Mendeteksi Port Scanning

Sniffer
Program sniffer adalah program yang dapat digunakan untuk menyadap data dan informasi melalui jaringan komputer. Di tangan seorang admin, program sniffer sangat bermanfaat untuk mencari (debug) kesalahan di jaringan atau untuk memantau adanya serangan. Di tangan cracker, program sniffer dapat digunakan untuk menyadap password (jika dikirimkan dalam bentuk clear text).


Sniffit
Program sniffit dijalankan dengan userid root (atau program dapat di-setuid root sehingga dapat dijalankan oleh siapa saja) dan dapat menyadap data. Untuk contoh penggunaan sniffit, silahkan baca dokumentasi yang menyertainya. (Versi berikut dari buku ini akan menyediakan informasi tentang penggunaannya.)


tcpdump
Program tcpdump merupakan program gratis yang umum digunakan untuk menangkap paket di sistem UNIX. Implementasi untuk sistem Window juga tersedia dengan nama windump. Setelah ditangkap, data-data (paket) ini dapat diolah dengan program lainnya, seperti dengan menggunakan program tcpshow, tcptrace, dan sejenisnya.

Program tcpdump sangat powerful dan digunakan sebagai basis dari pembahasan di beberapa buku, seperti buku seri “TCP/IP Illustrated” dari
Richard Stevens [46] yang sangat terkenal atau buku “Network Intrusion
Detection” [31].
lengkap tentang paket-paket ini, silahkan baca buku “TCP/IP Illustrated” dari Richard Stevens atau buku “Network Intrusion Detection” (Stephen Northcutt & Judy Novak).

Selain sesi web, nampak juga sesi ping dimana ada paket “ICMP echo request” yang dibalas dengan paket “ICMP echo reply”. Ping ini juga dikirimkan dari IP 192.168.1.7 ke komputer dengan IP 192.168.1.1.


Sniffer Pro
Sniffer Pro merupakan program sniffer komersial yang berjalan di sistem Windows. Program ini dibuat oleh Network Associates dan cukup lengkap fasilitasnya. Sniffer Pro dapat menangkap packet dengan aturan-aturan (rules) tertentu. Bahkan dia dilengkapi dengan visualisasi yang sangat menarik dan membantu administrator.


Anti Sniffer
Untuk menutup lubang keamanan dari kegiatan sniffing, administrator dapat membuat jaringannya bersegmen dan menggunakan perangkat switch sebagai pengganti hub biasa. Selain itu dapat juga digunakan program untuk mendeteksi adanya penggunaan sniffer di jaringan yang dikelolanya. Program pendeteksi sniffer ini disebut anti-sniffer.

Program anti-sniffer bekerja dengan mengirimkan packet palsu ke dalam jaringan dan mendeteksi responnya. Ethernetcard yang diset ke dalam promiscuous mode (yang umumnya digunakan ketika melakukan sniffing) dan program yang digunakan untuk menyadap sering memberikan jawaban atas packet palsu ini. Dengan adanya jawaban tersebut dapat diketahui bahwa ada yang melakukan kegiatan sniffing.

Wireshark
Wireshark/Ethereal merupakan salah satu dari sekian banyak tools Network Analyzer yang banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya dan juga merupakan tools andalan Vaksinis (teknisi Vaksincom).
Wireshark banyak disukai karena interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis. Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan yang kita "intip". Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti Windows, Linux, Macintosh, dll.

Pada awal kemunculan dan perkembangan Conficker, tools ini merupakan "pelopor" tools yang digunakan oleh beberapa vendor security untuk menganalisa paket-paket data/informasi dalam jaringan dari serangan Conficker

Berikut contoh penggunaan Wireshark pada OS Linux
Untuk mulai menangkap lalu lintas paket secara real-time dan menampilakannya ikuti langkah seperti yang ditampilkan pada gambar di bawah ini:

• Capture : Interface pilih Ethernet 0 (Eth0)
• Pada bagian sebelah kanan (Display Options) centang Update list of packets in real time (tangkap paket secara real time) dan Automatic scrolling capture in live capture (Scroll otomatis bergulir setiap ada perubahan pergerakan paket yang ditangkap)
• Kemudian klik pada Start.

Di bawah ini adalah contoh jendela utama Wireshark setelah lalu lintas paket ditangkap



Setelah kita selesai bermain-main dengan Wireshark dan mengamati jaringan, Kita mungkin akan ingin fokus pada lalu lintas antara host tertentu, atau fokus pada protokol tertentu.

Kita dapat Filter melihat paket tertentu dengan melihat langkah sbb:
Klik scroll di sebelah kanan Filter: berada di bagian atas jendela. Kemudian pilih/ketikan satu jenis filter seperti misalnya tcp.port==80

Setelah selesai mengetik itu, tekan Enter dan Wireshark akan menampilkan hanya paket yang menggunakan port TCP 80.

Berikut adalah beberapa contoh lain dari apa yang dapat Anda ketik di sebelah kanan tombol Filter:

(ip.addr eq ldap.test.intra)
ldap
ip.addr == 10.205.0.170
tcp.dstport == 80
http
icmp
udp.dstport == 162


Jika Kita ingin mendapatkan hal lebih detail, kita bisa klik pada tombol Filter itu sendiri dan kita akan melihat banyak pilihan filter disana.

Kita juga dapat menentukan filter pada baris-perintah untuk Wireshark. Misalnya untuk menangkap paket hanya antara dua host bernama nfsserver dan myclient kita bisa ketik:

Sintaks yang kita gunakan untuk ekspresi-f sama seperti yang digunakan dalam perintah tcpdump

Nmap
Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif pada port yang lebih spesifik. Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Hebatnya lagi, tidak seperti Wireshark, Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih memiliki celah keamanan yang dapat dieksploitasi oleh Conficker. Selain itu, Nmap juga memiliki satu keunggulan yang mungkin membuat administrator jaringan besar jatuh cinta, ia dapat melakukan scanning komputer antar segmen.

Contoh penggunaan Nmap dan hasil capturenya :

Target acquisition and information gaterhing

Eksploitasi keamanan
Menurut “Hacking Exposed” metodologi dari penyusup biasanya mengikuti langkah sebagai berikut :

1. Target acquisition and information gaterhing
2. Initial access
3. Privilege escalation
4. Covering tracks

Sebelum melakukan penyerangan, seorang cracker biasanya mencari informasi tentang targetnya. Banyak informasi tentang sebuah sistem yang dapat diperoleh dari Internet. Sebagai contoh, informasi dari DNS (Domain Name System) kadang-kadang terlalu berlebihan sehingga memberikan terlalu banyak informasi kepada orang yang bermaksud jahat. DNS dapat memberikan informasi tentang nama-nama server berserta nomor IP yang dimiliki oleh sebuah perusahaan. Seseorang yang tidak tahu apa-apa, dengan mengetahui domain dari sebuah perusahaan dapat mengetahui informasi yang lebih banyak tentang server-server dari perusahaan tersebut. Paling tidak, informasi tentang name server merupakan informasi awal yang dapat berguna.

Informasi tentang DNS tersedia secara terbuka di Internet dan dapat dicari dengan menggunakan berbagai tools seperti:

1. whois, host, nslookup, dig (tools di sistem UNIX)
2. Sam Spade (tools di sistem Windows)
3. web dari Network Solutions inc. yang menyediakan informasi tentang data-data gTLD (.com, .net, .org, dan seterusnya) melalui webnya di http://www.networksolutions.com

Host, Whois, dig

Berikut ini adalah contoh beberapa session untuk mencari informasi tentang domain dan server-server yang digunakan oleh domain tersebut. Untuk mencari name server, dapat digunakan program “host” dengan option “-t ns”. Sementara itu untuk mencari nomor IP dari sebuah host, langsun gunakan program host tanpa option.

Sebelum melakukan crack, terlebih dahulu kita harus mengetahui mengenai Domain Name System (DNS) . karena dengan mengetaahui DNS maka dapat diperoleh IP target. Setelah mengetahui IP target maka informasi lainnya dapat dicari.

Pada praktek tugas ini, untuk mengetahui informasi DNS dari www.itb.ac.id dan www.detik.com saya mengakses situs www.apjii.or.id  tools  whois database. Kemudian muncul tampilan seperti yang terlihat dibawah ini.

Sistem Keamanan Informasi Lanjut

Aspek sistem kemananan adalah :
1. Confidence / Privacy
2. Integrity
3. Avaliabilty
4. Authentication
5. Non-repudiation
6. Access control

Avaliability adalah ketersediaan informasi yang harus ada ketika dibutuhkan. Avaliability ini yang merupakan sasaran dari Denial of Service Attack (DoS).

“Denial of Service (DoS) attack” merupakan sebuah usaha (dalam bentuk serangan) untuk melumpuhkan sistem yang dijadikan target sehingga sistem tersebut tidak dapat menyediakan servis-servisnya (denial of service) atau tingkat servis menurun dengan drastis. Cara untuk melumpuhkan dapat bermacam-macam dan akibatnyapun dapat beragam. Sistem yang diserang dapat menjadi “bengong” (hang, crash), tidak berfungsi, atau turun kinerjanya (beban CPU tinggi).

Serangan denial of service berbeda dengan kejahatan pencurian data atau kejahatan memonitor informasi yang lalu lalang. Dalam serangan DoS tidak ada yang dicuri. Akan tetapi, serangan DoS dapat mengakibatkan kerugian finansial. Sebagai contoh apabila sistem yang diserang merupakan server yang menangani transaksi “commerce”, maka apabila server tersebut tidak berfungsi, transaksi tidak dapat dilangsungkan. Bayangkan apabila sebuah bank diserang oleh bank saingan dengan melumpuhkan outlet ATM (Anjungan Tunai Mandiri, Automatic Teller Machine) yang dimiliki oleh bank tersebut. Atau sebuah credit card merchant server yang diserang sehingga tidak dapat menerima pembayaran melalui credit card [1].
Metode Serangan DoS
Serangan DoS dapat dilakukan dalam beberapa cara. Lima jenis dasar serangan adalah :
1. Konsumsi sumber daya komputasi, seperti bandwidth, disk space, atau waktu prosesor
2. Gangguan informasi konfigurasi, seperti informasi routing.
3. Gangguan informasi negara, seperti ulang diminta sesi TCP.
4. Gangguan komponen jaringan fisik.
5. Menghalangi media komunikasi antara pengguna yang dimaksudkan dan korban sehingga mereka tidak bisa lagi berkomunikasi secara memadai.


Denial of Service (DoS), khususnya yang terkait dengan input yang tidak semestinya (input yang sangat panjang, input dengan karakter yang aneh-aneh, dan sejenisnya) pada situs situs web tertentu yang ada di Indonesia adalah sebagai berikut.
1. Detik Search
Pada search Enggine detik.com memasukkan keyword yang panjang. Diperoleh pesan “tidak ditemukan dalam dokumen”

2. Majalah Tempo Online
Berbeda dengan Detik Search, pada tempo online (http://ip52-214.cbn.net.id/) muncul pesan error “warning function fopen pada search.php line 69”.



3. Situs Resmi Kabupaten Garut
Pada situs resmi kabupaten garut (http://www.garutkab.go.id/) pada search enggine nya muncul pesan “google error”.



4. Situs Kabupaten Bogor
Pada situs kabupaten bogor (http://eproc.bogorkab.go.id/) memasukkan karakter @ sebanyak banyaknya dan muncul pesan kesalahan.



5. Pada situs ilmuti.com
Pada situs ini dicoba memasukkan banyak karakter pada mesin pencariannya dan muncul pesan.



Situs situs diatas diakses pada tanggal 10 Oktober 2010.

Kesimpulan
Denial of Service (DoS) adalah suatu serangan yang membidik salah satu aspek keamanan yaitu Avaliabilty. Penyerangan Avaliability atau ketersedian informasi dengan DoS pada situs situs diatas sebagian besar telah ditangani dengan baik dengan menambahkan fungsi handle error pada programnya.ini terlihat dari pesan pesan yang dimunculkan ketika keyword yang dimasukan tidak tersedia adapun yang tidak manambahkan hadle error pada penyeleksian masukan pada textfield nya adalah tempo online dengan muncul pesan error bawaa dari program php nya yaitu “fuction fopen failed to open” .