Deteksi Port Scanning

Pada postingan kali ini saya mendapat tugas yang cukup menarik mengenai sistem keamanan. Dalam tugas tersebut saya diminta untuk memantau jaringan dengan menggunakan program sniffer (tcpdump, wireshark). Salah satu yang harus diketahui dari tugas ini adalah usaha untuk melakukan port scanning (misalnya dengan menggunakan program nmap). Sniffer tersebut digunakan untuk menunjukkan attack port scanning tersebut. Sebelumnya kita perlu mengetahui terlebih dahulu mengenai port scanning. Port scanning merupakan salah satu teknik pengintaian penyerangan paling populer yang digunakan untuk menemukan servis-servis yang dapat dimasuki.

Tujuan dari dilakukannya deteksi port scanning pada postingan kali ini adalah untuk menunjukkan:

1. penggunaan nmap

2. penggunaan wireshark

3. output dari port scanning

4. bagaimana cara kerja jaringan

Deteksi port scanning dapat dilakukan dengan menggunakan 3 komputer yang saling terhubung dalam suatu jaringan, seperti tampak pada gambar berikut.

Berikut adalah langkah-langkah yang dilakukan dalam deteksi port scanning.

1. Penyerang/ Attacker

Pada komputer penyerang saya menggunakan nmap versi GUI yaitu zenmap agar mempermudah dalam penggunaannya. Cara menggunakannya yaitu.

- Jalankan zenmap

- Masukan alamat IP target ke dalam field target 

- Pilih profile "intense scan" pada combo box profile. 

- Tekan button scan.

Tampilan awal zenmap

Ini merupakan salah satu hasil nmap pada zenmap.

Output nmap

2. Target

Pada sisi komputer target, pastikan terlebih dahulu bahwa komputer target telah terinstall WinPCap. Dengan adanya WinPCap, maka kita dapat melakukan capture dengan menggunakan Wireshark. Kemudian jalankan daemon dengan mengetikkan perintah berikut di command line 

c:\Program Files\WinPcap>rpcapd -n

Untuk lebih jelasnya dapat dilihat pada gambar berikut.

-n akan men-turn off-kan authentication sehingga memungkinkan wireshark untuk melakukan access remote dan capture paket data terhadap komputer target. 

3. Pemantau/ Sniffer

Pada komputer pemantau saya menggunakan wireshark. Wireshark adalah sebuah Network Packet Analyzer. Network Packet Analyzer akan mencoba menangkap paket-paket jaringan dan berusaha untuk menampilkan semua informasi di paket tersebut sedetail mungkin. Pada intinya dengan wireshark kita dapat melihat proses pengiriman data dari komputer penyerang terhadap target. Selain menggunakan wireshark sebenarnya sniffing dapat dilakukan dengan menggunakan tcpdump karena sebetulnya wireshark sangat mirip dengan tcpdump. Hanya saja wireshark memiliki front-end grafik, dan beberapa options sorting dan filtering yang terintegrasi. 


Cara penggunaanya adalah sebagai berikut.
- Jalankan aplikasi wireshark
- Pilih menu capture -> options
- Untuk jenis interface, pilih remote
- Masukan alamat IP komputer target
- Pilih Null Authentication, tekan OK

- Klik Start

- Generate traffic pada komputer target.
Gambar berikut menunjukkan sebagian daftar paket-paket yang berhasil di-capture dalam jaringan.

Pada hasil capture tersebut ditunjukkan waktu saat paket tersebut tertangkap, IP sumber dan tujuan dari paket tersebut, protokol yang digunakan oleh sebuah paket data, serta informasi detail tentang paket data tersebut. Selain itu dari hasil capture tersebut dapat dilihat pada No. 2079-2082 dilakukan ping dari komputer penyerang (167.205.66.107) ke komputer target (167.205.66.90) dengan mengirimkan echo-request. Echo-request merupakan tipe pesan yang digunakan untuk mengetahui apakah komputer target tersebut hidup atau mati/ dalam keadaan tertentu tidak dapat dicapai. hasil capture menunjukkan bahwa komputer target mengirimkan echo-replay yang berarti bahwa komputer target berada dalam keadaan hidup (dapat dicapai).

Referensi:

[1] http://nmap.org/book/zenmap-scanning.html
[2] http://www.cs.wright.edu/~pmateti/Courses/499/Probing/
[3] http://blog.uin-malang.ac.id/goji/files/2011/03/goji-wireshark.pdf
[4] http://en.wikipedia.org/wiki/Wireshark