PengendusanData

Pengendusan Data
Ethical Hacking and Countermeasures (PAI 083213)
Program Studi Teknik Informatika, Unsoed
Iwan Setiawan <stwn at unsoed.ac.id>

Tahun Ajaran 2011/2012

Sniffer.
(alat penangkap paket atau frame)

Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed

Menangkap dan menampilkan data pada
komunikasi yang terjadi di dalam jaringan.


Menangkap lalu lintas data.
(pada tingkat paket atau frame)


Pada lapisan mana
paket dalam TCP/IP?

Pada lapisan mana
frame dalam TCP/IP?

Header dan data payload.


Sniffer* dapat menyusun paketpaket yang
tertangkap menjadi sebuah data utuh.
* sniffer yang canggih


Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide


Stallings, W. 2003. Data and Computer Communications, 7th Edition.


Komunikasi Antar Host
●

Menggunakan model komunikasi data berbasis lapisan, TCP/IP.

●

Pada operasi jaringan normal:
●

●

data dibungkus/encapsulated dan ditambahkan header pada setiap lapisan
TCP/IP.
header berisi informasi unit paket data, tergantung dari tingkat lapisannya.
Contoh: alamat sumber dan tujuan.
–

–

●

●

Pada lapis 3, terdapat informasi alamat IP sumber dan tujuan. Digunakan untuk
proses perutean/routing ke jaringan yang sesuai.
Pada lapis 2, terdapat informasi alamat MAC sumber dan tujuan. Digunakan untuk
memastikan data diterima oleh host yang benar pada jaringan tujuan.

sebuah host tidak diperbolehkan menerima paket yang ditujukan ke host
lainnya di dalam jaringan.
sistem pengalamatan memastikan bahwa data yang dikirimkan sampai ke
penerima, sesuai dengan alamat IP dan MAC tujuan.


Pacdog, CC BYNCSA, https://secure.flickr.com/photos/pacdog/4968422200/

Header TCP (1)

Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide


Header TCP (2)
●

Source port: 16 bit. Nomor porta sumber.

●

Destination port: 16 bit. Nomor porta tujuan.

●

●

●

●

Sequence number: 32 bit. Nomor urutan oktet data pertama dalam
segmen, kecuali ada SYN. Jika terdapat SYN, nomor urutan menjadi
Initial Sequence Number (ISN) dan oktet data pertama, ISN+1.
Acknowledgement number: 32 bit. Jika bit kontrol ACK diset, field ini
berisi nomor urutan segmen selanjutnya yang diharapkan pengirim
segmen.
Data offset: 4 bit. Nomor pada word 32 bit di dalam header TCP yang
menjadi indikator dimulainya segmen data.
Reserved: 6 bit. Dicadangkan, diset nol.


Header TCP (3)
●

Control bit: 6 bit.
●

●

●

●

●

●

URG, ACK, PSH, RST, SYN, FIN. (dibahas pada pemindaian)

Window: 16 bit. Nomor oktet data yang dimulai dengan nomor pada
field Acknowledgement yang diinginkan pengirim segmen.
Checksum: 16 bit. Nilai komputasi semua field untuk memastikan data
yang dikirim dan diterima tidak berubah.
Urgent pointer: 16 bit. Digunakan jika bit kontrol URG diset. Urgent
pointer akan menunjuk ke nomor urutan oktet yang mengikuti data.
Options: bervariasi. Dapat digunakan untuk mengisi ruang di akhir
header TCP dengan panjang 8 bit8 bit.
Byte = 8 bit, nibble = 4 bit, word = kelompok bit yang umumnya
mempunyai panjang lebih dari 8 bit.


Sniffer
●

●

●

●

●

●

Menangkap paket yang ditujukan untuk alamat MAC target host.
Dalam kondisi normal, sistem dalam jaringan akan membaca dan
merespon informasi yang ditujukan hanya untuk dirinya.
Promiscuous mode: mode mendengarkan semua lalu lintas yang
melewati antarmuka jaringan. Mode ini membutuhkan driver dan
perlu diaktifkan dengan hak root/administrator.
Protokol yang rentan pengendusan adalah protokol yang tidak
mengenkripsi komunikasi datanya. Contoh: FTP, HTTP, POP3.
Pengendusan pasif: mendengarkan dan menangkap lalu lintas
pada jaringan yang terhubung hub.
Pengendusan aktif: melakukan Address Resolution Protocol (ARP)
spoofing, atau trafficflooding pada jaringan yang terhubung switch.


Saat ini sudah jarang ditemukan.


Tetting, CC BYNC, https://secure.flickr.com/photos/taverniersj/1211335063/

Geek2003, CC BYSA 3.0, https://en.wikipedia.org/wiki/File:2550TPWRFront.jpg


Switch (hub) memiliki tabel
alamat MAC dan nomor porta.


Membagi lalu lintas, meningkatkan
throughput, dan jaringan lebih aman.


Fitur Switched Port Analyzer (SPAN) atau port
mirroring digunakan oleh administrator untuk
memantau paket melalui satu porta.
(misal untuk menganalisis jaringan)


Pembatasan akses fisik
ke media di dalam jaringan.


Enkr
ipsi.

David Goehring, CC BY, https://secure.flickr.com/photos/carbonnyc/2294144289/

Sistem Pendeteksi Penyusupan
Intrusion Detection System (IDS)

Keoni Cabral, CC BY, https://secure.flickr.com/photos/keoni101/5264688691/

ARP
●

●

Protokol yang dapat menerjemahkan alamat IP (lapis 3) ke
alamat MAC/perangkat keras (lapis 2), atau sebaliknya.
Host A ingin menghubungi host B. Keduanya berada di dalam 1
segmen jaringan.
●

●

●

Host A akan memeriksa cache ARPnya untuk mengetahui alamat MAC
host B sesuai dengan alamat IPnya.
Ketika tidak ditemukan, maka host A akan mengirimkan permintaan
ARP broadcast ke jaringan. Host B yang memiliki alamat IP tersebut
akan menjawab dengan alamat MACnya.
Hubungan TCP/IP host A dan B dapat dilakukan.


A

B



A

B

Siapa punya 192.168.1.1?



A

B

Saya, MAC 00:04:e5:01:b2:02



ARP Spoofing dan
ARP Poisoning

Sniffer tidak dapat menangkap semua lalu lintas
pada jaringan dengan perangkat switch.
(hanya lalu lintas dari dan ke sistem tersebut)


Untuk itu dibutuhkan pengendusan aktif, yang
akan membuat perangkat switch mengirimkan
lalu lintas data ke sistem sniffer.


ARP spoofing adalah pengiriman
permintaan ARP palsu ke jaringan.
(berisi alamat MAC yang dapat “membingungkan” switch)


Contoh serangan ARP Spoofing: menggunakan
alamat gateway jaringan dan menangkap semua
lalu lintas yang menuju gateway tersebut.


ARP poisoning adalah teknik “meracuni”
jaringan Ethernet dengan ARP spoofing.
(agar penyerang dapat menangkap frame data host target)


A

B

Saya, MAC 00:04:e5:01:b2:02


Saya, MAC 00:04:e5:01:b2:01

?

X


Efek lain: jaringan dapat
mengalami DoS dan MiTM.


MAC Flooding: membanjiri switch dengan paket
paket sehingga switch berubah fungsinya menjadi
hub dan meneruskan semua lalu lintas ke semua
porta.
* Kebanyakkan switch sekarang sudah terlindungi dari serangan ini.


http://ettercap.sourceforge.net/


Penanggulangan ARP Poisoning
●

●

●

Menambahkan alamat MAC host yang ada di
dalam jaringan secara permanen ke cache ARP
khususnya mesinmesin seperti router/gateway.
Kekurangan: semakin banyak komputer yang
ada di jaringan, semakin merepotkan
administrator ;)
Program pemantau: arpalert, arpon, arpwatch.


Wireshark
●

●

●

●

●

●

Sebelumnya bernama Ethereal, dapat dijalankan pada banyak platform,
dan populer sebagai alat untuk menganalisis protokol jaringan.
Data dapat diambil dari jaringan yang aktif, atau rekaman yang tersimpan
dalam sebuah berkas.
Menggunakan pustaka jaringan pcap dan dapat menangkap paketpaket
pada jaringan kabel atau nirkabel.
Dapat digunakan pada protokol lapis 2 ke atas.
Dapat dipakai untuk menangkap lalu lintas jaringan yang spesifik saja
dengan menerapkan filter.
Follow TCP Stream: Wireshark dapat mengurutkan paketpaket dalam
komunikasi TCP dan menampilkannya ke dalam format ASCII yang
mudah dibaca.


Contoh Filter Wireshark
●

ip.dst eq 192.168.13.12, menangkap paket yang ditujukan untuk alamat IP 192.168.13.12.

●

ip.src == 192.168.2.2, menangkap paket yang berasal dari alamat IP 192.168.2.2.

●

eth.dst eq ff:ff:ff:ff:ff:ff, menangkap paketpaket broadcast lapis 2.

●

host unsoed.ac.id and not (port 80 or port 25), ?

●

net 192.168.1.0/24, menangkap lalu lintas dari dan ke host yang ada pada jaringan
192.168.1.0.

●

src net 192.168.1.0/24, ?

●

dst net 192.168.1.0/24, ?

●

port 80, menangkap lalu lintas yang ditujukan ke port 80.

●

port not 53 and not arp, ?

●

●

port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420, menangkap permintaan
HTTP GET. Mencari bita “G”, “E”, “T”, “ ” dalam bentuk heksadesimal setelah header TCP.
Ukuran header TCP diketahui dengan “tcp[12:1] & 0xf0) >> 2”.
Baca http://wiki.wireshark.org/CaptureFilters.


Tcpdump
●

●

●

●

Tcpdump: seperti Wireshark, hanya saja menggunakan
tampilan baris perintah.
Untuk memantau, melakukan diagnosa, dan dapat pula
menyimpan lalu lintas jaringan ke dalam sebuah berkas.
Cocok untuk perkakas analisis cepat dan dapat dikombi
nasikan dengan program/skrip lain.
Contoh:
●

●

●

tcpdump i eth0 port 80 > dump.txt
tcpdump host [alamat IP host]

Baca http://danielmiessler.com/study/tcpdump/.


DNS Spoofing/Poisoning
●

●

Teknik serangan dengan menyisipkan rekaman palsu ke
peladen DNS.
Efek.
●

●

●

Tersimpan dalam cache DNS, dan menyebar ke sistemsistem
yang menggunakan layanan DNS tersebut.
Pengguna yang mengunjungi alamat yang telah dipalsukan
rekamannya di peladen DNS akan diarahkan ke mesin
penyerang, misal situs palsu.
Yang diserang terlebih dulu adalah program layanan DNS.
Contoh: BIND. Intinya, bagaimana supaya program layanan DNS
tersebut menerima informasi yang salah dan/atau tidak dapat
melakukan validasi respon DNS dengan benar.


TipeTipe Teknik DNS Spoofing
●

●

●

●

Intranet spoofing: bertindak sebagai perangkat atau
host pada jaringan internal.
Internet spoofing: bertindak sebagai perangkat atau
host pada Internet.
Proxy server DNS poisoning: memodifikasi entri DNS
pada proxy sehingga pengguna diarahkan ke sistem
host yang berbeda.
DNS Cache Poisoning: memodifikasi entri DNS pada
sebuah sistem sehingga pengguna diarahkan ke host
yang berbeda.


Kelemahan serius
pada layanan DNS
http://unixwiz.net/techtips/iguidekaminskydnsvuln.html

$ ping domain.ac.id
   PING domain.ac.id (202.123.201.23) 56(84) bytes of data.
   64 bytes from 202.123.201.23: icmp_req=1 ttl=54 time=179 ms


Daftar Bacaan
●

●

ECCouncil. 2008. Module X: Sniffers, Ethical
Hacking and Countermeasures Version 6
Graves, K. 2010. CEH: Certified Ethical Hacker
Study Guide, Sybex


PengendusanData

Recomendados

Recomendados

Más contenido relacionado

Similar a PengendusanData

Similar a PengendusanData (20)

Más de Iwan stwn

Más de Iwan stwn (17)

PengendusanData