1. NAMA : ALFA RIDHOANA KELAS : SECJATIK-K
NIM : 105090613111003
1. Mengapa port scanning di klasifikasikan sebagai salah satu tipe serangan ?
Karena dengan melakukan port scanning, seseorang bisa mengetahui informasi-
informasi mengenai status port, di mana hal ini bisa digunakan oleh orang tersebut untuk
mencari kelemahan dari komputer target. Kemudian orang tersebut bisa saja bermaksud
buruk, dengan terdeteksinya port-port pada komputer korban, maka si penyerang bisa
melakukan kejahatan, seperti penyisipan virus dan Trojan ke dalam komputer korban,
pencurian data, serangan Dos dan lain-lainnya yang dapat merugikan si korban.
• Apa itu Port Scanning ?
Port scanning adalah sebuah aktivitas yang bertujuan untuk memperoleh
informasi yang menyeluruh mengenai status port (biasanya port TCP) pada sebuah host.
Dengan port scanning, seseorang dapat mengetahui port-port mana saja yangsedang
terbuka pada sebuah host.
• Bagaimana port scanning itu bekerja ?
Pada dasarnya, port scan itu bekerja dengan cara mengirimkan pesan ke setiap
port, satu per satu (ia akan mengirimkan sebuah permintaan untuk menghubungkan
dengan computer target pada tiap port secara sekuensial). Jenis respon yang diterima
dapat menunjukkan apakah port tersebut terbuka, tertutup atau digunakan dan karenanya
dapat diperiksa lebih lanjut untuk kelemahannya. Port scanning biasanya terjadi untuk
port TCP, yang connection-oriented dan karena itu memberikan umpan balik yang baik
bagi penyerang.
Beberapa teknik kerja port scanning:
-sS (TCP SYN scan)
Teknik ini seringkali diacu sebagai pemeriksaan setengah terbuka (half-open
scanning), karena anda tidak membuka seluruh koneksi TCP. Anda mengirim sebuah
paket SYN, seperti anda ingin melakukan koneksi sesungguhnya dan kemudian
menunggu tanggapan. SYN/ACK menandakan port sedang mendengarkan (open),
RST (reset) menandakan tidak sedang mendengarkan.
-sT (TCP connect scan)
Ketika tersedia SYN scan, ia merupakan pilihan yang lebih baik. Nmap kurang
memiliki kendali atas call connect daripada paket raw, membuatnya kurang efisien.
System call membuat koneksi lengkap untuk membuka port target daripada membuat
reset setengah-terbuka (half-open reset) yang dilakukan SYN scan.
-sU (UDP scan)
2. UDP umumnya lebih lambat dan lebih sulit dibanding TCP, beberapa audit
keamanan mengabaikan port ini. Ini merupakan kesalahan, karena eksploitasi layanan
UDP cukup umum dan penyerang tentu saja tidak mengabaikan seluruh protokol.
-sN; -sF; -sX (TCP NULL, FIN, dan Xmas scan)
Ketiga jenis scan ini (bahkan kemungkinan lebih dengan adanya opsi --scanflags
yang dijelaskan pada bagian berikutnya) mengeksploitasi kelemahan dalam RFC TCP
untuk membedakan antara port open dan closed.
-sA (TCP ACK scan)
Scan ini berbeda dengan yang telah didiskusikan sejauh ini yaitu ia tidak pernah
menentukan port open (or even open|filtered). Ia digunakan untuk memetakan
aturan firewall, menentukan apakah mereka stateful atau tidak dan port mana saja
yang disaring.
-sW (TCP Window scan)
Window scan serupa dengan ACK scan kecuali bahwa ia mengeksploitasi detil
implementasi pada sistem tertentu yang membedakan port terbuka dengan port
tertutup, alih-alih selalu menampilkan unfiltered ketika dikembalikan RST.
-sM (TCP Maimon scan)
Teknik ini sama persis dengan scan NULL, FIN, dan Xmas, kecuali probenya adalah
FIN/ACK. Menurut RFC 793 (TCP), paket RST seharusnya dihasilkan sebagai
tanggapan atas probe tersebut entah port terbuka atau tertutup.
--scanflags (Custom TCP scan)
Argumen --scanflags dapat berupa nilai flag numerik seperti 9 (PSH dan FIN),
namun menggunakan nama simbolik lebih mudah.
-b <FTP relay host> (FTP bounce scan)
Satu fitur menarik protokol FTP (RFC 959) mendukung koneksi FTP proxy. Hal ini
memungkinkan user untuk koneksi ke satu server FTP, lalu meminta file dikirimkan
ke server pihak ketiga.
• Apakah bahaya dari port scanning?
Port scan membantu penyerang menemukan port yang tersedia untuk memulai
berbagai serangan. Dengan adanya serangan port scanning, si penyerang bisa
mengetahui informasi informasi mengenai status port, sehingga si penyerang bisa saja
mengirimkan virus atau program yang rusak (merugikan) melalui port-port yang
3. terbuka. Karena port adalah tempat informasi keluardan masuk dari komputer, port
scanning mengidentifikasi pintu terbuka ke komputer, dan jika sebuah port terbuka, itu
bisa dimanfaatkan oleh penyerang dengan menerobos kerentanan (bug) pada sistem
komputer. Beberapa bahaya yang dapat ditimbulkan dari port scanning:
• Sebagai contoh, dalam mengirimkan email, spammer mencoba untuk
menyampaikan spam mereka melalui server SMTP yang memiliki port terbuka bagi
mereka untuk datang dan mengirim spam melalui itu.
• Penyisipan Trojan atau virus.
Sebuah port scan sistematis akan mengirim pesan (paket dengan nomor
tujuan yang dipilih) untuk masing-masing port, satu per satu, biasanya dalam
interval yang sangat singkat. Jenis respon yang diterima menunjukkan apakah port
tersebut digunakan dan karenanya dapat diperiksa lebih lanjut untuk mencari tahu
kelemahan komputer target. Beberapa program jahat seperti virus komputer dan
kuda Trojan dapat disisipkan ke komputer Anda melalui port terbuka, oleh karena
itu jika PC Anda mengirimkan data dalam jumlah besar, hal ini biasanya
menunjukkan bahwa sistem Anda mungkin memiliki virus atau Trojan horse.
• Proxy server adalah target populer yang bisa discan.
Server web yang paling mendukung fungsi proxy sehingga dapat
melakukan permintaan dari halaman web yang kemudian diarahkan ke server
tunggal yang cache halaman web yang terakhir dikunjungi untuk meningkatkan
kinerja. Banyak dari server terkonfigurasi untuk memberikan layanan proxy untuk
setiap permintaan dari internet, yang memungkinkan penyerang untuk melakukan
serangan terhadap situs web melalui pihak ketiga. Sebuah "denial-of-service"
serangan dapat dibawa pada server proxy oleh penyerang untuk mencegah
pengguna yang sah dari layanan untuk menggunakan layanan tersebut.
2. Cari nama dan jelaskan tool (software) yang dapat digunakan untuk mendeteksi dan
merespon serangan !
Untuk mendeteksi adanya serangan dapat digunakan Wireshark sebagai
analisa/ mendeteksi packet-packet data yang berlalu lintas, misalnya bila terdeteksi
serangan, maka akan terlihat ip address attacker yang mengakses banyak port pada
komputer korban yang diserang. Itu bisa dilihat dengan wireshark.
Sedangkan Nmap dapat digunakan oleh si penyerang untuk mengetahui status port-port
komputer target.
• Wireshark adalah salah satu dari sekian banyak tool Network Analyzer yang
banyak digunakan oleh administrator jaringan untuk menganalisa kinerja
jaringannya. Wireshark mampu menangkap paket-paket data/informasi yang
4. berseliweran dalam jaringan yang kita “intip”. Semua jenis paket informasi dalam
berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa.
• Salah satu pionir dalam mengimplementasikan teknik port scanning
adalah Fyodor. Ia memasukkan berbagai teknik scanning ke dalam karyanya yang
amat terkenal, yakni: Nmap (“Network Mapper”) merupakan sebuah tool open
source untuk eksplorasi dan audit keamanan jaringan. Nmap dirancang untuk
memeriksa jaringan besar secara cepat, meskipun ia dapat pula bekerja
terhadap host tunggal.
Dalam percobaan pada sebuah literatur yang saya dapatkan, digunakan nmap pada
komputer A untuk melakukan port scanning terhadap komputer B. Sedangkan,
komputer B menggunakan wireshark untuk melakukan packet sniffing. Komputer A
dan B dihubungkan dengan kabel UTP. Komputer A ini diberi alamat IP 192.168.1.1
yang berperan sebagai penyerang, dan komputer B diberi alamat IP 192.168.1.2 yang
berperan sebagai target.
Sebagai penyerang, komputer A melakukan port scanning menggunakan nmap dan
mendapatkan informasi tentang komputer B (target : 192.168.1.2) .
Dari hasil packet sniffing menggunakan wireshark di atas, komputer target
mendeteksi adanya lalu lintas data dari dan ke alamat IP 192.168.1.1 yang
merupakan alamat IP dari komputer penyerang. Lalu lintas data ini merupakan
request/respon dari dan ke komputer penyerang yang sedang melakukan port
scanning (penyerangan) terhadap komputer target.
5. Tool yangdapat digunakan untuk mendeteksi dan merespon serangan port scanning:
PortSentry dikhususkan untuk menjaga port yang terbuka. Pada jaringan komputer
(Internet), masing-masing server aplikasi akan stand-by pada port tertentu, misalnya, Web
pada port 80, mail (SMTP) pada port 25, mail (POP3) pada port 110. PortSentry adalah
program yang di didesain untuk mendeteksi dan merespond kepada kegiatan port scan
pada sebuah mesin secara real-time.
PortSentry tersedia untuk berbagai platform Unix, termasuk Linux, OpenBSD &
FreeBSD. Biasanya sudah tersedia berbentuk RPM dan akan terinstall secara otomatis jika
anda menggunakan Linux Mandrake. Bagi yang tidak menggunakan Linux Mandrtake
dapat mengambilnya dari situs tcpdump.org.
Beberapa fitur yang dimiliki oleh PortSentry, antara lain:
1. Mendeteksi adanya Stealth port scan untuk semua platform Unix. Stealth port scan
adalah teknik port scan yang tersamar/tersembunyi, biasanya sukar dideteksi oleh
system operasi.
2. Instalasi PortSentry pada Linux Mandrake 8.0 sangat mudah. PortSentry akan
mendeteksi berbagai teknik scan seperti SYN/half-open, FIN, NULL dan XMAS.
3. PortSentry akan bereaksi terhadap usaha port scan dari lawan dengan cara membolkir
penyerang secara real-time dari usaha auto-scanner, probe penyelidik, maupun
serangan terhadap sistem.
4. PortSentry akan melaporkan semua kejanggalan dan pelanggaran kepada software
daemon syslog lokal maupun remote yang berisi nama sistem, waktu serangan, IP
penyerang maupun nomor port TCP atau UDP tempat serangan di lakukan.
5. JikaPortSentry didampingkan dengan LogSentry, dia akan memberikan berita kepada
administrator melalui e-mail.
6. Fitur cantik PortSentry adalah pada saat terdeteksi adanya scan, sistem anda tiba-tiba
menghilang dari hadapan si penyerang. Fitur ini membuat penyerang tidak berkutik.
7. PortSentry selalu mengingat alamat IP penyerang, jika ada serangan Port Scan yang
sifatnya random PortSentry akan bereaksi.
8. Beberapa hal yang mungkin menarik dari kemampuan PortSentry antara lain:
PortSentry akan mendeteksi semua hubungan antar-komputer menggunakan protokol
TCP maupun UDP. Melalui file konfigurasi yang ada PortSentry akan memonitor
ratusan port yang di scan secara berurutan maupun secara random. Karena PortSentry
juga memonitor protokol UDP, PortSentry akan memberitahukan kita jika ada orang
yang melakukan probing (uji coba) pada servis RPC, maupun servis UDP lainnya
seperti TFTP, SNMP dll.
Untuk menjaga keamanan komputer, dengan mengantisipasi:
1. Instal perangkat lunak anti-virus pada komputer Anda - baik di rumah maupun di
tempat kerja. Pentingnya ukuran ini tidak dapat lebih ditekankan. Dan ingat untuk
memperbarui definisi virus dan scan PC Anda untuk virus secara teratur (jika
mungkin, setiap hari).
6. 2. Lakukan Windows Update - Microsoft akan mengeluarkan patch yang akan menutup
port terbuka atau memperbaiki kelemahan lain ketika mereka ditemukan. Dengan
melakukan Windows Update secara teratur, Anda dapat meminimalkan kemungkinan
port terbuka Anda sedang dieksploitasi. (Klik menu Tools browser IE => Windows
Update => Scan for Updates => menginstal semua update penting.)
3. Menginstal perangkat lunak firewall untuk memantau setiap kegiatan pemindaian pada
PC Anda.
3. Pada opini anda, tipe serangan apakah yang paling berbahaya ? jelaskan jawaban
anda!
DDoS (Distributed Denial of Service)
Hacker penyerang menggunakan serangan mematikan ini, dengan menggunakan
banyak komputer, yang mana komputer tersebut dijadikan satu untuk menciptakan
banjirdata yang sangat besar. Karena bila hanya menggunakan 1 komputer dirasa tidak
efektif dan efisien sebab banjiran data ke server akan lebih kecil, karena server biasanya
masih bisa menangani hal itu. Data dikirimkan secara terus-menerus, sehingga
menyebabkan target (server target) tidak bisa menangani hal itu.
Komputer-komputer yang diambil alih oleh hacker tersebut disebut zombie.
Zombie berfungsi sebagai anak buah atau agen penyerang yang siap beraksi saat
mendapat perintah dari “tuannya.” Semakin banyak zombie yang dikuasai oleh penyerang
tersebut, maka akan semakin banyak pula tenaga yang ia miliki. Dengan tenaga besar
yang dikumpulkan dari komputer-komputer yang dikuasai (secara ilegal tentunya)
tersebut, serangan DDoS hampir tidak dapat diatasi.
Ada beberapa situs yang sudah pernah terkena serangan ini, yaitu seperti
Amazon.com, eBay, dan Yahoo pada Februari 2000 menjadi lumpuh selama beberapa jam
akibat serangat DDoS ini.