Deteksi Port scanning

Lanjut… tugas berikutnya adalah melakukan percobaan memantau jaringan dengan menggunakan program sniffer (tcpdump, wireshark). Salah satu yang harus di pantau adalah usaha untuk melakukan port scanning (misalnya dengan menggunakan program nmap). Gunakan sniffer tersebut untuk menunjukkan attack port scanning tersebut. untuk contoh kasusnya menggunakan 3 komputer untuk melakukanya (1) penyerang, (2) target – komputer yang diserang dan (3) pemantau – yang menjalankan sniffer. berikut hasil percobaanya :

 

Tools yang Digunakan

Berikut ini tools yang saya gunakan dalam simulasi port scanning:

• Zenmap
  Zenmap digunakan untuk melakukan nmap dari penyerang (attacker) ke target. Sebenarnya menggunakan command prompt saja bisa, namun saya menggunakan tool ini karena pada Zenmap sudah disediakan beberapa pilihan jenis scan. Untuk tiap scan-nya, dituliskan juga syntax nmap yang digunakan. Bagi yang malas/ sulit menghafal syntax, dengan tool ini masalah itu dapat terselesaikan. Pun sebaliknya, bagi yang ingin menghafalkan syntax agar dapat menggunakan command prompt dalam melakukan nmap untuk tujuan tertentu, tool ini pun dapat menjadi alat bantu untuk menghafalkan.
• Wireshark
  Wireshark digunakan untuk memantau traffic jaringan, sehingga kita dapat juga melihat jalannya port scanning. Disini, Wireshark akan bertindak sebagai penyadap.
• WinPCap
  WinPcap adalah tool standar yang digunakan pada industri untuk mengakses link-layer network pada lingkungan kerja Windows. WinPCap mengizinkan aplikasi untuk mengambil dan mentransmisikan paket-paket jaringan, serta mendukung kernel-level packet filtering, network statistics engine, dan remote packet capture. Jika kita sudah menginstal wireshark, kita sudah otomatis pula menginstal WinPCap. Namun jika tidak menginstal Wireshark, kita dapat menginstal WinPCap sendiri (tanpa Wireshark).

Aktor

Simulasi port scanning ini dilakukan di laboratorium LSKK, Teknik Elektro, ITB. Adapun komputer yang terlibat dalam simulasi ini dapat dirinci sebagai berikut.

Peran	Alamat IP	Tool
Penyerang	167.205.66.102	Zenmap
Target	167.205.66.13	WinPCap
Penyadap	167.205.66.105	Wireshark

Secara ilustrasi, skema penyerangan dan penyadapan dapat dilihat pada gambar berikut.

Langkah dan Hasil Kerja

Target

Pastikan WinPCap telah terinstal pada komputer target. Setelah terinstal, pada command prompt, buka direktori WinPCap, lalu ketikkan rpcapd -n atau rpcapd. Kegunaan syntax ini adalah menjalankan rpcapd, yaitu daemon yang memungkinkan pihak lain (dalam hal ini penyadap) untuk melihat traffic jaringan yang terjadi pada komputer target. Beda antara rpcapd -n dan rpcapd terlihat pada saat penyadapan. Jika menggunakan rpcapd -n, penyadap hanya perlu memasukkan alamat IP target. Namun jika dituliskan rpcapd saja (tanpa -n), penyadap perlu memasukkan alamat IP serta username dan password komputer target.

Penyerang

Langkah yang ditempuh:

1. Jalankan Zenmap.
2. Masukkan alamat IP komputer target pada field Target.
3. Pilih jenis scan dari combo box Profile. Jika anda prefer menggunakan nmap pada command prompt, anda dapat menyalin teks yang terdapat pada field Command.
4. Klik scan dan lihat hasilnya pada tab-tab di bawah Command. Berikut ini contoh sebagian hasil nmap menggunakan Zenmap.

Penyadap

Langkah yang ditempuh:

1. Jalankan Wireshark.
2. Masuk ke Capture –> Options.
3. Pengaturan Target
   1. Pada field Interface, ada dua combo box. Untuk combo box kiri, pilih Remote... Akan muncul tampilan seperti gambar di bawah ini.
      
   2. Isikan field Host dengan alamat IP target penyadapan, kosongkan field Port. Jika komputer target tadi menjalankan rpcapd, pilih Password Authentification dan isi field Username dan Password. Jika menjalankan rpcapd -n, pilih Null Authentification. Klik OK jika sudah selesai.
   3. Pada combo box sebelah kanan, pilih jenis ethernet.
      
4. Pengaturan Penyerang
   1. Klik Capture Filter.
   2. Pilih filter IP Address xxx.xxx.xxx.xxx (di bawah IP Only). Ganti tulisan pada field Filter name dengan IP Address [alamat IP penyerang] dan ganti isi field Filter string dengan host [alamat IP penyerang]. Klik OK.
      
5. Klik Start dan lihat hasilnya. Contoh hasil capture traffic jaringan dapat dilihat pada gambar di bawah ini.
   

Analisis Port Scanning

Dengan melihat hasil nmap (baik menggunakan tool khusus maupun command prompt), kita dapat mengetahui port mana dari komputer yang terbuka dan port mana yang tertutup. Namun demikian, proses untuk menemukan port yang terbuka dan tertutup itu tidak ditampilkan. Karena itu, kita perlu melihat hasil scan traffic jaringan.

Dari hasil scan traffic jaringan, bagian mana yang disebut dengan port scanning? Perhatikan gambar di bawah ini.

Pada gambar tersebut terlihat ada banyak permintaan [SYN] dari 167.205.66.102 ke 167.205.66.13. Itulah yang dinamakan port scanning. Seperti yang pernah dijelaskan pada saat perkuliahan, port scanning dapat diibaratkan kita ingin memasuki sebuah rumah, namun kita mengetuk semua pintu dan jendela yang ada di rumah itu untuk mengetahui mana yang tidak dikunci. Apakah itu wajar? Tentu saja tidak. Karena itulah port scanning dianggap sebagai suatu “ancaman” .

Sekarang perhatikan bagian yang ada di dalam kotak merah muda pada gambar di atas. Pada baris atas terlihat permintaan [SYN] dari 54569 ke microsoft-ds, sementara itu pada baris di bawahnya terlihat balasan [SYN, ACK] dari microsoft-ds ke 54569. Hal ini menandakan bahwa port microsoft-ds (atau port 445 jika dilihat pada keterangan di kotak oranye yang dipanah) terbuka.

Jadi, jika permintaan [SYN] dibalas dengan [SYN, ACK], artinya port sedang dibuka. Namun jika ada permintaan [SYN] dibalas dengan [RST, ACK], berarti port yang di-scan tertutup. Sementara itu, jika ada permintaan [SYN] namun tidak ada balasan, berarti port yang di-scan tidak sedang digunakan oleh komputer.

 

Semoga Berguna

Prayitno