
🎯 ทำไม Reconnaissance ถึงสำคัญที่สุด?
ในโลกของ Red Team — การโจมตีที่ดีที่สุดคือการโจมตีที่ เตรียมตัวมาดีที่สุด
Reconnaissance (Recon) คือขั้นตอนการเก็บข้อมูลเกี่ยวกับเป้าหมาย ก่อนที่จะลงมือทำอะไรเลย มันเหมือนกับที่นักล่าต้องสังเกตพฤติกรรมของเหยื่อก่อนออกล่า — รู้ว่ามันไปไหน กินอะไร นอนที่ไหน อ่อนแอตรงไหน
กฎ 80/20 ของ Red Team: 80% ของเวลาใช้ไปกับ Recon — 20% เท่านั้นที่เป็นการโจมตีจริง
🔍 Phase 1: Passive Reconnaissance (เก็บข้อมูลโดยไม่สัมผัสเป้าหมาย)
นี่คือขั้นตอนที่ Red Team เก็บข้อมูลโดย ไม่ส่ง packet ใดๆ ไปที่เป้าหมายเลย — เป้าหมายไม่รู้เลยว่ามีคนกำลังสืบ
1. OSINT (Open Source Intelligence)
ข้อมูลที่หาได้จากแหล่งสาธารณะ — ไม่ผิดกฎหมาย ไม่ผิดจริยธรรม:
- Google Dorking — ใช้ Google ค้นหาข้อมูลที่เปิดเผยโดยไม่ตั้งใจ เช่น
site:target.com filetype:pdfหรือintitle:"index of" "password" - WHOIS Lookup — ดูว่าใครเป็นเจ้าของ domain, email admin, nameserver
- DNS Records — ดู subdomain ทั้งหมดผ่าน tools เช่น
dig,nslookup, หรืe DNSDumpster - Shodan — search engine สำหรับ internet-connected devices — เจอ open ports, services, banners
- theHarvester — เก็บ emails, subdomain, IP จากแหล่งสาธารณะ
2. Social Media Reconnaissance
คนในองค์กรมักเปิดเผยข้อมูลมากกว่าที่คิด:
- พนักงานโพสต์รูปที่ทำงาน — เห็น hostname บนจอ, โค้ด, internal tools
- LinkedIn — รู้โครงสร้างองค์กร, ตำแหน่ง, เทคโนโลยีที่ใช้
- GitHub — พนักงาน push code ที่มี API keys, credentials โดยไม่ตั้งใจ
3. Technical Reconnaissance
- Wayback Machine — ดูเว็บเก่าของเป้าหมาย อาจมี pages ที่ถูกลบไปแล้วแต่ยังเก็บอยู่
- Certificate Transparency Logs — ดู subdomain ทั้งหมดจาก SSL certificates
- GitHub/GitLab — ค้นหา leaked credentials, internal documentation
🛰️ Phase 2: Active Reconnaissance (สัมผัสเป้าหมายโดยตรง)
ขั้นตอนนี้เริ่ม ส่ง traffic ไปที่เป้าหมาย — มีความเสี่ยงที่จะถูกตรวจจับ แต่ได้ข้อมูลที่ลึกกว่า
1. Port Scanning
ใช้ nmap เพื่อดูว่า port ไหนเปิดอยู่:
# Basic scan nmap -sV -sC -O target.com # Stealth scan (SYN scan — ไม่ทำ full TCP handshake) nmap -sS target.com # Scan all ports nmap -p- target.com
ผลลัพธ์บอกเราว่า:
- Port ไหนเปิด? (22=SSH, 80=HTTP, 443=HTTPS, 3306=MySQL)
- Service อะไรทำงานอยู่บน port นั้น?
- Version อะไร? (สำคัญมาก — ถ้า version เก่าอาจมี CVE ที่รู้จัก)
- OS อะไร?
2. Service Enumeration
เมื่อรู้ว่า port ไหนเปิด ก็ต้องลงลึกดู service นั้น:
- HTTP/HTTPS — ใช้
gobusterหรือdirbค้นหา hidden directories - SSH — ดู version, ลองดูว่ารองรับ password auth หรือ key-only
- SMB — ใช้
enum4linuxค้นหา shares, users - DNS — ลอง zone transfer ด้วย
dig axfr @ns1.target.com target.com
3. Web Application Reconnaissance
สำหรับเว็บแอป — นี่คือส่วนที่ Red Team ใช้เวลามากที่สุด:
- Technology Fingerprinting — ใช้
Wappalyzerหรือwhatwebดูว่าเว็บใช้ CMS อะไร (WordPress, Drupal, Joomla), framework อะไร, server อะไร - Directory Bruteforce —
gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt - Parameter Discovery — หา hidden parameters ด้วย
arjunหรือparameth - JavaScript Analysis — ดู JS files อาจมี API endpoints, secrets
🧠 มุมมอง Red Team ต่อ Recon
สิ่งที่คนอื่นไม่เห็น — Red Team เห็น:
ตัวอย่างจริง: สมมติเป้าหมายเป็นเว็บ bc221.duckdns.org
คนปกติเห็นแค่เว็บตกแต่งสวยๆ แต่ Red Team เห็น:
- DNS records → เจอ subdomain ที่ไม่รู้ว่ามี
- SSL certificate → เจอ internal domain names
- HTTP headers → เจอ server version, framework
- robots.txt → เจอ hidden paths
- JavaScript → เจอ API endpoints
- GitHub → เจอ code ที่มี credentials
- Shodan → เจอ open ports ที่ไม่ควรเปิด
ทุกข้อมูลเล็กๆ คือชิ้นส่วนของปริศนา — เมื่อรวมทุกอย่างเข้าด้วยกัน Red Team จะเห็นภาพรวมที่เป้าหมายไม่เคยรู้ว่ามีคนเห็น
🛡️ วิธีป้องกัน Reconnaissance
ถ้าเข้าใจว่า Red Team ทำอะไรได้บ้าง ก็ป้องกันได้:
- ลด attack surface — ปิด port ที่ไม่จำเป็น, ซ่อน version info ใน headers
- Security Headers — ใช้
X-Frame-Options,Content-Security-Policy,Strict-Transport-Security - Rate Limiting — จำกัด request rate ป้องกัน bruteforce
- WAF (Web Application Firewall) — กรอง malicious traffic
- Monitoring — ดู logs ผิดปกติ เช่น port scan, directory bruteforce
- Employee Training — สอนพนักงานอย่าโพสต์ข้อมูล internal ลง social media
📝 สรุปบทที่ 1
- Recon คือขั้นตอนแรกและสำคัญที่สุด
- Passive Recon — เก็บข้อมูลโดยไม่สัมผัสเป้าหมาย (OSINT, Social Media, Technical)
- Active Recon — สัมผัสเป้าหมายโดยตรง (Port Scan, Service Enumeration, Web App Recon)
- ทุกข้อมูลเล็กๆ คือชิ้นส่วนของปริศนา
- การป้องกันเริ่มจากการเข้าใจว่าศัตรูเห็นอะไรบ้าง
บทต่อไป: 🔴 Red Team 101 — บทที่ 2: Scanning & Enumeration ลงลึกกว่านี้
🦉 "ศัตรูที่อันตรายที่สุดคือคนที่รู้จักเราดีกว่าเรารู้จักตัวเอง" — บทนี้สอนให้เรารู้จักตัวเองก่อน