Pengendusan Data Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

Pengendusan Data Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id>

Tahun Ajaran 2011/2012

Sniffer. (alat penangkap paket atau frame)

Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed

Menangkap dan menampilkan data pada komunikasi yang terjadi di dalam jaringan.


Menangkap lalu lintas data. (pada tingkat paket atau frame)


Pada lapisan mana paket dalam TCP/IP?

Pada lapisan mana frame dalam TCP/IP?

Header dan data payload.


Sniffer* dapat menyusun paketpaket yang tertangkap menjadi sebuah data utuh. * sniffer yang canggih


Komunikasi Antar Host

Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide


Stallings, W. 2003. Data and Computer Communications, 7th Edition.






Komunikasi Antar Host ●

Menggunakan model komunikasi data berbasis lapisan, TCP/IP.

●

Pada operasi jaringan normal: ●

●

data dibungkus/encapsulated dan ditambahkan header pada setiap lapisan TCP/IP. header berisi informasi unit paket data, tergantung dari tingkat lapisannya. Contoh: alamat sumber dan tujuan. –

–

●

●

Pada lapis 3, terdapat informasi alamat IP sumber dan tujuan. Digunakan untuk proses perutean/routing ke jaringan yang sesuai. Pada lapis 2, terdapat informasi alamat MAC sumber dan tujuan. Digunakan untuk memastikan data diterima oleh host yang benar pada jaringan tujuan.

sebuah host tidak diperbolehkan menerima paket yang ditujukan ke host lainnya di dalam jaringan. sistem pengalamatan memastikan bahwa data yang dikirimkan sampai ke penerima, sesuai dengan alamat IP dan MAC tujuan.


Pacdog, CC BYNCSA, https://secure.flickr.com/photos/pacdog/4968422200/

Header TCP (1)

Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide


Header TCP (2) ●

Source port: 16 bit. Nomor porta sumber.

●

Destination port: 16 bit. Nomor porta tujuan.

●

●

●

●

Sequence number: 32 bit. Nomor urutan oktet data pertama dalam segmen, kecuali ada SYN. Jika terdapat SYN, nomor urutan menjadi Initial Sequence Number (ISN) dan oktet data pertama, ISN+1. Acknowledgement number: 32 bit. Jika bit kontrol ACK diset, field ini berisi nomor urutan segmen selanjutnya yang diharapkan pengirim segmen. Data offset: 4 bit. Nomor pada word 32 bit di dalam header TCP yang menjadi indikator dimulainya segmen data. Reserved: 6 bit. Dicadangkan, diset nol.


Header TCP (3) ●

Control bit: 6 bit. ●

●

●

●

●

●

URG, ACK, PSH, RST, SYN, FIN. (dibahas pada pemindaian)

Window: 16 bit. Nomor oktet data yang dimulai dengan nomor pada field Acknowledgement yang diinginkan pengirim segmen. Checksum: 16 bit. Nilai komputasi semua field untuk memastikan data yang dikirim dan diterima tidak berubah. Urgent pointer: 16 bit. Digunakan jika bit kontrol URG diset. Urgent pointer akan menunjuk ke nomor urutan oktet yang mengikuti data. Options: bervariasi. Dapat digunakan untuk mengisi ruang di akhir header TCP dengan panjang 8 bit8 bit. Byte = 8 bit, nibble = 4 bit, word = kelompok bit yang umumnya mempunyai panjang lebih dari 8 bit.


Sniffer

Sniffer ●

●

●

●

●

●

Menangkap paket yang ditujukan untuk alamat MAC target host. Dalam kondisi normal, sistem dalam jaringan akan membaca dan merespon informasi yang ditujukan hanya untuk dirinya. Promiscuous mode: mode mendengarkan semua lalu lintas yang melewati antarmuka jaringan. Mode ini membutuhkan driver dan perlu diaktifkan dengan hak root/administrator. Protokol yang rentan pengendusan adalah protokol yang tidak mengenkripsi komunikasi datanya. Contoh: FTP, HTTP, POP3. Pengendusan pasif: mendengarkan dan menangkap lalu lintas pada jaringan yang terhubung hub. Pengendusan aktif: melakukan Address Resolution Protocol (ARP) spoofing, atau trafficflooding pada jaringan yang terhubung switch.


Hub?

Saat ini sudah jarang ditemukan.


Tetting, CC BYNC, https://secure.flickr.com/photos/taverniersj/1211335063/

Geek2003, CC BYSA 3.0, https://en.wikipedia.org/wiki/File:2550TPWRFront.jpg


Switch (hub) memiliki tabel alamat MAC dan nomor porta.


Membagi lalu lintas, meningkatkan throughput, dan jaringan lebih aman.


Fitur Switched Port Analyzer (SPAN) atau port mirroring digunakan oleh administrator untuk memantau paket melalui satu porta. (misal untuk menganalisis jaringan)


Penanggulangan sniffer?

Pembatasan akses fisik ke media di dalam jaringan.


Enkr ipsi.

David Goehring, CC BY, https://secure.flickr.com/photos/carbonnyc/2294144289/

Sistem Pendeteksi Penyusupan Intrusion Detection System (IDS)

Keoni Cabral, CC BY, https://secure.flickr.com/photos/keoni101/5264688691/

ARP

ARP ●

●

Protokol yang dapat menerjemahkan alamat IP (lapis 3) ke alamat MAC/perangkat keras (lapis 2), atau sebaliknya. Host A ingin menghubungi host B. Keduanya berada di dalam 1 segmen jaringan. ●

●

●

Host A akan memeriksa cache ARPnya untuk mengetahui alamat MAC host B sesuai dengan alamat IPnya. Ketika tidak ditemukan, maka host A akan mengirimkan permintaan ARP broadcast ke jaringan. Host B yang memiliki alamat IP tersebut akan menjawab dengan alamat MACnya. Hubungan TCP/IP host A dan B dapat dilakukan.


A

B



A

B

Siapa punya 192.168.1.1?



A

B




A

B

Siapa punya 192.168.1.1? Saya, MAC 00:04:e5:01:b2:02



ARP Spoofing dan ARP Poisoning

Sniffer tidak dapat menangkap semua lalu lintas pada jaringan dengan perangkat switch. (hanya lalu lintas dari dan ke sistem tersebut)


Untuk itu dibutuhkan pengendusan aktif, yang akan membuat perangkat switch mengirimkan lalu lintas data ke sistem sniffer.


ARP spoofing adalah pengiriman permintaan ARP palsu ke jaringan. (berisi alamat MAC yang dapat “membingungkan” switch)


Contoh serangan ARP Spoofing: menggunakan alamat gateway jaringan dan menangkap semua lalu lintas yang menuju gateway tersebut.


ARP poisoning adalah teknik “meracuni” jaringan Ethernet dengan ARP spoofing. (agar penyerang dapat menangkap frame data host target)


A

B




A

B

Siapa punya 192.168.1.1? Saya, MAC 00:04:e5:01:b2:02


Saya, MAC 00:04:e5:01:b2:01

?

X


Efek lain: jaringan dapat mengalami DoS dan MiTM.


MAC Flooding: membanjiri switch dengan paket paket sehingga switch berubah fungsinya menjadi hub dan meneruskan semua lalu lintas ke semua porta. * Kebanyakkan switch sekarang sudah terlindungi dari serangan ini.


http://ettercap.sourceforge.net/


Penanggulangan ARP Poisoning ●

●

●

Menambahkan alamat MAC host yang ada di dalam jaringan secara permanen ke cache ARP khususnya mesinmesin seperti router/gateway. Kekurangan: semakin banyak komputer yang ada di jaringan, semakin merepotkan administrator ;) Program pemantau: arpalert, arpon, arpwatch.


Wireshark

https://wireshark.org/

Wireshark ●

●

●

●

●

●

Sebelumnya bernama Ethereal, dapat dijalankan pada banyak platform, dan populer sebagai alat untuk menganalisis protokol jaringan. Data dapat diambil dari jaringan yang aktif, atau rekaman yang tersimpan dalam sebuah berkas. Menggunakan pustaka jaringan pcap dan dapat menangkap paketpaket pada jaringan kabel atau nirkabel. Dapat digunakan pada protokol lapis 2 ke atas. Dapat dipakai untuk menangkap lalu lintas jaringan yang spesifik saja dengan menerapkan filter. Follow TCP Stream: Wireshark dapat mengurutkan paketpaket dalam komunikasi TCP dan menampilkannya ke dalam format ASCII yang mudah dibaca.


Contoh Filter Wireshark ●

ip.dst eq 192.168.13.12, menangkap paket yang ditujukan untuk alamat IP 192.168.13.12.

●

ip.src == 192.168.2.2, menangkap paket yang berasal dari alamat IP 192.168.2.2.

●

eth.dst eq ff:ff:ff:ff:ff:ff, menangkap paketpaket broadcast lapis 2.

●

host unsoed.ac.id and not (port 80 or port 25), ?

●

net 192.168.1.0/24, menangkap lalu lintas dari dan ke host yang ada pada jaringan 192.168.1.0.

●

src net 192.168.1.0/24, ?

●

dst net 192.168.1.0/24, ?

●

port 80, menangkap lalu lintas yang ditujukan ke port 80.

●

port not 53 and not arp, ?

●

●

port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420, menangkap permintaan HTTP GET. Mencari bita “G”, “E”, “T”, “ ” dalam bentuk heksadesimal setelah header TCP. Ukuran header TCP diketahui dengan “tcp[12:1] & 0xf0) >> 2”. Baca http://wiki.wireshark.org/CaptureFilters.


http://tcpdump.org/

Tcpdump ●

●

●

●

●

Tcpdump: seperti Wireshark, hanya saja menggunakan tampilan baris perintah. Untuk memantau, melakukan diagnosa, dan dapat pula menyimpan lalu lintas jaringan ke dalam sebuah berkas. Cocok untuk perkakas analisis cepat dan dapat dikombi nasikan dengan program/skrip lain. Contoh: ●

tcpdump i eth0 port 80 > dump.txt

●

tcpdump host [alamat IP host]

Baca http://danielmiessler.com/study/tcpdump/.


DNS Poisoning

DNS Spoofing/Poisoning ●

●

Teknik serangan dengan menyisipkan rekaman palsu ke peladen DNS. Efek. ●

●

●

Tersimpan dalam cache DNS, dan menyebar ke sistemsistem yang menggunakan layanan DNS tersebut. Pengguna yang mengunjungi alamat yang telah dipalsukan rekamannya di peladen DNS akan diarahkan ke mesin penyerang, misal situs palsu. Yang diserang terlebih dulu adalah program layanan DNS. Contoh: BIND. Intinya, bagaimana supaya program layanan DNS tersebut menerima informasi yang salah dan/atau tidak dapat melakukan validasi respon DNS dengan benar.


TipeTipe Teknik DNS Spoofing ●

●

●

●

Intranet spoofing: bertindak sebagai perangkat atau host pada jaringan internal. Internet spoofing: bertindak sebagai perangkat atau host pada Internet. Proxy server DNS poisoning: memodifikasi entri DNS pada proxy sehingga pengguna diarahkan ke sistem host yang berbeda. DNS Cache Poisoning: memodifikasi entri DNS pada sebuah sistem sehingga pengguna diarahkan ke host yang berbeda.


Kelemahan serius pada layanan DNS http://unixwiz.net/techtips/iguidekaminskydnsvuln.html

$ ping domain.ac.id PING domain.ac.id (202.123.201.23) 56(84) bytes of data. 64 bytes from 202.123.201.23: icmp_req=1 ttl=54 time=179 ms 64 bytes from 202.123.201.23: icmp_req=2 ttl=54 time=178 ms 64 bytes from 202.123.201.23: icmp_req=3 ttl=54 time=438 ms












Daftar Bacaan ●

●

ECCouncil. 2008. Module X: Sniffers, Ethical Hacking and Countermeasures Version 6 Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide, Sybex


Pengendusan Data Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

Recommend Documents