Network Scanning Dasar Teori Server memiliki tugas untuk melayani client dengan menyediakan service yang dibutuhkan. Server menyediakan service dengan bermacam-macam kemampuan, baik untuk lokal maupun remote. Server listening pada suatu port dan menunggu incomming connection ke port. Koneksi bisa berupa lokal maupuan remote. Port sebenarnya suatu alamat pada stack jaringan kernel, sebagai cara dimana transport layer mengelola koneksi dan melakukan pertukaran data antar komputer. Port yang terbuka mempunyai resiko terhadap serangan dari luar. Layanan jaringan dapat diserang dalam berbagai cara. Aplikasi layanan sendiri mungkin mempunyai beberapa kelemahan seperti kesalahan pemrograman, penggunaan autentikasi/password yang lemah, sensitive data tidak terenkripsi atau mengijinkan koneksi dari berbagai alamat IP dan lain sebagainya. Kelemahan-kelemahan tersebut memungkinkan host yang menyediakan layanan tersebut rentan terhadap serangan. Oleh karena itu sebaiknya host hanya menyediakan layanan yang diperlukan saja, atau dengan kata lain meminimalkan port yang terbuka untuk mengurangi resiko tersebut. Network Scanning Network scanner adalah metode bagaimana caranya mendapatkan informasi sebanyak-banyaknya dari IP/Network korban. Cara kerja Network Scanner: - Untuk mendapatkan akses ke host, cracker harus mengetahui titik-titik kelemahan yang ada. Sebagai contoh, apabila cracker sudah mengetahui bahwa host menjalankan proses ftp server, ia dapat menggunakan kelemahan-kelemahan yang ada pada ftp server untuk mendapatkan akses. - Biasanya "scanning" dijalankan secara otomatis mengingat "scanning" pada "multiple-host" sangat menyita waktu. "Hackers" biasanya mengumpulkan informasi dari hasil "scanning" ini. Dengan mengumpulkan informasi yang dibutuhkan maka "hackers" dapat menyiapkan serangan yang akan dilancarkannya. - Scanner biasanya bekerja dengan men-scan port TCP /IP dan servis servisnya dan mencatat respon dari komputer target. Dari scanner ini dapat diperoleh informasi mengenai port-port mana saja yang terbuka. Kemudian yang dilakukan adalah mencari tahu kelemahan-kelemahan yang mungkin bisa dimanfaatkan berdasar port yang terbuka dan aplikasi serta versi aplikasi yang digunakan. Network Probing 1. Dalam telekomunikasi, probe atau network probing adalah sebuah aksi yang diambil atau sebuah object yang digunakan untuk mengetahui kondisi dari suatu network. Sebagai contoh sederhana adalah dengan mengirim sebuah pesan untuk mengetahui apakah suatu host exist atau tidak. Ping merupakan salah satu contoh utility yang umum dijumpai untuk melalukan sebuah penyelidikan jadingan (probing network). 2. Probe atau network probing adalah sebuah aplikasi atau device lain yang disusupkan dalam network dengan tujuan untuk melakukan monitorig dan mendapatkan data-data mengenai aktifitas jaringan tersebut. 3. Network probing adalah ditujukan untuk mengetahui akses dari sebuah host dan data yang terdapat didalamnya atau bahkan untuk mengetahui kelemahan dari suatu komputer tersebut. Seperti yang dapat dilihat dari figure diatas dimana sebuah host penyerang melakukan sebuah probbing dengan melakukan ping ke alamat ip untuk mengetaui apakah host tersebut exist dan kemudian melakukan scanning terhadapt jaringan tersebut untuk mengetahui kelemahan dari host tersebut.
Aplikasi Network Scanner Ada beberapa utility yang bisa dipakai untuk melakukan diagnosa terhadap sistem service dan port kita. Utility ini melakukan scanning terhadap sistem untuk mencari port mana saja yang terbuka, ada juga sekaligus memberikan laporan kelemahan sistem jika port ini terbuka. Port Scanner merupakan program yang didesain untuk menemukan layanan (service) apa saja yang dijalankan pada host jaringan. Cara kerja adalah Para hackers biasanya menggunakan sebuah program yang secara otomatis akan mendeteksi kelemahan sistem keamanan sebuah jaringan komputer, misal port port yang sedang aktif yang dapat dijadikan sebagai pintu masuk bagi hacker untuk melakukan aksinya. Kegiatan Scanning ini lebih bersifat aktif terhadap sistem-sistem sasaran. Di sini diibaratkan hacker sudah mulai mengetuk-ngetuk dinding sistem sasaran untuk mencari apakah ada kelemahannya. Dari bagian ini kita dapat mengambil kesimpulan bahwa layanan yang tidak benar-benar diperlukan sebaiknya dihilangkan untuk memperkecil resiko keamanan yang mungkin terjadi. Beberapa Tools Scanning Netstat Netstat merupakan utility yang powerfull untuk menngamati current state pada server, service apa yang listening untuk incomming connection, interface mana yang listening, siapa saja yang terhubung. Nessus Nessus merupakan suatu tools yang powerfull untuk melihat kelemahan port yang ada pada komputer kita dan komputer lain. Nessus akan memberikan report secara lengkap apa kelemahan komputer kita dan bagaimana cara mengatasinya. DeepScan Jaringan DeepScan adalah utilitas yang berguna dan kuat yang akan mencari bersama NetBIOS (termasuk sistem dan tersembunyi) dan FTP sumber daya melalui jaringan area lokal. Ini alat jaringan dapat memindai melalui subnet beberapa IP, sumber daya ditemukan menyaring berdasarkan berbagai kriteria, seperti dengan Host Name, Alamat IP atau Workgroup. Anda dapat mencari segala jenis file dalam sumber daya ditemukan. Juga ada fitur khusus di alat jaringan - LAN Explorer. Hal ini memungkinkan Anda untuk menelusuri sumber daya bersama ditemukan secara langsung dalam program dan tidak terbuka banyak contoh dari Windows Explorer. Semua aspek penting dari konfigurasi program digabungkan di bawah antarmuka pengguna grafis yang modern. Cari tahu bagaimana browsing jaringan mudah dan efektif dapat dengan DeepScan Jaringan. Nmap Nmap ( Network Mapper ) adalah sebuah tool open source untuk eksplorasi dan audit keamanan jaringan. Nmap menggunakan paket IP raw dengan cara yang baru untuk menentukan apa saja yang tersedia di dalam jaringan, layanan apa saja (nama aplikasi dan versi) yang disimpan atau di-hosting yang ditawarkan, system operasi apa (dan versi berapa) yang berjalan, paket filter / firewall apa yang sedang digunakan, dan puluhan karakteristik lainnya. Program ini memang dirancang untuk secara cepat melakukan scanning jaringan yang besar, tetapi tetap bekerja dengan baik pada setiap komputer tunggal. Beberapa fitur Nmap adalah 1. Flexible mendukung banyak sekali teknik canggih untuk memetakan jaringan dengan menggunakan IP Filters, firewall, router, dan hambatan lainnya. Ini juga memiliki beberapa mekanisme port scanning (baik TCP dan UDP), deteksi OS, deteksi versi, ping sweeps, dan lain sebagainya. 2. Powerful Nmap telah digunakan untuk scanning jaringan yang besar dari ratusan ribu mesin. 3. Portable kebanyakan system operasi telah di dukung oleh Nmap. Beberapa di antaranya termasuk Linux, Microsoft Windows, FreeBSD, OpenBSD, Solaris, IRIX, Mac OS X, HP-UX, NetBSD, Sun OS, Amiga, dan lain lain.
--min-hostgroup <numhosts>; --max-hostgroup <numhosts> Mengatur banyaknya kelompok hostgrou yang akan di scan Nmap memiliki kemampuan untuk melakukan scan port atau versi ke banyak host secara paralel. Nmap melakukan hal ini dengan membagi ruang IP target ke dalam kelompok dan kemudian memeriksa satu kelompok pada satu waktu. Secara umum, kelompok yang lebih besar lebih efisien. Kelemahannya adalah hasilnya tidak dapat disediakan hingga seluruh kelompok selesai. Jadi bila Nmap dimulai dengan kelompok berukuran 50, user tidak akan menerima laporan (kecuali update yang diberikan dalam mode verbose) hingga seluruh 50 host pertama selesai. --min-parallelism <numprobes>; --max-parallelism <numprobes> Mengatur probe yaralel Opsi-opsi ini mengendalikan jumlah total probe yang dapat dilakukan untuk sekelompok host. Mereka digunakan untuk pemeriksaan port dan penemuan host. Secara baku, Nmap menghitung nilai paralel yang ideal berdasarkan kinerja jaringan. Jika paket di-drop, Nmap mengurangi dan membolehkan lebih sedikit probe yang tersisa. Angka probe ideal akan meningkat seiring dengan membaiknya jaringan. Opsi ini menempatkan batas minimum atau maksimum pada variabel tersebut. Secara baku, nilai idealnya dapat menurun ke angka satu bila jaringan ternyata tidak handal dan meningkat ke beberapa ratus dalam kondisi sempurna. --min-rtt-timeout <time>, --max-rtt-timeout <time>, --initial-rtt-timeout <time> Mengatur waktu timeout pada saat melakukan probe Nmap memelihara sebuah nilai timeout untuk menentukan berapa lama ia harus menunggu atas respon probe sebelum ia menyerah atau mentransmisi ulang probe. Nilai ini dihitung berdasarkan waktu respon probe sebelumnya. Jika latensi jaringan menunjukkan signifikan dan bervariasi, nilai timeout ini dapat meningkat ke beberapa detik. Ia juga dimulai dari nilai konservatif (tinggi) dan tetap untuk sementara waktu ketika Nmap memeriksa host yang tidak responsif. --max-retries <numtries> Mengatur banyaknya waktu untuk retry probe Ketika Nmap tidak menerima respon atas probe scan port, hal ini dapat berarti bahwa port disaring. Atau mungkin probe atau respon hilang dalam jaringan. Mungkin juga host target melakukan pembatasan sehingga memblokir respon sementara. Sehingga Nmap mencoba kembali mentransmisi probe awal. Jika Nmap mendeteksi kehandalan jaringan yang buruk, ia akan mencoba beberapa kali sebelum menyerah. Meskipun hal ini bermanfaat untuk akurasi, namun akan memperpanjang waktu pemeriksaan. Ketika kinerja lebih diutamakan, pemeriksaan dapat dipercepat dengan membatasi jumlah transmisi ulang yang dibolehkan. Anda bahkan dapat menspesifikasikan --max-retries 0 untuk mencegah terjadinya transmisi ulang, meskipun hanya direkomendasikan bagi situasi seperti survei informal ketika terjadi port dan host yang tidak didata tidak menjadi masalah. --host-timeout <time> Mengatur waktu timeout apabila terlalu lama Beberapa host membutuhkan banyak waktu untuk diperiksa. Hal ini mungkin disebabkan hardware atau software yang tidak berkinerja baik atau tidak handal, adanya pembatasan paket, atau firewall yang terlalu ketat. Beberapa persen host paling lambat yang diperiksa dapat menghabiskan sebagian besar waktu pemeriksaan. Terkadang adalah hal baik mengurangi kerugian dan melewati host-host tersebut. Berikan --host-timeout dengan waktu maksimum anda ingin menunggu. Sebagai contoh, berikan 30m untuk memastikan bahwa Nmap tidak menghabiskan lebih dari setengah jam pada satu host. Perhatikan bahwa Nmap mungkin memeriksa host lain pada waktu yang sama dalam waktu tersebut, sehingga itu bukan kerugian lengkap. Host yang timeout akan dilewati. Tidak ada hasil tabel port, deteksi SO, atau deteksi versi akan dicetak untuk host tersebut.
--scan-delay <time>; --max-scan-delay <time> Mengatur waktu delay untuk melakukan probe network Opsi ini menyebabkan Nmap menunggu selama waktu yang diberikan antara setiap probe yang dikirimkan ke host yang diberikan. Hal ini terutama bermanfaat dalam hal pembatasan. Mesin-mesin Solaris (di antara yang lainnya) akan menanggapi paket probe scan UDP dengan hanya satu pesan ICMP per detik. Bila dikirimkan oleh Nmap lebih dari itu akan percuma. Nilai --scan-delay 1s akan membuat Nmap tetap pada rate lambat tersebut. Nmap berusaha untuk mendeteksi pembatasan rate dan menyesuaikan delay scan, namun tidaklah rugi untuk menspesifikasikannya secara eksplisit bila anda telah tahu rate terbaik. Pada dasarnya tcp SYN melakukan half koneksi ke target dan secara berulang-ulang mencari port yang terbuka Jenis-jenis Scan Connect scan (-st) Jenis scan ini adalah dengan melakukan koneksi ke port sasaran dan menyelesaikan three-way handshake (SYN, SYN/ACK, dan ACK). Scan jenis ini mudah terdeteksi oleh sistem sasaran. TCP SYN scan (-ss) Paling populer dan merupakan scan default nmap. SYN scan juga sukar terdeteksi, karena tidak menggunakan 3 way handshake secara lengkap, yang disebut sebagai teknik half open scanning. SYN scan juga efektif karena dapat membedakan 3 state port, yaitu open, filterd ataupun close. Teknik ini dikenal sebagai half-opening scanning karena suatu koneksi penuh TCP tidak sampai terbentuk. Sebaliknya, suatu paket SYN dikirimkan ke port sasaran. Bila SYN/ACK diterima dari port sasaran, kita dapat mengambil kesimpulan bahwa port itu berada dalam status LISTENING. Suatu RST/ACT akan dikirim oleh mesin yang melakukan scanning sehingga koneksi penuh tidak akan terbentuk. Teknik ini bersifat siluman dibandingkan TCP connect penuh, dan tidak aka tercatat pada log sistem sasaran. TCP FIN scan (-sf) Teknik ini mengirim suatu paket FIN ke port sasaran. Berdasarkan RFC 793, sistem sasaran akan mengirim balik suatu RST untuk setiap port yang tertutup. Teknik ini hanya dapat dipakai pada stack TCP/IP berbasis UNIX. TCP Xmas Tree scan (-sx) Teknik ini mengirimkan suatu paket FIN, URG, dan PUSH ke port sasaran. Berdasarkan RFC 793, sistem sasaran akan mengembalikan suatu RST untuk semua port yang tertutup. TCP NULL scan (-sn) Teknik ini membuat off semua flag. Berdasarkan RFC 793, sistem sasaran akan mengirim balik suatu RST untuk semua port yang tertutup. TCP ACK scan (-sa) Teknik ini digunakan untuk memetakan set aturan firewall. Dapat membantu menentukan apakah firewall itu merupakan suatu simple packet filter yang membolehkan hanya koneksi-koneksi tertentu (koneksi dengan bit set ACK) atau suatu firewall yang menjalankan advance packet filtering. TCP Windows scan Teknik ini dapat mendeteksi port-port terbuka maupun terfilter/tidak terfilter pada sistemsistem tertentu (sebagai contoh, AIX dan FreeBSD) sehubungan dengan anomali dari ukuran windows TCP yang dilaporkan. TCP RPC scan Teknik ini spesifik hanya pada system UNIX dan digunakan untuk mendeteksi dan mengidentifikasi port RPC (Remote Procedure Call) dan program serta normor versi yang berhubungan dengannya.
UDP scan (-su) Teknik ini mengirimkan suatu paket UDP ke port sasaran. Bila port sasaran memberikan respon berupa pesan (ICMP port unreachable) artinya port ini tertutup. Sebaliknya bila tidak menerima pesan di atas, kita dapat menyimpulkan bahwa port itu terbuka. Karena UDP dikenal sebagai connectionless protocol, akurasi teknik ini sangat bergantung pada banyak hal sehubungan dengan penggunaan jaringan dan system resource. Sebagai tambahan, UDP scanning merupakan proses yang amat lambat apabila anda mencoba men-scan suatu perangkat yang menjalankan packet filtering berbeban tinggi.