Pengendusan Data Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

Transkripsi

1 Pengendusan Data Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id> Tahun Ajaran 2011/2012

2 Sniffer. (alat penangkap paket atau frame)

3 Menangkap dan menampilkan data pada komunikasi yang terjadi di dalam jaringan.

4 Menangkap lalu lintas data. (pada tingkat paket atau frame)

5 Pada lapisan mana paket dalam TCP/IP?

6 Pada lapisan mana frame dalam TCP/IP?

7 Header dan data payload.

8 Sniffer* dapat menyusun paket paket yang tertangkap menjadi sebuah data utuh. * sniffer yang canggih

9 Komunikasi Antar Host

10 Graves, K CEH: Certified Ethical Hacker Study Guide

11 Stallings, W Data and Computer Communications, 7th Edition.

12 Stallings, W Data and Computer Communications, 7th Edition.

13 Stallings, W Data and Computer Communications, 7th Edition.

14 Komunikasi Antar Host Menggunakan model komunikasi data berbasis lapisan, TCP/IP. Pada operasi jaringan normal: data dibungkus/encapsulated dan ditambahkan header pada setiap lapisan TCP/IP. header berisi informasi unit paket data, tergantung dari tingkat lapisannya. Contoh: alamat sumber dan tujuan. Pada lapis 3, terdapat informasi alamat IP sumber dan tujuan. Digunakan untuk proses perutean/routing ke jaringan yang sesuai. Pada lapis 2, terdapat informasi alamat MAC sumber dan tujuan. Digunakan untuk memastikan data diterima oleh host yang benar pada jaringan tujuan. sebuah host tidak diperbolehkan menerima paket yang ditujukan ke host lainnya di dalam jaringan. sistem pengalamatan memastikan bahwa data yang dikirimkan sampai ke penerima, sesuai dengan alamat IP dan MAC tujuan.

15 Pacdog, CC BY NC SA,

16 Header TCP (1) Graves, K CEH: Certified Ethical Hacker Study Guide

17 Header TCP (2) Source port: 16 bit. Nomor porta sumber. Destination port: 16 bit. Nomor porta tujuan. Sequence number: 32 bit. Nomor urutan oktet data pertama dalam segmen, kecuali ada SYN. Jika terdapat SYN, nomor urutan menjadi Initial Sequence Number (ISN) dan oktet data pertama, ISN+1. Acknowledgement number: 32 bit. Jika bit kontrol ACK diset, field ini berisi nomor urutan segmen selanjutnya yang diharapkan pengirim segmen. Data offset: 4 bit. Nomor pada word 32 bit di dalam header TCP yang menjadi indikator dimulainya segmen data. Reserved: 6 bit. Dicadangkan, diset nol.

18 Header TCP (3) Control bit: 6 bit. URG, ACK, PSH, RST, SYN, FIN. (dibahas pada pemindaian) Window: 16 bit. Nomor oktet data yang dimulai dengan nomor pada field Acknowledgement yang diinginkan pengirim segmen. Checksum: 16 bit. Nilai komputasi semua field untuk memastikan data yang dikirim dan diterima tidak berubah. Urgent pointer: 16 bit. Digunakan jika bit kontrol URG diset. Urgent pointer akan menunjuk ke nomor urutan oktet yang mengikuti data. Options: bervariasi. Dapat digunakan untuk mengisi ruang di akhir header TCP dengan panjang 8 bit 8 bit. Byte = 8 bit, nibble = 4 bit, word = kelompok bit yang umumnya mempunyai panjang lebih dari 8 bit.

19 Sniffer

20 Sniffer Menangkap paket yang ditujukan untuk alamat MAC target host. Dalam kondisi normal, sistem dalam jaringan akan membaca dan merespon informasi yang ditujukan hanya untuk dirinya. Promiscuous mode: mode mendengarkan semua lalu lintas yang melewati antarmuka jaringan. Mode ini membutuhkan driver dan perlu diaktifkan dengan hak root/administrator. Protokol yang rentan pengendusan adalah protokol yang tidak mengenkripsi komunikasi datanya. Contoh: FTP, HTTP, POP3. Pengendusan pasif: mendengarkan dan menangkap lalu lintas pada jaringan yang terhubung hub. Pengendusan aktif: melakukan Address Resolution Protocol (ARP) spoofing, atau traffic flooding pada jaringan yang terhubung switch.

21 Hub?

22 Saat ini sudah jarang ditemukan.

23 Tetting, CC BY NC,

24 Geek2003, CC BY SA 3.0, PWR Front.jpg

25 Switch (hub) memiliki tabel alamat MAC dan nomor porta.

26 Membagi lalu lintas, meningkatkan throughput, dan jaringan lebih aman.

27 Fitur Switched Port Analyzer (SPAN) atau port mirroring digunakan oleh administrator untuk memantau paket melalui satu porta. (misal untuk menganalisis jaringan)

28 Penanggulangan sniffer?

29 Pembatasan akses fisik ke media di dalam jaringan.

30 Enkr ipsi. David Goehring, CC BY,

31 Sistem Pendeteksi Penyusupan Intrusion Detection System (IDS) Keoni Cabral, CC BY,

32 ARP

33 ARP Protokol yang dapat menerjemahkan alamat IP (lapis 3) ke alamat MAC/perangkat keras (lapis 2), atau sebaliknya. Host A ingin menghubungi host B. Keduanya berada di dalam 1 segmen jaringan. Host A akan memeriksa cache ARP nya untuk mengetahui alamat MAC host B sesuai dengan alamat IP nya. Ketika tidak ditemukan, maka host A akan mengirimkan permintaan ARP broadcast ke jaringan. Host B yang memiliki alamat IP tersebut akan menjawab dengan alamat MAC nya. Hubungan TCP/IP host A dan B dapat dilakukan.

34 A B Geek2003, CC BY SA 3.0, PWR Front.jpg

35 A B Siapa punya ? Geek2003, CC BY SA 3.0, PWR Front.jpg

36 A B Siapa punya ? Geek2003, CC BY SA 3.0, PWR Front.jpg

37 A B Siapa punya ? Saya, MAC 00:04:e5:01:b2:02 Geek2003, CC BY SA 3.0, PWR Front.jpg

38 ARP Spoofing dan ARP Poisoning

39 Sniffer tidak dapat menangkap semua lalu lintas pada jaringan dengan perangkat switch. (hanya lalu lintas dari dan ke sistem tersebut)

40 Untuk itu dibutuhkan pengendusan aktif, yang akan membuat perangkat switch mengirimkan lalu lintas data ke sistem sniffer.

41 ARP spoofing adalah pengiriman permintaan ARP palsu ke jaringan. (berisi alamat MAC yang dapat membingungkan switch)

42 Contoh serangan ARP Spoofing: menggunakan alamat gateway jaringan dan menangkap semua lalu lintas yang menuju gateway tersebut.

43 ARP poisoning adalah teknik meracuni jaringan Ethernet dengan ARP spoofing. (agar penyerang dapat menangkap frame data host target)

44 A B Siapa punya ? Geek2003, CC BY SA 3.0, PWR Front.jpg

45 A B Siapa punya ? Saya, MAC 00:04:e5:01:b2:02 Geek2003, CC BY SA 3.0, PWR Front.jpg Saya, MAC 00:04:e5:01:b2:01? X

46 Efek lain: jaringan dapat mengalami DoS dan MiTM.

47 MAC Flooding: membanjiri switch dengan paket paket sehingga switch berubah fungsinya menjadi hub dan meneruskan semua lalu lintas ke semua porta. * Kebanyakkan switch sekarang sudah terlindungi dari serangan ini.

48

49 Penanggulangan ARP Poisoning Menambahkan alamat MAC host yang ada di dalam jaringan secara permanen ke cache ARP khususnya mesin mesin seperti router/gateway. Kekurangan: semakin banyak komputer yang ada di jaringan, semakin merepotkan administrator ; ) Program pemantau: arpalert, arpon, arpwatch.

50 Wireshark

51

52 Wireshark Sebelumnya bernama Ethereal, dapat dijalankan pada banyak platform, dan populer sebagai alat untuk menganalisis protokol jaringan. Data dapat diambil dari jaringan yang aktif, atau rekaman yang tersimpan dalam sebuah berkas. Menggunakan pustaka jaringan pcap dan dapat menangkap paket paket pada jaringan kabel atau nirkabel. Dapat digunakan pada protokol lapis 2 ke atas. Dapat dipakai untuk menangkap lalu lintas jaringan yang spesifik saja dengan menerapkan filter. Follow TCP Stream: Wireshark dapat mengurutkan paket paket dalam komunikasi TCP dan menampilkannya ke dalam format ASCII yang mudah dibaca.

53 Contoh Filter Wireshark ip.dst eq , menangkap paket yang ditujukan untuk alamat IP ip.src == , menangkap paket yang berasal dari alamat IP eth.dst eq ff:ff:ff:ff:ff:ff, menangkap paket paket broadcast lapis 2. host unsoed.ac.id and not (port 80 or port 25),? net /24, menangkap lalu lintas dari dan ke host yang ada pada jaringan src net /24,? dst net /24,? port 80, menangkap lalu lintas yang ditujukan ke port 80. port not 53 and not arp,? port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x , menangkap permintaan HTTP GET. Mencari bita G, E, T, dalam bentuk heksadesimal setelah header TCP. Ukuran header TCP diketahui dengan tcp[12:1] & 0xf0) >> 2. Baca

54

55 Tcpdump Tcpdump: seperti Wireshark, hanya saja menggunakan tampilan baris perintah. Untuk memantau, melakukan diagnosa, dan dapat pula menyimpan lalu lintas jaringan ke dalam sebuah berkas. Cocok untuk perkakas analisis cepat dan dapat dikombi nasikan dengan program/skrip lain. Contoh: tcpdump i eth0 port 80 > dump.txt tcpdump host [alamat IP host] Baca

56 DNS Poisoning

57 DNS Spoofing/Poisoning Teknik serangan dengan menyisipkan rekaman palsu ke peladen DNS. Efek. Tersimpan dalam cache DNS, dan menyebar ke sistem sistem yang menggunakan layanan DNS tersebut. Pengguna yang mengunjungi alamat yang telah dipalsukan rekamannya di peladen DNS akan diarahkan ke mesin penyerang, misal situs palsu. Yang diserang terlebih dulu adalah program layanan DNS. Contoh: BIND. Intinya, bagaimana supaya program layanan DNS tersebut menerima informasi yang salah dan/atau tidak dapat melakukan validasi respon DNS dengan benar.

58 Tipe Tipe Teknik DNS Spoofing Intranet spoofing: bertindak sebagai perangkat atau host pada jaringan internal. Internet spoofing: bertindak sebagai perangkat atau host pada Internet. Proxy server DNS poisoning: memodifikasi entri DNS pada proxy sehingga pengguna diarahkan ke sistem host yang berbeda. DNS Cache Poisoning: memodifikasi entri DNS pada sebuah sistem sehingga pengguna diarahkan ke host yang berbeda.

59 Kelemahan serius pada layanan DNS kaminsky dns vuln.html

60 $ ping domain.ac.id PING domain.ac.id ( ) 56(84) bytes of data. 64 bytes from : icmp_req=1 ttl=54 time=179 ms 64 bytes from : icmp_req=2 ttl=54 time=178 ms 64 bytes from : icmp_req=3 ttl=54 time=438 ms

61

62

63

64

65

66

67

68

69

70

71 Daftar Bacaan EC Council Module X: Sniffers, Ethical Hacking and Countermeasures Version 6 Graves, K CEH: Certified Ethical Hacker Study Guide, Sybex