DETEKSI SERANGAN PADA JARINGAN KOMPUTER DENGAN WIRESHARK MENGGUNAKAN METODE ANOMALLY-BASED IDS

Transkripsi

1 DETEKSI SERANGAN PADA JARINGAN KOMPUTER DENGAN WIRESHARK MENGGUNAKAN METODE ANOMALLY-BASED IDS 1 M. Junaidi Syahputra, 2 Ilham Faisal, S.T, M.Kom, 3 Arief Budiman, S.T, M.Kom Jurusan Teknik Informatika, Sekolah Tinggi Teknik Harapan Jl. H.M. Jhoni No. 70 Medan, Indonesia 1 jsyahputra23@gmail.com Abstrak Keamanan suatu informasi begitu sangatlah penting, apalagi jika jaringan komputer terhubung dengan internet.perkembangan teknologi tidak sebanding dengan sistem keamanan pada jaringan.keamanan suatu jaringan sangat terganggu dengan adanya ancaman dari dalam ataupu dari luar.serangan yang digunakan penyusup dapat merusak data, serta perangkat pada jaringan komputer.intrution Detection System (IDS) berdasarkan anomali adalah sistem keamanan jaringan yang berfungsi untuk mendeteksi adanya gangguangangguan pada jaringan komputer dengan cara mendeteksi gangguan-gangguan tersebut berdasarkan pola-pola anomali yang ditimbulkan. Wireshark merupakan software untuk melakukan analisa lalu-lintas jaringan komputer yang memiliki fungsi-fungsi yang amat berguna bagi profesional jaringan, administrator jaringan, peneliti, hingga pengembangan piranti lunak jaringan. Kata kunci : Intrution Detection System (IDS), Serangan, Wireshark Abstract Security of information is so very important, especially if the computer networks connected to the Internet. Technological developments are not comparable with the security system on the network. The security of a network is very disturbed by the threat of the ataupu from outside. Attacks that intruders can corrupt data, and devices on a computer network. Intrution Detection System (IDS) based on the anomaly is a network security system that serves to detect any disturbances on computer networks by detecting such disturbances on the patterns generated anomaly. Wireshark is a software to analyze network traffic computer that has functions very useful for network professionals, network administrators, researchers, to software development network. Keywords : Intrusion Detection System (IDS), Attack, Wireshark 1. Pendahuluan Penggunaan komputer pada saat sekarang ini berkembang sangat pesat, kemajuan yang diciptakan sangat bermanfaat bagi manusia khususnya pada perusahaan, rumah sakit, perguruan tinggi dan lain-lain.penggunaan jaringan komputer di lembaga atau tempat-tempat tersebut merupakan suatu kebutuhan yang tidak dapat dielakkan lagi. Jaringan yang sering diimplementasikan adalah jaringan LAN (Local Area Network) dimana komputer dapat saling terhubung satu sama lain dengan banyak tujuan seperti, membagi bandwidth internet, sharing printer, maupun sistem informasi dengan database terpusat. Seiring dengan perkembangan teknologi informasi adanya keamanan suatu informasi sangatlah penting terlebih lagi pada jaringan komputer yang terkoneksi dengan internet.ketidak seimbangan antara perkembangan teknologi tidak diiringi dengan perkembangan sistem keamaan pada jaringan.kemanan suatu jaringan sering terganggu dengan adanya ancaman dari dalam ataupun dari luar.serangan tersebut dapat merusak jaringan komputer yang terkoneksi pada internet ataupun mencuri informasi penting pada jaringan tersebut.maka dari permasalahan diatas penulis melakukan penelitian dengan judul Deteksi Serangan Pada Jaringan Komputer Dengan Wireshark Menggunakan Metode Anomally- Based IDS. Wireshark merupakan software untuk melakukan analisa lalu-lintas jaringan komputer yang memiliki fungsi-fungsi yang amat berguna bagi profesional jaringan, administrator jaringan, peneliti, hingga pengembangan piranti lunak jaringan.tools ini bisa menangkap paket-paket data/informasi yang berjalan dalam jaringan. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Karenanya tak jarang tools ini juga dapat untuk sniffing (memperoleh informasi penting seperti password dan account lain) dengan menangkap paket-paket yang berjalan di dalam jaringan dan menganalisanya. Namun tools ini hanya bisa berkerja didalam jaringan melalui LAN/Ethernet Card yang ada di PC.Untuk struktur dari packet sniffer terdiri dari 2 bagian yaitu packet analyzer pada layer application dan packet capture pada layer operating system (kanel). Sistem deteksi intrusi berdasarkan anomali adalah sistem keamanan jaringan yang berfungsi untuk mendeteksi adanya gangguan-gangguan pada jaringan komputer dengan cara mendeteksi gangguan-gangguan tersebut berdasarkan pola-pola anomali yang ditimbulkan. Serangan seperti Denial

2 of Service (DoS) adalah salah satu contoh jenis serangan yang dapat mengganggu infrastruktur dari jaringan komputer, serangan jenis ini memiliki suatu pola khas, dimana dalam setiap serangannya akan mengirimkan sejumlah paket data secara terus menerus kepada target serangannya. Dengan menggunakan metode deteksi anomali, serangan DoS dapat dideteksi dengan mengidentifikasi pola-pola anomali yang ditimbulkan.metode deteksi berdasarkan anomali memiliki tingkat kesalahan deteksi yang cukup besar, namun memiliki keunggulan untuk mendeteksi jenis-jenis pola serangan baru. 2. Metode Penelitian Tugas akhir dan penelitian ini diselesaikan dengan menggunakan urutan metode sebagai berikut : 1. Studi Pustaka Mengumpulkan data atau informasi dari berbagai sumber seperti buku dan pencarian data melalui internet. 2. Studi Literatur Mempelajari informasi yang berhubungan dengan jaringan komputer, metode anomallybased, dan segala hal yang berhubungan dengan model jaringannya. 3. Uji Coba dan Evaluasi Pada tahap ini dilakukan uji coba jaringan untuk mencari masalah yang mungkin timbul, dan mengevaluasi. 2.1 Keamanan Komputer Kemanan jaringan komputer sebagai bagian dari sebuah sistem informasi adalah sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan layanan bagi penggunanya. Suatu jaringan didesain sebagai komunikasi data highway dengan tujuan meningkatkan akses ke sistem komputer, sementara keamanan didesain untuk mengontrol akses.penyediaan network security adalah sebagai aksi penyeimbang antara open acces dengan security. Menurut seorang pakar security, keamanan komputer atau computer security mencakup beberapa aspek yaitu [5] : a. Privacy Aspek privacy berhubungan dengan kerahasiaan informasi.inti utama aspek privacy adalah bagaimana menjaga informasi dari orang yang tidak berhak mengakses.sebagai contoh, e- mail seorang pemakai tidak boleh dibaca oleh orang lain, bahkan administrator sekali pun.beberapa usaha telah dilakukan untuk melindungi aspek privacy, di antaranya penggunaan enkripsi. b. Integrity Aspek ini berhubungan dengan keutuhan informasi.inti utama aspek integrity adalah bagaimana informasi agar tidak diubah tanpa izin pemilik informasi. Virus, trojan, horse, atau pemakai lain dapat mengubah informasi tanpa izin, ini merupakan contoh serangan terhadap aspek ini. Sebuah dapat saja ditangkap di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju. c. Authentication Aspek authentication berhubungan dengan identitas atau jati diri atau kepemilikan yang sah.sistem harus mengetahui bahwa suatu informasi dibuat atau diakses oleh pemilik yang sah.ada dua masalah yang terkait dengan aspek ini, yang pertama pembuktian keaslian informasi atau dokumen, kedua yaitu access control. d. Availability Aspek availability berhubungan dengan ketersediaan informasi. Contoh serangan terhadap aspek ini yaitu denial of service attack, di mana server dikirimi permintaan lain. Contoh lain adalah mailbomb, dimana seorang pemakai dikirim bertubi-tubi (hingga ribuan ), sehingga tidak dapat membuka -nya. Kondisi ini menyebabkan informasi tidak dapat diakses ketika dibutuhkan. 2.2 Serangan Serangan terhadap security atau security attack merupakan segala bentuk gangguan terhadap keamanan sistem informasi. Adabeberapa kemungkinan serangan terhadap aspek-aspek security [5] : a. Interruption Serangan jenis ini ditujukan terhadap ketersediaan (aspek availability) informasi.sistem dapat dirusak, baik software maupun hardware, sedemikian rupa sehingga informasi tidak dapat diakses lagi.contoh : penghancuran bagian perangkat keras, seperti hard disk, pemotongan kabel komunikasi. b. Interception Serangan jenis ini ditujukan terhadap aspek privacy dan authentication.pihak yang tidak berwenang dapat mengakses informasi.contoh dari serangan ini adalah wiretapping.contoh : serangan ini pencurian data pengguna kartu kredit. c. Modification Serangan jenis ini ditujukan terhadap aspek privacy, authentication, dan integrity.pihak yang tidak berwenang dapat mengakses dan mengubah informasi.contoh : mengubah nilai-nilai file data, mengubah program sehingga bertindak secara berbeda, memodifikasi pesan-pesan yang ditransmisikan pada jaringan. d. Fabrication Serangan jenis ini ditujukan terhadap aspek privacy, authentication, dan integrity.pihak yang tidak berwenang dapat menyisipkan objek palsu ke dalam sistem seperti jaringan komputer.contoh : memasukkan pesan-pesan palsu ke jaringan, penambahan record ke file. Dari keterangan diatas, penelitian yang dilakukan dalam mendeteksi serangan merujuk kepada aspek interruption karena ancaman terhadap availability dimana data dan informasi yang berada dalam sistem komputer dapat dirusak atau dibuang, serangan atau ancaman yang terjadi adalah DoS (Denial of Service) dan Port Scanning.

3 2.3 Jenis Serangan Komputer Serangan-serangan yang terjadi pada komputer diantaranya adalah [1] : a. PortScanning : merupakan suatu proses untuk mencari port yang terbuka pada suatu jaringan komputer. Dari hasil scanningakan didapatkan letak kelemahan jaringan komputer tersebut (Vulnerability). Sebuah port yang terbuka menandakan adanya aplikasi jaringan komputer yang siap menerima koneksi. b. Teardrop : merupakan suatu teknik yang dikembangkan dengan mengeksploitasi proses disassembly-reassembly paket data. Dalam jaringan internet seringkali paket data dipotong kecil-kecil untuk menjamin reliabilitas dalam pengiriman paket data. c. Spoofing : merupakan suatu serangan teknis yang rumit, terdiri dari beberapa komponen. Spoofing mengeksploitasi keamanan yang bekerja dengan menipu komputer, seolah-olah yang menggunakan komputer tersebut adalah orang lain. d. Land Attack : merupakan serangan kepada system dengan menggunakan program yang bernama land. Program ini melakukan serangan yang menyebabkan meningkatnya penggunaan CPU yang sangat drastis bahkan sampai 100%, hal ini bisa menyebabkan sistem menjadi macet bahkan hang. e. Smurf Attack : serangan ini biasanya dilakukan menggunakan IP Spoofing, yaitu merubah nomor IP dari datangnya request. Dengan menggunakan IP Spoofingrespons dari ping tadi dialamatkan ke komputer yang IP-nya di Spoof. f. Denial of Service (DoS) : merupakan serangan yang dilakukan secara individual menggunakan satu mesin komputer. Serangan ini dijalankan kompuer penyerang lebih kuat dari pada targetnya, sehingga penyerang mampu membanjiri targetnya dengan paket-paket yang ia kirimkan. Kuat yang dimaksud pada definisi tersebut adalah dalam hal besarnya bandwidth, kecepatan processor, dan kapasitas memori. Jika mesin komputer penyerang lebih lemah dibandingkan dengan targetnya maka akan terjadi sebaliknya. Serangan DoS juga memiliki beberapa tipe, yaitu : a. Logikal : merupakan tipe serangan yang memanfaatkan kelemahan aplikasi, operating system atau kesalahan Syntax pada mesin target. Contohnya : SMBNUKE b. Flooding : merupakan tipe serangan yang menggunakan protokol TCP, UDP, atau ICMP untuk membanjiri targetnya dengan paket-paket request yang dikirimkan oleh penyerang. Contohnya : Tcp-Flood c. UDP Flood : merupakan serangan menggunakan UDP untuk melakukan serangan DoS, namun tidak sesederhana dengan Transminission Control Protocol (TCP). Serangan UDP Flood dapat dimulai dengan mengirimkan sejumlah besar paket UDP ke port acak pada komputer tujuan. Attacker mungkin juga akan melakukan spoof pada IP address dari paket UDP tersebut sehingga akan terjadi banjir paket yang tidak berguna. Untuk menanggulangi UDP Flood, dapat men-disable semua servis UDP di semua system pada jaringan atau dengan memfilter semua servis UDP yang masuk melalui firewall. d. Packet Interception : membaca paket disaat paket tersebut dalam perjalanan disebut dengan packet sniffing ini adalah suatu cara attakcer mendapatkan informasi yang ada didalam paket tersebut. Penyadapan seperti ini membutuhkan sebuah aplikasi yang mampu membaca setiap paket yang lewat dalam sebuah jaringan. Cara paling mudah mencegah terjadinya sniffing dengan mengenkripsi paket yang akan dikirim. e. ICMP Flood : melakukan eksploitasi sistem yang bertujuan membuat target hang/down dengan mengirimkan paket ICMP/Ping dengan ukuran besar sehingga menyebabkan kinerja jaringan menurun. 2.4 Aplikasi Serangan (Attack) Dalam melakukan pengujian pendeteksian serangan ini, saya akan memakai 2 aplikasi penyerangan, dimana masing-masing berfungsi untuk melakukan serangan berupa Port Scanning dan DDos Attack. Berikut penjelasan dari kedua aplikasi : a. Nmap 7.12 Nmap (Network Mapper) merupakan tool open source untuk eksplorasi dan audit keamanan jaringan. Ia dirancang untuk memeriksa jaringan besar secara cepat, meskipun ia dapat pula bekerja terhadap host tunggal. Nmap menggunakan paket IP raw dalam cara yang canggih untuk menentukan host mana saja yang tersedia pada jaringan, layanan apa yang diberikan, sistem operasi (dan versinya) apa yang digunakan, apa jenis firewall/filter paket yang digunakan, dan sejumlah karakteristik lainnya. Output Nmap adalah sebuah daftar target yang diperiksa, dengan informasi tambahannya tergantung padaopsi yang digunakan. Hal kunci diantara informasi itu adalah tabel port menarik. Tabel tersebut berisi daftar angka port dan protokol, nama layanan, dan status. Statusnya adalah terbuka (open), difilter (filtered) tertutup (closed), atau tidak difilter (unfiltered). Terbuka berarti bahwa aplikasi pada mesin target sedang mendengarkan (listening) untuk koneksi/paket port tersebut. Difilter berarti bahwa sebuah firewall, filter, atau penghalang jaringan lainnya memblokir port sehingga Nmap tidak dapat mengetahui apakah ia terbuka atau tertutup. Nmap melaporkan kombinasi status open filtered dan closed filtered ketika ia tidak dapat menentukan status manakah yang menggambarkan sebuah port. Tabel port mungkin juga menyertakan detil versi software ketika diminta melakukan pemeriksaan versi. Ketika sebuah pemeriksaan

4 protokol IP diminta, Nmap memberikan informasi pada protokol IP yang didukung alih-alih port-port yang mendengarkan. Selain tabel port yang menarik, Nmap dapat pula memberikan informasi lebih lanjut tentang target, termasuk namareverse DNS, prakiraan sistem operasi, jenis device, dan alamat MAC. b. Loic 1.04 Loic (Low Orbit Ion Cannon) merupakan sebuah tool atau aplikasi peretas jaringan atau open source stress testing, loic sering digunakan untuk serangan DDoS. Pada sebelumnya aplikasi loic di namai Ion Cannon dan sekarang berubah nama menjadi Loic. Loic awalnya di kembangkan oleh Praetox Technologies, namun aplikasi ini kemudian di sebar luaskan pada publik domain. Akhir-akhir ini loic menjadi populer semenjak serangan-serangan yang dilakukan hacktivitis Anonymous pada beberapa web besar. Anonymous sendiri sering menggunakan loic dalam operasinya, dan tentu saja ditambah dengan tool-tool lain dan teknik-teknik tersendiri yang hanya mereka sendiri yang tau. Kenapa loic begitu berbahaya? karena loic begitu mudah digunakan. Kita tinggal memasukkan dan mengunci URL atau IP target, pilih metode penyerangan, attack, dan tinggal menunggu hasil, maka target tersebut akan down, tidak bisa diakses, dan terkadang bisa menyebabkan kerusakan pada server tersebut. c. WinARPAttacker Merupakan salah satu networking tool portable yang memiliki banyak fungsi yang dapat digunakan untuk sniffing, spoofing, dan attacking pada jaringan. WinARP Attacker biasanya digunakan untuk mengirimkan suatu data/spam secara terus menerus terhadap suatu komputer (target) sehingga komputer tersebut tidak mampu lagi merespons data (spam) yang dikirimkan dan membuat komputer tersebut terputus koneksinya. 2.5 Jaringan Komputer Jaringan komputer adalah suatu himpunan interkoneksi sejumlah komputer autonomous. Dalam bahasa lain dapat dikatakan bahwa jaringan komputer adalah kumpulan beberapa komputer dan perangkat lain seperti printer, hub, dan sebagainya yang saling terhubung satu sama lain melalui media perantara. Media perantara ini bisa berupa media kabel ataupun media tanpa kabel (nirkabel). Informasi berupa data akan mengalir dari satu komputer ke komputer lainnya atau dari satu komputer ke perangkat lain, sehingga masingmasing komputer yang terhubung tersebut bisa saling bertukar data atau berbagi perangkat keras [5]. 2.6 Local Area Network Local Area Network (LAN) adalah jaringan yang dibatasi oleh area relative kecil, umumnya dibatasi oleh area lingkungan seperti sebuah perkantoran di sebuah gedung atau sebuah sekolah dan biasanya tidak jauh dari sekitar 1 km persegi. LAN khusus dirancang untuk [6] : 1. Dioperasikan pada area geografis yang terbatas. 2. Dipakai banyak orang untuk mengakses dengan high bandwidth media. 3. Menyediakan konektivitas secara full time ke localservice. 4. Jaringan dapat dikontrol dari localadministration. 2.7 Topologi Jaringan Topologi adalah suatu aturan/rules bagaimana menghubungkan komputer satu sama lain secara fisik dan pola hubungan antara komponenkomponen yang berkomunikasi melalui media/peralatan jaringan seperti :server, workstation, hub/switch, dan pengabelannya atau media transmisi data.ada dua jenis topologi, yaitu physical topology (topologi fisik) dan logical topology (topologi logika).topologi fisik berkaitan dengan layout atau bentuk jaringan, seperti bagaimana memilih perangkat dan melakukan instalasi peragkat jaringan.sedangkan topologi logika berkaitan dengan bagaimana data mengalir didalam topologi fisik. Pada penelitian ini saya akan menggunakan jenis topologi jaringan peer to peer [5] Topologi Peer to Peer Topologi ini merupakan yang sangat sederhana dikarenakan hanya menggunakan dua buah komputer yang saling terhubung. Pada topologi ini biasanya menggunakan satu kabel atau menggunakan perangkat seperti modem yang menghubungkan antar komputer untuk proses pertukaran data. Kelebihan topologi peer to peer : 1. Biaya yang dibutuhkan sangat murah. 2. Masing-masing komputer dapat berperan sebagai client maupun server. 3. Instalasi jaringan yang cukup murah. Kekurangan topologi peer to peer : 1. Keamanan pada topologi ini bisa dibilang sangat rentan. 2. Sulit dikembangkan. 3. Sistem keamanan di konfigurasi oleh masingmasing pengguna. 4. Troubleshooting jaringan bisa dibilang rumit. 2.8 Penyusup (Intruder) Pada Jaringan Komputer Penyusup (intruder) merupakan orang yang melakukan tindakan yang menyimpang (anomaly), tidak tepat (incorrect), dan tidak pantas (inappropriate) terhadap suatu jaringan komputer.cara menangani penyusup ini dengan menggunakan autentikasi [4].

5 2.9 Intrution Detection System (IDS) IDS (Intrution Detection System) adalah sebuah sistem aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan.ids digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan [2]. IDS memiliki 3 metode untuk melakukan deteksi, yaitu signatured-based, anomaly-based, dan stateful protocol analysis.ketiga metode ini dapat digunakan sekaligus atau sebagian saja [3]. a. Signatured-Based Detection Metode ini dilakukan dengan membandingkan signature dari setiap paket untuk mengidentifikasi kemungkinan adanya intrusi.metode ini efektif bila IDS mendeteksi ancaman yang sudah dikenal, tetapi tidak efektif bila ancamannya baru atau tidak dikenal oleh IDS.Pengertian dikenal dalam konteks ini adalah sudah pernah terjadi sebelumnya.metode ini merupakan metode sederhana, karena hanya membandingkan paket data, lalu di daftarkan menggunakan operasi perbandingan. Kelemahannya adalah metode ini tidak dapat melacak kejadian yang terjadi pada komunikasi yang lebih konteks. b. Anomaly-Based Detection Metode ini digunakan dengan membandingkan kegiatan sedang di pantau dengan kegiatan yang dianggap normal untuk mendeteksi adanya penyimpangan.pada metode ini, IDS memiliki profil yang mewakili perilaku yang normal dari user, host, koneksi jaringan dan aplikasi.profil tersebut didapat dari hasil pemantauan karakteristik dari suatu kegiatan dalam selang waktu tertentu.kelebihan dari metode ini adalah efektif dalam mendeteksi ancaman yang belum dikenal, contohnya ketika jaringan diserang oleh tipe intrusi yang baru. Sedangkan kekurangan dari metode ini adalah dalam beberapa kasus, akan sulit untuk mendapatkan deteksi yang akurat dalam komunikasi yang lebih kompleks. Sistem deteksi intrusi berdasarkan anomali adalah sistem keamanan yang berfungsi untuk mendeteksi adanya gangguan-gangguan pada jaringan komputer dengan cara mendeteksi gangguan-gangguan tersebut berdasarkan pola-pola anomali yang ditimbulkan. Serangan Denial of Service (DoS) adalah salah satu contoh jenis serangan yang dapat mengganggu infrastruktur dari jaringan komputer, serangan jenis ini memiliki pola khas, dimana dalam setiap serangannya akan mengirimkan sejumlah paket data secara terusmenerus kepada target serangannya. Dengan menggunakan metode deteksi anomali, serangan DoS dapat dideteksi dengan mengidentifikasi polapola anomali yang ditimbulkan. c. StatefulProtocol Analysis Metode ini sebenarnya menyerupai anomalybased, yaitu membandingkan profil yang sudah ada dengan kegiatan yang sedang berlangsung untuk mengidentifikasi penyimpangan.namun, tidak seperti anomaly-based detection yang menggunakan profil host, statefulprotocol analysis menggunakan profil yang lebih luas yang dapat merinci bagaimana sebuah protokol yang istimewa dapat digunakan atau tidak.arti stateful disini adalah sistem di IDS ini bida memahami dan melacak situasi pada protocol network, transport dan application. Kelebihan dari metode ini adalah dapat mengidentifikasi rangkaian perintah yang tidak terduga seperti mengeluarkan perintah yang sama berulang-ulang. Sedangkan kekurangannya adalah kemungkinan terjadinya bentrokan antara protokol yang digunakan oleh IDS dengan protokol umum yang digunakan oleh sistem operasi, atau dengan kat lain sulit membedakan implementasi client dan server pada interaksi protokol Wireshark Wireshark merupakan salah satu dari sekian banyak tool Network Analyzer yang banyak digunakan oleh network administrator untuk menganalisa kinerja jaringannya termasuk protokol didalamnya. Wireshark banyak disukai karena interface-nya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis.wireshark mampu menangkap paket-paket data atau informasi yang melewati jaringan.semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Karenanya tak jarang tool ini juga dapat dipakai untuk sniffing (memperoleh informasi penting seperti password atau account lain) dengan menangkap paketpaket yang melewati jaringan dan menganalisanya [7]. 3. Analisis dan Perancangan Sistem Analisis ini dilakukan dengan beberapa tahap.tahap-tahap ini menggambarkan secara umum bagaimana fitur utama dari sistem ini berjalan dalam melakukan pendeteksian penyusupan/serangan. Untuk menguji rancangan sistem pendeteksian penyusupan/serangan pada komputer dengan cara melancarkan paket gangguan dengan menggunakan topologi peer to peer yang selanjutnya akan dideteksi oleh sistem pendeteksi serangan pada jaringan komputer. Analisis sistem ini dijelaskan dari analisis sistem, analisis kebutuhan perangkat lunak, dan perangkat simulasi jaringan. 3.1 Analisis Kebutuhan Perangkat Lunak Dalam merancang sistem pendeteksian serangan pada jaringan komputer dengan wireshark menggunakan metode anomally-based maka analisis kebutuhan perangkat lunak sangat dibutuhkan agar sistem pendeteksian dapat berjalan dengan baik.penggunaan sistem operasi untuk melakukan pengujian pendeteksian serangan antara dua komputer adalah Windows 7 64 bit dan Windows bit.

6 3.2 Analisis Kebutuhan Perangkat Dalam membangun sistem pendeteksian ini diperlukan beberapa perangkat keras dalam implementasinya. Beberapa perangkat keras yang dibutuhkan dalam membangun sistem ini antar lain: 1. Prosesor : Intel Celeron 1007U 1,5 GHz 2. Memori : 2 GB 3. Ruang Penyimpanan : 5000 GB Selain perangkat keras diatas, agar pengujian sistem pendeteksi serangan berjalan, maka dibutuhkan perangkat keras antara lain : 1. Prosesor : Intel(R) Core(TM) i GHz 2. Memori : 4 GB 3. Ruang Penyimpanan : 5000 GB 3.3 Perancangan Simulasi Jaringan Rancangan simulasi sistem pendeteksian serangan pada jaringan komputer dengan wireshark menggunakan metode anomally-based memakai 2 (dua) unit laptop dan 1 (satu) buahmodem wireless. Yang dapat dilihat pada gambar dibawah ini : - Wireshark 2.05 Target Modem Bolt Penyerang Gambar 1 Desain Jaringan - ZenMap LOIC WinARPAttack er Dari gambar perancangan desain jaringan diatas, maka dijelaskan penggunaan dari setiap perangkat tersebut sebagai berikut : 1. Internet :digunakan untuk menangkap jaringan internet melalui signalbolt. 2. Modem Wireless Bolt:kegunaannya untuk membagi jaringan internet ke komputer penyerang dan komputer target. 3. Server:digunakan sebagai tempat sistem pendeteksian serangan/penyusup. 4. Penyerang :digunakan untuk melakukan aksi penyerangan ke komputer target. 3.4 Flowchart Mulai Monitoring trafik jaringan Ada serangan? Tidak Selesai Ya Gambar 2 FlowchartAnomally Detection Alur proses pendeteksian serangan berdasarkan deteksi anomali pada aliran trafik jaringan ditunjukkan pada gambar 3.2. Adapun penjelasan dari tahapan proses deteksi anomali adalah sebagai berikut : 1. Proses awal adalah sistem akan menangkap serta mencatat setiap komunikasi data yang keluar maupun masuk dari setiap host dalam jaringan. 2. Setiap informasi yang diperoleh akan terlihat pada daftar yang ada di aplikasi wireshark. Apakah telah terjadi serangan atau tidak. 3. Jika Ya ada serangan maka akan dilakukan pendeteksian secara anomali dan selesai, jika tidak pendeteksiann pun akan selesai. 4. Hasil dan Pembahasan Tampilan serangan Deteksi anomali 4.1 Implementasi Implementasi sistem pendeteksi serangan jaringan komputer menggunakan metode anomally- pemasangan aplikasi based, maka dilakukan wireshark pada komputer yang memakai sistem operasi windows, untuk melakukan monitoring jaringan. Untuk komputer penyerang akan di lakukan pemasangan aplikasi Nmap yang berfungsi sebagai scanner port yang aktif, juga akan memakai aplikasi open source Loic sebagai penyerangan DDoS, dan WinARPAttacker sebagai penyerangan protokol ARP. 4.2 Pengujian Untuk awal akan dilakukan pengujian tanpa menggunakan aplikasi, atau untuk mengetahui apakah kedua perangkat telah terhubung dengan baik atau tidak dengan menggunakan perintah ping. IP yang digunakan padaa target dan IP pada penyerang , seperti gambar dibawah ini :

7 masing-masing komputer dalam melakukan komunikasi antara satu dengan lainnya. 4.3 Pengujian Menggunakan Aplikasi Setelah melakukan pengujian awal, maka untuk selanjutnya akan dilakukan pengujian menggunakan aplikasi, dengan melakukan penyerangan menggunakan aplikasi Nmap, Loic, dan WinARPAttack Scanning Port Menggunakan Nmap 7.12 Gambar 3 PingKe Gambar 4.1 menunjukkan bahwa ada reply dari IP yang menandakan telah terjadi komunikasi antara komputer target dengan komputer penyerang. Gambar 4 PingKe IP Dari gambar 4.2 dapat dilihat juga ada reply dari IP yang menandakan terjadinya komunikasi antara komputer target dengan komputer penyerang. Pada pengujian ini juga akan dilakukan monitoring oleh wireshark dengan men-capture lalu lintas jaringan dalam keadaan normal atau hanya menunjukkan kegiatan lalu lintas yang biasa atau dalam hal ini hanya melakukan ping diantara kedua komputer. Dapat dilihat pada gambar 4.3 berikut : Gambar 6 Serangan Scanning Port Nmap Nmap telah melakukan penyerangan terhadap komputer target melalui port. Dengan memasukkan IP target dan melakukan scan, maka dapat dilihat port-port yang terbuka dari komputer target. Gambar 7 Wireshark Mendeteksi Serangan Nmap Gambar 5 Keadaan Lalu Lintas Ping Pada tampilan dari gambar 4.3 dapat dilihat suatu keadaan dimana wireshark menangkap paketpaket data yang dapat dinyatakan sebagai lalu-lintas normal dari jaringan tersebut dalam melakukan pengujian awal menggunakan perintah ping.pada kolom source dan destination terdapat IP dari Dari gambar 4.5 dapat dilihat adanya lalu lintas tidak biasa, yang menunjukkan adanya kegiatan penyerangan port scanning, dari kolom source terdapat IP dari komputer penyerang yaitu yang melakukan penyerangan tersebut. Dan pada kolom destination adalah IP yang merupakan komputer target. Protokol yang digunakan adalah TCP dan pada kolom info menyatakan bahwa port dari penyerang sedang melakukan scanning pada semua port komputer target, disitu kita juga dapat melihat pada port (penyerang) menuju port 445 (target), dan port 445 menuju port 35964, itu artinya bahwa port 445 dalam keadaan terbuka dengan mengirim umpan balik ke komputer penyerang dan telah siap menerima koneksi dari luar.

8 4.3.2 Penyerangan DDoS Menggunakan Aplikasi LOIC 1.04 Pada pengujian kedua akan menggunakan aplikasi open sourceloic. Penyerangan menggunakan loic ini akan mengirimkan data terus menerus sehingga komputer target bisa terjadi lumpuh apabila tidak ada pendeteksian. b. Serangan DDoS UDP Pada pengujian selanjutnya dilakukan penyerangan DDoS juga dengan melalui protokol UDP dengan menentukan port mana yang akan diserang dengan mengirimkan banyak paket-paket data. Gambar 8 Tampilan DDoS Attack Menggunakan LOIC TCP Tampilan loic dapat dilihat pada gambar 4.6 melakukan pengiriman data dengan cara mengetikkan IP target selanjutnya memilih port dan protokol yang akan diserang. Selanjutnya klik ready, maka data akan dikirimkan secara terus menerus ke target, hingga komputer target lumpuh. a. Serangan DDoS TCP Pada pengujian ini dilakukan penyerangan dengan mengirim data sebanyak mungkin sehingga komputer target akan meningkatnya kinerja CPU bahkan dapat terjadi hang atau bahkan padam pada komputer tersebut. Seperti gambar 4.7 : Gambar 10 Tampilan DDoS Attack Menggunakan LOIC UDP Pada gambar 4.8 menunjukkan loicakan mengirimkan serangan berupa DDoS dengan mengirimkan data sebanyak-banyaknya melalui port 445, hingga komputer target menjadi lumpuh. Gambar 9 Wireshark Mendeteksi Serangan DDoS TCP Pada gambar 4.7 adanya lalu lintas tidak biasa yang terdeteksi oleh wireshark, dari kolom source terdapat IP dari komputer penyerang yaitu yang melakukan penyerangan tersebut. Dan pada kolom destination adalah IP yang merupakan komputer target, dapat dilihat pada kolom info adanya pengiriman data yang secara terus-menerus dengan inisial paket SYN dari IP melalui banyak port ke satu port yaitu port 80 pada IP destination sebagai target. Dan protokol yang digunakan adalah TCP. Gambar 11 Wireshark Mendeteksi Serangan DDoS UDP Untuk serangan menggunakan protokol UDP pada gambar 4.9, wireshark dapat menunjukkan adanya kegiatan yang tidak normal yang ditandai dengan adanya IP penyerang pada kolom source yang berbeda dengan IP penyerang sebelumnya, dan menggunakan protokol UDP.Dari paket-paket jaringan dapat kita lihat pada kolom info adanya aktivitas mencurigakan yang menuju port 445 secara terus menerus dari IP , yang mana terlihat sangat banyaknya pengiriman data secara terus menerus pada port tersebut Penyerangan dengan WinARP Attacker Pada pengujian selanjutnya saya menggunakan aplikasi WinARPattacker.Aplikasi ini memiliki banyak jenis serangan seperti yang saya jelaskan pada bab-bab sebelumnya.

9 dengan mengirimkan banyak paket data secara terus menerus. Gambar 12 WinARP Melakukan Penyerangan Gambar 4.10 dapat kita lihat aplikasi tersebut melakukan serangan untuk melumpuhkan komputer target dengan mengirimkan beberapa serangan. a. Serangan Scan Pada serangan kali ini hampir sama dengan port scanning tapi pada aplikasi ini tidak men-scan port-port pada komputer target melainkan hanya host saja tetapi dengan cara mengirimkan banyak paket data. Gambar 14 Tampilan Deteksi Penyerangan Flood Pada gambar 4.12 dapat dilihat penyerangan dilakukan dengan cara yang berbeda pula, dimana kolom source yang kita ketahui adalah sebagai kolom asal paket yang biasanya berisikan alamat IP dari si penyerang, tetapi pada serangan ini wireshark hanya menunjukkan private saja bahkan tidak ada nama perangkat. Tetapi pada kolom destinationwireshark dapat menampilkan target dengan menunjukkan nama perangkat juga, dan pada kolom info hanya berisikan bila diartikan kurang lebih serampangan ARP untuk IP target dan ada kata Reply. Ini sudah sangat jelas kelihatan sekali adanya kegiatan yang tidak normal pada paket-paket yang terdeteksi yang dapat dicurigai sebagai serangan dan dapat kita lihat data tersebut dikirim secara terus-menerus. Bila kita double klik salah satu paket data maka akan muncul jendela keterangan dari paket tersebut. Gambar 13 Wireshark Mendeteksi Adanya Kegiatan Scan Dari Perangkat Asustek Pada gambar 4.11 dapat dilihat penyerangan dilakukan dengan cara yang berbeda, dimana kolom source yang kita ketahui adalah sebagai kolom asal paket yang biasanya berisikan alamat IP dari si penyerang, tetapi pada serangan ini wireshark hanya menunjukkan nama perangkat yang digunakan saja. Pada kolom destination hanya menampilkan broadcast, dan juga pada kolom info hanya berisikan IP Who has yang secara berurutan dan tell hanya nol saja. Ini sudah sangat jelas kelihatan sekali adanya kegiatan yang tidak normal pada paket-paket yang terdeteksi yang dapat dicurigai sebagai serangan, adanya kiriman paketpaket data.dengan menggunakan protokol ARP. b. Serangan Flood Pada serangan kali ini juga hampir sama dengan DDoS tapi pada aplikasi ini menggunakan protokol ARP pada komputer target dan juga Gambar 15 Tampilan Keterangan Paket Dapat kita lihat juga pada gambar 4.13 tidak ada identitas dari IP penyerang melainkan hanya 01:01:01 begitu juga dengan MAC-nya. Tetapi yang kita lihat pada sender IP address-nya terdapat IP dari target itu sendiri. 4.4 Keadaan Normal Setelah melakukan beberapa pengujian penyerangan menggunakan tiga aplikasi tersebut diatas. Pada gambar 4.14 akan menunjukkan bahwa lalu-lintas paket-paket data dalam keadaan normal kembali.

10 masih dapat dilakukan pengembangan lagi untuk mencapai hasil yang lebih akurat. 2. Pada pengembangan selanjutnya dapat dilakukan metode pencegahan dengan berdasarkan anomally-based. Agar dapat menangani serangan. Gambar 16 Lalu Lintas Jaringan Normal Kembali Dari gambar 4.14 menunjukkan penyerangan sudah tidak terdeteksi atau jaringan dalam keadaan normal.dan dapat dilihat pula tidak adanya komunikasi antara IP yang berulang-ulang dalam melakukan penyerangan terhadap IP target. Baik dalam bentuk nama perangkat ataupun alamat IP. Pada paket-paket data yang melintas hanya terlihat kegiatan-kegiatan dari pemakaian untuk browsing, hubungan antar perangkat, dan lain sebagainya. 5. Hasil Pengujian Dalam melakukan beberapa pengujian tersebut diatas, kelebihan dari wireshark dapat mendeteksi serangan yang dilakukan penyusup dengan melihat informasi dari hasil capture paket data yang dilakukan, dari mulai IP yang digunakan penyerang, dan protokol apa yang digunakan. Kekurangan dari produk ini tidak dapat mencegah serangan-serangan yang terjadi, tetapi hanya bisa memonitor paket-paket data yang dicurigai sebagai penyusup yang melakukan serangan terhadap jaringan komputer. Daftar Pustaka [1] Ariyus, Dony (2007). Instrusion Detection System.Yogyakarta : Andi. [2] Gondohanindijo, Jutono (2011). Sistem Untuk Mendeteksi Adanya Penyusup (IDS : Intrusion Detection System). Universitas AKI. [3] M. Erza Aminanto, dkk. (2013). Menangani Serangan Intrusi Menggunakan IDS dan IPS (online). Diakses tanggal 15 Agustus [4] Nasution, Darmawan Maulana (2015). Intrusion Prevention System Dengan Metode Signature Based Intrusion Detection Pada Jaringan Local Area Network (LAN). STT- Harapan. [5] Sofana, Iwan (2008). Membangun Jaringan Komputer. Bandung : Informatika. [6] Warsito, dkk. (2013). Perancangan Dan Instalasi Jaringan Local Area Network Sekolah Menengah Kejuruan Muhammadiyah Enam Gemolong Sragen (online). ticle/view/145/142. Diakses tanggal 14 Agustus 2016 [7] Widodo, Sarono (2012). Pemantauan Jaringan Komputer dengan DNS Server Berbasis Routing Statis Menggunakan Wireshark (online). Diakses 19 Agustus Kesimpulan dan Saran 6.1 Kesimpulan Berdasarkan dari uraian dan melalui implementasi dan pengujian : 1. Dari semua penyerangan yang dilakukan, dapat kita lihat bahwa serangan-serangan tersebut memiliki karakteristik masing-masing yang dapat kita nyatakan sebagai serangan sehingga dapat kita bedakan mana paket data yang normal dan paket data yang tidak normal. 2. Wireshark dapat digunakan dengan baik dengan menerapkan metode anomally-based IDS. 3. Keamanan data atau informasi pada suatu komputer dapat terjamin keamanannya dari serangan penyusup. Dengan mengetahui dari paket-paket data yang di-capture wireshark, dan menganalisa setiap paket-paket tersebut. 6.2 Saran Adapun saran yang dapat diberikan untuk pengembangan lebih lanjut dari sistem ini adalah : 1. Pendeteksian yang dilakukan pada jaringan komputer masih cukup sederhana, sehingga