Minggu, 31 Oktober 2010

Mendeteksi Port Scanning

Sniffer
Program sniffer adalah program yang dapat digunakan untuk menyadap data dan informasi melalui jaringan komputer. Di tangan seorang admin, program sniffer sangat bermanfaat untuk mencari (debug) kesalahan di jaringan atau untuk memantau adanya serangan. Di tangan cracker, program sniffer dapat digunakan untuk menyadap password (jika dikirimkan dalam bentuk clear text).


Sniffit
Program sniffit dijalankan dengan userid root (atau program dapat di-setuid root sehingga dapat dijalankan oleh siapa saja) dan dapat menyadap data. Untuk contoh penggunaan sniffit, silahkan baca dokumentasi yang menyertainya. (Versi berikut dari buku ini akan menyediakan informasi tentang penggunaannya.)


tcpdump
Program tcpdump merupakan program gratis yang umum digunakan untuk menangkap paket di sistem UNIX. Implementasi untuk sistem Window juga tersedia dengan nama windump. Setelah ditangkap, data-data (paket) ini dapat diolah dengan program lainnya, seperti dengan menggunakan program tcpshow, tcptrace, dan sejenisnya.

Program tcpdump sangat powerful dan digunakan sebagai basis dari pembahasan di beberapa buku, seperti buku seri “TCP/IP Illustrated” dari
Richard Stevens [46] yang sangat terkenal atau buku “Network Intrusion
Detection” [31].
lengkap tentang paket-paket ini, silahkan baca buku “TCP/IP Illustrated” dari Richard Stevens atau buku “Network Intrusion Detection” (Stephen Northcutt & Judy Novak).

Selain sesi web, nampak juga sesi ping dimana ada paket “ICMP echo request” yang dibalas dengan paket “ICMP echo reply”. Ping ini juga dikirimkan dari IP 192.168.1.7 ke komputer dengan IP 192.168.1.1.


Sniffer Pro
Sniffer Pro merupakan program sniffer komersial yang berjalan di sistem Windows. Program ini dibuat oleh Network Associates dan cukup lengkap fasilitasnya. Sniffer Pro dapat menangkap packet dengan aturan-aturan (rules) tertentu. Bahkan dia dilengkapi dengan visualisasi yang sangat menarik dan membantu administrator.


Anti Sniffer
Untuk menutup lubang keamanan dari kegiatan sniffing, administrator dapat membuat jaringannya bersegmen dan menggunakan perangkat switch sebagai pengganti hub biasa. Selain itu dapat juga digunakan program untuk mendeteksi adanya penggunaan sniffer di jaringan yang dikelolanya. Program pendeteksi sniffer ini disebut anti-sniffer.

Program anti-sniffer bekerja dengan mengirimkan packet palsu ke dalam jaringan dan mendeteksi responnya. Ethernetcard yang diset ke dalam promiscuous mode (yang umumnya digunakan ketika melakukan sniffing) dan program yang digunakan untuk menyadap sering memberikan jawaban atas packet palsu ini. Dengan adanya jawaban tersebut dapat diketahui bahwa ada yang melakukan kegiatan sniffing.

Wireshark
Wireshark/Ethereal merupakan salah satu dari sekian banyak tools Network Analyzer yang banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya dan juga merupakan tools andalan Vaksinis (teknisi Vaksincom).
Wireshark banyak disukai karena interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis. Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan yang kita "intip". Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti Windows, Linux, Macintosh, dll.

Pada awal kemunculan dan perkembangan Conficker, tools ini merupakan "pelopor" tools yang digunakan oleh beberapa vendor security untuk menganalisa paket-paket data/informasi dalam jaringan dari serangan Conficker

Berikut contoh penggunaan Wireshark pada OS Linux
Untuk mulai menangkap lalu lintas paket secara real-time dan menampilakannya ikuti langkah seperti yang ditampilkan pada gambar di bawah ini:
  • Capture : Interface pilih Ethernet 0 (Eth0)
  • Pada bagian sebelah kanan (Display Options) centang Update list of packets in real time (tangkap paket secara real time) dan Automatic scrolling capture in live capture (Scroll otomatis bergulir setiap ada perubahan pergerakan paket yang ditangkap)
  • Kemudian klik pada Start.
Di bawah ini adalah contoh jendela utama Wireshark setelah lalu lintas paket ditangkap



Setelah kita selesai bermain-main dengan Wireshark dan mengamati jaringan, Kita mungkin akan ingin fokus pada lalu lintas antara host tertentu, atau fokus pada protokol tertentu.

Kita dapat Filter melihat paket tertentu dengan melihat langkah sbb:
Klik scroll di sebelah kanan Filter: berada di bagian atas jendela. Kemudian pilih/ketikan satu jenis filter seperti misalnya tcp.port==80





Setelah selesai mengetik itu, tekan Enter dan Wireshark akan menampilkan hanya paket yang menggunakan port TCP 80.

Berikut adalah beberapa contoh lain dari apa yang dapat Anda ketik di sebelah kanan tombol Filter:

(ip.addr eq ldap.test.intra)
ldap
ip.addr == 10.205.0.170
tcp.dstport == 80
http
icmp
udp.dstport == 162


Jika Kita ingin mendapatkan hal lebih detail, kita bisa klik pada tombol Filter itu sendiri dan kita akan melihat banyak pilihan filter disana.

Kita juga dapat menentukan filter pada baris-perintah untuk Wireshark. Misalnya untuk menangkap paket hanya antara dua host bernama nfsserver dan myclient kita bisa ketik:




Sintaks yang kita gunakan untuk ekspresi-f sama seperti yang digunakan dalam perintah tcpdump

Nmap
Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif pada port yang lebih spesifik. Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Hebatnya lagi, tidak seperti Wireshark, Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih memiliki celah keamanan yang dapat dieksploitasi oleh Conficker. Selain itu, Nmap juga memiliki satu keunggulan yang mungkin membuat administrator jaringan besar jatuh cinta, ia dapat melakukan scanning komputer antar segmen.

Contoh penggunaan Nmap dan hasil capturenya :



Tidak ada komentar:

Posting Komentar