วิธีตรวจสอบ Web Attack บน IIS Windows Server 2022 รู้ทันการโจมตีก่อนเว็บไซต์ล่ม

June 19, 2026

เว็บไซต์ที่เปิดให้บริการบนอินเทอร์เน็ตจะถูกสแกนและถูกโจมตีอยู่ตลอดเวลา ไม่ว่าจะเป็นเว็บไซต์ขนาดเล็กหรือขนาดใหญ่ โดยส่วนมากเจ้าของเว็บไซต์มักไม่รู้ตัว เพราะการโจมตีจำนวนมากเกิดขึ้นแบบอัตโนมัติจาก Bot และ Vulnerability Scanner

การตรวจสอบ Web Attack อย่างสม่ำเสมอจะช่วยให้ผู้ดูแลระบบสามารถค้นพบพฤติกรรมผิดปกติได้ตั้งแต่ระยะเริ่มต้น ลดความเสียหาย และป้องกันไม่ให้การโจมตีลุกลามไปถึงระดับ Server หรือ Database

บทความนี้จะอธิบายวิธีตรวจสอบ Web Attack บน IIS Windows Server 2022 โดยใช้เครื่องมือที่มีอยู่ในระบบ และแนวทางที่ใช้จริงในงาน Security Monitoring

🔐 Web Attack คืออะไร

Web Attack คือ

การโจมตีที่มุ่งเป้าไปยังเว็บไซต์

หรือ Web Application

ตัวอย่าง

SQL Injection

XSS

Brute Force

Directory Traversal

File Upload Attack

Web Shell

Bot Attack

🎯 ทำไมต้องตรวจสอบ Web Attack

🛡️ ตรวจพบผู้โจมตีก่อน

🛡️ ลด Downtime

🛡️ ป้องกันข้อมูลรั่วไหล

🛡️ ลดความเสียหายทางธุรกิจ

🛡️ เก็บหลักฐานทางดิจิทัล

📋 จุดแรกที่ต้องตรวจสอบ

IIS Logs

ตำแหน่ง

C:\inetpub\logs\LogFiles

เป็นแหล่งข้อมูลสำคัญที่สุด

ของ Web Attack

🔍 มองหา URL แปลก ๆ

ตัวอย่าง

/admin

/phpmyadmin

/wp-admin

/shell.aspx

/cmd.aspx

หากเว็บไซต์ไม่มีไฟล์เหล่านี้

แสดงว่ามีการสแกนระบบ

🔍 ตรวจสอบ SQL Injection

มองหา

union

select

drop

--

ใน URL หรือ Query String

🔍 ตรวจสอบ XSS

มองหา

<script>

javascript:

alert(

หากพบ

แสดงว่ามีความพยายามโจมตี

🔍 ตรวจสอบ Directory Traversal

มองหา

../

หรือ

..\

เพื่อเข้าถึงไฟล์นอกเว็บไซต์

🔍 ตรวจสอบ Brute Force

มองหา

IP เดียว

ที่ส่ง Request จำนวนมาก

โดยเฉพาะ

Login

Admin

Dashboard

🔍 ตรวจสอบ Status Code

404

401

403

500

หากมีจำนวนมากผิดปกติ

อาจเป็นการสแกนระบบ

⚡ ใช้ Log Parser วิเคราะห์

Microsoft Log Parser

สามารถช่วยวิเคราะห์ Log จำนวนมากได้

ตัวอย่าง

Top IP
Top URL
Top Error

🔍 ตรวจสอบ Event Viewer

เปิด

eventvwr.msc

ตรวจสอบ

Application

System

Security

มองหา Event ผิดปกติ

🔍 ตรวจสอบ Failed Request Tracing

เปิด

Failed Request Tracing

ช่วยวิเคราะห์

Request ที่ล้มเหลว

🌐 ตรวจสอบผ่าน Firewall

ตรวจสอบ

Blocked IP

Connection Rate

Port Scan

จาก

Windows Firewall

หรือ Firewall ภายนอก

📊 ตรวจสอบผ่าน PowerShell

ดูการเชื่อมต่อ

Get-NetTCPConnection

ดู Process

Get-Process

ตรวจสอบการใช้งานทรัพยากร

🔍 ตรวจสอบ Bot Traffic

มองหา User-Agent

ผิดปกติ

เช่น

sqlmap

nikto

acunetix

nmap

มักเป็นเครื่องมือสแกนช่องโหว่

🚨 สัญญาณอันตราย

Request หลายพันครั้งในไม่กี่นาที

Login ล้มเหลวจำนวนมาก

URL แปลกจำนวนมาก

CPU สูงผิดปกติ

IIS Error เพิ่มขึ้น

Disk Activity สูงผิดปกติ

⚙️ วิธีตอบสนองเบื้องต้น

① บันทึก Log

② เก็บหลักฐาน

③ บล็อก IP

④ ตรวจสอบไฟล์เว็บไซต์

⑤ ตรวจสอบบัญชีผู้ใช้

⑥ ตรวจสอบ Malware

❌ ความเข้าใจผิดที่พบบ่อย

ไม่มี Error แปลว่าไม่ถูกโจมตี

❌ ไม่จริง

เว็บเล็กไม่มีใครสนใจ

❌ ไม่จริง

HTTPS ป้องกันทุกการโจมตี

❌ ไม่จริง

📋 Web Attack Monitoring Checklist

✅ IIS Logs

✅ Event Viewer

✅ Failed Request Tracing

✅ Firewall Logs

✅ Process Monitoring

✅ User Monitoring

✅ Malware Scan

✅ Backup Logs

🛡️ Best Practices

① ตรวจสอบ IIS Logs ทุกวัน

② เปิด Audit Logging

③ ใช้ WAF

④ ใช้ Rate Limiting

⑤ เปิด Alert Notification

⑥ ทำ Vulnerability Scan เป็นประจำ

⑦ จัดทำ Incident Response Plan

ทีมงาน comsiam มักใช้การวิเคราะห์ IIS Logs ร่วมกับ Event Viewer, Firewall Logs และ Security Scanner เพื่อค้นหาสัญญาณการโจมตีตั้งแต่ระยะเริ่มต้น และสามารถตอบสนองต่อเหตุการณ์ด้านความปลอดภัยได้อย่างรวดเร็วก่อนเกิดผลกระทบต่อธุรกิจ

🎯 สรุป

การตรวจสอบ Web Attack บน IIS Windows Server 2022 เป็นส่วนสำคัญของการดูแลระบบ Web Server ในปัจจุบัน เพราะช่วยให้สามารถตรวจจับความพยายามโจมตี การสแกนช่องโหว่ และพฤติกรรมผิดปกติต่าง ๆ ได้ตั้งแต่เนิ่น ๆ

การใช้ IIS Logs, Event Viewer, Firewall Logs และเครื่องมือ Monitoring ร่วมกัน จะช่วยเพิ่มความสามารถในการตรวจจับภัยคุกคาม ลดความเสี่ยงจากการถูกโจมตี และทำให้เว็บไซต์มีความพร้อมสำหรับการใช้งานในสภาพแวดล้อม Production อย่างแท้จริง