Scanning Port Suatu Host dan Mendeteksi Scanning


Tulisan ini adalah dokumentasi dari (dasar) praktek dan analisis port scanning untuk tugas mata kuliah Keamanan Sistem Lanjut (dosen Bapak Budi Rahardjo). Untuk materi bisa diambil di sini.

Berikut soalnya :

Anda diminta untuk menggunakan program sniffer (seperti tcpdump, wireshark, dan sejenisnya) untuk memantau jaringan dan menunjukkan adanya port scanning.

Hint:

1. Jalankan tcpdump/wireshark di sebuah komputer (misal IP 192.168.1.7) dan monitor paket yang menuju ke komputer tersebut (dst 192.168.1.7)
2. Gunakan nmap di komputer lain untuk melakukan port scanning ke 192.168.1.7
3. Simpan hasil capture dari tcpdump dan tunjukkan mana aktivitas port scanning

Berikut 2 buah skenario yang dilakukan :
1.Melakukan scanning port ke IP public ITB, untuk mencari informasi mengenai server ITB (mengetes scanning port di suatu server, untuk melihat OS yg dipakai, service yang dijalankan, dll)
2.Menjalankan wireshark di laptop saya, lalu meminta salah seorang teman melakukan scanning port terhadap laptop saya, dan melihat apakah di wireshark bisa dibuktikan bahwa ada yang melakukan scanning port terhadap PC saya (yaitu dari IP teman saya tersebut).

Sebagai catatan :
Semua kegiatan ini dilakukan di kampus ITB dengan menggunakan sarana wireless, dengan pengalamatan IP private otomatis (DHCP), pengerjaan dilakukan di sistem operasi Linux Ubuntu 9.04 dengan memanfaatkan tool nmap dan wireshark. Setiap proses disertakan capture sebagai bukti.

Skenario pertama :
1. Membuka terminal, beralih sebagai root (sudo su), lalu menjalankan nslookup ke alamat ITB untuk memperoleh informasi IP publicnya :
root@my-machine:/home/putu-shinoda# nslookup itb.ac.id
Server: 167.205.30.5
Address: 167.205.30.5#53

Name: itb.ac.id
Address: 167.205.1.46

root@my-machine:/home/putu-shinoda#

Diperoleh keterangan IP public ITB di 167.205.1.46
Berikut capturenya :

nslookup

nslookup

2. Scanning port ke server ITB dengan menggunakan alamat IP public ITB tersebut.
Berikut capture hasilnya :

Nmap ke situs ITB

Nmap ke situs ITB

Sambungan

Sambungan

Dari hasil nmap kita bisa mengetahui informasi target, misal dalam hal ini OS yang dipakai oleh ITB untuk server adalah Free BSD. Adapun untuk bisa memfake alamat kita di log server ITB (saat melakukan scanning tadi) bisa menggunakan opsi -sS. Selebihnya silahkan ketik di terminal man wireshark dan man nmap.

3. Kini meminta seorang teman melakukan scanning port ke laptop saya. Sebelumnya saya menjalankan wireshark dulu. Saat wireshark dijalankan, tanpa ada opsi filter apapun, semua paket di jaringan terlihat, seperti capture di bawah ini :

Analisa semua paket di jaringan

Analisa semua paket di jaringan

4.) Kini giliran teman saya melakukan scanning port ke laptop saya sesuai skenario. Dan wireshark pun saya jalankan di laptop saya dengan menambahkan filter ip.dst == alamat_ip_kita
Ini akan menampilkan data IP yang melakukan scanning port ke kompie kita. Berikut capturenya :

Mendeteksi adanya scanning port

Mendeteksi adanya scanning port

Proses scanning dengan nmap ke laptop saya dilakukan oleh 2 teman saya secara bergantian dengan IP private berbeda (dari DHCP).

Deteksi scanning port kedua

Deteksi scanning port kedua

Dari capture di atas kita bisa melihat attacker menggunakan protokol apa dan info lainnya misal untuk SYN, Byte data yang keluar masuk (incoming outgoing), paket, assembly reassembly, dan sebagainya. Yang paling penting paham dulu mengenai konsep OSI layer.

Sebenarnya ada banyak hal yang bisa kita eksplore dari sebuah tool bernama wireshark, yg secara GUI, lebih nyaman dibandingkan aplikasi penganalisa paket di jaringan, misal tcpdump. Bermainlah di bagian filter, misal ketikkan arp, dan perhatikan paket yang terfilter. Bagian yang ditampilkan di bagian who adalah IP, sedangkan di bagian tell adalah IP gateway.

Pemahaman mengenai apa itu gateway dan pengalamatan IP (public, private, statis, dinamis) bisa dengan cara Googling untuk lebih jelas. Ada banyak situs, paper, dan blog yang menjelaskannya.

Demikian dokumentasi tugas kali ini. Semoga bermanfaat dan mohon koreksinya jika ada yang salah agar bisa diperbaiki.

Salam.

2 thoughts on “Scanning Port Suatu Host dan Mendeteksi Scanning

  1. hasil deteksi dari whireshark bisa di simpan di database gak???
    saya rencana mau koneksi kan java netbeans ama whireshark,,kira2 bisa gak melalui mysql…
    kirim ke email y…
    thanks

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s