DETEKSI PENYUSUPAN PADA JARINGAN KOMPUTER MENGGUNAKAN IDS SNORT
INTRUSION DETECTION IN COMPUTER NETWOKS USING IDS SNORT
TUGAS AKHIR Diajukan Sebagai Syarat Kelulusan Pendidikan Program Strata-1 Ilmu Komputasi Fakultas Informatika Universitas Telkom
Oleh : Walid Fathoni 1107091052
FAKULTAS INFORMATIKA UNIVERSITAS TELKOM BANDUNG 2015 i
LEMBAR PENGESAHAN DETEKSI PENYUSUPAN PADA JARINGAN KOMPUTER MENGGUNAKAN IDS SNORT
INTRUSION DETECTION IN COMPUTER NETWOKS USING IDS SNORT
WALID FATHONI 1107091052
Bandung, November 2015 Menyetujui
Pembimbing 1
(Fitriyani, S.Si, M.T
Pembimbing II
Galih Nugraha Nurkahfi, S.Si, M.Si
NIP :10830595-1
Ketua Program Studi Sarjana Ilmu Komputasi
Dr. Deni Saepudin Nip : 99750181-1
ii
LEMBAR PERNYATAAN ORISINALITAS Nama
: Walid Fathoni
NIM
: 1107091052
No Hp
: 085324015992
E-Mail
:
[email protected]
Menyatakan bahwa Tugas Akhir ini merupakan karya orisinil saya sendiri, dengan judul : DETEKSI
PENYUSUPAN
PADA
JARINGAN
KOMPUTER
MENGGUNAKAN IDS SNORT
INTRUSION DETECTION IN COMPUTER NETWOKS USING IDS SNORT Atas pernyataan ini, saya siap menanggung resiko/sanksi yang dikatuhkan kepada saya apabila kemudian ditemukan adanya pelanggaran terhadap kejujuran akademik atau etika keilmuan dalam karya ini atau ditemukan bukti yang menunjukkan ketidakaslian karya ini.
Bandung, November 2015
(Walid Fathoni) 1107091052
iii
ABSTRAK Masalah keamanan jaringan semakin menjadi perhatian dikarenakan semakin banyaknya alat yang bermunculan dan tehnik yang digunakan oleh seseorang secara ilegal untuk masuk kedalam sistem atau membuat lumpuh sistem yang ada secara ilegal. Selain itu adanya celah dan tidak ada sistem keamanan yang melindungi sistem menjadikan sistem rentan terhadap serangan. IDS adalah salah satu teknik yang dapat digunakan dalam keamanan jaringan. IDS dapat mendeteksi serangan secara real time. Dengan membangun IDS dapat membantu administrator mendeteksi serangan yang terjadi pada jaringan komputer. Tugas akhir ini disusun untuk melakukan penelitian terhadap beberapa jenis serangan yang ada dan sering terjadi, sehingga dapat membantu menangkal serangan yang dilakukan hacker terhadap sistem. Penulis menggunakan software SNORT dalam penelitiannya dan berdasarkan rule berbasis signature base. Pada penelitian ini penulis berhasil mendeteksi semua serangan yang diujicobakan dan menghasilkan nilai 1 yang berarti pendeteksian berjalan dengan baik.
Kata kunci : Keamanan jaringan, kerentanan, sistem deteksi penyusupan, SNORT, IDS
iv
ABSTRACT Network security issues increasingly becoming a concern due to the increasing number of emerging tools and techniques used by someone illegally to entered into the system or paralyze the existing system illegally. Besides gaps and no security system that protects the system makes the system vulnerable to attack. IDS is one technique that can be used in network security. IDS can detect attacks in real time. By building IDS, can help administrators detect attacks on computer networks This final task is structured to conduct research on some kind of attack that is often the case, so it can help ward off hacker attacks carried out against the system. Snort uses in this research and based on signature-based rule. In this study, the authors successfully detect all attacks that tested and the value is 1, means the detection goes well.
Keyword : Network security, vulnerability, Intrusion detection system, SNORT , IDS
v
KATA PENGANTAR Puji dan syukur penulis panjatkan kepada Allah S.W.T. yang telah memberikan rahmat, taufik, hidayah, dan inayah-Nya kepada penulis sehingga penulis dapat menyelesaikan tugas akhir dengan judul ”Deteksi Penyusupan pada Jaringan Komputer menggunakan IDS SNORT”. Tugas akhir ini disusun sebagai salah satu syarat kelulusan program sarjana Departemen Sains Fakultas Teknik Universitas Telkom. Penulis menyadari bahwa tugas akhir ini masih jauh dari kesempurnaan. Oleh karena itu, kritik dan saran akan sangat diharapkan untuk pengembangan tugas akhir ini agar dapat lebih baik. Penulis berharap semoga tugas akhir ini dapat bermanfaat bagi semua pihak yang membutuhkan dan dapat memberikan kontribusi bagi dunia teknologi dan informasi. Akhir kata, penulis memohon maaf kepada semua pihak apabila penulis telah melakukan kesalahan dan kekhilafan, baik yang disengaja maupun yang tidak disengaja.
Bandung, November 2015
Penulis
vi
UCAPAN TERIMAKASIH Dalam bagian ini penulis ingin mengucapkan terima kasih kepada semua pihak yang telah membantu, memberikan saran, doa dan dukungannya dalam melaksanakan kuliah dan Tugas Akhir ini. Penulis ingin menyampaikan terima kasih kepada : 1. Allah SWT karena atas izin-Nya semua dapat terjadi, termasuk penyelesaian tugas akhir ini. 2. Ayah dan ibu yang telah merawat, mendidik, memberikan motivasi, dan selalu berusaha yang terbaik bagi anak – anaknya. Semoga dianugrahi umur yang panjang, kesehatan, perlindungan dan dimudahkan segala urusannya. 3. Kepada kakak dan adikku yang selalu tak bosan mengingatkan dan memberikan semangat dalam penyelesaian tugas akhir ini. 4. Ibu Fitriyani, S.Si, M.T dan pak Galih Nugraha Nurkahfi, S.Si, M.Si yang merupakan pembimbing 1 dan pembimbing 2, terimakasih atas ilmu, arahan, motivasi yang diberikan dalam proses penyelesaian tugas akhir ini. 5. Bapak Rian Febrian Umbara, s.si., m.si selaku dosen wali. 6. Sahabat – sahabat seperjuangan ilkom bram, husain, ivan, diwan, bayu, yogi, wahyu, fauzi, fai, tiara, fifi, riza, reza yang selalu berbagi cerita dan hal konyol selama kuliah hingga sekarang, semoga selalu diberikemudahan. 7. Teman – teman ilkom dan universitas telkom yang tidak bisa disebutkan satu persatu terimakasih atas kebersamaannya. 8. Teman – teman rafles dan ananda residence. 9. Serta semua orang yang telah membantu dan berjasa dalam pengerjaan dan penyelesaian tugas akhir ini. Terimakasih sekali lagi kepada semua pihak yang telah disebukan, semoga Tuhan Ynag Maha Esa memberikan kemudan, kelancaran dan perlindungannya bagi kita semua.
vii
DAFTAR ISI
LEMBAR PENGESAHAN .................................................................................... ii LEMBAR PERNYATAAN ORISINALITAS ...................................................... iii ABSTRAK ............................................................................................................. iv ABSTRACT ............................................................................................................ v KATA PENGANTAR ........................................................................................... vi UCAPAN TERIMAKASIH .................................................................................. vii DAFTAR ISI ........................................................................................................ viii DAFTAR GAMBAR .............................................................................................. x DAFTAR TABEL .................................................................................................. xi BAB I ...................................................................................................................... 1 PENDAHULUAN ............................................................................................... 1 1.1.
Latar Belakang .................................................................................. 1
1.2.
Rumusan Masalah ............................................................................. 2
1.3.
Tujuan ............................................................................................... 2
1.4.
Batasan Masalah................................................................................ 3
1.5.
Metode Penelitian.............................................................................. 3
1.6.
Sistematika Penulisan ....................................................................... 4
BAB II ..................................................................................................................... 5 LANDASAN TEORI .......................................................................................... 5 2.1.
Intrusion Detection System (IDS) ..................................................... 5
2.2.
Signature ........................................................................................... 6
2.3.
Alerts ................................................................................................. 7
2.4.
Snort .................................................................................................. 7
2.5.
Rule ................................................................................................... 8
viii
2.6.
Metode Pengoprasian ........................................................................ 9
2.7.
Komponen – Komponen Snort ....................................................... 10
2.8.
Snorby ............................................................................................. 12
2.9.
Jenis – Jenis Serangan Pada Jaringan Komputer ............................ 13
BAB III ................................................................................................................. 16 PERANCANGAN SISTEM.............................................................................. 16 3.1.
Diskripsi Sistem .............................................................................. 16
3.2.
Diagram Alur Pengerjaan ................................................................ 16
3.3.
Perangkat yang Digunakan ............................................................. 18
3.4.
Gambaran Umum ............................................................................ 18
3.5.
Parameter keberhasilan sistem ........................................................ 19
BAB IV ................................................................................................................. 20 ANALISIS PENGUJIAN SISTEM ................................................................... 20 4.1.
Analisis Sistem ................................................................................ 20
4.2.
Strategi Pengujian ........................................................................... 20
4.3.
Tujuan Pengujian ............................................................................ 20
4.4.
Pengujian Sistem ............................................................................. 21
4.5.
Hasil Pengujian Sistem ................................................................... 33
4.6.
Pengukuran Penggunaan Resource ................................................. 35
BAB V................................................................................................................... 37 KESIMPULAN DAN SARAN ......................................................................... 37 5.1.
Kesimpulan ..................................................................................... 37
5.2.
Saran ................................................................................................ 37
DAFTAR PUSTAKA ........................................................................................... 38 LAMPIRAN .......................................................................................................... 39
ix
DAFTAR GAMBAR Gambat 2.1 penerapan NIDS .................................................................................. 6 Gambar 2.2 penerapan HIDS .................................................................................. 6 Gambar 2.3 Tampilan Web Snorby ...................................................................... 12 Gambar 3.1 Alur Pengujian sistem ....................................................................... 16 Gambar 3.2 Alur kinerja pada Snort ..................................................................... 17 Gambar 4.1 SQL Injection pada snorby................................................................ 24 Gambar 4.2 Detail informasi pada setiap serangan ............................................... 24 Gambar 4.3 payload SQL Injection ...................................................................... 25 Gambar 4.4 XSS pada Snorby .............................................................................. 27 Gambar 4.5 detail informasi setiap serangan. ....................................................... 27 Gambar 4.6 payload XSS pada Snorby. ................................................................ 28 Gambar 4.7 Hping3 DoS dan detail pada serangan .............................................. 30 Gambar 4.8 Loic Dos dan detail pada serangan .................................................... 30 Gambar 4.9 Hydra SSH Brute Force dan detail serangan ..................................... 32 Gambar 4.10 Medusa SSH Brute Force dan detail serangan ................................ 33 Gambar 4.11 kondisi awal..................................................................................... 35 Gambar 4.12 kondisi Snort mendeteksi ancaman ................................................. 35
x
DAFTAR TABEL
Tabel 4.1 perbandingan rule Sql Injection ............................................................ 22 Tabel 4.2 perbandingan rule Cross Site Scripting ................................................ 26 Tabel 4.3 Perbandingan rule DoS ......................................................................... 29 Tabel 4.4 Perbandingan rule SSH Brute Force ..................................................... 32 Tabel 4.5 hasil Precision Rate dan Recall Rate tiap serangan .............................. 34 Tabel 4.6 perbandingan pengukuran resource ...................................................... 35
xi
BAB I PENDAHULUAN 1.1.
Latar Belakang
Seiring dengan kemajuan teknologi infomasi (IT) yang telah banyak diterapkan oleh hampir semua kalangan, munculah sebuah permasalahan tentang bagaimana membuat sistem keamanan dari sistem IT, agar data atau informasi yang ada didalam sistem tidak bisa diakses oleh orang yang tidak berkepentingan, dan bagaimana agar sistem tersebut terhindar dari tindakan pengerusakan (cracking). Untuk mengamankan teknologi IT ada banyak caranya, salah satunya dengan mengamankan sisi jaringannya. Salah satu cara melakukan pengamanan di jaringan adalah dengan penerapan sistem pendeteksian penyusup jaringan atau intrusion Detection System (IDS). Semakin berkembangnya zaman berkembanglah bermacam macam – macam sistem keamanan jaringan yang ada, seperti firewall yang dapat menghentikan paket data yang tidak dizinkan, kriptografi dengan cara mengenkripsi data yang dikirimkan sehingga orang yang tidak berkepentingan tidak dapat mengambil informasi dari paket tersebut dan Snort sebuah aplikasi berbasis IDS. Snort adalah salah satu sistem keamanan jaringan yang dapat dipakai untuk memperingati bahwa sedang terjadi sebuah ancaman pada jaringan komputer. Snort adalah sebuah software open source yang memiliki banyak fungsing yang sangat membantu administrator dalam menangani ancaman yang telah terjadi. Snort memliki banyak fungsi yang diantaranya adalah mode IDS yang dapat memberikan sebuah peringatan kepada administrator apabila sedang terjadi sebuah ancaman pada jaringan komputer. Dengan adanya peringatan kepada adaministrator adanya sebuah ancaman, administrator dapat langsung mengambil tindakan yang diperlukan unutk mengamankan data yang ada. Selain mode diatas Snort juga memberikan sebuah mode logging yang membantu mencatat ancaman apa saja
1
yang ada. Dilihat dari fungsi ini jugalah administrator dapat lebih memperbaiki sistem yang ada agar menjadi lebih baik lagi. Perancangan Snort yang baik harus meperhatikan apakah rule yang dibuat berhasil dalam mendeteksi sebuah penyusupan yang terjadi. Disisi lain kita tidak boleh melupakan kemampuan dari mesin yang digunakan dalam pengimplementasian Snort. Melihat permasalahan tersebut dalam penelitian ini mencoba untuk membuat sebuah rule dan melakukan percobaan pengaplikasiaan rule tersebut kemudian dari hasil percobaan ini kita dapat melihat efektifitas rule yang telah dibuat apakah dapat menangkap tindakan penyusupan dengan tepat. Disamping itu juga percobaan dilakukan dengan milihat tingkat pemakaian CPU (Centra Prossesing Unit) dan RAM (Random Access Memory) pada setiap pengaplikasian rule agar dapat menetukan kemampuan mesin yang akan digunakan yang pada akhirnya mempengaruhi kecepatan alur data yang terjadi pada jaringan komputer.
1.2.
Rumusan Masalah
Rumusan masalah dalam tugas akhir ini adalah sebagai berikut: 1. Bagaimana bentuk peringatan yang akan diberikan kepada administrator? 2. Bagaimana cara untuk mengimplementasikan sebuah IDS berbasis Snort? 3. Bagai mana pola-pola serangan yang ada di jaringan dan bagaimana mendeteksinya
dengan
menggunakan
regular
expression
yang
diimplementasikan dalam bentuk rule Snort? 4. Bagai mana membuat rules yang efekti agar dapat menangkap ancaman dengan tepat dan pengaruh penerapan IDS dan rules yang ada pada resource server dimana IDS diimplementasikan?
1.3.
Tujuan
Tujuan dari peneliatian ini adalah sebagai beriku: 1. Membuat sebuah sistem IDS yang dapat medeteksi ancaman pada jaringan komputer dan membuat sistem alarmnya.
2
2. Mengimplementasikan rules ke sistem IDS untuk pendeteksian berbagai macam pola serangan dan mengukur efektifitas penerapan rules-rules tersebut. 3. Mengukur perbandingan resource pemakaian RAM dan CPU pada server IDS
1.4.
Batasan Masalah
Ruang lingkup pengerjaan Tugas Akhir ini meliputi : 1. Implementasi sistem pendeteksi penyusupan menggunakan software IDS Snort. 2. Pengimplementasian berbagai macam rules Snort untuk membaca serangan berdasarkan pattern serangan dan melihat efisiensi yang dihasilkan rules terhadap pendeteksian tindakan penyusupan. 3. Pembandingan penggunaan resource hanya pada CPU dan RAM server IDS. 4. Jenis serangan yang akan dilakukan hanya sebatas pada sql injection/web application attack, Ddos dan ssh brute force attack.
1.5.
Metode Penelitian
Berikut ini adalah beberapa metodologi yang digunakan dalam penelitian: 1
Studi Literatur Studi literatur yang dimaksud berubah buku, jurnal, hasil penelitian dan sumber dari internet yang memberikan informasi yang jelas dan akurat mengenai permasalahan yang akan dibahas.
2
Simulasi dan Implementasi Pada tahap ini dilakukan simulasi Snort terhapdar serang yang akan dicoba dilakuakan unutk melihat apakah sistem dapat mendeteksi sebuah serangan dengan baik.
3
Evaluasi Sistem Pada tahap ini dilakukan evaluasi terhadap sistem yang telah dibuat dan diimplementasikan pada infrastruktur yang ada.
3
4
Analisis Pada tahap ini dilakukan sebuah analisis terhadap sistem yang telah diimplementasikan.
5
Kesimpulan Pada tahap ini akan dilakukan sebuah kesimpulan dari hasil percobaan yang telah diimplementasikan agar dapat membuat sistem yang labih baik lagi.
1.6.
Sistematika Penulisan
Penulisan laporan tugas akhir disusun berdasarkan sistematika sebagai berikut : BAB I : PENDAHULUAN Pada bagian ini berisikan latar belakang, tujuan penelitian, rumusan masalah, batasan masalah, metodologi penelitian dan sistematika penulisan. BAB II : DASAR TEORI Pada bagian ini berisikian definisi dari IDS, signatur, alert, definisi Snort, metode pengoprasian, komponen-komponen Snort. BAB III : ANALISIS PERANCANGAN SISTEM Pada bab ini berisikan rancangan umum tenatang sistem yang akan dibuat dan kebutuhan sistem yang akan diimplementasikan BAB IV : ANALISIS SISTEM DAN EVALUASI Dalam bab ini berisikan analisis dari rule – rule yang teah dibuat terhadap serangan – serangan yang dilancarakan apakah dapat menangkap serangan dengan tepat, dan juga melihat kecepatan lalu lintas data yang ada sebelum dan setelah rule – rule pada Snort diimplementasikan. BAB V : KESIMPULAN DAN SARAN Pada bab ini berisikan kesimpulan dan saran dari hasil penelitian yang telah dilakukan.
4
BAB II LANDASAN TEORI 2.1.
Intrusion Detection System (IDS)
IDS merupakan sebuah tehnik atau metode yang digunakan unutk mendeteksi aktifitas mencurigakan yang terjadi pada network dan host level. IDS mengumpulkan data - data dari sensor yang ada dan akan menganalisis data tersebut kemudian akan memberikan peringatan apakah terjdi penyusupan pada jaringan komputer. Dalam mendeteksi andanya ancaman pada jaringan komputer IDS menggunakan signature base dan anomali base. Pada signature base IDS akan mendeteksi adanya aktifitas mencurigakan atau aktifitas penyusupan berdasarkan pada database yang telah ada sebelumnya. Layaknya virus pada komputer, penyerang memiliki sebuah signature yang dapat dikenali. Bedasarkan signature dan rule sistem dapat mendeteksi dan membuat catatan aktivitas tersebut dan memberikan peringatan kepada administrator. Pada anomali base IDS melakukan pendeteksian dengan membandingakan pola lalu lintas jaringan yang sedang diawasi dengan pola lalu lintas yang biasanya terjadi. Dalam pengaplikasiannya teknologi IDS secara umum dibagi menjadi 2 : 1. Network intrusion detection system (NIDS) NIDS adalah intrusin detection system yang menangkap paket data yang ada pada jaringan (media kabel atau wireless) dan mencocokannya kedalam database signature. Apabila terdapat kecocokan dengan tanda - tanda penyusupan peringatan akan dihasilkan atau paket akan dicatat dalam file atau kedalam database.
5
Gambat 2.1 penerapan NIDS
2. Host intrusion Detection System (HIDS) HIDS diinstal sebagai agen pada host. Intruksi detection system ini dapat melihat ke dalam sistem dan aplikasi file log unutk mendeteksi adanya aktivitas penyusupan. Beberapa sistem ini reaktif, yang berarti hanya memberitahu ketika penyusupan sedang terjadi. Sedangkan beberapa lagi proaktif yang dapat mengendus lalu linas jaringan yang datang pada host tertentu dimana HIDS diinstal dan memberi peringatan secara real time.
Gambar 2.2 penerapan HIDS
2.2.
Signature
Signature adalah sebuah pattern yang kita lihat dalam sebuah paket data. Pattern digunakan untuk mendeteksi satu atau beberapa serangan.
6
Signature dapat dilihat dibeberapa bagian dari paket data tergantung jenis serangan yang dilakukan. Sebagai contoh kita dapat menemukan signature pada bagian header IP, transport layer header dan atau application layer. Signatur dapat diperbaharui dengan mengunduhnya pada data base yang telah disediakan atau pada Snort kita dapat menambahkannya sendiri. Dalam artian yang sederhana signatur dapat disamakan seperti virus pada komputer yang memiliki pola – pola tertentu.
2.3.
Alerts
Alert adalah sebuah peringatan yang diberikan kepada seorang administrarot ketika terjadinya sebuah penyusupan atau sebuah aktivitas mencurigakan. Ketika IDS mendeteksi adanya penyusupan, Snort akan memberikan peringatan kepada administrator. Alert dapat ditampilkan dalam berbagai macam seperti sebuah file pada tempat penyimpanan tertentu, dapat dikirim melalui email, disimpan dalam bentu data base dan lain lain yang dapat dilihat lebih detail tentang informasi yang ada. Alert juga dapat dikategorikan dalam beberapa kategori seperti, paling berbahaya, berbahaya dan sedang. Dari sinipula kita dapat melihat serangan mana yang sering terjadi pada jaringan komputer.
2.4.
Snort
Snort adalah sebuah software keamanan yang sangat berguna untuk mengamati aktivitas dalam suatu jaringan komputer. Snort bersifat open source GNU ( General Publick License ), sehingga boleh digunakan dengan bebas dan gratis, kode sumber (source cocde) untuk Snort juga bisa didapatkan dan dimodifikasi sendiri. Dalam penggunaanya Snort masih berbasih command line sehingga cukup merepotkan bagi user yang terbiasa dengan pemakaian Grapich User Interface (GUI). Snort dapat menjadi sebuah packet sniffer yang memungkinakn Snort unutk membaca lalu lintas jaringan komputer yang ada. Snort juga dapat juga membuat sebuah tempat pencatatan (packet logger) dari lalu lintas jaringan dan peringatan yang terjadi, yang memungkinkan seorang administrator untuk melakukan analisis
7
sehingga dapat membuat jaringan komputer yang lebih aman. Selain dapat menjadi packet sniffer dan packet logger Snort digunakan sebagai suatu Network Intrusion Detection, dalam mode ini Snort dapat memberikan peringatan apabila ada sebuah aktivitas yang mencurigakan. Sebelum menerapkan Snort pada sebuah jaringan komputer kita perlu malakukan beberapa konfigurasi agar Snort dapat berjalan dengan baik dan sesuai dengan keinginan kita. Selain itu pengguna Snort harus melakukan pengaturan beberapa peraturan – peraturan (rule system) yang akan menentukan sebuah peringatan terhadap lalu lintas jaringan komputer. Pembuatan rules-pun cukup mudah dimengerti, sehingga pengguna barupun dapat cepat mempelajarinya. Selain itu Snort memiliki 2 tehnik dalam mengenali penyusupan yang sedang terjadi pada jaringan komputer, yang pertama menggunakan sebuah signature dalam sebuah data base dan mencocokkannya dengan lalu lintas jaringan yang ada. Kedua adalah dengan pendeteksian anomali dengan cara membandingkan lalu lintas jaringan yang sedang diawasi dengan lalu lintas jaringan yang biasanya terjadi. Dengan kemampuan ini Snort dapat mempermudah penanganan keamanan jaringan komputer.
2.5.
Rule
Rule adalah bagian penting dari Snort. Rule berupa script yang dapat mengenali adanya tindakan penyusupan yang sedang terjadi pada jaringan komputer kita berdasarkan signature. fungsi dari rule inilah yang membuat Snort sangat baik dalam pendeteksian penyusupan. Setiap rule memiliki dua logical bagian , rule header dan rule option. Rule header
Rule Option
Rule header mengandung informasi tentang aksi yang akan diambil. Rule header juga mengandung kriteria untuk pencocokan sebuah rule terhadap paket data. Sedangakn rule option biasanya mengandung peringatan dan informasi tentang bagian mana dari paket yang harus digunakan untuk menghasilkan pesan
8
peringatan. Bagian rule option berisi kriteria tambahan untuk pencocokan rule terhadap paket data. Bagian rule option inilah yang lebih menentukan kemampuan Snort dalam mendeteksi adanya tindakan ancaman. Struktur dari rule hader terdiri dari : Action
Address
Port
Direction
Address
Port
1. Action : menjelaskan tipe aksi yang akan diambil oleh sebuah rule 2. Protocol : protokol menjelaskan tentang protokol yang akan dilihat oleh rule 3. Address : address yang pertama menejelaskan asal IP paket data dan address kedua menjelaskan tujuan IP paket data. 4. Port : port yang pertama menjelaskan asal port paket data dan port yang kedua menjelaskan tujuan port paket data. 5. Direction : menejelaskan tujuan paket data.
2.6.
Metode Pengoprasian
Dalam pengoprasiannya Snort dapat dioprasikan dengan berbagai mode, berikut adalah beberapa mode yang dapat dijalankan Snort : 1.
Network Sniffer Mode Dalam network sniffer mode, Snort dapat menangkap dan menampilkan paket yang ada pada jaringan komputer. Dalam menjalankan mode ini tidak perlu melakukan konfigurasi apapun, cukup ketikkan “Snort –v” dan Snort-pun berjalan pada mode ini. Snort akan terus menampilkan paket paket pada layar terminal hinggal dihentikan dengan menggunanakn CTRL+C dan saat mode ini diakhiri Snort akan memberikan sebuah informasi statistik. Pada mode ini Snort akan menampilkan informasi – informasi berikut : a. Tanggal dan waktu paket ditanggkap b. Sumber IP address c. Sumber port number d. Tujuan IP address
9
e. Tujuan port f. Transport layer protocol yang digunakan g. Nilai Time To Live (TTL) pada bagian header IP h. Tipe layanan atau nilai TOS i. Paket ID j. Panjang dari IP header 2.
Packet Logger Mode Dalam mode ini, selain melihat semua paket yang lewat dalam jaringan komputer, Snort juga dapat mencatat atau logging terhadap semua paket data yang tertangkap dalam jaringan komputer ke dalam disk. Snort secara otomatis log tersebut akan berada pada directory /var/log/snort.
3.
Network Intrusion Detection Mode Dalam mode ini Snort tidak membuat pencatatan pada semua paket yang ada, tidak seperti pada Network Sniffer Mode. Snort hanya akan membuat sebuah pencatatan pada paket yang sesuai dengan rules yang telah dibuat. Jika paket tidak sesuai dengan rules yang ada, maka paket akan diteruskan begitu saja dan tidak akan ada pencatatan yang dibuat. Dalam hal ini pencatatan yang dibuat adalah pencatatan yang berisi sebuah alert atau peringatan tentang adanya sebuah ancaman. Pada saat menjalankan snort, snort akan membaca file konfigurasi yang terdapat pada /etc/Snort/Snort.conf dan semua file yang terdapat pada konfigurasi ini. Ketika kita merubah isi dari file Snort.conf dan semua file yang bersangkutan dengan file tersebut, maka Snort harus dihidupkan kembali untuk menerapkan perubahan yang telah dilakukan.
2.7.
Komponen – Komponen Snort Snort memiliki beberapa komponen – komponen yang bekerja sama dalam mendeteksi sebuah aktivitas mencurigakan dan mengeluarkan sebuah peringatan sesuai dengan konfigurasi yang ada. Beberapa komponen Snort adalah :
10
1.
Packet Decoder Packer deckoder mengambil paket data dalam jaringan komputer pada tipe jaringan antar muka yang berbeda dan menyiapkannya untuk kemudian di porses prepeosseced atau untuk dikirim pada detection engine.
2.
Preprocessors Preprocessors adalah komponen atau sebuah plug-in yang digunakan oleh Snort untuk mengatur atau merubah paket data sebelum Detection Engine melakukan tugasnya untuk mencari sebuah aktivitas yang mencurigakan. Preprocessor sangat penting dalam IDS untuk menyiapkan paket data untuk dianalisis sesuai dengan rule - rule yang digunakan detection engine.
3.
Detection Engine Detection engine merupakan bagian penting dalam sistem ini. Pada bagian inilah yang bertanggung jawab untuk mendeteksi segala macam aktivitas mencurigakan yang ada pada sebuah jaringan komputer. Detection engine menggunakan rule - rule yang ada untuk mengerjakan tugas ini. Pada detection engine terdapat beberapa hal yang harus diperhatikan, yaitu seberapa kuat hardware atau mesin yang kita miliki dan berapa banyak rule - rule yang kita terapkan. Dalam penggunaan Snort detection engine memiliki beban yang berbeda beda tergantung pada : a. Berapa banyak rule yang ada b. Kemampuan hardware dalam menjalankan Snort c. Kecepatan internal bus yang digunakan pada Snort d. Beban pada jaringan yang ada
4.
Logging and Alert System Logging tergantung pada detection engine menangkap sebuah aktivitas mencurigakan. Ketika sebuah aktivitas `mencurigakan terjadi maka sistem akan melakukan pencatatan pada aktivitas tersebut atau memberikan sebuah peringatan kepada administrator bahwa telah terjadi sebuah
11
tindakan yang mencurigakan. pada umumnya log akan tersimpan pada tempat penyimpanan /var/log/Snort. 5.
Output modules Output modules dapat berbeda – beda sesuai dengan sistem operasi dan konfigurasi yang telah dilakukan. Berdasarkan pada konfigurasi yang dilakuakn, output modules dapat berupa seperti berikut : a. Menyimpan sebuah log pada /var/log/Snort/alerts dalam bentuk file. b. Menyimpan sebuah data dalam bentu MySQL c. Sms gateway dan beberapa bentuk output modul lainnya.
2.8.
Snorby Snorby adalah front end web application ( yang dituls dalam bahasa Ruby on Rails ) untuk monitoring keamanan jaringan yang bersangkutan dengan sistem network intrusion detection seperti Snort, Suricata dan Sagan. Pemilihan penggunaan Snorby karena memiliki tampilan yang bagus serta memiliki fungsi yang memudahkan administrator dalam melakukan tuning terhadap rule yang diimplementasikan. Untuk menjalankan Snorby kita dapat menuliskan perintah “bundle exec rails server –e production” pada jendela terminal ubuntu. Berikut ini adalah tampilan snorby yang dapat dilihat pada Gambar 2.3 berikut,
Gambar 2.3 Tampilan Web Snorby
12
2.9. 1.
Jenis – Jenis Serangan Pada Jaringan Komputer Denial of Services (Dos) DOS merupakan singkatan dari Denial of Services, sebuah tehnik penyerangan terhadap sebuah sistem dengan jalan menghabiskan sumber data sistem tersebut sehingga tidak dapat diakses lagi. Sumberdaya dapat berupa CPU, RAM, Swap, cache, maupun bandwidth. Berikut merupakan beberapa cara yang dilakukan : a. Syn flood Pada keadaan normal klien akan pengirimkan paket TCP SYN untuk melakukan sinkronisasi dengan aplikasi server, dengan tehnik ini klient akan membanjiri server dengan banyak paket TCP SYN. b. DDoS (Distributed Denial of Services) DdoS merupakan salah satu jenis serangan Dos yang mengunakan banyak host dalam melakukan tindakan penyerangan terhadap terget dalam sebuah jaringan. Banyaknya host / komputer yang melakukan penyerangan adalah kelebihan dari DdoS. Komputer yang digunakan dapat berupa komputer – komputer sebuah komunitas tertentu atau juga bisa sebuah komputer zombie ( komputer yang telah disisipi oleh adware atau trojan oleh si penyerang). Akibat DDoS sendiri dapat menyebabkan sebuah website ataupun server tidak dapat diakses.
2.
SQL Injection SQl Injection merupakan sebuah tindakan hacking yang dilakukan pada aplikasi klien dengan cara memodifikasi perintah atau Snytax SQL. Dalam hal SQL injection, sebuah bahasa pemrograman seperti PHP atau Perl mengakses database melalui SQL query. Jika data yang diterima dari pengguna dikirim langsung ke database dan tidak disaring dengan benar, maka yang penyerang dapat menyisipkan perintah SQL sebagai bagian dari input. Setelah dijalankan pada database, perintah ini dapat mengubah, menghapus, atau membeberkan data sensitif. Lebih parah lagi jika sampai ke sistem eksekusi kode akses yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server. 13
3.
Cross Site Scripting (XSS) Cross site scripting adalah serangan dengan memasukan serangkaian kode yang memungkinkan hacker untuk mengeksekusi sebuah JavaScript jahat pada user browser. Pada kasusnya ada beberapa tehnik yang digunakan oleh hacker dalam melakukan jenis serangan ini, yaitu presisten XSS, reflected XSS dan DOM-based XSS. Tiap jenis memiliki karakteristik tersendiri dalam melakukan serangan. Pada tipe presisten XSS serangan dilakukan pada database website sehingga setiap orang yang mengaksesnya akan terkena akibatnya. Pada tipe reflected XSS kode jahat berasal dari browser korban sendiri (hacker mengirimkan URL kepada target dan menunggu target mengunjugin URL yang diberikan), pada jenis DOM based XSS kelemahan bukan pada sisi server malainkan pada sisi client (tipe ini merupakan jenis dari presistent dan reflected XSS, hacker mengirimkan URL dengean kode jahat kepada target dan menunggu target mengunjungi URL tersebut, tapi pada tipe ini permintaan yang dikirimkan kepada server tidak mengandung kode jahat, kode jahat akan tereksekusi setelah web browser mengeksekusi respon yang dikirim oleh server).
4.
SSH Brute Force SSH (Secure Shell) adalah protokol jaringan yang memungkinkan pertukaran data melalui saluran yang aman antara kedua perangakat jaringan. SSH bnyak digunakan pada sistem operasi berbasi ubuntu dan unix untuk mengakses akun shell, SSH dirancang sebagai pengganti Telnet dan shell remot lainnya yang tidak aman. Brute Force adalah metode trial dan error yang digunakan oleh program aplikasi untuk memecahkan data yang tekah dienkripsi seperti password atau standar data enkripsi (DES). Metode ini akan mencoba semua kemungkinan yang ada dari pada menggunakan strategi yang lebih baik. Berdasarkan pengertian SSH dan Brute Force yang telah dijelaskan sebelumnya dapat diambil kesimpulan bahwa SSH Brute Force attack
14
adalah sebuah jenis serangan pada SSH dengan mencoba semua kombinasi yang memungkinkan untuk mendapatkan akses pada sebuah SSH.
15
BAB III PERANCANGAN SISTEM 3.1.
Diskripsi Sistem
Sistem ini dirancang untuk melakukan pendeteksian terhadapt sejumlah aktivitas mencurigakan yang sedang terjadi pada jaringan komputer. Awalnya sistem akan menangkap paket data yang pada jaringan komputer. Kemudian paket data tersebut akan dianalisis berdasarkan rules yang telah diimplementasikan. Dari analisis tersebut dapat diambil keputusan apakah sedang terjadi sebuah ancaman atau tidak. Apabila terjadi sebuah ancaman maka sistem akan mengeluarkan peringatan kepada administrator dan juga melakukan pencatatan terhadap paket data tersebut untuk dapat diteliti lebih jelas oleh administrator.
3.2.
Diagram Alur Pengerjaan
Berikut ini merupakan aliran tahapan kerja dalam pembuatan penelitin ini :
Gambar 3.1 alur pengujian sistem
Langka pertama adalah melakukan penginstallan software Snort dan software pendukung lainnya dan melakukan konfigurasi switch untuk melakukan mirroring data menuju IDS. Langkah selanjutny adalah pemilihan jenis seranga yang akan diuji cobakan, yaitu SQL Injection, Cross Site Scripting, DDoS, SSH Brute Force Attack. Kemudian pengaplikasian rule serta tunning rule yang dilakukan sebelumdan setelah pengujian dilakukan. Apabila hasilnya belum sesuai dengan keinginan makan dilakukan tunning kembali. Setelah tahap pengujian dilakukan perhitungan nilai precision rate dan recall rate dan juga dilakukan pengujian pemakaian resource RAM dan CPU pada server IDS.
16
sedangkan ini adalah diagram berikut menunjukkan alur kinerja pada Snort saat mendeteksi sebuah ancaman atau tindakan penyusupan yang terjadi.
Gambar 3.2 Alur kinerja pada Snort Pada diagram diatas menunjukkan paket – paket data yang berasal dari internet atupun jaringan lokal akan diambil oleh packet decoder. Di dalam packet decoder akan menentukan protokol apa yang digunakan setiap paket yang ada, selain itu pada packet decoder dapat membuat sebuah alert sendiri berdasarkan anomali yang terjadi pada packet header seperti ukuran paket data yang dikirim. Setelah Packet decoder melakukan tugasnya paket akan diteruskan pada preprocessors. Di dalam preprocessors paket akan dimodifikasi sehingga detection engine dapat menjalankan tugasnya dengan baik, beberapa preprocessors dapat mendeteksi adanya ancaman dan menciptakan sebuah peringatan berdasarkan anomali yang ada pada packet header, paket data juga akan dilewatkan pada semua preprocessors yang terlah diimplementasikan. Setelah melalui preprocessors, paket data akan diteruskan pada detection engine. Dalam detection engine paket akan dianalisis apakah merupakan sebuah ancaman atau tidak sesuai dengan set rules yang telah diimplementasikan pada Snort, apabila paket sesuai dengan set rules yang
17
diimplementasikan maka paket akan diteruskan pada logging and alert system dimana alert akan disimpan pada data base yang telah dibuat sebelumnya. Apabila tidak sesui dengan rule - rule makan paket akan diteruskan begitu saja. Proses terakhir adalah mengeluarkan sebuah peringatan administator sesuia dengan dengan pengaturan yang telah dibuat, dalam hal ini peringatan akan ditampilkan dalam bentuk web. Sedangkan berikut ini adalah aliran tahapan kerja dalam penentuan kemampuan Snort mendeteksi ancaman dan perhitungan pemakaian resource mesin IDS,
3.3.
Perangkat yang Digunakan
Berikut adalah spesifikasi perangkat yang akan digunakan : 1. Perangkat Lunak Dalam pengerjaannya,sistem menggunakan perangkat lunak sebagai berikut : a. Sistem operasi ubuntu 14.04 64-bit b. Snort 2.9.7.2 2. Perangkat Keras Perangkat keras yang digunakan untuk mengerjakan sistem ini adalah : a. Processor Intel Core i3 1.8 GHz b. Hadisk 20 GB c. RAM 4 GB
3.4.
Gambaran Umum
Perancangan sistem ini bertujuan untuk memberi peringatan sedini mungkin kepada administrator tentang adanya sebuah ancaman yang terjadi pada jaringan komputer. Sistem ini akan diimplementasikan pada sebuah jaringan dengan mengkonfigurasi switch agar dapat melakukan mirroring data pada server dimana Snort dijalankan agar Snort dapat membaca semua paket data yang lewat pada jaringan komputer yang akan diawasi.
18
Awalnya peneliti akan mengimplementasikan set rules yang akan disimulasikan pada jaringan komputer. Dari simulasi ini peneliti akan melihat output yang dihasilkan. Output tersebut dapat dijadikan acuan apakah sistem yang dibuat telah berjalan dengan baik. Outpur yang dihasilkan akan disimpan dalam bentuk database dan ditampilkan dalam bentuk web. Percobaan juga dilakukan dengan milihat pemakaian resource server IDS yaitu CPU (Centra Processing Unit) dan RAM ( Random Access Memory) pada mesin yang digunakan dalam pengimplementasian Snort.
3.5.
Parameter keberhasilan sistem
Tingkat keberhasilan pada sistem ini akan dinilai pada efisiensi rule, ini berarti apakah rules yang telah dibuat mampu menangkap tindakan penyusupan dengan tepat.
19
BAB IV ANALISIS PENGUJIAN SISTEM 4.1.
Analisis Sistem
Pada bab ini akan dilakukan pengujian pada sistem yang telah dibuat dan melakukan analisis terhadap hasil dari pengujian sistem ini. Analisis dilakukan dengan melihat Snort dalam mendeteksi serangkaian serangan yang dilakukan terhadap jaringan komputer yang sedang diawasi. Apakah false positif yang dihasilkan masih dalam taraf yang bisa ditoleransi. Analisis dilakukan juga pada performa mesin (komputer) yang menjalankan Snort dengan melihat perbandingan resource pemakaian pada RAM dan CPU yang digunakan sebelum menjalankan Snort dan sesudah menjalankan Snort dengan set rules yang diimplementasikan.
4.2.
Strategi Pengujian
Pengujian akan dilakukan pada jenis serangan SQL injection, cross site scripting (XSS), Denial of Service (DoS) dan SSH brute force. Pengujian dilakukan pada setiap serangan dengan melihat kemampuan rule dalam mendeteksi serangkaian serangan yang diuji cobakan dan melihat apakah rule menghasilkan false positive selama tahap pengujian. Selain itu Pencatatan penggunakan RAM dan Processor dilakukan dengan membandingkan penggunaan resource server IDS sebelum Snort mendeteksi adanya tindakan ancaman dan selama Snort mendeteksi serangan yang ada. Sedangkan untuk melihat apakah Snort telah bekerja dengan baik dapat dilihat dari database yang telah dibuat sebelumnya yang dapat dilihat pada halamn web Snorby yang beralamatkan localhost:3000 atau
:3000. Pada pengujian ini server IDS dikondisikan dapat membaca semua trafik pada jaringan komputer yang sedang diawasi.
4.3.
Tujuan Pengujian
Tujuan dalam pengujian ini adalah untuk mengetahui apakah rule yang diimplementasikan dapat bekerja dengan baik pada jaringan komputer dimana Snort diimplementasikan. Selain itu pengujian ini bertujuan memcoba memperbaiki
20
rule yang telah penulis temukan sebelumnya agar dapat bekerja dengan lebih baik dan efisien. pengujian ini juga bertujuan untuk mengukur kemampuan mesin dimana server IDS diimplementasikan dengan mengukur perbandingan pemakaian resource sebelum dan saat Snort mendeteksi adanya ancaman dalam jaringan komputer. Pengujian ini mencoba memberikan gambaran tentang pemilihan kemampuan server IDS yang akan berakibat pada kelancaran Snort mendeteksi adanya ancaman yang terjadi.
4.4.
Pengujian Sistem
Pengujian dilakukan terhadap beberapa jenis serangan yang terjadi pada jaringan komputer. Hasil dari pengujian tiap serangan yang terdeteksi sebagai berikut : 4.4.1. SQL Injection SQL Injection pada intinya adalah salah satu jenis serangan yang dilakukan oleh hacker dengan mengeksekusi SQL query pada application web yang mengandung Vulnerability ini. Pengujuan pada jenis serangan ini dilakukan dengan menggunakan sqlmap dan havij. Rule yang digunakan untuk mendeteksi adanya tindakan SQL Injection pada jaringan komputer adalah sebagai berikut, alert
tcp
$EXTERNAL_NET
any
->
$HTTP_SERVERS
$HTTP_PORTS (msg:"SQL Injection attack hasbeen detected 3"; flow:established,to_server;content:"id";nocase;http_uri;pcre:"/(and\W +select)|(union.*select)|((or|and)
\d+=\d+)|(\'.\-\-)/Ui";classtype:web-
application-attack;sid:1000005;rev:1;) Pengimplementasian rule memberikan keterangan bahwa rule akan memberikan peringatan apabila ada paket data dengan protokol tcp dengan sumber IP dari eksternal network menuju ip http_server dari port mana saja menuju port http dan hanya pada paket yang telah terkoneksi dengan server serta pada paket data yang terdapat konten id dan sesuai dengan pcre yang ada pada rule. Rule akan mengelompokkan ancaman yang terdeteksi sebagai web application attack. Rule ini memiliki id 1000005 dan merupakan versi
21
pertama. Selain itu pesan yang akan ditulis pada log adalah SQL injection has been detected 3. Pada rule ini PCRE tersebut berarati rule akan mencocokkan informasi pada paket data sesuai dengan urutan, (and\W+select) “and” kemudian karakter apa saja selain karakter huruf yang harus ada satu kali atau lebih dari satu kali dan kemudian “select”, atau (UNION.*SELECT) “union” kemudian diikuti karakter apa saja kecuali karakter pada baris baru, yang karakter tersebut boleh tidak ada atau boleh diulang lebih dari 1 kali kemudian diikuti kata “select”, atau ( (or|and) \d+=\d+) karakter decimal tepat 1 kali atau lebih dari satu kali kemudian diikuti kata “or atau and” dilanjutkan karakter decimal tepat 1 kali atau lebih dari satu kali kemudian dilanjutkan dengan karakter “=” kemudian diikuti kartakter apa saja kecuali karakter pada baris baru tepat 1 kali atau lebih dari satu kali, atau (\-\-) karakter ‘ diikuti karakter apa saja kemudian karakter - -, dimana () menyatakan sebuah grub. U menandakan bahwa quantifier seperti *, + akan melakukan pencocokan karakter seminimum mungkin sesuai kebutuhan dan i menandakan bahwa PCRE diatas bersifar case insensitif. Setelah pengujian, dilakukan pula perbandingan antara rule yang diaplikasikan dengan rules yang telah ditemukan sebelumnya. Berikut ini adalah hasil perbandingan rules tersebut yang dapat dilihat pada Tabel 4.1. Tabel 4.1 perbandingan rule Sql Injection
Error/double Rule
Sql Injection
Blind Sql
String Sql
Union Sql
Injection
Injection
Injection
1
Iya
Iya
Iya
Iya
2
Tidak
Tidak
Tidak
Iya
3
Tidak
Tidak
Tidak
Iya
4
Tidak
Ya
Tidak
Tidak
22
5
Tidak
Tidak
Tidak
Tidak
6
Tidak
Tidak
Tidak
Iya
7
Tidak
Tidak
Tidak
Iya
8
Tidak
Tidak
Tidak
Iya
9
Tidak
Tidak
Tidak
Tidak
Dari Tabel 4.2 dapat dilihat hasil dari rule nomer 1 (rule yang diaplikasikan) dapat mendeteksi semua jenis serangan yang diujikan dari pada rule yang lainnya. Pembuatan rule nomer 1 dilakukan dengan melihat pada rule yang telah ditemukan sebelumnya seperti rule nomer 2 pada tabel 4.1, “alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"ETWEB_SERVER
Possible
SQL
Injection
Attempt
UNIONSELECT"; flow:established,to_server; content:"UNION";nocase; http_uri; content:"SELECT";nocase;http_uri;pcre:"/UNION.+SELECT/Ui";referenc e:url,en.wikipedia.org/wiki/SQL_injection;reference:url,doc.emergingthre ats.net/2006446;classtype:web-application-attack; sid:2006446; rev:11;)” (dapat dilihat lebih lengkap pada halaman lampiran bagian rule perbandingan SQL injection halaman 50). Hal selanjutnya yang dilakukan adalah pengujian terhadap rule tersebut. Pengujian dilakukan dengan beberapa tehnik yang telah dipilih sebelumnya. Hasil pengujian yang hanya mendeteksi pada serangan yang menggunakan union select menjadi dasar dilakukan tuning pada rule. Tuning juga dilakukan setelah mencari beberapa riset tentang signature dari tehnik yang telah dipilih sebelumnya, seperti penggunaan union select, penggunaan simbol ‘ -- , 1=1 (selengkapnya dapat diakses pada referensi di halaman daftar pustaka nomer 11). Dari pengujian dan studi literatur tersebut makanya dilakukan tuning pada rule sehingga menghasilkan rule yang digunakan pada penelitian ini untuk mendeteksi
23
adanya SQL Injection. Tuning juga dilakukan dengan melihat apakah rule yang diimplementasikan sering menghasilkan false positive. Berikut ini adalah hasil pengujian rule SQL injection yang dapat dilihat melalui web Snorby seperti yang terlihat pada Gambar 4.1, Gambar 4.2 dan Gambar 4.3.
Gambar 4.1 SQL Injection pada snorby
Gambar 4.2 Detail informasi pada setiap serangan
24
Gambar 4.3 payload SQL Injection
4.4.2. Cross site scripting (XSS) XSS adalah salah satu tipe serangan web aplication attack yang dilakukan oleh hacker dengan mencoba memasukan kode berbahaya pada web browser atau pada sebuah web server. Berikut ini adalah simulasi xss attack ada DVWA, Berikut ini adalah rule yang digunakan untuk mengetahui adanya tindakan XSS pada jaringan komputer, alert
tcp
$EXTERNAL_NET
$HTTP_PORTS
(msg:"xxs
any
-> attack
$HTTP_SERVERS detected";
flow:to_server,established;content:"%3C%2Fscript%3E";nocase;pcre:"/ ((\%3C)|<)((\%2F)|\/)((\w*)|(\%[a-f0-9]+))((\%3E)|>)/ix";classtype:webapplication-attack;sid:1000003;rev:1;) Rule ini memberikan keterangan bahwa snort akan memberikan peringatan apabila terdapat IP dengan protokol tcp yang berasal dari eksternal net menuju IP HTTP server dengan port sumber apa saja menuju HTTP port. Berdasarkan rule ini Snort akan menuliskan pesan xxs attack detected. Rule akan mendeteksi paket data yang mengandung konten %3C%2Fscript%3E. Pada rule ini PCRE tersebut berarati rule akan mencocokkan informasi pada paket data sesuai dengan urutan, (\%3C | <) karakter “<”, %3C adalah kode hex dari < , pilihan atau ( | ) disediakn untuk mengantisipas penggunaan kode hex, kemudian dilanjutkan dengan (\%2F|\/) karakter “/”, %2F adalah kode hex dari “/”, kemudian (\w | (\%[a-f0-9]+)) \w yang berarti mencocokan pada
25
setiap kata yang ada atau dengan menggunanakan kode hex (\%[a-f0-9]), [af0-9] menunjukkan bahwa PCRE akan mencocokan karakter dari a sampang f dan dari 0-9 dimana ini merepresentasikan huruf dan angga yang digunakan dalam kode hex. + mengartikan bahwa PCRE akan mencocok elemen dibelakangnya (+) sebanyak 1 kali atau lebih dari satu kali. Kemudian terakhir diikuti (\%3E | >) karakter “>” dan %3E adalah kode hex yang mewakili karakter “>”. Dibagian akhir PCRE i dimaksudkan bahwa PCRE tersebut bersifat case insensitif yang berarti tidak terpengaruh akan huruf besar ataupun kecil dan x meunjukkan bahwa spasi diabaikan dalam pcre ini. Setelah pengujian, dilakukan pula perbandingan antara rule yang diaplikasikan dengan rules yang telah ditemukan sebelumnya. Berikut ini adalah perbandingan dari rules yang telah ditemukan sebelumnya dengan rule yang telah diaplikasikan yang dapat dilihat pada tabel 4.2. Tabel 4.2 perbandingan rule Cross Site Scripting
Rule
XSS
1
Iya
2
Tidak
3
Tidak
Dari Tabel 4.2 dapat dilihat rule nomer 1 (rule yang diaplikasikan) yang dapat mendeteksi serangan XSS, sedangkan 2 rule lainnya tidak. Pembuatan rule nomer 1 dilakukan dengan mengaplikasikan rule yang sebelumnya ditemukan seperti rule nomer 2 pada tabel 4.2 (dapat dilihat pada halama lampiran pada bagian rule perbandingan cross site scripting halaman 51). Setelah dilakukan pengujian pada rule tersebut, dimana hasil pengujian tidak dapat mendeteksi serangan XSS, maka dilakukan tuning pada rule dimana penggunaan konten dirubah menjadi %3C%2Fscript%3E dikarenakan penggunaan konten tidak dapat mendeteksi serangan yang diujicobakan. perubahan konten menjadi %3C%2Fscript%3E dilakukan setelah melihat signature yang dihasilkan serangan yang dilihat melalui software Wireshark.
26
Berikut ini adalah tampilan hasil pengujian rule cross site scripting (XSS) yang dapat dilihat melalui web Snorby seperti yang terlihat pada Gambar 4.4, Gambar 4.5 dan Gambar 4.6.
Gambar 4.4 XSS pada Snorby
Gambar 4.5 detail informasi setiap serangan.
27
Gambar 4.6 payload XSS pada Snorby.
4.4.3. Denial of Service (DoS) Dos adalah tehnik yang digunakan oleh hacker unutk mencegah pengguna yang sah untuk mengakses sebuah informasi atau sebuah layanan dengan menyerang komputer dan jaringan komputer target yang dikehendaki. Pengujian pada jenis serangan ini menggunakan Loic dan Hping3. Rule yang digunakan untuk mendeteksi adanya tindakan Dos pada jaringan komputer adalah sebagai berikut, alert tcp any any -> any any (msg:"Posible DDoS attack attemp -1";flow:to_server,established ;flags:PA ; threshold: type threshold, track by_src,count 1000,seconds 10;classtype:attempted-dos;sid:1000011; rev:1;) alert tcp any any -> any any (msg:"DDos attack hping3";flow:to_server; flags:S; threshold: type threshold, track by_src, seconds 10, count 1000; classtype:attempted-dos; sid:1000012; rev:1;) Rule tersebut memberikan keterangan bahwa snort akan memberikan peringatan pada paket dengan protokol tcp dengan IP sumber dan tujuan any (apa saja) dan port sumber dan port tujuan any (apa saja). Bedasarkan rule pertama Snort akan menuliskan pesan Posible DDoS attack attemp –1 dan bedasarkan rule kedua adalah DdoS attack hping3. Rule pertama memiliki nomer id 1000011 dan rule kedua memiliki id 1000012 serta kedua rule merupakan rule versi 1.
28
Pada rule ini faktor yang menentukan Snort mendeteksi adanya ancaman adalah flags dan threshold. Flags adalah kontrol bit yang menandakan atau menunjukkan connection states yang berbeda atau informasi bagaimana sebuah paket harus ditangani. Pada rule pertama Snort akan membuat peringatan apabila terdapat paket dengan flags P (push) dan A (ACK) dan pada rule kedua akan memeberikan alert apabila terdapat paket dengan flags S (SYN). Threshold digunakan untuk mengurangi jumlah event yang dicatat dari sebuah rule. Perintah threshold membatasi jumlah peristiwa yang dicatat selama interval waktu tertentu. Pada rule pertama dan kedua berarti Snort akan mencatat apabila selama 10 detik terdapat minimal 1000 peristiwa berdasarkan IP sumber yang sama. Setelah Snort melakukan pencatatan maka waktu akan diulang kembali dari 0. Setelah pengujian, dilakukan pula perbandingan antara rule yang diaplikasikan dengan rules yang telah ditemukan sebelumnya. Berikut ini adalah hasil perbandingan rules tersebut, berikut ini adalah perbandingan dari rules yang telah ditemukan sebelumnya dengan rule yang telah diaplikasikan yang dapat dilihat pada Tabel 4.3. Tabel 4.3 Perbandingan rule DoS
Hping 3 Rule
Loic Rand Source
Same Source
1
Ya
Ya
Ya
2
Tidak
Tidak
Ya
Dari Tabel 4.3 dapat dilihat bahwa rule nomer 1 (rule yang diaplikasikan)
dapat mendeteksi serangan yang diujikan baik dari tools Loic ataupun Hping3.
Pembuatan
rule
nomer
1
dilakukan
dengan
melakukan
pengaplikasian pada rule yang ditemukan sebelumnya rule nomer 2 pada tabel 4.3 (dapat dilihat pada lampiran pada bagian rule perbandingan Denial of Service) dan dilakukan pengujian. Hasil pengujian tersebut juga dijadikan landasan untuk tuning rule. Tuning dilakukan dengan melihar faktor yang
29
berpengaruh dalam serangan ini. Dalam kasus ini adalah flags yang dihasilakn pada TCP header yang dapat dilihat menggunakan software Wireshark dan thershold yang menunjukkan berapa kali kejadian yang terjadi dalam satu satuan waktu. Berikut in adalah tampilan hasil pengujian Dos dengan menggunakan Loic dan Hping3 yang dapat dilihat pada Gambar 4.7 dan Gambar 4.8
Gambar 4.7 Hping3 DoS dan detail pada serangan
Gambar 4.8 Loic Dos dan detail pada serangan
30
4.4.4. SSH Brute Force SSH Brute Force sebuah tehnik yang mencoba segala kemungkinan yang ada dalam menjalankan sebuah serangan. SSH Brute Force dibagi dalam SSH Brute Force standa dan dictionary based attack. Pengujian pada tipe serang ini menggunakan tools Hydra dan Medusa. Berikut ini adalah rule yang digunakan untuk mendeteksi adanya tindakah SSH Brute Force dalam jaringan komputer, alert tcp any any -> $HOME_NET 22 (msg:"Potential SSH Brute Force Attack";flow:to_server; flags:A; threshold:type threshold, track by_src, count 15, seconds 60;classtype:attempted-dos;sid:1000020;rev:1;)
Rule ini memberikan keterangan bahwa Snort akan mendeteksi semua paket data yang menggunakan protokol tcp dari IP sumber apa saja menuju IP home network dan dari port apa saja menuju port 22. Berdasarkan rule ini maka Snort akan mengelompokkan ancaman yang terdeteksi dalam atempted dos. Rule pertama memiliki id 1000020 serta merupakan rule versi 1. Pada rule ini yang menentukan Snort dapat mendeteksi ancaman yang diujikan adalah flags dan threshold. Flags, adalah kontrol bit yang menandakan atau menunjukkan connection states yang berbeda atau informasi bagaimana sebuah paket harus ditangani. Pada rule pertama Snort akan membuat alert apabila terdapat paket dengan flags A (ACK). Threshold digunakan untuk mengurasi jumlah event yang dicatat dari sebuah rule. Perintah threshold membatasi jumlah peristiwa yang dicatat selama interval waktu tertentu. Type threshold pada rule berarti bahwa Snort akan mencatat apabila selama 60 detik terdapat minimal 15 kejadian. Setelah pengujian, dilakukan pula perbandingan antara rule yang diaplikasikan dengan rules yang telah ditemukan sebelumnya. Berikut ini adalah hasil perbandingan rules tersebut, berikut ini adalah perbandingan dari rules yang telah ditemukan sebelumnya dengan rule yang telah diaplikasikan yang dapat dilihat pada Tabel 4.4.
31
Tabel 4.4 Perbandingan rule SSH Brute Force
Rule
Hydra
Medusa
Keterangan
1
Iya
Iya
Tidak ada false
2
Iya
Iya
Terdapat false
Dari Tabel 4.4 dapat dilihat bahwa rule nomer 1 (rule yang diaplikasikan) dapat mendeteksi serangan yang diujikan baik dari tools Hydra ataupun Medusa.
Pembuatan
rule nomer 1
dilakukan dengan melakukan
pengaplikasian pada rule yang ditemukan sebelumnya rule nomer 2 pada tabel 4.4 (dapat dilihat pada lampiran pada bagian rule perbandingan SSH Brute Force) dan dilakukan pengujian. Hasil pengujian tersebut juga dijadikan landasan untuk tuning rule. Tuning dilakukan dengan melihar faktor yang berpengaruh dalam serangan ini. Dalam kasus ini adalah flags yang dihasilakn pada TCP header yang dapat dilihat menggunakan software Wireshark dan thershold yang menunjukkan berapa kali kejadian yang terjadi dalam satu satuan waktu. Berikut ini adalah tampilan hasil tampilan pengujian SSH Brute Force dengan menggunakan Hydra dan Medusa yang dapat dilihat pada Gambar 4.9 dan Gambar 4.10.
Gambar 4.9 Hydra SSH Brute Force dan detail serangan
32
Gambar 4.10 Medusa SSH Brute Force dan detail serangan
4.5.
Hasil Pengujian Sistem
Pada sub bab ini akan menjelaskan tentang hasil dari percobaan rule berdasarkan Precision rate yang dapat juga berarti juga menjelaskan apakah terdapat false positive dari rules yang diimplementasikan dan recall rate yang juga berarti menjelaskan apakah terdapat falase negative dari rule yang diimplementasikan. Rumus yang digunakan dalam menghitung precision rate dan recall rate adalah , Precision rate : 𝑃𝑟𝑒𝑐𝑖𝑠𝑖𝑜𝑛 𝑟𝑎𝑡𝑒 =
𝑇𝑟𝑢𝑒 𝑃𝑜𝑠𝑖𝑡𝑖𝑣𝑒 𝑇𝑟𝑢𝑒 𝑃𝑜𝑠𝑖𝑡𝑖𝑣𝑒 + 𝐹𝑎𝑙𝑠𝑒 𝑃𝑜𝑠𝑖𝑡𝑖𝑣𝑒
Recall rate : 𝑅𝑒𝑐𝑎𝑙𝑙 𝑅𝑎𝑡𝑒 =
𝑇𝑟𝑢𝑒 𝑃𝑜𝑠𝑖𝑡𝑖𝑣𝑒 𝑇𝑟𝑢𝑒 𝑃𝑜𝑠𝑖𝑡𝑖𝑣𝑒 + 𝐹𝑎𝑙𝑠𝑒 𝑁𝑒𝑔𝑎𝑡𝑖𝑣𝑒
Berikut ini adalah hasil pengujian yang dilakukan pada tiap jenis serangan, 1. SQL Injection True Positive = 585 SQL injection terdeteksi False Positive = 0 False Negative = 0
33
2. Cross Site Scriping (XSS) True Positive = 6 Cross Site Scripting terdeteksi False Positive = 0 False Negative = 0 3. Denial of Service (DoS) True Positive = 1575 Denial of Service terdeteksi False Positive = 0 False Negative = 0 4. SSH Brute Force True Positive = 30 SSH Brute Forece terdeteksi False Positive = 0 False negative = 0 Berikut ini adalah tabel kesimpulan dari semua jenis serangan berdasarkan Precision dan recall rate yang dapat dilihat pada tabel 4.5. Tabel 4.5 hasil Precision Rate dan Recall Rate tiap serangan
No
Jenis Serangan
Precision Rate
Recall Rate
1
SQL injection
1
1
2
Cross site scipting (XSS)
1
1
3
Denial of Service (DoS)
1
1
4
SSH Brute Force
1
1
Dari Tabel 4.5 menjelaskan bahwa rule yang diimplementasikan telah berkerja dengan baik dalam mendeteksi ancaman yang terjadi dalam jaringan komputer yang dapat dilihat dari hasil Precision Rate yang bernilai 1 pada setiap serangan, yang berarti bahwa setiap rule yang diimplementasikan tidak menghasilkan false positive (false positive bernilai 0) dan berdasarkan Racall Rate yang bernilai 1 pada setiap serangan menandakan bahwa setiap rule yang diimplementasikan dapat mendeteksi semua jenis serangan yang dilakukan pada setiap kasusnya.
34
4.6.
Pengukuran Penggunaan Resource
Selain melakukan pengujian terhadap rule serta melakukan perhitungan precision rate dan recall rate pengukuran juga dilakukan terhadap penggunaan resource CPU dan RAM saat Snort mendeteksi adanya tindakan ancaman yang terjadi. Berikut adalah hasil dari pengukuran penggunaan resource saat snort mendeteksi adanya tindakan ancaman berdasarkan Gambar 4.11 dan Gambar 4.12,
Gambar 4.11 kondisi awal
Gambar 4.12 kondisi Snort mendeteksi ancaman
Berdasarkan informasi pada Gambar 4.11 dan Gambar 4.12 kita dapat membuat tabel perbandingan pengukuran penggunaan resource CPU dan RAM yang dapat dilihat pada Tabel 4.6 berikut, Tabel 4.6 perbandingan pengukuran resource
No
Kondisi
CPU
RAM
1
Awal tanpa ada ancaman
3.4 %
1418936 KiB
2
Snort mendeteksi ancaman
52 %
3181080 KiB
Berdasarkan Tabel 4.6 saat awal server IDS baru saja hidup dan snort belum mendeteksi adanya ancaman dan ketika snort mendeteksi serangan yang diujikan terdapat kenaikan penggunaan CPU sebesar 48,6 % sedangakan RAM mengalami kenaikan penggunaan 1763144 KB. Melihat hasil kenaikan ini dan sisa resource yang ada, server IDS masih dapat bekerja dengan baik pada pengujian yang
35
dilakukan, tetapi apabila perngujian akan dilakukan dalam sekala yang lebih besar penulis menyarankan agar memperbaharui mesin / komputer yang digunakan oleh server IDS. Hal ini dikarenakan apabila tidak memperbaharui kemampuan server IDS, apabila terdapat trafik yang lebih besar lagi ditaktukan server IDS tidak dapat berfungsi dengan baik karena ketidak mampuan mesin / komputer mengolah trafik data yang datang.
36
BAB V KESIMPULAN DAN SARAN 5.1.
Kesimpulan
Berdasarkan hasil pengujian dan hasil pada bab – bab sebelumnya didapat kesimpulan : 1. Pengujian dan implementasi rule yang digunakan dapat mendeteksi semua jenis serangan yang diujikan. 2. Kemampuan tiap rule dalam mendeteksi serangan berdasarkan precision rate dan recal rate menghasilkan nilai 1 pada setiap jenis serangan yang diujikan. Ini menunjukan rule dapat mendeteksi 100% ancaman yang diujikan dan tidak menghasilkan false positive. 3. Peringatan yang dihasilkan oleh Snort ditunjukkan dalam bentuk web yang dapat dilihat detail dari tiap serangan yang dihasilkan. 4. Perbandingan penggunaan resource pada saat awal dan seteleh pengujian menghasilkan selisih kenaikan 48,6 % CPU dan 1763144 KB RAM.
5.2.
Saran
Saran yang dapat diberikan agar tugas akhir ini dapat menjadi lebih baik lagi : 1. Pengujian rule yang telah diimplementasikan dengan menggunakan metode tehnik atau tool yang lain sehinga dapat meningkatkan akurasi rule dalam mendeteksi serangan. 2. Penelitian selanjutnya agar dapat mengabungkan penerapan IDS dan IPS agar ancaman yang terjadi dapat langsung ditangani oleh sistem.
37
DAFTAR PUSTAKA
[1] Anonim. (2014). http://manual.snort.org/node2.html. (Cisco, Editor, & Cisco) Dipetik 02 07, 2014, dari Snort User Manual 2.9.6: http://manual.snort.org/ [2] Deuble, A. (2012). Detecting and Preventing Web Application Attacks with Security Onion. [3] Dietrich, N. (2015). Snort 2.9.7.x on Ubuntu 12 and 14. with Barnyard2, PulledPork, and BASE. [4] Hussein AlNabulsi, Izzat Alsmadi, and Mohammad Al-Jarrah. (2014). I.J. Computer Network and Information Security. Textual Manipulation for SQL Injection Attacks, 26-33. [5] Mohammad Dabbour, Izzat Alsmadi and Emad Alsukhni. (2013). Efficient Assessment and Evaluation for Websites Vulnerabilities Using Snort. International Journal of Security and Its Applications. [6] Northcutt, S. (2004). Intrusion Detection, Second Editon. United States of America: Syngress Publising, Inc. [7] Rafeeq, R. U. (2003). Inrusion Detection with SNORT: Advanced IDS Techniques Using SNORT, Apache, MySql, PHP, and ACID. New Jersey: Pearson Education, Inc. [8] Rafudin, R. (2010). Mengganyang Hacker degan SNORT. Yogyakarta: C.V Andi Offset. [9] Aninom. (2015, juni 11). http://www.computersecuritystudent.com/cgibin/CSS/process_request_v3.pl?HID=688b0913be93a4d95daed400990c4745 &TYPE=SUB. Diambil kembali dari Computer Security Student (CSS): http://www.computersecuritystudent.com [10] Deuble, A. (2012). Detecting and Preventing Web Application Attacks with Security Onion. [11] ZentrixPlus. (2015, juni 27). Diambil kembali dari ZentrixPlus: http://zerofreak.blogspot.co.id/ 38
LAMPIRAN SQL Injection 1.
Langkah pertama adalah dengan menentukan URL yang akan menjadi
target, dalam hal ini adalah DVWA. Angka satu yang dimasukkan untuk melihat GET reques yang akan digunakan pada sqlmap. http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#
Page SQL Injection pada DVWA
Karena kita melakukan tes pada halaman di belakang halaman login, kita tidak dapat menggunakan URL diatas pada sqlmap, untuk menghindari masalah ini, maka kita membutuhkan sebuah cookie yang akan digunakan bersama URL diatas pada sqlmap. Cookie dapat dilihat menggunakan plug in pada web browser yaitu tamper data. Berikut contoh cookie yang didapat, security=low; PHPSESSID=dpa0hfeeuk8mn89fr7virg2eu5
2.
Menggunakan sqlmap untuk mendapatkan user dan database. Untuk
mendapatkan user dan database pada DVWA kita dapat menggunakan pertintah sebagai berikut,
39
./sqlmap.py
-u
"http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit"
--
cookie="PHPSESSID=dpa0hfeeuk8mn89fr7virg2eu5; security=low" -b -current-db --current-user
-u menentukan target URL.
--cookie untuk cookie yang akan digunakan.
-b untuk menampilan sistem manajemen database.
--current-db untuk untuk menampilkan database yang digunakan.
--current-user untuk menampilkan user yang digunakan.
Hasil yang terlihat pada sqlmap,
Tampilan user dan database pada sqlmap
3.
Setelah mengetahui user dan database, langkah selanjutnya mencari
informasi yang terdapat pada database. Untuk mendapatkan informasi pada database kita dapat menggunakan perintah sebagai berikut, ./sqlmap.py
-u
"http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit"
--
cookie="PHPSESSID=dpa0hfeeuk8mn89fr7virg2eu5;
security=low"
–D
dvwa --tables
-D untuk menentukan database. --tables untuk melihat daftar tabel yang ada pada database.
40
Tampilan table pada sqlmap
4.
Mendapatkan informasi kolom pada tabel yang diinginkan. Untuk
mendapatkan informasi ini kita dapat menggunakan perintah sebagai berikut ini, ./sqlmap.py
-u
"http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit"
--
cookie="PHPSESSID=dpa0hfeeuk8mn89fr7virg2eu5; security=low" –D dvwa
–T users --columns
-T untuk menentukan tabel pada database. --columns untuk mendaftar komlom pada tabel
Tampilan kolom tabel users pada sqlmap
41
5.
Mendapatkan user dan password pada tabel user dalam database DVWA.
Perintah yang dapat dilakukan untuk mendapatkan informasi ini adalah sebagai berikut, ./sqlmap.py
-u
"http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit"
--
cookie="PHPSESSID=dpa0hfeeuk8mn89fr7virg2eu5; security=low" –D dvwa –T users –C user,passwrd --dump
-C untuk mendaftar user dan password kolom.
--dump untuk dump konten didalam tabel
Tampilan user dan password pada sqlmap
42
Cross Site Scripting 1.
Langkah pertama adalah dengan mengirimkan sebuah skrip dengan tujuan
untuk melihat cookie, dalam praktek sebenarnya hal ini dimaksutkan untuk mencuri cookie. <script>alert(document.cookie)
Tampilan cookie pada DVWA
2.
Langkah selanjutnya adalah membuat msfpayload , hal ini seperti backdoor
yang akan digunakan untuk mendapatkan informasi yang diinginkan.
Perintah untuk membuat msfpayload
yang kemudian akan diunggah pada server tujuan,
43
3.
Berikutnya kita akan membuat PHP payload listener , proses ini yang
akan menghubungkan kita dengan server tujuan.
Penampakan php payload listener
4.
Kembali pada DVWA kita akan kembali memasukan sebuah script untuk
menjalankan backdoor yang telah ada pada server.
Penampakan script pada dvwa
Setelah script dimasukkan pada server makan metasploit session akan terbentuk seperti pada gambar.
Tampilan session metasploit pada terminal
44
5.
Selanjutnya adalah establising a shell.
Tampilan shell pada terminal
6.
Langkah berikutnya adalah menemukan file konfigurasi. Dalam tahap ini
kita akan mencari nama dari user, home directory dari user yang digunakan dan menemukan configurasi file di dalam home directory yang ditemukan.
Tampilan user, home directory dan configurasi file
45
7.
Langkah selanjutnya adalah exploit configurasi file yang telah ditemukan.
penampakan database , user dan table pada database
Grep “db_” /var/www/html/dvwa/config/config.inc.php, perintah ini tersebut untuk mendapatkan nama database, username dan password.
Echo “use dvwa; show table;” | mysql –uroot –pshino, pertintah ini untuk melihat tabel pada database dvwa. –u adalah user dan –p adalah password dari darabase.
Tampilan kolom, user dan password pada tabel users
Echo “use dvwa; desc users;” | mysql –uroot –pshino, perintah ini digunakan untuk melihat kolom yang ada pada tabel user pada database dvwa.
Echo “select user,password from dvwa.users;” | mysql –uroot –pshino, perintah ini untuk melihat user dan password settiap user pada tabel users,
46
Denial of Service HPING3
-c = number of packets to send -S = mengirim SYN packets saja -p = tujuan port --flood = mengirim paket paket secepat mungkin --rand-source = menggunakan random source IP address pada hping , tools akan mengirimkan SYN paket kepada tujuan atau target secepat mungkin menggunakan sumber acak yang telah ada sebelumnya.
LOIC
Penggunaan tools loic pertama kali memasukan tujuan yang dapat berupa URL atau IP address, kemudian menekan tombol lock on. Setelah itu kita dapat mengubah isi 47
pesan yang dikirim , mengubah cara penyerangannya menggunakan UDP, TCP atau HTTP, mengubah port. Setelah itu tinggal menekan tombol IIMA ACHRGIN MAH LAZER maka loic akan segera mengirimkan sejumlah paket pata tujuan atau target.
SSH Brute Force MEDUSA
Perintah untuk menjalankan medusa dapat dilihat pada gambar diatas. u = username target -p = adalah list password yang ada -h = menandakan tujuan yaitu 172.80.2.246 -M = pemilihan modul pada medusa, dimana modul ini adalah ssh Selanjutnya kita tinggal menunggu hasil dari pada percobaan penggunaan tool medusa yang dapat dilihat pada gambar dibwah ini,
48
HYDRA
Penggunaan tool hydra dapat dilihat pada gambar diatas dimana, -l = username target. -P = password list yang ada. 172.80.2.246 = target yang akan diserang ssh = modul yang digunakan setelah menjalankan tool hydra kita tinggal menunggu percobaan yang dilakukan oleh hydra hingga mendapatkan password yang sesaui, yan dapat pula dilihat pada gambar diatas.
49
Rule Perbandingan SQL Injection alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"ETWEB_SERVER Possible SQL Injection Attempt UNIONSELECT"; flow:established,to_server;
content:"UNION";nocase;
http_uri;
content:"SELECT";nocase;http_uri;pcre:"/UNION.+SELECT/Ui";reference:url,e n.wikipedia.org/wiki/SQL_injection;reference:url,doc.emergingthreats.net/200644 6;classtype:web-application-attack; sid:2006446; rev:11;) alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg: "SQL Injection SELECTstatement";flow:to_server,established;pcre:"/(s|%73|%53)(e|%65|%45)(l| %6C|%4C)(e|%65|%45)(c|%63|%43)(t|%74|%45).*(f|%66|%46)(r|%72|%52)(o|% 6F|%4F)(m|%6D|%4D).*(\-\-|\/\*|\#)/i"; sid: 29; rev: 3;) alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg: "SQL Injection attempt"; flow:to_server, established; content: "' or 1=1 --"; nocase; sid:17; rev:1;) alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg: "SQL Injection attempt"; flow:to_server, established; pcre: "/(and|or) 1=1 (\-\-|\/\*|\#)/i";sid: 19; rev:2;) alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg: "SQL Injection SELECTstatement";flow:to_server,established;pcre:"/select.*from.*(\-\-|\/\*|\#)/i"; sid: 2; rev: 1;) alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg: "SQL Injection UNIONstatement"; flow: to_server, established; pcre:"/union.*(\-\-|\/\*|\#)/i"; sid: 30; rev: 8;) alert tcp any any -> $HTTP_SERVERS $HTTP_PORTS (msg: "SQL Injection SELECTstatement";flow:to_server,established;pcre:"/(s|%73)(e|%65)(l|%6C)(e|% 65)(c|%63)(t|%74).*(f|%66)(r|%72)(o|%6F)(m|%6D).*(\-\-|\/\*|\#)/i"; sid: 2; rev:2;) alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQLInjection
-
Paranoid";
flow:to_server,
50
established;uricontent:".pl";pcre:"/\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\% 52))/ix"; classtype: Web-application-attack; sid:9101; rev:5;) Sumber : jurnal Textual Manipulation for SQL Injection Attacks dari http://www.mecs-press.org/ Cross Site Scripting alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"ET WEB_SERVER Script tag in URI, Possible CrossSite Scripting Attempt";
flow:to_server,established;content:"";
fast_pattern:only;
nocase; http_uri;reference:url,ha.ckers.org/xss.html;reference:url,doc.emergingthreats.net/ 2009714;classtype:web-application-attack; sid:2009714; rev:6;) sumber : Jurnal Efficient Assessment and Evaluation for Websites Vulnerabilities Using SNORT alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"NII Cross-Site Scripting attempt";flow:to_server,established;pcre:"/((\%3C) <)((\%2F)
\/)*[a-z0-9\%]+((\%3E)
>)/i";classtype:Web-application-
attack;sid:9000; rev:5;) sumber : http://www.ciscopress.com/articles/article.asp?p=1733640&seqNum=5 Denial of Service alert tcp $HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;) sumber
:
http://solvedserver.com/questions/snort-rules-for-syn-flood-ddos-
duplicate SSH Brute Force alert tcp any any -> $HOME_NET 22 ( msg:”Potential SSH Brute Force Attack”; flow:to_server; flags:S;threshold:type threshold, track by_src, count 3, seconds 60;classtype:attempted-dos;sid:2001219;rev:4)
51
sumber
:
http://www.cybersecurity.me/ids-intrusion-detection-systems-snort-
bro/snort-ids-intrusion-detection-system/snort-rules-signatures-to-detect-andalert-on-possible-ssh-brute-force-attacks/
Rule Hping3 alert
tcp
[14.4.0.0/14,14.245.0.0/16,27.122.32.0/20,27.126.160.0/20,27.133.208.0/20,31.11 .43.0/24,31.222.200.0/21,36.0.8.0/21,36.37.48.0/20,37.139.49.0/24,37.148.216.0/ 21,37.246.0.0/16,41.72.64.0/19,42.0.32.0/19,42.1.128.0/17,42.52.0.0/14,42.96.0.0 /18,42.128.0.0/12,42.160.0.0/12,42.194.8.0/22]
any
->
$HOME_NET
any
(msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 1"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400000; rev:2505;) alert
tcp
[43.252.80.0/22,43.252.152.0/22,43.252.180.0/22,43.255.188.0/22,45.64.88.0/22, 45.117.208.0/22,45.121.144.0/22,46.29.248.0/22,46.29.248.0/21,46.148.112.0/20, 46.151.48.0/22,46.151.48.0/21,46.151.52.0/22,46.232.192.0/21,46.243.140.0/24,4 6.243.142.0/24,49.8.0.0/14,58.87.64.0/18,59.254.0.0/15,60.233.0.0/16]
any
->
$HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 2"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400001; rev:2505;) alert
tcp
[66.198.240.0/20,66.231.64.0/20,67.209.112.0/20,67.211.208.0/20,67.213.128.0/2 0,67.218.208.0/20,68.66.192.0/18,72.13.16.0/20,78.31.184.0/21,78.31.211.0/24,7 9.173.104.0/21,80.76.8.0/21,81.22.152.0/23,83.175.0.0/18,85.121.39.0/24,86.55.4 0.0/23,86.55.42.0/23,88.135.16.0/20,91.194.254.0/23,91.195.254.0/23]
any
->
$HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 3"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold:
52
type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400002; rev:2505;) alert
tcp
[91.207.116.0/23,91.209.12.0/24,91.212.104.0/24,91.212.135.0/24,91.212.198.0/2 4,91.212.201.0/24,91.212.220.0/24,91.213.29.0/24,91.213.94.0/24,91.213.121.0/2 4,91.213.126.0/24,91.213.167.0/24,91.213.172.0/24,91.216.3.0/24,91.217.10.0/23 ,91.217.162.0/24,91.220.35.0/24,91.220.62.0/24,91.223.89.0/24,91.226.97.0/24] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 4"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400003; rev:2505;) alert
tcp
[91.235.2.0/24,91.236.74.0/23,91.236.120.0/24,91.237.198.0/24,91.238.82.0/24,9 1.239.24.0/24,91.239.238.0/24,91.240.163.0/24,91.240.165.0/24,91.242.217.0/24, 91.243.115.0/24,93.175.240.0/20,94.26.112.0/20,94.154.128.0/18,95.216.0.0/15,1 01.192.0.0/14,101.199.0.0/16,101.202.0.0/16,101.203.128.0/19,101.248.0.0/15] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 5"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400004; rev:2505;) alert
tcp
[103.20.36.0/22,103.21.4.0/22,103.23.8.0/22,103.36.64.0/22,103.41.124.0/22,103. 41.180.0/22,103.42.115.0/24,103.55.28.0/22,103.57.248.0/22,103.61.4.0/22,103.1 50.0.0/16,103.218.0.0/16,103.228.60.0/22,103.229.36.0/22,103.230.144.0/22,103. 231.84.0/22,103.232.136.0/22,103.232.172.0/22,103.242.184.0/22,104.143.112.0/ 20] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 6"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400005; rev:2505;) alert
tcp
[110.232.160.0/20,113.20.160.0/19,114.8.0.0/16,115.85.133.0/24,116.78.0.0/15,1
53
16.128.0.0/10,116.144.0.0/15,116.146.0.0/15,117.100.0.0/15,118.177.0.0/16,118. 185.0.0/16,119.232.0.0/16,120.48.0.0/15,120.92.0.0/17,120.92.128.0/18,120.92.1 92.0/19,120.92.224.0/20,121.100.128.0/18,122.129.0.0/18,122.202.96.0/19] any > $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 7"; flags:A; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400006; rev:2505;) alert
tcp
[124.245.0.0/16,125.31.192.0/18,125.58.0.0/18,125.169.0.0/16,128.13.0.0/16,128. 168.0.0/16,128.191.0.0/16,129.47.0.0/16,129.76.64.0/18,130.148.0.0/16,130.196. 0.0/16,130.201.0.0/16,130.222.0.0/16,132.145.0.0/16,132.171.0.0/16,132.232.0.0/ 16,132.240.0.0/16,134.18.0.0/16,134.22.0.0/16,134.23.0.0/16]
any
->
$HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 8"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400007; rev:2505;) alert
tcp
[136.228.0.0/16,136.230.0.0/16,137.76.0.0/16,137.105.0.0/16,137.171.0.0/16,138. 43.0.0/16,138.128.224.0/19,138.216.0.0/16,138.249.0.0/16,139.47.0.0/16,139.167 .0.0/16,139.188.0.0/16,140.81.0.0/16,140.167.0.0/16,140.204.0.0/16,141.136.16.0 /24,141.136.22.0/24,141.136.27.0/24,141.178.0.0/16,141.253.0.0/16]
any
->
$HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 9"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400008; rev:2505;)
alert
tcp
[144.207.0.0/16,145.231.0.0/16,146.3.0.0/16,147.7.0.0/16,147.119.0.0/16,147.220 .0.0/16,148.154.0.0/16,148.178.0.0/16,148.248.0.0/16,149.109.0.0/16,149.114.0.0 /16,149.118.0.0/16,149.143.64.0/18,150.10.0.0/16,150.22.128.0/17,150.25.0.0/16, 150.40.0.0/16,150.107.106.0/23,150.107.220.0/22,150.121.0.0/16]
any
->
54
$HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 10"; flags:A; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400009; rev:2505;) alert
tcp
[151.123.0.0/16,151.192.0.0/16,151.212.0.0/16,151.237.184.0/22,152.136.0.0/16, 152.147.0.0/16,153.14.0.0/16,153.93.0.0/16,155.0.0.0/16,155.40.0.0/16,155.66.0. 0/16,155.73.0.0/16,155.108.0.0/16,155.204.0.0/16,155.249.0.0/16,157.115.0.0/16, 157.162.0.0/16,157.186.0.0/16,157.195.0.0/16,157.231.0.0/16]
any
->
$HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 11"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400010; rev:2505;) alert
tcp
[159.100.0.0/18,159.111.0.0/16,159.135.0.0/16,159.151.0.0/16,159.219.0.0/16,15 9.223.0.0/16,159.229.0.0/16,160.14.0.0/16,160.21.0.0/16,160.181.0.0/16,160.187. 0.0/16,160.200.0.0/16,160.222.0.0/16,160.234.0.0/16,160.235.0.0/16,160.240.0.0/ 16,160.255.0.0/16,161.8.0.0/17,161.59.0.0/16,161.66.0.0/16]
any
->
$HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 12"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400011; rev:2505;)
alert
tcp
[163.50.0.0/16,163.58.0.0/16,163.59.0.0/16,163.182.0.0/16,163.227.128.0/21,163. 254.0.0/16,164.6.0.0/16,164.60.0.0/16,164.137.0.0/16,165.96.0.0/16,165.101.32.0 /19,165.102.0.0/16,165.192.0.0/16,165.205.0.0/16,165.209.0.0/16,167.74.0.0/18,1 67.87.0.0/16,167.88.48.0/20,167.97.0.0/16,167.103.0.0/16] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 13"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400012; rev:2505;)
55
alert
tcp
[170.95.0.0/16,170.113.0.0/16,170.114.0.0/16,170.120.0.0/16,170.179.0.0/16,171. 22.0.0/16,171.25.0.0/17,171.26.0.0/16,172.103.64.0/18,175.103.64.0/18,176.47.0. 0/16,176.61.136.0/22,176.61.136.0/21,176.65.128.0/17,176.97.116.0/22,176.97.1 52.0/22,177.36.16.0/20,177.74.160.0/20,178.159.176.0/20,178.216.48.0/21] any > $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 14"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400013; rev:2505;) alert
tcp
[185.11.140.0/24,185.11.143.0/24,185.68.156.0/22,185.72.68.0/22,185.75.56.0/22 ,185.93.187.0/24,186.1.128.0/19,186.96.96.0/19,186.148.160.0/19,186.195.224.0/ 20,188.239.128.0/18,188.247.135.0/24,188.247.230.0/24,190.2.208.0/21,190.9.48 .0/21,190.13.80.0/21,190.211.152.0/21,192.5.103.0/24,192.12.131.0/24,192.26.25 .0/24] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 15"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400014; rev:2505;) alert
tcp
[192.43.160.0/24,192.43.175.0/24,192.43.176.0/21,192.43.184.0/24,192.54.39.0/2 4,192.54.73.0/24,192.54.110.0/24,192.67.16.0/24,192.67.160.0/22,192.84.243.0/2 4,192.86.85.0/24,192.88.74.0/24,192.100.142.0/24,192.101.44.0/24,192.101.181. 0/24,192.101.200.0/21,192.101.240.0/21,192.101.248.0/23,192.125.0.0/17,192.13 3.3.0/24] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic
Inbound
group
16";
flags:S;
reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400015; rev:2505;) alert
tcp
[192.171.64.0/19,192.189.25.0/24,192.190.49.0/24,192.190.97.0/24,192.195.150. 0/24,192.197.87.0/24,192.203.252.0/24,192.206.114.0/24,192.219.120.0/21,192.2 19.128.0/18,192.219.192.0/20,192.219.208.0/21,192.226.16.0/20,192.229.32.0/19
56
,192.231.66.0/24,192.232.32.0/19,192.234.189.0/24,192.245.101.0/24,193.0.129. 0/24,193.0.146.0/23] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed
Traffic
Inbound
group
17";
flags:S;
reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400016; rev:2505;) alert
tcp
[193.104.94.0/24,193.104.110.0/24,193.105.184.0/24,193.105.207.0/24,193.105.2 45.0/24,193.107.16.0/22,193.138.244.0/22,193.139.0.0/16,193.150.120.0/24,193. 164.11.0/24,193.177.64.0/18,193.222.50.0/24,193.243.0.0/17,194.0.177.0/24,194. 1.152.0/24,194.1.184.0/24,194.29.185.0/24,194.38.0.0/18,194.50.116.0/24,194.54 .156.0/22] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic
Inbound
group
18";
flags:S;
reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400017; rev:2505;) alert
tcp
[195.68.222.0/23,195.78.108.0/23,195.88.190.0/23,195.182.57.0/24,195.190.13.0/ 24,195.191.56.0/23,195.191.102.0/23,195.225.176.0/22,195.226.197.0/24,195.23 8.180.0/22,196.1.109.0/24,196.42.128.0/17,196.63.0.0/16,196.193.0.0/16,196.247 .0.0/16,197.154.0.0/16,198.13.0.0/20,198.14.128.0/19,198.14.160.0/19,198.20.16. 0/20] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 19"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400018; rev:2505;) alert
tcp
[198.57.64.0/20,198.62.70.0/24,198.62.76.0/24,198.96.224.0/20,198.99.117.0/24, 198.102.222.0/24,198.148.212.0/24,198.151.16.0/20,198.151.64.0/18,198.151.15 2.0/22,198.160.205.0/24,198.162.208.0/20,198.169.201.0/24,198.177.175.0/24,19 8.177.176.0/22,198.177.180.0/24,198.177.214.0/24,198.178.64.0/19,198.179.22.0 /24,198.181.32.0/20] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed
Traffic
Inbound
group
20";
flags:S;
57
reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400019; rev:2505;) alert
tcp
[198.186.208.0/24,198.187.64.0/18,198.187.192.0/24,198.190.173.0/24,198.199.2 12.0/24,198.202.237.0/24,198.204.0.0/21,198.205.64.0/19,198.212.132.0/24,199. 5.152.0/23,199.5.229.0/24,199.9.24.0/21,199.26.96.0/19,199.26.137.0/24,199.26. 207.0/24,199.26.251.0/24,199.33.145.0/24,199.33.222.0/24,199.34.128.0/18,199. 46.32.0/19] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic
Inbound
group
21";
flags:S;
reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400020; rev:2505;) alert
tcp
[199.84.56.0/22,199.84.60.0/24,199.84.64.0/19,199.87.208.0/21,199.88.32.0/20,1 99.88.48.0/22,199.89.16.0/20,199.89.198.0/24,199.120.163.0/24,199.165.32.0/19, 199.166.200.0/22,199.184.82.0/24,199.185.192.0/20,199.196.192.0/19,199.198.1 60.0/20,199.198.176.0/21,199.198.184.0/23,199.198.188.0/22,199.200.64.0/19,19 9.212.96.0/20] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed
Traffic
Inbound
group
22";
flags:S;
reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400021; rev:2505;)
alert
tcp
[199.245.138.0/24,199.246.137.0/24,199.246.213.0/24,199.246.215.0/24,199.248. 64.0/18,199.249.64.0/19,199.253.32.0/20,199.253.48.0/21,199.253.224.0/20,199. 254.32.0/20,200.3.128.0/20,200.22.0.0/16,200.59.208.0/20,201.169.0.0/16,201.18 2.0.0/16,202.0.192.0/18,202.20.32.0/19,202.21.64.0/19,202.39.112.0/20,202.40.3 2.0/19] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 23"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400022; rev:2505;)
58
alert
tcp
[202.148.176.0/20,202.183.0.0/19,203.2.200.0/22,203.9.0.0/19,203.31.88.0/23,20 3.34.70.0/23,203.34.71.0/24,203.86.252.0/22,203.148.80.0/22,203.149.92.0/22,20 3.169.0.0/22,203.189.112.0/22,203.191.64.0/18,204.19.38.0/23,204.44.32.0/20,20 4.44.192.0/20,204.44.224.0/20,204.48.16.0/20,204.52.255.0/24,204.57.16.0/20] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 24"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400023; rev:2505;) alert
tcp
[204.89.224.0/24,204.106.128.0/18,204.106.192.0/19,204.107.208.0/24,204.126.2 44.0/23,204.128.151.0/24,204.128.180.0/24,204.130.167.0/24,204.147.240.0/20,2 04.152.224.0/21,204.155.128.0/20,204.187.155.0/24,204.187.156.0/22,204.187.1 60.0/19,204.187.192.0/19,204.187.224.0/20,204.187.240.0/21,204.187.248.0/22,2 04.187.252.0/23,204.187.254.0/24] any -> $HOME_NET any (msg:"ET DROP Spamhaus
DROP
Listed
Traffic
Inbound
group
25";
flags:S;
reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400024; rev:2505;)
alert
tcp
[204.238.170.0/24,204.238.183.0/24,205.137.0.0/20,205.142.104.0/22,205.144.0. 0/20,205.144.176.0/20,205.151.128.0/19,205.159.45.0/24,205.159.174.0/24,205.1 59.180.0/24,205.166.77.0/24,205.166.84.0/24,205.166.130.0/24,205.166.168.0/24 ,205.166.211.0/24,205.172.176.0/22,205.172.244.0/22,205.175.160.0/19,205.189. 71.0/24,205.189.72.0/23] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP
Listed
Traffic
Inbound
group
26";
flags:S;
reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400025; rev:2505;) alert
tcp
[205.210.171.0/24,205.210.172.0/22,205.214.96.0/19,205.214.128.0/19,205.233.2 24.0/20,205.236.185.0/24,205.236.189.0/24,205.253.0.0/16,206.51.29.0/24,206.8
59
1.0.0/19,206.127.192.0/19,206.130.188.0/24,206.143.128.0/17,206.189.0.0/16,20 6.195.224.0/19,206.197.28.0/24,206.197.29.0/24,206.197.77.0/24,206.197.165.0/ 24,206.203.64.0/18] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed
Traffic
Inbound
group
27";
flags:S;
reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400026; rev:2505;) alert
tcp
[207.22.192.0/18,207.32.128.0/19,207.45.224.0/20,207.110.64.0/18,207.110.96.0/ 19,207.110.128.0/18,207.183.192.0/19,207.226.192.0/20,207.230.96.0/19,207.23 4.0.0/17,207.254.128.0/21,208.81.136.0/21,208.90.0.0/21,209.51.32.0/20,209.66. 128.0/19,209.95.192.0/19,209.97.128.0/18,209.145.0.0/19,209.182.64.0/19,209.1 98.176.0/20] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic
Inbound
group
28";
flags:S;
reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400027; rev:2505;)
alert
tcp
[210.79.128.0/18,210.87.64.0/18,216.59.128.0/18,217.148.128.0/20,220.154.0.0/1 6,221.132.192.0/18,223.0.0.0/15,223.168.0.0/16,223.169.0.0/16,223.170.0.0/16,2 23.171.0.0/16,223.172.0.0/16,223.173.0.0/16,223.201.0.0/16,223.254.0.0/16] any -> $HOME_NET any (msg:"ET DROP Spamhaus DROP Listed Traffic Inbound group 29"; flags:S; reference:url,www.spamhaus.org/drop/drop.lasso; threshold: type limit, track by_src, seconds 3600, count 1; classtype:misc-attack; sid:2400028; rev:2505;)
60