BAB 4 HASIL PENELITIAN

dokumen-dokumen yang mirip
Dionaea dan Glastopf. di ID-SIRTII

IMPLEMENTASI HONEYPOT UNTUK MENINGKATKAN SISTEM KEAMANAN SERVER DARI AKTIVITAS SERANGAN

BAB 2 DASAR TEORI. menjadi target serangan dari hacker. Menurut P. Diebold, A. Hess, dan G. Schafer

RANCANG BANGUN SISTEM PENGIDENTIFIKASI SERANGAN PADA JARINGAN KOMPUTER UNIVERSITAS HASANUDDIN

BAB 1. PENDAHULUAN. Ancaman keamanan terhadap penyedia layanan web semakin meningkat

Analisis dan Implementasi Honeypot Menggunakan Dionaea Sebagai Penunjang Keamanan Jaringan

DETEKSI MALWARE DALAM JARINGAN MENGGUNAKAN DIONAEA. (Malware Detection in the Network Using Dionaea)

Secara umum, eksploit dapat dibagi atas dua jenis, yaitu eksploit lokal (local exploit), dan eksploit remote (remote exploit).

Making Provisions for Applications and Services

Tujuan Pembangunan Jaringan Komputer. mengantarkan informasi secara tepat dan akurat dari sisi pengirim ke sisi penerima

WEB SERVER LINUX DEBIAN 8.5

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

BAB I PENDAHULUAN UKDW

PEMBANGUNAN SISTEM OPTIMASI ADMINISTRASI BLOCKING DOMAIN STUDI KASUS : PT TELEKOMUNIKASI INDONESIA

INFRASTRUCTURE SECURITY

Xcode Intensif Training. Computer Networking. Advanced

ANALISA PENDETEKSIAN DAN PENCEGAHAN SERANGAN BUFFER OVERFLOW TERHADAP ACHAT

Gambar 1. Topologi Jaringan Scanning

Web Server A. DASAR TEORI

Jl. Raya Dukuhwaluh PO. Box 202 Purwokerto )

BAB I PENDAHULUAN UKDW

BAB 4 IMPLEMENTASI DAN EVALUASI. system ini dapat berjalan dengan baik. Berikut merupakan spesifikasi hardware dan. Processor : Intel pentium 4.

LAPORAN PRAKTIKUM MATA KULIAH : NETWORK SERVER JUDUL : INTRUSION DETECTION SYSTEM (HONEYPOT) DISUSUN OLEH : : SINTA AGUSTIEN KOLOAY

BAB III METODOLOGI 3.1 Analisis Kebutuhan Sistem Kebutuhan Perangkat Keras

BAB 3 PERANCANGAN SISTEM

BAB I PENDAHULUAN. 1.1 Latar Belakang

BAB I PENDAHULUAN 1.1 Latar Belakang

FTP Server. Konfigurasi Server Konfigurasi FTP. 1. Klik Menu Start All Programs Control Panel Add/Remove Program

MODUL 2 WIRESHARK Protokol TCP

Dimas Wahyudi Sistem Komputer Fakultas Ilmu Komputer Universitas Sriwijaya

Pemrograman Web Teknik Informatika Fakultas Teknologi Industri

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Pembuatan Sietem Pendaftaran Beasiswa (PPA/BBM) Secara Online

Analisa Paket Data Menggunakan Wireshark

BAB I PENDAHULUAN... I-1

Lebih kompatibel dengan Windows karena memang IIS adalah keluaran Microsoft.

BAB 4 IMPLEMENTASI DAN UJI COBA

BAB IV DISKRIPSI KERJA PRAKTIK. 4.1 Instalasi dan Penggunaan VMware Workstation 11

LANGKAH-LANGKAH MENJALANKAN PROGRAM

BAB IV HASIL DAN UJI COBA

MODUL 2 WIRESHARK Protokol TCP

BAB III IDENTIFIKASI DAN KLASIFIKASI WEB LOG

Menggunakan FileZilla FTP Client. Pemerintah Daerah Kabupaten Sleman repo.slemankab.go.id

Mengenal Script Kiddie

Xcode Intensif Training. Ethical Web hacking & Security ~ Advanced

DASAR JARINGAN KOMPUTER

SISTEM INFORMASI PENGELOLAAN LAZIS UMS BERBASIS WEB dengan PHP dan MySQL

BAB IV IMPLEMENTASI DAN PENGUJIAN

REMOTE DESKTOP DENGAN TEAMVIEWER

BAB 1 PENDAHULUAN. Sebagai universitas yang berkembang pesat dan memiliki rencana untuk

BAB III PERANCANGAN SISTEM

INSTALASI MOODLE DI LAPTOP/PC

BAB I PENDAHULUAN. Diskusi tentang masalah keamanan sebuah jaringan komputer, sudah pasti sangat

PENGANTAR FORENSIK TI Malware Forensic

SISTEM INFORMASI PENERIMAAN SISWA BARU SMP NEGERI 1 PRAMBANAN BERBASIS WEB

Proses booting saat instalasi Endian firewall

IMPLEMENTASI TEKNIK HACKING WEB SERVER DENGAN PORT SCANNING DALAM SISTEM OPERASI KALI LINUX

Andi Dwi Riyanto, M.Kom

Bab 4 Hasil dan Pembahasan

Panduan Cara Menggunakan Server VPS

JURUSAN SISTEM KOMPUTER FAKULTAS ILMU KOMPUTER UNIVERSITAS SRIWIJAYA

Wireshark. Netstat. Berikut ini keterangan dari output netstat diatas :

Dasar Pemrograman Web. Pemrograman Web. Adam Hendra Brata

BAB 4 IMPLEMENTASI DAN EVALUASI

BAB IV IMPLEMENTASI DAN PENGUJIAN

2.19 CSS (Cascading Style Sheets) PHP Codeigniter Studi Pustaka... 28

PENGERTIAN WEB web adalah

BAB 5. KESIMPULAN DAN SARAN

BAB 3 PERANCANGAN SISTEM

Petunjuk Upload database MySQL menggunakan PhpMyAdmin

Vpn ( virtual Private Network )

PENDAHULUAN. Gambar 1.1 Hasil Survey Webserver oleh Netcraft [NET17]

ANALISA SISTEM KEAMANAN INTRUSION DETECTION SYSTEM (IDS)

Petunjuk Upload Database MySQL

WEB SERVER MODULE & VIRTUAL HOST. Exp : Admin Server Kelas : XII TKJ B. No. Exp : 6 2. Trimans Yogiana

BAB 4 IMPLEMENTASI DAN EVALUASI. menjalankan aplikasi traffic monitoring dan SMS server. Terdiri dari Sierra Aircard 875

BAB IV IMPLEMENTASI DAN EVALUASI. Berikut ini adalah daftar spesifikasi perangkat lunak yang

Instalasi XAMPP di Windows

BAB IV PENGUJIAN DAN ANALISA

BAB IV IMPLEMENTASI APLIKASI

IMPLEMENTASI INTRUSION DETECTION SYSTEM (IDS) MENGGUNAKAN JEJARING SOSIAL SEBAGAI MEDIA NOTIFIKASI

Sistem Pemetaan Sarana dan Prasarana Kawasan

Ujian Tengah Semester Kemanan Jaringan Komputer

Instalasi Joomla. 1. Masukkan Bonus CD yang berisi program WampServer2.2a-x32 ke DVD/CD Driver.

TUGAS AKHIR PENGENDALIAN ROBOT MOBILE BERBASIS IP (Internet Protocol) MELALUI JARINGAN WIFI. Oleh: Gama Wardhana ( )

DAFTAR ISI. Halaman ABSTRAK... i ABSTRACT... ii KATA PENGANTAR... iii DAFTAR ISI... v DAFTAR TABEL... ix DAFTAR GAMBAR... x

Pendahuluan Tinjauan Pustaka

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

BAB IV IMPLEMENTASI DAN PENGUJIAN SISTEM

Desain Sistem ANALISA KEBUTUHAN

Copy Right 2009 Not right to copy without permission

Masalah Keamanan Pada Sistem Mobile

DAFTAR ISI DAFTAR ISI

Making Provisions for Applications and Services

BAB IV PENGUJIAN DAN ANALISIS

BAB I PENDAHULUAN. keberadaan komputer yang terhubung ke jaringan. Layanan-layanan internet

INSTALASI BESMART DI LAPTOP/PC

Transkripsi:

BAB 4 HASIL PENELITIAN Pada bab ini akan dijelaskan mengenai deskripsi data yang telah diterima oleh kedua honeypot yaitu Dionaea dan Glastopf dan analisa data. Data tersebut diperoleh setelah kedua honeypot tersebut berjalan selama 7 hari pada tanggal 16 November 20 22 November 20. Kedua honeypot tersebut menggunakan ip publik sehingga traffic yang masuk ke dalam honeypot berasal dari seluruh dunia dan traffic yang masuk ke dalam Dionaea belum tentu sama dengan traffic yang masuk ke Glastopf. Data tersebut diambil dengan melihat data yang muncul pada tampilan web interface dari honeypot tersebut yaitu Carniwwwhore dan GlasIF. 4.1 Hasil Penelitian Berikut adalah hasil penelitian yang diperoleh dari kedua honeypot: 4.1.1 Dionaea Dionaea adalah low-interaction honeypot yang fungsi utamanya mendapat copy dari malware. Dionaea menarik serangan dengan cara menyediakan bug yang biasa dicari oleh para penyerang untuk dapat menyusupkan malware. Dionaea menggunakan Carniwwwhore sebagai web interface sehingga serangan yang diterima Dionaea dapat dilihat dengan mudah. 4.1.1.1 Tampilan web interface Dionaea Berikut adalah beberapa tampilan dari Carniwwwhore: 38

39 Gambar 4.1 Overview Carniwwwhore Gambar 4.1 adalah gambar tampilan utama Carniwwwhore (web interface Dionaea). Pada gambar di atas dapat dilihat jumlah serangan/malware yang diterima selama 7 hari. Pada sumbu x dapat dilihat tanggal harinya dan pada sumbu y dapat dilihat jumlah serangan yang didapat. Di sebelah kiri ada menu Dionaea untuk melihat lebih detail tentang serangan yang didapat Dionaea.

40 Gambar 4.2 Tampilan jumlah serangan per hari Dionaea Pada gambar 4.2 dapat dilihat jumlah serangan per hari. Di sebelah kiri terdapat menu seperti protocols (melihat protokol yang digunakan), transports (tcp/udp), attacks (melihat serangan lebih detail), hosts (melihat ip penyerang), dan ports (port yang digunakan).

41 Gambar 4.3 Tampilan serangan Dionaea Gambar 4.3 adalah tampilan menu attacks pada Dionaea. Pada menu ini dapat dilihat detail serangan yang dilakukan seperti waktu, ip penyerang, protokol dan port yang digunakan. 4.1.1.2 Data Dionaea Setelah Dionaea dijalankan selama 7 hari pada tanggal 16 November 20 22 November 20, diperoleh data serangan yang dikelompokan berdasarkan waktu, negara penyerang, dan port yang diserang.

42 Serangan berdasarkan waktu Gambar 4.4 Grafik jumlah penyerang terhadap waktu Pada tabel di atas dapat dilihat serangan terhadap waktu selama 7 hari. Dalam 1 hari dibagi menjadi 3 waktu yaitu pagi (pukul 04:00-12:00 WIB), siang (pukul 12:00-20:00 WIB), dan malam (pukul 20:00-4:00 WIB). Dari segi waktu selama 7 hari dalam WIB, dapat dilihat serangan paling banyak terjadi pada malam hari lalu siang hari dan yang paling sedikit pada pagi hari. Hal ini disebabkan karena banyak attacker yang menjalankan serangannya dengan menggunakan bot berasal dari Negara yang beda waktunya jauh dengan Indonesia sehingga di negeri penyerang masih siang hari sedangkan di Indonesia sudah malam hari. Seperti diketahui bahwa pada siang hari aktifitas manusia paling banyak terjadi. Serangan berdasarkan negara penyerang

43 Selain jumlah serangan yang diterima oleh Dionaea, kita juga dapat melihat ip penyerang. Jika ip penyerang tersebut dikelompokan berdasarkan negara asal ip tersebut maka didapat negara yang paling sering melakukan serangan pada diagram dibawah ini. Gambar 4.5 Diagram negara yang sering menyerang Dari data negara yang paling banyak melakukan serangan, terdapat negara dengan 5 urutan teratas yaitu Rusia (28%), Brasil (14%), Taiwan (12%), Jepang (8%), dan Jerman (4%). Negara seperti Rusia (GMT+3), Jerman (GMT+1), jarak waktunya jauh dibanding Indonesia sehingga jumlah serangan paling banyak terjadi pada malam hari (pukul 20:00-04:00 WIB) yaitu 150.629 (Rusia) dan 20.650 (Jerman). Hal ini dikarenakan pada saat waktu malam hari (sesuai pengelompokan kita) maka di waktu Rusia dan Jerman berada pada waktu manusia mulai beraktifitas (siang hari) sehingga

44 kapasitas serangan lebih besar pada waktu ini. Pada Brasil (GMT-3) yang memiliki beda waktu sangat jauh dari Indonesia menunjukkan serangan paling banyak pada pagi hari yaitu 65.321 serangan karena pada pukul 4:00 WIB maka di waktu di Brasil adalah menjelang malam sehingga serangan masih tinggi terjadi. Perbedaan waktu yang sangat jauh inilah yang membuat serangan dari negara Brasil juga banyak terjadi pada malam hari yaitu 52.854 serangan. Pada Taiwan (GMT+8) dan Jepang (GMT+9) yang beda waktunya sedikit dengan Indonesia maka serangan paling banyak terjadi pada siang hari yaitu 61.613 (Taiwan) dan 33.694 (Jepang). Serangan berdasarkan port yang diserang Dionaea membuka semua services yang ada sehingga data yang didapat sangat banyak. Kita juga dapat mengetahui nomor port yang diserang. Berikut adalah diagram yang menggambarkan port yang sering diserang dalam seminggu: Gambar 4.6 Diagram port yang banyak diserang

45 Dari gambar di atas dapat dilihat port 445 sering diserang (1.048.300 serangan) karena port ini digunakan untuk file sharing seperti printer sharing. Hal ini yang menyebabkan port ini paling rentan untuk dimasukkan worm. World Wide Web (www) merupakan bagian dari Internet yang paling populer, sehingga serangan kedua paling banyak pada port 80 yaitu 7915 serangan. Serangan ketiga paling banyak pada port 1433 yang digunakan oleh MSSQL. Seperti yang diketahui mssql adalah database yang cukup rentan untuk diserang seperti serangan buffer overflow sehingga jika seorang attacker mengirim terlalu banyak data, kemungkinan terjadi overflow pada ukuran tertentu dan akan menulis data disekitar area buffer komputer. Buffer Overflow ini mungkin saja malicious user menjalankan perintah kewenangan pada remote system. Port lainnya adalah port 5060 dan 5061 yang sering digunakan untuk layanan voice dan media melalui internet, lalu port 3306 yang digunakan oleh mysql, port 21 untuk transfer data dan port lainnya. 4.1.2 Glastopf Glastopf adalah honeypot yang bertujuan untuk menangkap serangan/request yang ditujukan ke web aplikasi. Glastopf menggunakan fitur google dork list untuk menarik serangan. Glastopf menggunakan GlasIF sebagai web interface untuk melihat serangan yang telah diterima. 4.1.2.1 Tampilan web interface Glastopf Berikut adalah beberapa tampilan dari GlasIF:

46 Gambar 4.7 Dashboard GlasIF Pada gambar 4.7 dapat dilihat tampilan dashboard dari GlasIF. Pada tampilan nii dapat dilihat jumlah serangan per hari dan per jam. Selain itu dapat juga dilihat lima ip yang paling banyak melakukan serangan, lima ip yang terakhir menyerang, dan lima file terakhir yang berhasil dimasukkan. Di atas terdapat beberapa menu seperti raw data

47 untuk melihat log serangan, search untuk mencari serangan tertentu, dan admin untuk mengubah user dan password GlasIF. Gambar 4.8 Log Glastopf Gambar 4.8 adalah tampilan menu raw data. Pada gambar ini dapat dilihat log serangan yang terjadi seperti waktu, ip penyerang dan target, dan request yang dilakukan. 4.1.2.2 Data Glastopf Pada data yang diterima Glastopf dapat dilihat host penyerang dan request yang dilakukan. Berikut adalah tabel data serangan yang diterima oleh Glastopf setelah dijalankan selama 7 hari pada tanggal 16 November 20 22 November 20: Attacker Destination Time Request Negara xxx.43.187.5 203.xxx.9.40 16//20 /phpmyadmin/ Indonesia

48 109.xxx.213. proxyjudge2.xxx 17//20 http://proxyjudge2.xxx.net/faste Jerman 134.net nv 61.250.80.xx 203.xxx.9.40 17//20 /user/soapcaller.bs Republic of x Korea xxx.14.129.1 www.weibo.com 17//20 http://www.weibo.com/ China 00 188.xxx.163. 203.xxx.9.40 18//20 /appconf.htm Turkey 130 180.244.xxx. 203.xxx.9.40 18//20 /phpmyadmin/ Indonesia 74 194.63.xxx.7 203.xxx.9.40 18//20 /w00tw00t.at.blackhats.romania Rusia 9 n.anti-sec:) 194.63.xxx.7 203.xxx.9.40 18//20 /phpmyadmin/scrixxx/setup.ph Rusia 9 p 173.xxx.101. 203.xxx.9.40 19//20 /appconf.htm United 59 States xxx.132.6. www.google.co 21//20 http://www.google.com/ Ukraine 23 m 203.xxx.229. 203.xxx.9.40 22//20 /w00tw00t.at.blackhats.romania Hongkong 187 n.anti-sec:) 203.xxx.229. 203.xxx.9.40 22//20 /phpmyadmin/scrixxx/setup.ph Hongkong 187 p 128.xxx.29.1 203.xxx.9.40 22//20 /phpmyadmin/scrixxx/setup.ph Australia 99 p 128.xxx.29.1 203.xxx.9.40 22//20 /pma/scrixxx/setup.php Australia

49 99 128.xxx.29.1 203.xxx.9.40 22//20 /w00tw00t.at.blackhats.romania Australia 99 n.anti-sec:) 128.xxx.29.1 203.xxx.9.40 22//20 /myadmin/scrixxx/setup.php Australia 99 Tabel 4.1 Tabel Serangan Glastopf Pada Glastopf, yang hanya membuka port 80 dapat dilihat asal ip yang menyerang dan request yang dilakukan. Glastopf dapat menarik serangan dengan menambahkan path atau file yang vulnerable yang sering dicari oleh penyerang di database Glastopf. Path atau file tersebut dapat kita lihat pada http://www.exploitdb.com/ dan menambahkan pada tabel path dalam database sehingga saat penyerang mencari file tersebut maka mereka akan menemukan dan menyerang Glastopf kita. Kita dapat mengidentifikasi data yang diterima Glastopf sebagai serangan jika penyerang menyisipkan file tertentu, meminta dan mengakses file yang tidak diperbolehkan untuk publik, dan me-request path yang kita tambahkan di database. Dari data di atas, dapat dilihat request yang dilakukan biasa mencari vulnerabilities di phpmyadmin dan webserver seperti /phpmyadmin/scripts/setup.php dari Hongkong, Rusia, dan Australia dan request /w00tw00t.at.blackhats.romanian.anti-sec:) yang biasa dilakukan oleh Rusia dan Hongkong. Serangan lainnya adalah request /user/soapcaller.bs dari Korea. Request ini dilakukan oleh tools yaitu Morfeus F***ing Scanner yaitu scanner yang mencari bug yang terdapat dalam php atau web aplikasi lainnya. soapcaller.bs adalah halaman yang sangat rentan untuk diserang.

50 4.2 Perbandingan dan pencegahan Dari data yang didapat dari kedua honeypot di atas, dapat dilihat bahwa Dionaea dapat mengumpulkan malware yang banyak pada port 80 dalam satu minggu sebanyak 7915. Sedangkan pada Glastopf hanya menerima serangan terhadap web aplikasi sebanyak 16 serangan. Dari data di atas dapat dilihat bahwa kinerja Dionaea lebih sensitif dalam menangkap serangan yang tersebar di internet. Dari data di atas dapat dilihat serangan/tingkah laku para attacker yang sering terjadi yaitu serangan pada port 445 dan mencari bug pada webserver (port 80). Cara yang paling umum adalah menutup port yang sering diserang pada firewall. Untuk serangan pada port 445, dapat dicegah dengan salah satu cara yaitu menutup services file sharing sehingga port tersebut ditutup. Di regedit pada folder berikut : HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters Temukan SMBDeviceEnabled Ganti dengan D=Word 00000000. Untuk serangan yang mengarah pada web aplikasi dapat dilakukan beberapa cara seperti: Memblok ip yang mencurigakan di firewall, salah satu contohnya seperti ip pada tabel di atas. Menurut Shreeraj Shah (2004), dapat dicegah dengan menginstal Modsecurity yang merupakan firewall untuk aplikasi web sehingga lebih meningkatkan keamanan terutama utnuk apache.

2026 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan