP อุปกรณ์เครือข่ายทีต้องการจดั การ เช่น เราท์เตอร์ แอคเซสเซิร์ฟเวอร์ สวิตซ์ ฮบั
คอมพวิ เตอร์ หรือเครืองพิมพ์ เป็นตน้

เอเจนตเ์ ป็ นซอฟตแ์ วร์ทีติดตงั ทีอุปกรณ์เครือขา่ ยทีตอ้ งการจดั การ ซึงซอฟตแ์ วร์นีจะจดั การขอ้ มูล
ของอุปกรณ์นันและแปลงให้สามารถใช้งานไดก้ บั โพรโทคอล SNMP โดยปกติเอเจนต์จะส่งขอ้ มูล
เกียวกับอุปกรณ์นันในรูปแบบของตวั แปรเช่น “free memory”, “system name”, “number of running
process”, “default route” เป็นตน้

ส่วน NMS เป็นเซิร์ฟเวอร์ทีมอนิเตอร์และควบคุมอุปกรณ์เครือข่ายอีกทีหนึง โดยจะเรียกดูขอ้ มูล
ทีจดั เก็บไวโ้ ดยเอเจนต์ โดยใชค้ าํ สัง GET, GETNEXT และ GETBULK หรือบางทีอาจกาํ หนดให้เอเจนต์
ส่งข้อมูลให้ NMS โดยทีไม่ต้องรอคาํ สังจาก NMS การส่งขอ้ มูลให้ NMS โดยทีไม่ตอ้ งรอจะใช้คาํ สัง
TRAP หรือ INFORM นอกจากนี NMS ยงั สามารถอพั เดตค่าคอนฟิ กกุเรชนั ไปยงั อุปกรณ์ดงั กล่าวโดยใช้
คาํ สัง SET เพือสาํ หรับการจดั การอุปกรณ์เครือข่ายนนั ๆ ค่าตวั แปรตา่ ง ๆ ทีจดั เก็บไว้ และสามารถเรียกดู
ไดโ้ ดยโพรโทคอล SNMP มีการจดั เก็บอยา่ งมีรูปแบบและมีโครงสร้างเป็นแบบลาํ ดบั ชนั ฐานขอ้ มูลนีจะ
เรียกวา่ “MIB (Management Information Base)”

MIB (Management Information Base)
MIB เป็ นฐานขอ้ มูลทีเก็บรวบรวมข้อมูลทีเกียวกบั การจดั การเครือข่าย และมีการเก็บแบบเป็ น
ลําดับชัน MIB สามารถแอ็คเซสได้โดยใช้โพรโทคอลจัดการระบบ เช่น SNMP ฐานข้อมูลจะ
ประกอบดว้ ยออบเจ็กต์ (Object) ซึงแต่ละออบเจ็กตจ์ ะมีหมายเลขประจาํ แต่ละออบเจ็กต์ (Object ID) ซึง
เป็ นค่าหนึงทีบอกคุณสมบตั ิหรือสถานะของอุปกรณ์ทีถูกจดั การนนั ๆ แต่ละออบเจก็ ตอ์ าจมีหลายหน่วย
(Instance) หรือตวั แปรนนั เอง

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 573

สรุปท้ายบทที 14

ชันสือสารจัดการนําส่งข้อมูล (Transport Layer) มีหนา้ ทีรับผดิ ชอบนาํ ส่งขอ้ มูลจากโพรเซสถึง
โพรเซส โดยทีโพรเซสในทีนี หมายถึงโปรแกรมประยกุ ต์ (Application) ทีรันอยบู่ นโฮสต์

โพรโทคอลภายในชนั สือสารจดั การนําส่งขอ้ มูลสามารถเป็ นได้ทงั แบบคอนเน็คชนั เลส หรือ
คอนเน็คชนั โอเรียนเตด็

ชนั สือสารจดั การนาํ ส่งขอ้ มูลรับผดิ ชอบเกียวกบั การควบคุมการไหลของขอ้ มูล และการควบคุม
ขอ้ ผดิ พลาดซึงคลา้ ยกบั ชนั สือสารเชือมต่อขอ้ มูล แต่จะเกียวขอ้ งกบั การส่งมอบขอ้ มูลในลกั ษณะ End-to-
End มากกวา่ ทีจะส่งผา่ นภายในลิงคเ์ ดียวกนั

ชนั สือสารจดั การนาํ ส่งขอ้ มูลมีการผนวกเฮดเดอร์เพิมเขา้ ไปตามชนิดของแอดเดรส ทีเรียกว่า
“Service-Point Address”

พอร์ต (Port) เป็ นหมายเลขกาํ กบั ช่องสือสาร ทีใช้เป็ นจุดเชือมต่อเพือการส่งข้อมูลระหว่าง
โปรแกรม ดังนันพอร์ตจึงเปรียบเสมือนแอดเดรสบนโพรโทคอลระดับแอปพลิเคชัน และการ
อินเทอร์เฟซระหวา่ งโพรเซสกบั พอร์ตจะดาํ เนินการโดยระบบปฏิบตั กิ ารของโฮสต์

ช็อกเก็ต (Socket) คือ การรวมไอพีแอดเดรส โพรโทคอลชนั สือสารจดั การนาํ ส่งข้อมูล และ
หมายเลขพอร์ตเขา้ ดว้ ยกนั

พอร์ตแต่ละหมายเลขจะถูกกาํ หนดด้วยแอดเดรสทีเป็ นเลขจาํ นวนเต็มขนาด 16 บิต จึงสามารถ
สนบั สนุนพอร์ตไดม้ ากถึง 65,536 พอร์ตดว้ ยกนั

Well-known Ports คือ หมายเลขพอร์ตทีอยู่ระหว่าง 0 – 1023 ทีสงวนไว้เพือการบริ การ
มาตรฐานของโฮสตฝ์ ังเซิร์ฟเวอร์ และเป็ นหมายเลขพอร์ตทีถูกกาํ หนดและควบคุมโดย IANA

Registered Ports คือ หมายเลขพอร์ตทีอยใู่ นช่วง 1024-49151 ทีมิไดถ้ ูกกาํ หนดและควบคุมโดย
IANA แต่สามารถนาํ ไปจดทะเบียนกบั IANA เพือป้องกนั การซาํ ได้

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 574

Dynamic Ports คือ หมายเลขพอร์ตทีอยูใ่ นช่วง 49152-65535 โดยพอร์ตเหล่านีเป็ นพอร์ตทีมิได้
จดทะเบียน สามารถนาํ ไปใช้งานโดยแอปพลิเคชนั โปรแกรมทวั ไปได้ และเป็ นหมายเลขพอร์ตแบบไม่
คงที

UDP (User Datagram Program) เป็ นโพรโทคอลชนิดคอนเน็คชันเลส จะไม่มีการสร้างคอน
เน็คชนั กบั สถานีปลายทางก่อนการส่งขอ้ มูล และไม่รับประกนั ถึงขอ้ มูลทีส่งไปวา่ จะถึงปลายทางหรือไม่
ทังนีหากข้อมูลไปไม่ถึงปลายทางหรื อเกิดข้อผิดพลาดขึน ชันสื อสารทีอยู่เหนือกว่าจะต้องเป็ น
ผดู้ าํ เนินการแกไ้ ขเอง

TCP (Transmission Control Protocol) เป็ นโพรโทคอลทีมีความน่าเชือถือสูง การส่งข้อมูล
เป็ นไปในรูปแบบของคอนเน็คชนั โอเรียนเตด็ ซึงจะสร้างคอนเน็กชนั เพือกาํ หนดเส้นทางการเชือมต่อนี
TCP จะมีการสร้างวงจรเสมือนระหวา่ งฝังส่งและฝังรับเพอื ใหเ้ กิดความคล่องตวั ในระหวา่ งการส่งขอ้ มูล

SCTP (Stream Control Transmission Protocol) เป็ นโพรโทคอลตวั ใหม่บนชนั สือสารจดั การ
นาํ ส่งขอ้ มูลทีมีความน่าเชือถือ ถูกออกแบบมาเพือใช้งานกบั โปรแกรมประยุกต์บนอินเทอร์เน็ต และมี
ความทนั สมยั กวา่ โพรโทคอล TCP

SCTP เป็ นโพรโทคอลทีนาํ ขอ้ ดีของโพรโทคอล UDP และ TCP มาใช้ และได้บวกคุณสมบตั ิ
เฉพาะตวั เพิมเติมเขา้ ไป คือ คุณสมบตั ิของ Multi-Stream และ Multi-Homing

ชันสือสารการประยุกต์ จัดเป็ นส่วนทีผู้ใช้ได้อินเทอร์เฟซกับคอมพิวเตอร์โดยตรง โดย
ชนั สือสารการประยกุ ตไ์ ดม้ ีการจดั เตรียมโพรโทคอลตา่ ง ๆ มากมายเพือสนบั สนุนงานบริการใหแ้ ก่ผใู้ ช้

DNS (Domain Name System) คือ ระบบการตงั ชือทีใช้งานในอินเทอร์เน็ต โดยชือคอมพิวเตอร์
แตล่ ะเครืองจะประกอบดว้ ยลาํ ดบั ของชือในส่วนต่าง ๆ ทีคนั ดว้ ยจุด

FTP (File Transfer Protocol) เป็นโพรโทคอลทีบริการโอนถ่ายแฟ้มขอ้ มูลระหวา่ งโฮสต์

SMTP (Simple Message Transfer Protocol) เป็ นโพรโทคอลทีสนับสนุนระบบจดหมาย
อิเลก็ ทรอนิกส์บนอินเทอร์เน็ต

POP (Post Office Protocol) เป็ น โพ รโท คอลที อนุ ญ าตให้เครื องไคลเอน ท์ติดต่อกับ
เมลเซิร์ฟเวอร์ เพือเขา้ ไปยงั กล่องจดหมายของตนเอง

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 575

IMAP (Internet Message Access Protocol) เป็ นโพรโทคอลทีใช้สําหรับจดั การกล่องจดหมาย
ถูกคิดคน้ ขึนมาเพอื แกป้ ัญหาของโพรโทคอล POP เวอร์ชนั 3

SNMP (Simple Network Management Protocol) เป็ นโพรโทคอลทีนํามาใช้เพือการจดั การ
เครือข่าย และควบคุมอุปกรณ์บนเครือข่าย

HTTP (Hyper Text Markup Language) เป็ นข้อกําหนดทีใช้สําหรับเรี ยกดูเอกสารจาก
เวลิ ดไ์ วดเ์ วบ็ ซึงจดั เป็นตวั กลางในการรบั ส่งขอ้ มูลระหวา่ งโปรแกรมบราวเซอร์และเวบ็ เซิร์ฟเวอร์

WWW (World Wide Web) เป็ นระบบไฮเปอร์มีเดีย ทีใชบ้ นเครือขา่ ยอินเทอร์เน็ตเพือการเขา้ ถึง
เวบ็ เพจ ซึงสามารถบรรจุไดท้ งั ขอ้ ความ รูปภาพ เสียง คลิปวิดีโอ และรวมถึงไฮเปอร์ลิงค์ทีใช้สําหรับ
อา้ งอิงไปยงั เวบ็ เพจอืน ๆ

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 576

แบบฝึ กหัดท้ายบทและการค้นคว้า

จงตอบคําถามต่อไปนี

1. จงอธิบายความสัมพนั ธ์ระหวา่ งชนั สือสารจดั การนาํ ส่งขอ้ มลู กบั ชนั สือสารการประยกุ ต์
พร้อมยกตวั อยา่ งมาใหเ้ ขา้ ใจ

2. จงอธิบายวา่ งานใดในความรับผดิ ชอบของชนั สือสารจดั การนาํ ส่งขอ้ มูลทีคลา้ ยคลึงกบั
งานในความรับผดิ ชอบของชนั สือสารเชือมต่อขอ้ มลู

3. ช็อกเกต็ หมายถึงอะไร เกียวขอ้ งกบั ชนั สือสารจดั การนาํ ส่งขอ้ มูลอยา่ งไร จงอธิบาย
4. จงอธิบายความแตกต่างของการส่ งมอบข้อมูลแบบ Host-to-Host, Node-to-Node,

Process-to-Process
5. จงอธิบายความแตกต่างของโพรโทคอล UDP TCP และ SCTP
6. จงอธิบายหลกั การทาํ งานของ DNS
7. จงอธิบายรายละเอียดหนา้ ทีของโพรโทคอล ต่อไปนี

7.1 FTP
7.2 SMTP
7.3 POP
7.4 IMAP
7.5 SNMP
7.6 HTTP
8. ถา้ ไคลเอนทใ์ ชโ้ พรโทคอล TCP ในการส่งขอ้ มูลไปยงั เซิร์ฟเวอร์ ซึงขอ้ มูลทีตอ้ งการส่ง
มีขนาด 16 ไบต์ จงคาํ นวณหาประสิทธิภาพของการส่งทีชนั สือสารจดั การนาํ ส่งขอ้ มูล
(หาอตั ราส่วนของจาํ นวนไบตข์ อ้ มูลจริงกบั จาํ นวนไบตท์ งั หมดทีตอ้ งส่งออกไป)
9. จากขอ้ 8 จงคาํ นวณหาประสิทธิภาพของการส่งทีชนั สือสารควบคุมเครือขา่ ยโดยไม่ตอ้ ง
มีออปชนั ใด ๆ ในเฮดเดอร์ของ IP
10. จากขอ้ 9 จงคาํ นวณหาประสิทธิภาพของการส่งทีชนั สือสารเชือมตอ่ ขอ้ มูล โดยไมต่ อ้ งมี
ออปชนั ใด ๆ ในเฮดเดอร์ของ IP และใชอ้ ีเทอร์เนต็ ทีชนั สือสารเชือมต่อขอ้ มลู

บทที 14 ชนั สือสารจดั การนาํ ส่งขอ้ มลู และชนั สือสารการประยกุ ต์ หนา้ ที 577



บทที 15

ความมนั คงของระบบเครือข่าย
Network Security

วตั ถุประสงค์การเรียนรู้

1. สามารถอธิบายองคป์ ระกอบพืนฐานเรืองความปลอดภยั ของขอ้ มูลได้
2. สามารถนาํ มาตรการความมนั คง ความปลอดภยั ขนั พืนฐานทีเหมาะสมมาประยุกต์ใช้

งานจริงได้
3. สามารถอธิบายรายละเอยี ดของภยั คุมคามระบบเครือขา่ ยได้
4. เขา้ ใจเทคนิคพืนฐานของการเขา้ รหสั และการถอดรหสั ขอ้ มูล
5. เขา้ ใจหลกั การเขา้ รหสั กุญแจสาธารณะ ลายเซ็นดิจิตอล
6. อธิบายหลกั การทาํ งานของไฟร์วอลล์ และชนิดของไฟร์วอลลไ์ ด้

ปัจจุบนั ระบบคอมพวิ เตอร์และเครือข่ายเขา้ มามบี ทบาทกบั ชีวิตประจาํ วนั ของเรามากขึน ไม่วา่ จะ
เป็ นการใชง้ านเครือข่ายแลน ภายในองคก์ ร เช่น การใชง้ านระบบฐานขอ้ มูลผา่ นทางเครืองแมข่ ่ายโดยตรง
หรือผ่านทางเวบ็ การเขา้ ถึงระบบสารสนเทศองค์กรผ่านทางอินทราเน็ต และการเข้าถึงทรัพยากรจาก
ภายนอกผ่านทางอินเทอร์เน็ต นอกจากนันระบบเครือข่ายคอมพิวเตอร์ยงั มีความจาํ เป็ นต่อการดาํ เนิน
ธุรกิจไม่วา่ จะเป็ นการใชเ้ พือสนบั สนุนการดาํ เนินธุรกิจ หรือการดาํ เนินธุรกิจบนเครือข่ายอินเทอร์เน็ตก็
ตาม เมือข้อมูลทีสําคญั มีการส่งผ่านไปมาบนระบบเครือข่ายแลว้ สิงสําคญั ทีจะตอ้ งคาํ นึงถึงคือความ
ปลอดภยั ไม่วา่ จะเป็ นความปลอดภยั ของขอ้ มลู หรือความปลอดภยั ของตวั ระบบเอง

เนือหาในบทนีจึงกล่าวถึงพืนฐานเกียวการรักษาความปลอดภัยของระบบคอมพิวเตอร์และ
เครือข่าย องคป์ ระกอบของความปลอดภยั ของขอ้ มูล มาตรฐานความปลอดภยั ภยั คุกคามระบบเครือข่าย
การเขา้ รหัสกุญแจสาธารณะ และการทาํ งานของอุปกรณ์ป้องกนั เครือข่ายอยา่ งเช่น ไฟร์วอลล์ ทา้ ยสุด
ผเู้ ขียนหวงั วา่ ผอู้ ่านจะสามารถนาํ ความรู้ทีไดไ้ ปประยกุ ตใ์ ชง้ านไดจ้ ริง

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 579

15.1 การรักษาความปลอดภยั ของระบบคอมพวิ เตอร์และเครือข่าย

การรักษาความปลอดภยั ของระบบคอมพิวเตอร์และเครือข่ายและระบบสารสนเทศสามารถ
แบ่งเป็ นหมวดหมู่ใหญ่ ๆ ได้ 4 หมวดหมู่ ไดแ้ ก่ การรักษาความปลอดภยั ด้านกายภาพ การรักษาความ
ปลอดภยั ของคอมพิวเตอร์แม่ข่ายและลูกข่าย การรักษาความปลอดภยั ของอุปกรณ์เครือข่ายและระบบ
เครือขา่ ย และการรักษาความปลอดภยั ของขอ้ มูล

การรักษาความปลอดภัยด้านกายภาพ
การรักษาความปลอดภยั ดา้ นกายภาพ หมายถึง การป้องกนั การเข้าถึงระบบคอมพิวเตอร์และ
เครือข่ายในทางกายภาพ เช่น การเขา้ ถึงเครืองแม่ข่ายโดยตรง (นงั อยูห่ น้าเครืองจบั ตอ้ งตวั เครืองและกด
แป้นพมิ พไ์ ด)้ การเขา้ ไปกดป่ ุมรีเซ็ตรหสั ผา่ นของอปุ กรณ์เครือข่ายโดยตรง เป็นตน้

 การเข้าถึงเครืองคอมพิวเตอร์และอุปกรณ์โดยตรง หากผูบ้ ุกรุกสามารถเขา้ ไปจบั ตอ้ ง
เครืองพิวเตอร์ได้ เช่น อยูห่ นา้ จอ และกดแป้นพิมพ์ได้เขาสามารถทีจะกดป่ ุมรีเซ็ตเพือ
เปิ ดเครืองขึนมาใหม่แล้วแก้ไขรหัสของระบบปฏิบตั ิการบนเครืองได้ ดังนันเครือง
คอมพิวเตอร์ทีมีความสําคญั เช่น เครืองคอมพิวเตอร์แม่ข่ายและอุปกรณ์ Core Switch,
Router และ Firewall ควรทีจะไดร้ ับการป้องกนั ไวใ้ นห้องเซิร์ฟเวอร์ทีมีกุญแจล็อค มี
ระบบควบคุมการเขา้ ออกของเจา้ หนา้ ทีระบบเครือข่าย และมีการติดกลอ้ งวงจรปิ ดหนา้
ทางเขา้ หอ้ งเซิร์ฟเวอร์ เป็นตน้

 การเข้าถึงระบบโดยตรงเพือการขโมย/แก้ไข/ทาํ ลายข้อมูล และวาง Back Door หากผบู้ ุก
รุกเขา้ ถึงเครืองคอมพวิ เตอร์แม่ข่ายโดยตรงรีเซ็ตรหสั ผ่าน เขาสามารถทีจะแอบคดั ลอก
เพือขโมยขอ้ มูลออกมา และสามารถแกไ้ ขขอ้ มูล หากผูบ้ ุกรุกประสงค์ร้ายอาจมีการ
ทาํ ลายข้อมูลได้ นอกจากนันหากผูบ้ ุกรุกแอบนําโปรแกรมประเภท Back Door และ
Trojan ไปติดตงั ไวบ้ นเครืองคอมพิวเตอร์แม่ข่าย จะทาํ ให้เขาสามารถกลบั เขา้ มาควบคุม
เครืองคอมพิวเตอร์แม่ข่ายได้ โดยการรีโมตผา่ นระบบเครือข่ายและอนิ เทอร์เน็ต

 ขโมย/ทาํ ลายอปุ กรณ์และเครืองคอมพวิ เตอร์ การเขา้ ถึงทางกายภาพเป็นช่องทางใหผ้ ูบ้ ุก
รุกสามารถขโมยอุปกรณ์คอมพิวเตอร์ หรือทาํ ลายฮาร์ดแวร์ให้ได้รับความเสียหายได้
เช่น การวางอุปกรณ์ Access Point ของ Wireless LAN ไวใ้ นบริเวณทีผูใ้ ชส้ ามารถเขา้ ถึง
และจับต้องได้จะมีความเสียงต่อการทีอุปกรณ์ดังกล่าวถูกขโมยได้ ดังนันอุปกรณ์
เครื อข่ายที อยู่ภายน อก ห้ องเซิ ร์ ฟ เวอร์ เช่ น Layer 2 Switch, Access Point แล ะ

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 580

สายนาํ สัญญาณ ควรไดร้ ับการจดั วางไวใ้ นตาํ แหน่งทีปลอดภยั เช่น อยูท่ ีสูงไม่สามารถ
เขา้ ถึงไดง้ ่าย

การรักษาความปลอดภยั ของคอมพวิ เตอร์แม่ข่ายและลูกข่าย
เป้าหมายของการโจมตีหลักของผูบ้ ุกรุกระบบคอมพิวเตอร์และเครือข่ายก็คือ คอมพิวเตอร์
แม่ข่ายและคอมพิวเตอร์ลูกข่ายทีมีขอ้ มูลสําคญั ผบู้ ุกรุกหรือแฮกเกอร์มกั จะโจมตีดว้ ยวิธีการต่าง ๆ เช่น
เข้าถึงคอมพิวเตอร์แม่ข่ายทีไม่ไดป้ ้องกนั (รหัสผ่านว่างแปล่า รหัสผ่านดีฟอลต์ หรือตงั รหัสผ่านง่าย
เกินไป) เขา้ ถึงคอมพิวเตอร์แม่ข่ายทีมีช่องโหว่ (เช่น ช่องโหวข่ องระบบปฏิบตั ิการ) โจมตีเครืองแม่ข่าย
เพือไม่ให้สามารถใช้การได้ หรือทาํ ให้ประสิทธิภาพลดลง หรือเขา้ ถึงคอมพิวเตอร์ลูกข่าย เพือขโมย/
แกไ้ ข/ทาํ ลายขอ้ มูลผใู้ ชภ้ ายในองคก์ ร เป็ นตน้ วธิ ีการทีแฮกเกอร์ใชใ้ นการเขา้ ถึงและการป้องกนั มดี งั นี

 การเข้าถึงคอมพวิ เตอร์แม่ข่ายทีไม่ได้ป้องกนั คอมพิวเตอร์แมข่ ่ายทีใชร้ หสั ผา่ นวา่ งเปล่า
รหัสผ่านดีฟอลต์ หรือตงั รหัสผ่านง่ายเกินไปเป็ นช่องทางทีแฮกเกอร์จะรีโมตผ่าน
เครือข่ายเขา้ มาควบคุมระบบได้ เช่น การตงั รหัสผ่าน sa ของ SQL Server เป็ นค่าว่าง
เปล่า การตงั รหสั ของ Windows Server เป็ นคาํ วา่ password แฮกเกอร์ทีไม่มีความชาํ นาญ
มากนักก็จะสามารถคาดเดารหัสผ่านได้อยา่ งง่ายดายและรีโมตเขา้ มาควบคุมผ่านทาง
Terminal Service หรือ วิธีการอืน ๆ ดงั นนั ผูด้ ูแลคอมพิวเตอร์แม่ข่ายควรใส่ใจในเรือง
ของการตงั รหสั ผา่ น เช่น ควรตงั รหสั ให้มีความซบั ซ้อน โดยใชต้ วั อกั ษรผสมกบั ตวั เลข
และอกั ขระพเิ ศษ ใหม้ ีความยาวอยา่ งนอ้ ย 8 ตวั อกั ษร

 การเข้าถึงคอมพิวเตอร์แม่ข่ายทีมีช่องโหว่ ช่องโหวข่ องคอมพิวเตอร์แม่ข่ายมกั จะเกิด
จากช่องโหว่ของระบบปฏิบตั ิการ หรือช่องโหว่ของแอปพลิเคชัน ช่องโหว่ของเว็บ
แอปพลิเคชนั แฮกเกอร์จะใชก้ ารโจมตีแบบ Remote Exploit คือการใชโ้ ปรแกรมช่วยใน
การเจาะระบบ เช่น โปรแกรม Metasploit หากการโจมตีนนั สําเร็จแฮกเกอร์จะสามารถ
ควบคุมเครืองคอมพิวเตอร์แม่ข่าย (โดยส่วนมากแลว้ แฮกเกอร์จะใช้ Shell command)
จากนันเขาสามารถ ขโมย/แก้ไข/ทําลายข้อมูลได้ผ่านทาง Linux Command หรื อ
Windows Command เช่น FTP, TFTP, scp หรือใช้ wget เพือนาํ Back Door มาติดตงั

 การโจมตีเครืองแม่ข่ายเพือไม่ให้สามารถใช้การได้ หรือทําให้ประสิทธิภาพลดลง การ
โจมตีแบบ DoS (Denial of Service) เป็ นการโจมตีเพือไม่ให้เครืองแม่ข่ายสามารถ
ใหบ้ ริการได้ หรืออยา่ งนอ้ ยจะทาํ ใหเ้ ครืองแมข่ ่ายมีประสิทธิภาพลดลง หากแฮกเกอร์ไม่
สามารถทาํ การโจมตี (exploit) เพือเข้าถึงเครืองได้ และไม่สามารถกระทาํ การใด ๆ

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 581

เพือใหไ้ ดป้ ระโยชน์จากเครืองแม่ข่ายได้ ทางเลือกสุดทา้ ยก็คือ โจมตีดว้ ยวิธี DoS เพือให้
เครืองแม่ข่ายหยุดทาํ งานการโจมตีแบบ DoS นีสามารถทาํ ไดห้ ลายวธิ ีไม่วา่ จะเป็ นการ
โจมตีดว้ ยโพรโทคอล ARP, ICMP, TCP หรือวธิ ีการอืน ๆ ทีทาํ ใหเ้ ป้าหมายใชก้ ารไม่ได้
 การเข้าถึงคอมพิวเตอร์ลูกข่าย เพือขโมย/แก้ไข/ทําลายข้อมูลผู้ใช้ภายในองค์กร ในอดีต
นนั การโจมตมี กั จะมงุ่ เนน้ ไปทีคอมพิวเตอร์แม่ข่าย แต่ปัจจุบนั แฮกเกอร์หนั มาสนใจการ
โจมตี Client มากขึน ซึงอาจจะมีสาเหตุมาจากระบบปฏิบตั ิการของเครืองไคลเอนท์ใช้
เทคโนโลยีเดียวกนั กบั ระบบปฏิบตั ิการของเครืองแม่ข่าย และเนืองจากเครืองมือของ
แฮกเกอร์สามารถหาและใชง้ านไดง้ ่าย ผใู้ ชท้ วั ไปทีไม่มีความรู้สามารถดาวนโ์ หลดมาใช้
ในการโจมตีคอมพวิ เตอร์ของผอู้ ืนได้ (การโจมตีไคลเอนทท์ ีอยูภ่ ายในเครือข่ายเดียวกนั )
เพือขโมยขอ้ มูลหรือเพือโจมตีแบบ DoS ให้เครืองพิวเตอร์อืนใชง้ านไมไ่ ด้ เช่น การใช้
โปรแกรม Netcut ทีสามารถตดั การสือสารของคอมพิวเตอร์อืน ๆ ภายในระบบ LAN
เดียวกนั ทาํ ใหเ้ ครืองทีถูกโจมตีไมส่ ามารถใชอ้ ินเทอร์เน็ตได้

การรักษาความปลอดภยั ของระบบเครือข่ายและอปุ กรณ์เครือข่าย
หลงั จากทีรัฐบาลไดอ้ อกกฎเพือควบคุมการบนั ทึกการใชง้ านระบบเครือข่าย ซึงก่อนการเขา้ ใช้
งานระบบเครือข่ายจะตอ้ งมีการพิสูจน์ทราบตวั ตน (Authentication) ด้วยนัน รูปแบบการโจมตีระบบ
เครือข่ายภายในก็เริมทีจะพบเห็นไดบ้ ่อยขึนนนั คือ การแฮกเพือเขา้ ใชง้ านเครือข่ายโดยไม่ตอ้ งผ่านการ
พิสูจน์ทราบตวั ตน เช่น การโกงโดยทีแฮกเกอร์ปลอมแปลงค่า MAC Address ทีระบบอนุญาต เป็ นตน้
ดงั นนั จึงควรมีการป้องกนั การลกั ลอบเขา้ ถึงระบบเครือข่ายและป้องกนั การลกั ลอบใชง้ านระบบเครือข่าย
อินเทอร์เน็ต นอกจากนนั การโจมตีจากภายนอกก็ยงั มีใหเ้ ห็นอยู่ เช่น เขา้ ถึงอุปกรณ์เครือข่ายจากระยะไกล
ซึงทงั หมดนีจาํ เป็ นตอ้ งวางแผนรับมือการโจมตีรูปแบบตา่ ง ๆ และใชม้ าตรการป้องกนั ดว้ ยวธิ ี ดงั นี

 ป้องกนั การโจมตีดว้ ยวธิ ีการปลอม MAC Address
 ป้องกนั การโจมตีแบบ ARP Spoof/Poisoning
 ป้องกนั การโจมตีแบบ Rouge DHCP
 เพิมความปลอดภยั ใหก้ บั ระบบ LAN, WLAN
 ทําการ Hardening ระบบปฏิบัติการ (Firmware) และคอนฟิ กกุเรชันของอุปกรณ์

เครือขา่ ย

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 582

การรักษาความปลอดภยั ของข้อมูล
ขอ้ มูลหลกั ทีเราตอ้ งป้องกนั คือ ขอ้ มูลขององคก์ ร เช่น ขอ้ มูลรายละเอียดการสังซือสินคา้ ขอ้ มูล
รายรับรายจ่ายของบริษทั ขอ้ มูลเงินเดือนพนกั งาน ขอ้ มูลรหสั ผ่านของเจา้ หนา้ ทีระบบเครือข่าย เป็ นตน้
ซึงขอ้ มูลเหล่านีจะอยู่ใน Database Server หรืออยู่ในเครืองแม่ข่ายอืน ๆ การป้องกันและรักษาความ
ปลอดภยั ของขอ้ มูลจะมีความเกียวขอ้ งกบั การรักษาความปลอดภยั ของเครืองแม่ข่ายและระบบเครือข่าย
นอกจากขอ้ มูลทีสําคัญเหล่านีแล้ว หากแฮกเกอร์ได้ข้อมูลอย่างอืนทีดูแล้วไม่ค่อยมีความสําคญั แต่
แฮกเกอร์สามารถนาํ ขอ้ มูลดงั กล่าวไปใชเ้ พิมประสิทธิภาพในการโจมตี/ควบคุมระบบ ให้ส่งผลมากขึนได้
ขอ้ มูลนนั ก็ควรทีจะถูกปกป้องไวเ้ ช่นกนั ตวั อยา่ งเช่น ขอ้ มูลแผนภาพของระบบเครือข่าย, รุ่น/ยีห้อของ
อุปกรณ์แต่ละตวั , ขอ้ มูลชือ/นามสกลุ วนั /เดือน/ปี เกิด ของพนกั งานและเจา้ หนา้ ทีระบบเครือข่าย เป็นตน้
การควบคุมการเขา้ ถึงขอ้ มูลสําคญั จากระยะไกลจะตอ้ งมีการประเมินความเสียง หาช่องโหวแ่ ละ
อุดช่องโหวท่ ีพบ เช่น ป้องกนั การขา้ มผา่ นการตรวจสอบสิทธิแบบ SQL Injection ซึงสามารถทีจะลว้ งเอา
ขอ้ มูลใน Database ได้ ป้องกนั การโจมตีแบบ XSS ทีสามารถขโมย Cookie/Session ID ของ Webmaster
แลว้ เขา้ สู่เวบ็ ไซตด์ ว้ ยสิทธิของ Webmaster ซึง Webmaster มกั จะจดั การขอ้ มลู ใน Database ผา่ นทางเวบ็
นอกจากการปกป้องขอ้ มูลขององค์กรแลว้ จาํ เป็ นตอ้ งมีการปกป้องขอ้ มูลลูกคา้ ดว้ ย เช่น ขอ้ มูล
เกียวกบั บตั รเครดิตของลูกคา้ ทีอยใู่ น Database ของเวบ็ ไซต์ e-commerce ต่าง ๆ

15.2 องค์ประกอบพืนฐานความปลอดภยั ของข้อมูล

องคป์ ระกอบพืนฐานความปลอดภยั ของขอ้ มูลหลกั ๆ มีอยู่ 3 อยา่ ง ซึงใชต้ วั ยอ่ CIA มาจากคาํ วา่
Confidentiality, Integrity และ Availability

ความลบั ของข้อมูล (Confidentiality)
การรักษาความลบั ของขอ้ มูล หมายถึง การปกป้องขอ้ มูลโดยมีเงือนไขวา่ ขอ้ มูลนนั ใครมีสิทธิที
จะล่วงรู้ เขา้ ถึง ใช้งานได้ และการทาํ ใหข้ อ้ มูลสามารถเขา้ ถึงหรือเปิ ดเผยไดเ้ ฉพาะผทู้ ีไดร้ ับอนุญาตเทา่ นนั
สอดคลอ้ งกับประโยคคาํ ถามทีว่า “ใครทีได้รับอนุญาตให้ใช้ขอ้ มูลนัน?” (Who is Authorized to Use
Data?) ตวั อย่างเช่น ขอ้ มูลอีเมลในกล่องจดหมายของผูใ้ ช้ ผูท้ ีมีสิทธิเขา้ ถึงกล่องจดหมายและเปิ ดอ่าน
จดหมายไดจ้ ะตอ้ งเป็นเจา้ ของกล่องจดหมายนนั
กลไกในการควบคุมการรักษาความลบั ของขอ้ มูลสามารถทาํ ไดโ้ ดยการควบคุมการเขา้ ถึงระบบ
(Access Control) เช่น การล็อกอินโดยผู้ใช้ Username และ Password การป้องกันการเข้าถึงเครื อง
เซิร์ฟเวอร์ และการป้องกนั การเข้าถึงข้อมูลโดยตรง เป็ นต้น ในกรณีทีมีการส่งขอ้ มูลลบั ผ่านระบบ
เครือข่ายทีสามารถดักจบั และอ่านขอ้ มูลได้ จะตอ้ งมีการเขา้ รหัสข้อมูล (Cryptography & Encryption)

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 583

ตวั อย่างเช่น เวบ็ ไซต์ e-commerce ทีมีการรับส่งขอ้ มูลระหวา่ งบราวเซอร์กบั เวบ็ เซิร์ฟเวอร์บนช่องทาง
SSL โดยใชโ้ พรโทคอล https ซึงมีการเขา้ รหสั ขอ้ มูล เป็ นตน้

ความคงสภาพของข้อมูล (Integrity)
การรักษาความคงสภาพของขอ้ มูล (ความสมบูรณ์ของขอ้ มูล) หมายถึง การปกป้องเพือให้ขอ้ มูล
ไมถ่ ูกแกไ้ ข เปลียนแปลง หรือถูกทาํ ลายได้ สอดคลอ้ งกบั ประโยคคาํ ถามทีวา่ “ขอ้ มูลยงั อยใู่ นสภาพเดิม
หรือไม่?” (Is data good?) เป็นการทาํ ให้ขอ้ มูลนนั มีความน่าเชือถือ (ความน่าเชือถือว่าขอ้ มูลนนั ไม่ไดถ้ ูก
แกไ้ ขหรือเปลียนแปลงจากแหล่งเดิมทีมา และความน่าเชือถือของแหล่งทีมา) ตวั อยา่ งเช่น ผใู้ ช้ A ส่งไฟล์
ถึง B ไฟล์นนั จะตอ้ งไม่ถูกแกไ้ ขหรือเปลียนแปลงโดยบุคคลอืนในระหว่างทางทีส่งมา เพือให้เชือได้ว่า
ไฟลไ์ มถ่ ูกปลอมแปลง รวมทงั สามารถเชือไดว้ า่ เป็นไฟล์ทีส่งโดย A จริง ๆ

การรักษาความคงสภาพของขอ้ มูลสามารถทาํ ไดห้ ลายวิธี เช่น การใช้ Checksum ตวั อยา่ งเช่น
ตรวจสอบไฟล์ทีดาวน์โหลดจากเว็บไซต์วา่ ตรงกบั ตน้ ฉบบั หรือไม่ สามารถทาํ ไดโ้ ดยตรวจสอบจากค่า
Checksum (เช่นการใช้ MD5) ส่วนการตรวจสอบการปลอมแปลงไฟล์บน Linux สามารถตรวจสอบ
Checksum ไดโ้ ดยใชโ้ ปรแกรม Tripwire เป็นตน้

ความพร้อมใช้งานของข้อมูล (Availability)
ความพร้อมใช้งานของข้อมูล หมายถึง ข้อมูลจะต้องมีสภาพพร้อมใช้งานอยู่ตลอดเวลา
สอดคลอ้ งกบั ประโยคคาํ ถามทีวา่ “สามารถเขา้ ถึงและใชง้ านขอ้ มูลไดเ้ มือตอ้ งการหรือไม่?” (Can access
data whenever need it?) ตัวอย่างเช่น เมลเซิร์ฟเวอร์ neu.ac.th ทีถูกโจมตีเพือให้เกิดการปฏิเสธการ
ให้ บ ริ ก าร (DoS Attrack) เมื อ เม ล เซิ ร์ ฟ เว อ ร์ นี ล่ ม แ ล ะ ไม่ ส าม ารถ ให้ บ ริ ก ารผู้ใช้ ไ ด้เช่ น
[email protected], [email protected] ก็ไม่สามารถเข้าไปเช็คเมลได้ ตอ้ งรอจนกว่าผูด้ ูแลระบบจะ
แกไ้ ขเพือให้ระบบสามารถกลบั มาใชง้ านไดเ้ หมือนเดิม แตถ่ า้ หากระบบเมลนีออกแบบให้มีระบบสํารอง
ขอ้ มูล (Mail Backup) ทีสามารถทาํ งานแทนเมลเซิร์ฟเวอร์ตวั หลกั ไดท้ นั ทีหากเมลเซิร์ฟเวอร์ตวั หลกั ไม่
สามารถใหบ้ ริการได้ ผใู้ ชก้ จ็ ะสามารถเขา้ ถึงขอ้ มูลในเมลบ็อกซเ์ พือเปิ ดอ่านอีเมลไดต้ ลอดเวลา

การป้องกนั เพือให้เกิดความพร้อมใชง้ านขอ้ มูล มกั จะตอ้ งคาํ นึงถึงเกียวกบั Load Balanzing, Fail
Over, Back Up, ระบบไฟฟ้าสํารอง, การ Hardening เพือทาํ ให้เครืองแม่ข่ายและระบบเครือข่ายมีความ
แขง็ แกร่งและมีความทนทานตอ่ การโจมตีแบบ DoS

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 584

นอกจากองค์ประกอบพืนฐานทีได้กล่าวมา แล้วยงั มีองค์ประกอบเพิมเติมขึนมาอีกจาก CIA
กลายเป็ น CIAAAN ซึ งองค์ประกอบทีเพิมเข้ามาได้แก่ Authentication, Authorization และ Non-
repudiation ซึงมีรายละเอียดดงั นี

Authentication คือ การพิสูจน์ทราบตวั ตน เนืองจากการระบุตวั บุคคลนนั จะตอ้ งใชก้ ระบวนการ
พิสูจนท์ ราบตวั ตนเพือใหท้ ราบวา่ เป็นบคุ คลผนู้ นั จริงหรือไม่ ตวั อยา่ งเช่น การล็อกอินเขา้ สู่เวบ็ ไซตร์ ะบบ
สมาชิกซึงจะตอ้ งใช้ username และ password เพือเป็ นการพิสูจน์ทราบวา่ เป็ นผูใ้ ชค้ นนนั จริง ๆ และการ
พิสูจน์ทราบตวั กม็ ีหลายวิธี เช่น การใชส้ ิงตอ่ ไปนี

 สิงทีคุณรู้ เช่น การใช้ Username & Password
 สิงทีคุณมี เช่น การใชบ้ ตั รประจาํ ตวั
 สิงทีคุณเป็ น เช่น การสแกนลายนิวมือก่อนผา่ นเขา้ หอ้ งควบคุม

อยา่ งไรก็ตามอาจมีการผสมผสานการใชง้ านไดม้ ากกวา่ หนึงอยา่ งเพือใหก้ ารพิสูจน์ทราบตวั ตนมี
ประสิทธิภาพมากขึนเช่น การกดเงินจากตู้ ATM ทีจะตอ้ งใช้ “สิงทีคุณมี” คือตอ้ งมีบตั ร ATM และยงั ตอ้ ง
ใช้ “สิงทีคุณรู้” นนั คือตอ้ งทราบรหสั ผา่ น (PIN) ดว้ ยจึงสามารถกดเงินออกมาได้ เป็ นตน้

Authorization คือ การอนุญาตใหเ้ ขา้ ใชง้ านและระดบั สิทธิในการเขา้ ถึง กล่าวคอื หลงั จากทีไดม้ ี
การพิสูจน์ทราบตวั ตน (Authentication) แลว้ เมือระบบไดต้ รวจสอบว่าผูใ้ ชน้ ีมีอยูจ่ ริง ก็จะมีการให้สิทธิ
แก่ผนู้ นั ซึงการให้สิทธิสามารถแบง่ เป็ นหลายระดบั ได้ ตวั อยา่ งเช่น ผใู้ ชท้ ีล็อกอินเขา้ สู่เวบ็ ไซต์ หากเป็ น
ผูใ้ ช้ระดับสูงสุด เช่น admin สามารถเปลียนแปลง/แก้ไขขอ้ มูลได้ทงั หมด หากเป็ นผูใ้ ช้ทีเป็ นสมาชิก
ทวั ไปอาจจะแก้ไขข้อมูลได้บางส่วน เช่น การล็อกอินเข้าสู่ระบบขายสินค้า หากเข้ามาในสิทธิของ
พนกั งานยอ่ มสามารถแกไ้ ขรายการและตรวจสอบการโอนเงินของลูกคา้ ได้ ขณะเดียวกนั หากเขา้ มาใน
สิทธิของลูกคา้ ทวั ไปก็จะทาํ ไดแ้ คด่ ูรายการสินคา้ และสังซือสินคา้ เทา่ นนั เป็ นตน้

Non-repudiation คือ การห้ามปฏิเสธความรับผิดชอบ หมายถึง วิธีการสือสารซึงผูส้ ่งขอ้ มูล
ไดร้ บั หลกั ฐานวา่ ไดม้ ีการส่งขอ้ มูลแลว้ และผรู้ ับไดร้ ับการยนื ยนั วา่ ผสู้ ่งเป็นใคร ดงั นนั ทงั ผสู้ ่งและผรู้ ับจะ
ไม่สามารถปฏิเสธไดว้ า่ ไมม่ ีความเกียวขอ้ งกบั ขอ้ มูลดงั กล่าวในภายหลงั ตวั อยา่ งเช่น สมาชิกในเวบ็ บอร์ด
ทีมีการโพสตข์ อ้ ความวา่ ร้ายผูอ้ ืน ระบบ (เวบ็ บอร์ด) จะตอ้ งมีการบนั ทึกและแสดงชือผูใ้ ช้ (ซึงไดจ้ ากการ
พิสูจน์ทราบตวั ตนในขนั ตอนล็อกอิน) พร้อมกับขอ้ ความทีโพสต์เพือใช้ยืนยนั ว่าข้อความดงั กล่าวถูก
โพสตโ์ ดยบุคคลผนู้ นั เพอื ทาํ ให้บุคคลผนู้ นั ไมส่ ามารถปฏิเสธความรับผดิ ชอบได้ และตวั อยา่ งเกียวกบั การ

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 585

สังซือสินคา้ ทีผูส้ ังซือไม่สามารถทีจะปฏิเสธไดว้ ่าตนเองไม่ไดซ้ ือ ทงั ๆ ทีตนเองไดส้ ังซือสินคา้ นนั และ
ไดย้ นื ยนั การสังซือไปแลว้

15.3 สภาพแวดล้อมของความปลอดภยั

การป้องกนั ระบบให้ปลอดภยั ท่ามกลางสภาพแวดลอ้ มทีสามารถก่อให้เกิดความเสียหายไดน้ นั
ผูด้ ูแลระบบจะรู้และเขา้ ใจวา่ สภาพแวดลอ้ มทีสําคญั ทีทาํ ให้ระบบเกิดความเสียหายไดน้ ันมีอะไรบา้ ง
ตวั อยา่ งเช่น ภยั คุกคามจากนกั เจาะระบบ (Hacker) การถูกคุมคามโดย Virus, Worm และภยั จากธรรมชาติ
เป็ นตน้

ภยั คุมคาม (Threat)
ระบบคอมพวิ เตอร์และเครือขา่ ยอาจถูกคุมคามจากสิงต่อไปนี
ถูกคุกคามโดยนักเจาะระบบ (Hacker) นกั เจาะระบบจะอาศยั จุดอ่อนของระบบ (Vulnerability)
เพือทีจะเขา้ ถึงระบบดว้ ยสิทธิของผูใ้ ช้หรือสิทธิของผดู้ ูแลระบบ เมือเขา้ สู่ระบบไดแ้ ลว้ เป้าหมายของนกั
เจาะระบบมกั จะเป็นขอ้ มูลสาํ คญั ซึงขอ้ มูลสามารถทีจะถูกขโมย ถูกเปลียนแปลง หรือถูกทาํ ลายได้

ถูกคุกคามโดย ไวรัสและเวิร์ม เนืองจากผูใ้ ช้ขาดการตระหนักถึงความปลอดภยั จึงไม่ติดตงั
โปรแกรมป้องกนั ไวรัส (Anti-Virus) หรือการไม่ไดอ้ พั เดต patch ของระบบปฏิบตั ิการ จึงเป็นช่องโหวใ่ ห้
เกิดการแพร่กระจายตวั ของไวรัสและเวิร์ม หลงั จากระบบติดไวรัสและเวิร์ม ความเสียหายจะขึนนนั ก็จะ
ขึนอยู่กับความร้ายแรงของไวรัส และเวิร์ม นัน ๆ ทงั นีโดยทวั ไปจะเป็ นการเปลียนแปลง หรือทาํ ลาย
ขอ้ มลู รวมทงั การทาํ ใหร้ ะบบทาํ งานไดช้ า้ ลงหรือหยดุ ใหบ้ ริการ

ถูกคุกคามโดยผู้ก่อการร้าย เช่น การถล่มอาคาร หรือเผาอาคาร ส่งผลให้ระบบคอมพิวเตอร์และ
ขอ้ มูลไดร้ ับความเสียหายทีไม่อาจจะกูค้ ืนได้ อยา่ งไรก็ตามหากมีระบบ Backup ขอ้ มูลทีดี เช่นมี DR Site
(Disaster Recovery Site) โดยสํารองขอ้ มูลไวใ้ นอีกสถานทีหนึงทีอยู่ห่างออกไปจากรัศมีของการทาํ ลาย
ลา้ งและสํารองขอ้ มูลไวท้ ุก ๆ ช่วงเวลาอยา่ งสมาํ เสมอ ก็สามารถกู้คืน (Recovery) ขอ้ มูลทีถูกทาํ ลายจาก
การโจมตีโดยผกู้ ่อการร้ายได้

เหตุสุดวสิ ัย (Accidental)
นอกจากภยั คุกคามทีกล่าวมาขา้ งตน้ แลว้ ระบบคอมพิวเตอร์และเครือขา่ ยอาจจะเกิดความเสียหาย
ดว้ ยสาเหตุอืนได้ อย่างเช่น ปรากฎการณ์ทางธรรมชาติ ฮาร์ดแวร์หรือซอฟต์แวร์ชาํ รุด/ทาํ งานผดิ พลาด
และความผดิ พลาดของผูค้ วบคุมระบบ

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 586

ปรากฎการณ์ธรรมชาติ การออกแบบระบบเครือข่ายให้ห้องเซิร์ฟเวอร์อยชู่ นั ล่างสุดของอาคาร
จะก่อให้เกิดความเสียงต่อภยั นาํ ท่วมได้ หรือการใชส้ าย UTP/STP/Coaxial เพือเป็ นสือในการเชือมโยง
ขอ้ มูลระหว่างอาคารนัน หากฟ้าผ่าลงบนสายเหล่านัน กระแสไฟฟ้าสามารถวิงมายงั ปลายของสายที
ตอ่ เชือมอยูก่ บั Core Switch ราคาแพง ทาํ ให้อุปกรณ์ไดร้ ับความเสียหายไดเ้ ช่นกนั ดงั นนั การป้องกนั จาก
ปรากฎการณ์ธรรมชาติก็เป็ นอีกปัจจยั หนึงทีให้ความสําคญั และวางมาตรการป้องกนั ตงั แต่ขนั ตอนการ
ออกแบบ

Hardware หรือ Software ชํารุด/ทํางานผิดพลาด การทาํ งานของระบบคอมพิวเตอร์ฮาร์ดแวร์
และซอฟตแ์ วร์ชาํ รุดหรือทาํ งานผิดพลาดนนั ทาํ ใหข้ อ้ มูลไดร้ ับความเสียหายได้ เช่น กรณีทีฮาร์ดดิสกพ์ งั
เป็ นต้น การมีระบบ Backup ข้อมูลทีดีจะช่วยบรรเทาปัญหาเหล่านีได้ แต่แก้ไขปัญหาทีตรงจุดกว่า
คือการเลือกใชฮ้ าร์ดแวร์ทีมีคุณภาพและซอฟตแ์ วร์ทีน่าเชือถือ สภาพแวดลอ้ มภายในหอ้ งเซิร์ฟเวอร์ เช่น
ระบบทาํ ความเยน็ และระบบไฟฟ้าสํารอง ก็มีส่วนช่วยป้องกนั ปัญหานีได้ แตอ่ ยา่ งไรก็ตามการมีระบบ
Backup ขอ้ มลู ก็ยงั มคี วามจาํ เป็นอยเู่ ช่นกนั

ความผิดพลาดของผู้ควบคุม ผูด้ ูแลระบบทีขาดประสบการณ์อาจทาํ ให้ขอ้ มูลเสียหายไดโ้ ดย
ไม่ตงั ใจ เช่น การจดั การกบั ฮาร์ดดิสก์ในระดบั Low-level (การแบ่งพาร์ตชนั หรือการฟอร์แมตพาร์ติชนั )
อาจจะส่งผลให้ขอ้ มูลในส่วนอืนถูกทาํ ลายหรือถูกลบได้ ดงั นนั หากตอ้ งใชค้ าํ สังทีมีความเสียงต่อขอ้ มูล
หรือต้องทํางานในระดับฮาร์ดแวร์ เช่น เพิมฮาร์ดดิสก์หรือเปลียนฮาร์ดดิสก์ ก็ควรทีจะต้องใช้ผูม้ ี
ประสบการณ์และดาํ เนินการดว้ ยความระมดั ระวงั อยา่ งไรก็ตาม การมีระบบ Backup ขอ้ มูลทีดีก็ช่วยได้
คอ่ นขา้ งมากหากเกิดเหตสุ ุดวสิ ัย

ตัวอย่างการโจมตรี ะบบ
การสอดแนมและการดกั ฟัง/ดกั จับข้อมูล
ขอ้ มูลทีส่งไปมาบนระบบเครือขา่ ยสามารถถูกดกั จบั ไดโ้ ดยใชโ้ ปรแกรม เช่น Sniffer, wireshark
แม้แต่ระบบเครือข่ายทีใช้ Switch ก็ตาม ผูด้ กั จบั ขอ้ มูลใชเ้ ทคนิค ARP Spoof เพือหลอกเหยือว่าเครือง
ของตนเองเป็ น Gateway และหลอก Gateway ว่าเครืองของตนเองเป็ นเครืองของเหยือ จากนันก็จะ
สามารถดกั จบั ขอ้ มูลทีเหยอื รับส่งกบั อินเทอร์เน็ตได้ การดกั จบั ขอ้ มูลมีจุดประสงคเ์ พือให้ไดม้ าซึงขอ้ มูล
สาํ คญั เช่น รหสั ผา่ น Cookie/Session ID รวมทงั ขอ้ ความทีสือสารกนั เป็นตน้

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 587

การโจมตแี บบ MITM
การใชเ้ ทคนิค ARP Spoof เพือหลอกเหยือวา่ เครืองของตนเองเป็ น Gateway และหลอก Gateway
วา่ เครืองของตนเองเป็ นเครืองของเหยือนนั เรียกว่า “MITM (Man In The Middle)” ซึงสามารถต่อยอด
เทคนิคนีเพือทาํ การปลอม Certificate เพือใช้ในการถอดรหัส https ได้ ดงั นันหากถูกโจมตีด้วยเทคนิค
MITM แลว้ เหยืออาจจะสูญเสียขอ้ มูลสาํ คญั รวมทงั รหสั ได้ แมก้ ารสือสารนนั จะอยูบ่ นโพรโทคอล https
ซึงถือวา่ มีความปลอดภยั แลว้ ก็ตาม

การโจมตแี บบ DoS
DoS ย่อมาจาก Denial of Service คือ การโจมตีเพือให้เป้าหมายไม่สามารถให้บริการได้หรือ
ให้บริการด้วยประสิทธิภาพทีตาํ การโจมตีนีมกั จะเป็ นทางเลือกสุดท้ายของแฮกเกอร์ เพราะแฮกเกอร์
ตอ้ งการจะเขา้ ถึงระบบเป้าหมายด้วยสิทธิสูงทีสุด หรืออย่างน้อยก็เพือให้สามารถเปลียนแปลงข้อมูล
บางส่วนไดแ้ ต่ถา้ หากแฮกเกอร์ทาํ อะไรเป้าหมายไม่ได้ ก็มกั จะโจมตีการส่งแพก็ เกต็ จาํ นวนมหาศาล (หรือ
วธิ ีอืน ๆ) เพือใหเ้ ป้าหมายทาํ งานชา้ ลงหรือหยดุ การทาํ งาน

การโจมตี Web Application
การโจมตี Web Application เป็ นทีนิยมมากเนืองจากแฮกเกอร์สามารถโจมตีไดจ้ ากทุกมุมโลก
และใช้พอร์ตทีไฟร์วอลล์เปิ ด (พอร์ต 80) การโจมตีนี แบ่งออกได้หลายประเภท เช่น SQL Injection,
Session Hijacking, XSS: Cross Site Scripting และ Remote File Inclusion

 SQL Injection เป็ นการส่งตวั อกั ษรทีเป็ นส่วนหนึงของคาํ สัง SQL ไปยงั เซิร์ฟเวอร์ โดย
ใช้ช่องทางการป้อนอินพุต เช่น ช่องล็อกอิน ช่องคน้ หาขอ้ มูล ยิงไปกวา่ นนั แฮกเกอร์ทีมี
ความชาํ นาญสามารถส่ง SQL Injection แทนค่าในตวั แปรแบบ Option, Drop down List
หรือแมแ้ ต่ Cookie ได้ การโจมตีแบบนีสามารถทาํ ให้แฮกเกอร์ขา้ มผ่านการตรวจสอบ
สิทธิเพือเข้าไปยงั ระบบดว้ ยสิทธิของผูด้ ูแลระบบได้ และหากแฮกเกอร์ขา้ มผ่านการ
ตรวจสอบสิทธิเพือเขา้ ไปยงั ระบบด้วยสิทธิของผูด้ ูแลระบบได้ และหากแฮกเกอร์มี
ความชํานาญมาก ๆ ก็สามารถใช้ช่องโหว่นีเพือเปิ ดดูรหัสผ่านของผู้ใช้ทุกคนใน
Database ได้

 Session Hijacking การโจมตีนีทาํ ใหแ้ ฮกเกอร์สามารถขโมย Session ของเหยอื ได้ ซึงทาํ
ให้แฮกเกอร์เข้าสู่ระบบได้ด้วยสิทธิของเหยือ การโจมตีแบบ Session Hijacking ใน
สมยั ก่อนจะเป็ นการขโมย Session ของ TCP (เช่น กรณีทีแฮกเกอร์ชือดงั ทีสุดในโลก

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 588

Kevin Mitnik ขโมย TCP Session แล้วเข้าไปควบคุมเครืองคอมพิวเตอร์แม่ข่ายของ
หน่วยงานทางดา้ นความปลอดภยั ของสหรัฐอเมริกาในปี ค.ศ. 1995) แตป่ ัจจุบนั Session
Hijacking ถูกนาํ มาใชก้ บั Session ของ Web Application แทน ซึงหากแฮกเกอร์สามารถ
ขโมย HTTP Session ของผูด้ ูแลเวบ็ ไซตไ์ ด้ เขาก็สามารถเขา้ ไปควบคุมเวบ็ ไซตแ์ ห่งนนั
ได้
 XSS: Cross Site Scripting เป็ นการโจมตีโดยใช้ Script เช่น Java Script โดยแฮกเกอร์
จะทาํ การแทรก Script เขา้ ไปในระบบหรือส่ง Script นนั มาให้เหยอื โดยตรงผา่ นทางลิงค์
Script ซึงทาํ งานบนบราวเซอร์ของเหยือ การทาํ งานจะขึนอยู่กบั ว่าแฮกเกอร์จะเขียน
Script ให้ทาํ สิงใดบา้ ง แต่โดยส่วนมากแล้วมกั จะใช้เพือการขโมย Cookie ซึงภายใน
Cookie จะมี Session ID อยแู่ ลว้ แฮกเกอร์กจ็ ะใช้ Session ID เพือเขา้ สู่ระบบ
 Remote File Inclusion เป็ นการโจมตีไฟล์ .php หรือ .asp ทีมีการเรียกรวมไฟล์ยอ่ ยเขา้
กบั ไฟล์หลกั หรือเรียกรวมไฟลท์ ีทาํ งานเป็ น Header หรือ Library ต่าง ๆ โดยเวบ็ ไซตท์ ี
มีช่องโหวน่ ีมกั จะมีลิงคท์ ีมีช่องโหว่

การโจมตีเครืองแม่ข่าย เครืองลูกข่าย และอุปกรณ์เครือข่าย
แฮกเกอร์สามารถโจมตีเครืองแม่ข่าย เครืองลูกข่าย และอุปกรณ์เครือขา่ ยไดห้ ลายวิธี เช่น

 Remote Exploit วิธีนีเป็ นการโจมตีช่องโหวโ่ ดยใชเ้ ครืองมือเจาะระบบจากระยะไกล
เช่น โปรแกรม Metasploit แฮกเกอร์เพยี งแค่นาํ โปรแกรมมารันและป้อนค่าพารามิเตอร์
บางอย่างเช่น IP Address ของเป้าหมาย เวอร์ชันของระบบปฏิบัติการของเป้าหมาย
เป็ นต้น หากการโจมตีนีสําเร็จแฮกเกอร์ก็จะได้ Shell Command ของคอมพิวเตอร์
เป้าหมาย และมีสิทธิเป็น root หรือ Administrator

 Remote Crack เป็ นการใชเ้ ครืองมือแคร็กทีสังการแบบรีโมต โดยเครืองมือแคร็กจะส่ง
รหัสผ่านไปทีละตวั จนกวา่ จะตรงกบั รหัสผ่านทีเครืองเป้าหมายตงั ไว้ การทาํ Remote
Crack สามารถทาํ ได้ทงั แบบ Dictionary Attack ซึงเป็ นการส่งรหัสผ่านทีมีอยู่ในไฟล์
ดิกชันนารีไปทดสอบทีละตวั จนกว่าจะตรง หากเป้าหมายตงั รหัสผ่านเป็ นคาํ ทีมีใน
ดิกชนั นารี การแคร็กแบบนีก็จะสําเร็จ ส่วนอีกวธิ ีหนึง คือ การแคร็กแบบ Brute force
Attack โดยใชว้ ิธีการ Generate ตวั อกั ษรแบบผสมไดท้ งั ตวั เลขและตวั อกั ษรทงั อกั ขระ
พิเศษเพือให้เป็ นรหัสผา่ น โดยส่งไปทดสอบตงั แต่รหัสผ่านทีมีความยาว 1 ตวั อกั ษร

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 589

และเพิมความยาวไปจนกวา่ จะตรงกบั รหสั ผา่ นจริงการแคร็กแบบนีมีอาํ นาจทะลุทะลวง
สูงกวา่ แตข่ อ้ เสีย คือ ใชเ้ วลานาน

15.4 เทคนิคพืนฐานการเข้ารหัสข้อมูลและการถอดรหสั ข้อมูล

หากกล่าวถึงการเขา้ รหัสและถอดรหสั มกั จะไดย้ นิ คาํ วา่ “คริพโตกราฟี (Cryptography)” คาํ ว่า
Cryptography นีมาจากคาํ ว่า Crypto ทีแปลว่า “การซ่อน” บวกกบั คาํ ว่า “Graph” ทีแปลวา่ “การเขียน”
ดงั นัน Cryptography จึงมีความหมายวา่ “การเขียนเพือซ่อนข้อมูล” โดยมีจุดประสงค์เพือป้องกนั ไม่ให้
ผูอ้ ืนสามารถอ่านขอ้ มูลได้ ยกเวน้ ผูท้ ีเราตอ้ งการให้อ่านได้เท่านัน ซึงผูท้ ีเราตอ้ งการให้อ่านไดจ้ ะตอ้ ง
ทราบวิธีการถอดรหัสขอ้ มูลทีซ่อนไว้ หากแบ่ง Cryptography ตามยุคสมยั แลว้ เราสามารถแบ่งไดเ้ ป็ น 2
ยุค คือ ยุคประวัติศาสตร์ (หรือทีเรียกว่ายุค Classic) และยุคปัจจุบัน (Modern) กระบวนการของ
Cryptography มี 2 อย่าง คือ Data Encryption และ Data Decryption ซึงหมายถึงการเขา้ รหัสข้อมูลและ
การถอดรหสั ขอ้ มูล ตามลาํ ดบั ส่วนประโยชน์ของ Cryptography คือ การรักษาความลบั ของขอ้ มูล

การเข้ารหสั ในยุคประวตั ิศาสตร์ (Classic)
จากหลกั ฐานทางประวตั ิศาสตร์ทีอาจจะตีความไดไ้ ม่ชดั เจนมากนัก บ้างก็เชือว่าการเขา้ รหัส
เกิดขึนโดยชาวอียิปต์เมือประมาณ 4,500 ปี มาแลว้ บา้ งก็เชือว่าคิดคน้ โดยชาวอาหรับเมือประมาณ 500-
600 ปี ก่อนคริสตกาล วธิ ีการเขา้ รหสั ทีสําคญั ในยุคก่อน ๆ มีหลายวธิ ีการ เช่น Monoalphabetic Ciphers,
Polyalphabetic Ciphers และ Caesar Cipher เป็นตน้

Caesar cipher เป็ นการเข้ารหัสทีคิดคน้ โดยกษตั ริย์ Julius Caesar แห่งโรมนั เพือใช้เข้ารหัส
ขอ้ ความในสารทีส่งในระหวา่ งการทาํ ศึกสงครามเพือป้องกนั ไม่ให้ศตั รูสามารถอ่านขอ้ ความในสารนัน
ไดห้ ากถูกแยง่ ชิงไป โดยการเขา้ รหสั แบบนีนนั จะใชเ้ ทคนิคการแทนทีตวั อกั ษรตน้ ฉบบั ดว้ ยตวั อกั ษรทีอยู่
ห่างออกไปขา้ งหนา้ สามตวั เช่น แทนทีตวั A ดว้ ยตวั D และแทนทีตวั B ดว้ ยตวั E เป็นตน้ ดงั ภาพที 15.1

ภาพที 15.1 วธิ ีการเข้ารหสั แบบ Caesar cipher หนา้ ที 590

บทที 15 ความมนั คงของระบบเครือข่าย

ต่อมา Augustus ซึงเป็ นหลานของ Julius Caesar ไดเ้ ปลียนสูตรให้แทนทีตวั A ด้วยตวั C และ
แทนทีตวั B ดว้ ยตวั D ดงั นนั จึงเป็ นการเลือนตวั อกั ษรทีมีจาํ นวนครังของการเลือนเทา่ กบั สอง (Shiftment,
n = 2) อยา่ งไรก็ตามเขา้ รหัสทงั สองวิธีนีสามารถถูกเบรก (Break) ไดโ้ ดยง่าย (การเบรคในทีนีหมายถึง
การถอดรหสั ขอ้ มูลออกมาได้ ถึงแมจ้ ะไม่ทราบวิธีการเขา้ รหัสและไม่มีกุญแจทีใช้ถอดรหสั ก็ตาม) การ
เบรคการเขา้ รหัสขอ้ มูลแบบ Caesar cipher ทาํ ไดโ้ ดยการทดลองทาํ การเลือนตวั อกั ษรทุกตวั โดยทดลอง
เลือนดว้ ยจาํ นวน Shiftment ทีต่างกนั คือ n = 1, n = 2, n = 3, … ไปเรือย ๆ จนถึง n = 26 ซึงจะใชจ้ าํ นวน
ครังในการทดสอบสูงสุดเพียง 26 ครัง (สําหรับภาษาองั กฤษซึงมีเพียง 26 ตวั อกั ษร) ก็จะสามารถทาํ การ
เบรคไดใ้ นทีสุด

Monoalphabetic ciphers คิดคน้ โดยชาวอาหรับ ใช้วิธีการแทนทีตวั อกั ษรแบบ 1 ต่อ 1 (ไม่ใช่
การเลือน) ตวั อย่างเช่น ในยุคแรก ๆ คือ การเขา้ รหัสขอ้ มูลแบบ Atbash ใช้การแทนทีตวั A ด้วยตวั Z
แทนตวั B ดว้ ยตวั Y และแทนทีตวั C ดว้ ยตวั X เป็ นตน้

หากทาํ การวิเคราะห์อลั กริทึมของการเข้ารหัสแบบ Atbash จะพบว่ามีแพทเทิร์น (Pattern) คือ
ใชต้ วั สุดทา้ ยแทนตวั แรก ใชต้ วั รองสุดทา้ ยแทนตวั ทีสอง และใช้ตวั ทีสามจากสุดทา้ ยแทนตวั ทีสามไป
เรือย ๆ ตามลาํ ดบั ดงั นนั ในยุคต่อมาจึงใชก้ ารกาํ หนดการจบั คู่ของตวั อกั ษรทีไม่เป็ น Pattern ดงั ภาพที
15.2 การเบรกการเขา้ รหสั ลกั ษณะนีจะทาํ ไดย้ ากกวา่ การเบรก Caesar cipher เนืองจากมีคู่ทีเป็ นไปไดอ้ ยู่
26 ยกกาํ ลงั 26 คู่ การจะเบรกจะตอ้ งใชก้ ารสุ่มไปเรือย ๆ จนกวา่ จะสําเร็จ ซึงจะตอ้ งใชจ้ าํ นวนครังในการ
คาํ นวณ คือ 26! ครัง

ภาพที 15.2 การเข้ารหัสและถอดรหัสแบบ Monoalphabetic cipher

ทีมาของภาพ: http://www.learncertification.com/study-material/cipher-types-and-methods

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 591

Polyalphabetic Encryption คิดค้นโดย Blaise De Vignere ชาวฝรังเศส เมือประมาณ 500 ปี ที
แลว้ อลั กอริทึมนีใชเ้ ทคนิคทีประกอบไปดว้ ย Multiple Monoalpha Cipher คือมี Monoalphabetic ciphers
หลาย ๆ ตวั ประกอบกนั ซึงจะมีการกาํ หนดระยะห่างให้กบั ตวั อกั ษรกอ่ นโดยระยะห่างในแต่ละช่วงจะไม่
เท่ากนั ตัวอย่างเช่น n = 7 ให้เป็ น C1 และ n = 15 ให้เป็ น C2 หลังจากนันกาํ หนด Pattern แทนการใส่
ขอ้ มูล เช่น C1, C2, C2, C1, C2 เป็นตน้

เทคนิคนีจะใช้ในช่วงสงครามโลกครังที 1 และยากทีจะถอดรหัสด้วยมือเปล่า แต่ถ้าใช้
คอมพิวเตอร์จะสามารถถอดรหัสไดง้ ่าย นอกจากนนั หากตอ้ งการจะเบรคโดยใชค้ อมพิวเตอร์ทีจะทาํ การ
เบรคได้ง่ายเช่นกนั ผูเ้ บรค Polyalphabetic Encryption ได้ โดยให้ขอ้ สังเกตว่าได้ Cipher Text ทีมีความ
ยาวมากพอ Pattern จะเริมซาํ และสามารถทีจะเห็นความเหมือนของ cipher text โดยวเิ คราะห์ดูความถีของ
ตวั อกั ษรทีปรากฎขึนวา่ ถีเพียงใด

One-Time Pad คิดคน้ โดย Gilbert Vernam ชาวองั กฤษในช่วงสงครามโลกครังที 1 เป็ นวิธีการ
เพิมความสามารถให้กบั การเขา้ รหสั แบบ Polyalphabetic Encryption โดยใชก้ ารแม็ปจาก 1 ตวั อกั ษรให้
เป็ นไปไดห้ ลายตวั อกั ษร ซึงมวี ธิ ีการดงั นี

 ใช้ Key ทีมีขนาดเท่ากนั กบั Plain Text
 Cipher Text ทีเป็นการคาํ นวณออกมาไดจ้ ะมีขนาดเทา่ กนั กบั ขนาดของ Plain Text
 ตวั อกั ษรทุกตวั จะตอ้ งมีการเปลียนหมด เช่น หาก L ตวั แรกแมป็ ไดเ้ ป็ น N (สมมติ) แลว้

L ตวั ทีสองจะตอ้ งแมป็ ไดเ้ ป็ นตวั อืน เช่น ตวั V เป็นตน้
 ใช้ Operation ง่าย ๆ เช่น (+) เพือเขา้ รหสั และ (-) เพือถอดรหสั หรือใช้ XRO สําหรับทงั

การเขา้ รหสั และถอดรหสั

การเขา้ รหัสแบบ One-Time Pad นี Cipher Text จะมีความเป็ น Random มากหรือน้อยขึนอยูก่ บั
ความเป็น Random ของ Key ตวั อยา่ งการเขา้ รหสั ดว้ ยวธิ ี One-Time Pad ดงั ภาพที 15.3

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 592

ภาพที 15.3 การเข้ารหัสแบบ One Time Padding

ทีมาของภาพ: https://www.slideshare.net/AsadAli108/3-l4

Playfair cipher เป็นการเขา้ รหสั ในลกั ษณะ Block cipher ซึงมกี ระบวนการเขา้ รหสั ดงั นี
1. สร้างตาราง Key ขนาด 5x5 = 25 แบบสุ่มโดยตดั ตวั Q ออก ตวั อยา่ ง Key ขนาด 5x5

ภาพที 15.4 ตาราง Playfair cipher
2. แบ่งตัวอกั ษร Plain Text ตน้ ฉบบั ออกมาเป็ นคู่ ๆ หากมีตวั อกั ษรทีติดกนั ให้เอา X
คนั กลาง และหากตวั สุดทา้ ยไม่ครบคู่ใหใ้ ส่ Z เขา้ ไปแทน เช่น ตอ้ งการเขา้ รหสั ขอ้ ความวา่ “Hide the gold
in the tree stump” ก็สามารถจดั ตวั อกั ษรเป็นคู่ ๆ ไดด้ งั นี

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 593

3. ถ้าไม่อยู่ในแถวและคอลัมน์เดียวกัน ให้แทนทีตัวอักษรแบบไขว้กนั เช่น HI ใน
ขอ้ ความต้นฉบบั (จากภาพที 15.4 จะเห็นวา่ H ไม่ได้อยูแ่ ถวเดียวกนั กบั I และ H ก็ไม่ไดอ้ ยูใ่ นคอลมั น์
เดียวกบั I) จะกลายเป็น BM (H กลายเป็น I และ B กลายเป็น M)

4. ถา้ 2 ตวั อกั ษรอยคู่ อลมั น์เดียวกนั ให้เอาตวั อกั ษรทีอยขู่ า้ งล่างติดกนั มาแทนที โดยทาํ ที
ละตวั (หากตวั อกั ษรนนั อยู่ล่างสุดให้เอาตวั บนสุดมาแทนที) เช่น DE ในขอ้ ความตน้ ฉบบั จะกลายเป็ น
ND เนืองจาก D ถูกแทนทีดว้ ย N ส่วน E ถูกแทนทีดว้ ย D

. ถา้ 2 ตวั อกั ษรอยู่แถวเดียวกนั ให้เอาตวั อกั ษรทีอยขู่ วามือมาแทนที โดยทาํ ทีละตวั
(หากตวั อกั ษรนันอยูข่ วาสุดให้เอาตัวซ้ายสุดมาแทนที) เช่น TU ในข้อความตน้ ฉบบั จะกลายเป็ น UV
เนืองจาก T ถูกแทนทีดว้ ย U ส่วน U ถูกแทนทีดว้ ย V หากทาํ การเขา้ รหสั แลว้ จะได้ ดงั นี

การเบรกอลั กอริทึมนี ทาํ ไดโ้ ดยวเิ คราะห์ความถีของคู่ตวั อกั ษร ถา้ มี Cipher Text ทียาวมากพอ
และรู้ Plain Text ก็จะสามารถเบรกได้

การเข้ารหัสในยคุ ใหม่ (Modern)
DES (Data Encryption Standard)
DES เป็ นการเขา้ รหัสแบบ Block cipher โดยการเขา้ รหัสจะกระทาํ กบั กลุ่มขอ้ มูลขนาด 64 บิต
ลาํ ดบั แรกขอ้ มลู 64 บิตนี จะถูกสลบั ตาํ แหน่ง (สลบั บิต) จากนนั จะถูกแบง่ เป็ น 2 ส่วน ไดแ้ ก่ ส่วนทางซา้ ย
และส่วนทางขวา (ส่วนละ 32 บิต) ขนั ตอนต่อไปจะใช้ฟังก์ชนั ทางคณิตศาสตร์ (ฟังกชัน f ) ขอ้ มูลจาก
ส่วนซ้ายหรือขวาจะถูกนาํ มารวมกนั กบั Key โดยจะทาํ ซาํ กนั อยา่ งนีเป็ นจาํ นวนทงั สิน 16 รอบ เมือเสร็จ
สินขนั ตอนนี (รอบที 16) ผลลพั ธ์ทีไดจ้ ากทงั ส่วนทางซ้ายและทางขวาก็จะถูกนาํ มารวมกนั เป็ นขอ้ มูล
ขนาด 64 บิตอีกครังหนึง และนาํ ไปสลบั ตาํ แหน่งในขนั ตอนสุดทา้ ย ปัจจุบนั DES มีความยาวของคีย์ อยู่
2 ขนาด คือ 64 กบั 128 บิต แต่แมจ้ ะใชค้ ียค์ วามยาวขนาด 128 บิต ก็ยงั ไม่มีความปลอดภยั จึงได้มีการ
พฒั นาใหม้ กี ารเขา้ รหสั 3 รอบ หรือทีรู้จกั กนั ในชือ “Tripple-DES (3DES)” ทีมีความปลอดภยั สูงขึน

AES (Advanced Encryption Standard)
AES เป็ นการเขา้ รหัสทีพฒั นาขึนมาเพือใช้แทน DES หลังจากที DES ถูกเบรกได้ โครงการ
พฒั นา AES ไดเ้ ริมต้นในปี ค.ศ. 1997 โดย NIST หลงั จากนัน ในปี ค.ศ. 1998 NIST ก็ให้นักวิทยาการ

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 594

รหัสลับทัวโลกส่งอลั กอริทึมเข้ามาเพือคดั เลือกให้เป็ นมาตรฐานของ AES ซึงอลั กอรึทึมต่าง ๆ ถูก
คัดเลือกเข้ามาทังสิน 15 อัลกอริทึม และมีอยู่ 5 อลั กอริทึมทีผ่านเข้ารอบชิงชนะเลิศจนผลสุดท้าย
อลั กอริทึมของ Rijindeal ได้รับการตดั สินให้ชนะเพราะเร็วกวา่ และใช้อลั กอริทึมทีธรรมดากว่าแต่ได้
ความปลอดภยั เทา่ กนั จากนนั ในปี ค.ศ. 2004 RFC 3826 ไดก้ าํ หนดให้ AES มีขนาดความยาวคีย์ ขนาด
ไดแ้ ก่ 128, 192 และ 256 บิต

15.5 การเข้ารหสั กญุ แจสาธารณะ (Public Key Cryptography)

เทคนิคการเข้ารหัสในอดีต มักใช้อัลกอริทึมหรือกุญแจในการเข้ารหัสและถอดรหัสใน
ตวั เดียวกัน ซึงวิธีการนี เรียกว่า “ระบบการเข้ารหัสแบบซิมเมตริก (Symmetric Cryptosystems)”
กล่าวคือ จะมีกุญแจในการเขา้ รหัสและถอดรหัสในดอกเดียวกนั ทงั ฝังรับและฝังส่ง แลว้ คิดดูว่า หากมี
ผูใ้ ดผูห้ นึงสามารถขโมยหรือนํากุญแจดอกนีไป ก็จะสามารถนําไปใช้ถอดรหัสข้อมูลของเราได้
เช่นเดียวกับกุญแจบา้ นทีสามารถใช้ล็อกหรือเปิ ดประตูบ้านได้ หากมีใครขโมยกุญแจดอกนีไป ก็จะ
สามารถเปิ ดประตูบา้ นเราได้ และจาํ เป็ นตอ้ งมีดอกกุญแจมากขึนเมือมีกลอนประตูมากขึน ดงั นนั อาจทาํ
ให้เกิดความสับสนไดว้ า่ จะใช้กุญแจดอกใดเพือเปิ ดกลอนประตูนี เปรียบเสมือนว่า หากเราตอ้ งการส่ง
ข่าวสารทีได้รับการเขา้ รหัสไปยงั ผูร้ ับจาํ นวนมาก แต่ละคนก็จะตอ้ งใช้คียท์ ีแตกต่างกันทงั หมด เพือ
ป้องกนั การซาํ ของคียท์ ีใชเ้ ขา้ รหสั และถอดรหสั

ใน ขณ ะที อีกวิธี ห นึ งซึ งเรี ยกว่า “ระบบการเข้ ารหั สแบบอะซิ มเมตริ ก (Asymmetric
Cryptosystems)” นนั จะมีกุญแจอยเู่ พียงสองดอก โดยกุญแจดอกแรกจะใชส้ ําหรับเขา้ รหสั (Public Key)
และกุญแจดอกทีสองจะใชส้ าํ หรับถอดรหสั (Private Key) และทีสาํ คญั กุญแจทีเขา้ รหสั จะนาํ มาถอดรหสั
ไมไ่ ด้ วิธีนีมกั เรียกอีกชือหนึงวา่ “การเข้ารหัสกุญแจสาธารณะ” โดยหลกั การเขา้ รหัสกุญแจสาธารณะมี
อยู่ว่า จะมีกุญแจหรือคียอ์ ยู่สองดอกดว้ ยกนั คือ “กุญแจสาธารณะ (Public Key)”และ “กุญแจส่ วนตัว
(Private Key)” ซึงกุญแจทังสองดอกนีจะใช้งานควบคู่กนั เสมอ โดยกุญแจสาธารณะจะเป็ นกุญแจที
เจา้ ของสามารถแจกจ่ายไปให้กบั บุคคลใด ๆ ทีตอ้ งการสือสาร ในขณะทีกุญแจส่วนตวั เจา้ ของจะเก็บไว้
ส่วนตวั ไม่เผยแพร่ใหก้ บั ใคร

ตวั อย่างเช่น หากนาย A และนาย B ตอ้ งการส่งข่าวสารถึงกนั โดยทงั สองต่างก็มีความตอ้ งการ
เขา้ รหสั ดว้ ยกญุ แจสาธารณะ ดงั นนั ทงั สองจึงจาํ เป็นตอ้ งมกี ุญแจซึงประกอบดว้ ย Public Key และ Private
Key เป็ นของตนเอง ดงั นี

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 595

 นาย A จะมี Private Key ไวใ้ ช้งานส่วนตวั เพือถอดรหัส Public Key ของตน และจดั เก็บ
เป็ นความลบั

 นาย B จะมี Private Key ไวใ้ ช้งานส่วนตัวเพือถอดรหัส Public Key ของตน และจะ
จดั เกบ็ เป็นความลบั

 นาย A จะส่ง Public Key ใหก้ บั นาย B
 นาย B จะส่ง Public Key ใหก้ บั นาย A
 นาย A ส่งข่าวสารไปยงั นาย B ดว้ ยการเขา้ รหสั Public Key ของนาย B
 นาย B ส่งข่าวสารไปยงั นาย A ดว้ ยการเขา้ รหสั Public Key ของนาย A

และเมือมีเมสเสจส่งมาถึงตวั ผรู้ ับทงั นาย A และนาย B ทงั สองกจ็ ะดาํ เนินการถอดรหสั ดว้ ยกญุ แจ
ส่วนตวั หรือ Private Key ของตน กล่าวคอื นาย A และนาย B จะสามารถอ่านเมสเสจทีส่งมายงั ตนไดด้ ว้ ย
การใช้ Private Key ของตวั เองเพือถอดรหสั Public Key ของตนทีแจกจ่ายให้กบั ผอู้ ืน ดงั นนั Public Key
ก็คือกุญแจสาธารณะทีเจา้ ของตอ้ งการแจกจ่ายให้กบั ใครก็ไดท้ ีเกียวขอ้ ง ในขณะที Public Key นีจะไม่
สามารถใชถ้ อดรหสั ได้ ซึงจะมีเพียง Private Key ของเจา้ ของ Public Key เท่านนั ทีจะใชส้ าํ หรับถอดรหสั
เพือเปิ ดอา่ นขอ้ มูล ดงั นนั Private Key ของเจา้ ของจะตอ้ งเกบ็ ไวเ้ ป็ นความลบั เพือใชง้ านส่วนตวั

ภาพที 15.5 การเข้ารหัสด้วยกญุ แจสาธารณะ

ทีมาของภาพ: https://www.tutorialspoint.com/cryptography/public_key_encryption.htm

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 596

ชนิดของคีย์ A รู้ B รู้
Private Key ของ A YES NO
Private Key ของ B YES YES

Private Key ของ A NO YES
Private Key ของ B YES YES

ภาพที 15.6 ความสัมพนั ธ์ระหว่าง Public Key กบั Provate Key

15.6 ลายเซ็นดิจิตอล (Digital Signatures)

การทาํ ธุรกรรมอิเล็กทรอนิกส์จาํ เป็ นทีจะตอ้ งมีการยนื ยนั เอกสารหรือขอ้ มูลวา่ ถูกส่งมาจากผสู้ ่ง
จริ งเพือป้ องกันการปฏิเสธความรับผิดชอบ (Non-repudiation) และเป็ นการพิสู จน์ทราบตัวตน
(Authentication) ตามทีได้กล่าวมาแล้วในหัวข้อระบบกุญแจสาธารณะ ฉะนันการเข้ารหัสขอ้ มูลดว้ ย
Private kay สามารถยนื ยนั ผสู้ ่งได้ เช่น ผูใ้ ช้ A เขา้ รหสั ขอ้ มูลดว้ ย Private key ของตนเองแลว้ ส่งขอ้ มูลไป
ให้ผูใ้ ช้ B และผูใ้ ช้ C จากนันผูใ้ ช้ B และผูใ้ ช้ C ก็ถอดรหัสโดยใช้ Public key ของผูใ้ ช้ A ได้เป็ นการ
ยนื ยนั ไดว้ า่ ขอ้ มูลมาจากผใู้ ช้ A จริง เพราะเป็นคนเดียวทีมี Private key ของผใู้ ช้ A

ในการส่งขอ้ มูลที “ไม่เป็ นความลบั ” และเป็ นขอ้ มูลขนาดใหญ่ หากตอ้ งการทีจะยืนยนั ผสู้ ่งดว้ ย
วิธีการขา้ งตน้ เราจะตอ้ งเขา้ รหัสขอ้ มูลทงั หมดดว้ ย Private key ของผูส้ ่ง (เพือเป็ นการยืนยนั ตวั ตนผูส้ ่ง)
แต่มีขอ้ เสีย คือ จะตอ้ งมีการเขา้ รหสั ขอ้ มลู ขนาดใหญ่ทงั หมด และผรู้ ับตอ้ งถอดรหสั ขอ้ มูลทงั หมดเช่นกนั
ซึงทาํ ให้เปลือง CPU และเปลืองเวลาในการประมวลผล แต่อย่างไรก็ตามเราสามารถประยุกต์กรรมวิธี
ขา้ งตน้ ใหใ้ ช้ CPU และเวลานอ้ ยลงโดยใชฟ้ ังกช์ นั Hash

เริมโดยนาํ ข้อความต้นฉบับมาทาํ การ Hash เพือยอ่ ยให้เป็ นขอ้ มูลขนาดเล็ก (Message Digest)
จากนันนํา Message Digest มาเข้ารหัสด้วย Private key ของผูส้ ่ง (ในขนั ตอนนีจะใช้ CPU น้อยเพราะ
Message Digest มีขนาดเล็ก) จากนันก็ส่งข้อมูลต้นฉบับ (ทีมีขนาดใหญ่และเป็ นข้อมูลที “ไม่เป็ น
ความลบั ”) และ Message Digest ทีเขา้ รหสั ดว้ ย Private Key ไปยงั ผูร้ ับ เมือผรู้ ับไดร้ ับขอ้ มูลทงั สอง ก็ทาํ
การตรวจสอบว่าขอ้ มูลตน้ ฉบบั มาจากผูส้ ่งจริงหรือไม่และไม่มีการแกไ้ ขขอ้ มูลระหว่างทางใช่หรือไม่
โดยการนํา Message Digest (ทีเขา้ รหัสด้วย Private key ผูส้ ่ง) มาถอดรหัสดว้ ย Public key ของผูส้ ่งให้
กลบั ไปเป็น Message Digest ตน้ ฉบบั เหมือนเดิม จากนนั ก็นาํ ขอ้ มูลตน้ ฉบบั ทีมีขนาดใหญม่ าผา่ นฟังก์ชนั
Hash ได้เป็ น Message Digest ต้นฉบับเหมือนเดิม จากนันก็นําข้อมูลต้นฉบับทีมีขนาดใหญ่มาผ่าน
ฟังก์ชนั Hash ไดเ้ ป็ น Message Digest อีกอนั หนึง จากนนั ก็ทาํ การเปรียบเทียบ หาก Message Digest ทงั

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 597

สองตรงกนั ก็แสดงว่าขอ้ มูลนนั มาจากผูส้ ่งจริงและไม่ไดถ้ ูกเปลียนแปลงระหว่างทาง จะเห็นไดว้ า่ สิงที
สามารถยืนยนั วา่ ขอ้ มูลไม่ถูกเปลียนแปลงและถูกส่งมาโดยผสู้ ่งจริงนนั คือ “Message Digest ทีผูส้ ่งได้
เขา้ รหสั ดว้ ย Private key ของผสู้ ่ง” ซึงสิงนีเองเราเรียกวา่ Digital Signatures

ผอู้ า่ นลองพิจารณาภาพที 15.7 แสดงกระบวนการของ Digital Signatures ดงั นี

ภาพที 15.7 กระบวนการของลายเซ็นดิจิตอล

ทีมาของภาพ: http://www.herongyang.com/PKI/Digital-Signature-Word-What-Is-Digital-Signature.html

1. นาํ ขอ้ มูลตน้ ฉบบั (ซึงอาจมีขนาดใหญ่) มาทาํ การ Hash (ดว้ ยแฮชชิงอลั กอริทึมอย่างใดอยา่ ง
หนึง เช่น MD5 หรือ SHA1) ไดเ้ ป็ นขอ้ มูลกอ้ นเลก็ ๆ เรียกวา่ Message Digest

2. นาํ Message Digest มาเขา้ รหสั ดว้ ย Private Key ของผสู้ ่ง ไดเ้ ป็น “Digital Signatures”
3. ส่งขอ้ มูลตน้ ฉบบั (อาจมีขนาดใหญ่) ซึงอยใู่ นรูปของ Plain Text ไปให้กบั ผรู้ ับ โดยแนบแบบ
Digital Signatures ไปด้วย (มีการส่งข้อมูลไปยังผู้รับ 2 ชินคือ (a) ข้อมูลต้นฉบับ และ (b) Digital
Signatures)
4. ผู้รับเมือได้รับข้อมูลแล้วให้ตรวจสอบข้อมูลทีได้รับ โดยการนํา Digital Signatures มา
ถอดรหสั โดยใช้ Public key ของผสู้ ่ง ไดเ้ ป็น Message Digest

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 598

5. ผูร้ ับนําขอ้ มูลตน้ ฉบบั Hash (ดว้ ยอลั กอริทึมเดียวกนั กบั ทีผูส้ ่งใช้ เช่น MD5 หรือ SHA1) ได้
เป็น Message Digest อีกอนั หนึง

. นาํ Message Digest ทงั สองมาเปรียบเทียบกนั หากตรงกนั ก็แสดงวา่ ขอ้ มูลตน้ ฉบบั ถูกส่งมา
จากผสู้ ่งจริงและไม่มีการเปลียนแปลงขอ้ มูลระหวา่ งทาง

เราสามารถส่ง Data, Digital Signature และ Public key ไปพร้อมกนั ได้ โดยส่ง Public key ใน
รูปแบบของ Certificate (Public key ทีถูกรับรองโดย CA แลว้ ) นอกจากนันการส่ง “การส่งขอ้ มูลลบั ”
และลงลายเซ็นดิจิตอลก็สามารถทาํ ไดเ้ ช่นกนั โดยการนาํ ขนั ตอนของ Digital Signature ทงั 6 ขนั ตอนมา
ปรับโดยแกไ้ ขขนั ตอนที 3 และ 5 ดงั นี

ขันตอนที 3 (ปรับใหม่) นาํ ขอ้ มูลตน้ ฉบบั (อาจมีขนาดใหญ่) ซึงเป็ น Plain Text มาเขา้ รหสั ดว้ ย
Public key ของผูร้ ับ ให้กลายเป็ น Cipher Text จากนันจึงส่ง Cipher Text ไปให้ผูร้ ับ โดยแนบ Digital
Signatures ไปด้วย (มีการส่งข้อมูลไปยงั ผู้รับ 2 ชิน คือ (a) ข้อมูลทีเป็ น Cipher Text และ (b) Digital
Signatures)

ขันตอนที 5 (ปรับใหม่) ผรู้ ับนาํ ขอ้ มูลทีเป็ น Cipher Text มาถอดรหัสดว้ ย Private key ของตนเอง
ได้เป็ นขอ้ มูลตน้ ฉบบั แบบ Plain Text จากนันทาํ การ Hash (ดว้ ยอลั กอริทึมเดียวกนั กบั ทีผูส้ ่งใช้ MD5
หรือ SHA1) ไดเ้ ป็น Message Digest อีกอนั หนึง

(เมือนาํ ขนั ตอนที 3 และ 5 ทีปรับใหมไ่ ปใชร้ ่วมกบั ขอ้ ที 1, 2, 4, 6 เดิมก็จะสามารถส่งขอ้ มูลกลบั
พร้อมลงลายเซ็นดิจิตอลได)้

15.7 ไฟร์วอลล์ (Firewall)

ไฟร์วอลล์ เป็ นระบบควบคุมการเขา้ ออกเครือข่าย ซึงจะใช้สําหรับปกป้องเครือข่ายภายในของ
องคก์ รจากการโจมตีจากภายนอกได้ โดยปกติแลว้ ไฟร์วอลล์จะติดตงั ขวางกนั ระหว่างสองเครือข่ายซึง
ส่วนใหญ่เป็ นการติดตงั ระหว่างอินเทอร์เน็ตและอินทราเน็ต อย่างไรก็ตามไฟร์วอลล์ไม่สามารถทีจะ
ป้องกนั การโจมตีทีใชช้ ่องทางปกติทีเปิ ดไวโ้ ดยไฟร์วอลล์ได้ เช่น สมมติวา่ องคก์ รมีเวบ็ เซิร์ฟเวอร์ติดตงั
ไวใ้ น DMZ 12 หรือภายในเครือข่ายและอนุญาตให้เขา้ ถึงไดจ้ ากอินเทอร์เน็ต และถา้ เวบ็ เซิร์ฟเวอร์มีช่อง

12 DMZ ยอ่ มาจาก Demilitarized Zone หมายถึง พนื ทีบริเวณทีเราจะวางเครือง Web Server, Mail Server และ
DNS Server นนั ถือไดว้ า่ เราลดระดบั ความปลอดภยั ลงมา นนั คือยอมใหเ้ ครืองภายนอกเขา้ ถึงเซิร์ฟเวอร์บนพอร์ตต่าง ๆ
ได้ จึงเรียกวา่ Demilitarized Zone หรือเขตปลอดทหาร นนั เอง ซึงพืนที DMZ นีจะมีความเสียงอยา่ งมากเนืองจากตอ้ งมี

บทที 15 ความมนั คงของระบบเครือข่าย หนา้ ที 599