Cara Melakukan Network Scanner dan Probbing

(Studi Kasus Jaringan PENS)

 Percobaan Untuk Melakukan Network scan 

 Langkah percobaan

 Install nmap terlebih dahulu :

Analisa : pada gambar terlihat bahwa kita berhasil melakukan instalasi nmap, nmap atau network mapper  merupakan sebuah tool open source untuk eksplorasi dan audit keamanan jaringan,output dari nmap adalah sebuah daftar target host yang diperiksa dan informasi tambahan sesuai dengan opsi yang digunakan.

Hasil pemindain “scanmap.eepis-its.edu” dengan perintah : # nmap –T4

1.      Jalankan nmap dengan menggunakan option : -sL

Analisa : dari gambar terlihat host scanmap.eepis-its.edu tidak di scan dan tidak ditemukan host yang dalam keadaan beroperasi,ini artinya kita belum mendapatkan host yang terhubung dengan jaringan.

2.      Jalankan nmap dengan menggunakan option : -sP

Analisa : a.terlihat pada gambar host scanmap.eepis-its.edu mulai di scan dan didapatkan host yang sedang beroperasi ada 1 host,dengan waktu scan 0.02 detik.

 Apa perbedaan hasil dengan menggunakan option –sL ?  Sebutkan perbedaannya dan jelaskan maksud dari informasi tambahan yang muncul !

Jawab :

Menurut bantuan penggunaan nmap –sL digunakan untuk melakukan List Scan yaitu hanya mendaftar target-target untuk di scan. Sedangkan –sP digunkan untuk Ping Scan yaitu untuk menentukan bila terdapat host yang sedang online. Sehingga perbedaan hasil antara percobaan option –sL dan option –Sp sudah dapat terlihat pada hasil capture option –sL scanmap.eepis-its.edu tidak di scan dan belum ditemukan host yang dalam keadaan beroperasi, sementara ketika dijalankan option –Sp host scanmap.eepis-its.edu mulai discan dan didapatkan 1 host yang dalam keadaan beroperasi.

3.      Tambahkan option “-v” pada percobaan 2.  

Analisa : ketika ditambahkan option  -v maka scanning untuk host scanmap.eepis-its.edu (dengan IP 10.252.108.70) dilakukan dalam 2 ports hingga mencapai 0.00058s latency lebih cepat dari sebelumnya yaitu 0.0076s latency dan didapatkan host yang sedang beroperasi terdapat 1 host, dengan waktu scan lebih cepat menjadi 0.01 detik.

Percobaan Untuk Melakukan Hosts scan 

Langkah percobaan

1.      Lakukan pemindaian ke alamat host : scanmap.eepis-its.edu dengan memakai teknik pemindaian 

      a.      –F

Analisa :

Sesuai dengan bantuan penggunaan dari nmap –F merupakan fungsi Fast mode yaitu dengan men-Scan lebih sedikit port dari default Scannya. Sehingga teknik pemindaian menggunakan –F menghasilkan proses penscan-nan yang lebih cepat,pada percobaan diatas terlihat waktu yang dibutuhkan dalam penscanan host scanmap.eepis-its.edu hanya 0.06 detik.

b.      -sV

Analisa :

Sementara fungsi –sV menurut manual digunakan untuk memeriksa port yang terbuka untuk menentukan service/version info. Seperti pada tampilan pemindaian menggunakan –sV diatas tampak informasi tambahan berupa Version dari masing-masing Port, terdapat 992 port yang tertutup dan terdapat pemberitahuan bahwa service detection telah dilakukan. Lama waktu pemindaian menggunakan –sV ini adalah selama 19.45 detik.

2.      Catat dan bandingkan hasil dari kedua opsi diatas ! Beri komentarmu! 

Jawab : Dari hasil kedua opsi diatas didapatkan perbedaan yang paling mendasar dari kedua opsi diatas adalah lama waktu pemindaian, karena untuk opsi –F (fast mode port yang di scan lebih sedikit) sehingga proses pemindaian dilakukan dengan cepat, dan terbukti pada percobaan diatas lama waktu pemindaian dengan opsi –F adalah selama 0,06 detik. Sedangkan pemindaian menggunakan opsi –sV karena digunakan untuk memeriksa semua port yang terbuka sehingga akan tampil beberapa informasi versinya namun membutuhkan waktu pemindaian yang relative lebih lama dibandingkan dengan menggunaka opsi -F, terlihat pada percobaan menggunakan –sV diatas adalah selama 19.45 detik.

Percobaan Untuk Melakukan Hosts scan dengan menggunakan script yang telah disediakan oleh

nmap

1.      jelaskan penggunaan dari scripts (-sC) ! 

Jawab :

Seperti hasil manual bantuan penggunaan nmap, fungsi –sC sama dengan --script==default yang digunakan untuk menScan script.

2.      Lakukan pemindaian ke alamat host : scanmap.eepis-its.edu dengan menggunakan opsi –sC. Amati perbedaan hasil dari perintah yang dijalankan pada percobaan nomor 2. Jelaskan minimal tiga percobaan yang kamu peroleh !

Analisa :

Dapat kita lihat fungsi –sC sama dengan --script==default yang digunakan untuk menscan script. Dari hasil print out diatas dalam penggunaan –sC juga akan menampilkan service dari port-port yang sedang terbuka dan penjelasan script service dari setiap port. Serta akan menampilkan host script dari computer tersebut. Dengan lama waktu pemindaian 1.68 detik.

Berbeda dengan penggunaan fungsi –sV meskipun memiliki kemiripan yaitu digunakan untuk memeriksa port yang terbuka tetapi dilakuakan penentuan service/version info yang lebih ditekankan. Serta dilakukan pengaktifan service detection. Yang mengakibatkan lama waktu pemindaian adalah selama 19.45 detik lebih lama daripada menggunakan -sC.

Untuk teknik pemindaian menggunakan –F menghasilkan proses penscan-nan yang lebih cepat,pada percobaan diatas terlihat waktu yang dibutuhkan dalam penscanan host scanmap.eepis-its.edu hanya 0.06 detik karena yang lebih ditekankan adalah penScanan port yang lebih sedikit.

Sedangkan pemindaian dengan –A pada percobaan pertama kali menghasilkan hasil yang serupa dengan opsi -sC tetapi tidak menampilkan MAC addressnya (VMware) hanya service info os yang digunakan adalah linux. Serta lama waktu pemindaian yang lebih lama dari –sC yakni 19.64 detik

 TUGAS

1.      Jalankan nmap dengan menggunakan teknik TCP half open atau dengan menggunakan opsi –sS. Amati paket antara host anda dan host target dengan menggunakan wireshark.  Apakah yang dimaksud dengan half-open dengan melihat hasil dari analisa paket anda? Gambarkan diagram TCPnya.

Jawab : penggunaan –sS

Hasil tampilan pemanggilan scanmap.eepis-its.edu dengan –sS dalam wireshark

Dapat kita lihat dari print out diatas source menunjukkan IP dari scanmap.eepis-its.edu (10.252.108.70) destination merupakan IP dari computer kami yaitu 10.252.108.131 dengan protocol TCP yang berada pada state [RST,ACK]. Setelah dilakukan TCP filter agar dapat mengetahui state yang terjadi pada IP 10.252.10.70 dan 10.252.108.131 seperti gambar di bawah ini :

Dapat dilihat [SYN] merupakan step awal pembukaan paket yakni source dari 10.252.108.131 dengan melakukan pemindaian –sS kepada destination 10.252.108.70 kemudian hanya berhenti di [RST,ACK] tidak berakhir dengan penutupan yaitu [FIN] sehingga disebut dengan half-open karena tidak sampai selesai.

Sehingga menghasilkan TCP graph sebagai berikut ini:

Selanjutnya merupakan contoh open yang sempurna dengan membuka host newfs.eepis-its.edu melalui browser 10.252.108.131 yang menghasilkan tampilan di wireshark seperti berikut ini setelah di TCP filter.

Seperti dapat dilihat dalam print out wireshark diatas paket dilakukan hingga selesai bertemu [FIN]. Sehingga menghasilkan TCP graph open seperti berikut ini :

Kesimpulan :

Pada percobaan kali ini kita diajarkan untuk mencoba melakukan scanning dan probing pada suatu host yaitu (scanmap.eepis-its.edu). Scanning sendiri merupakan salah satu langkah yang dasar dalam memetakan jaringan

untuk menentukan apakah sistem tersebut masih hidup (menyala). Merupakan step kedua yang dilakukan untuk melakukan hacking pada suatu host atau jaringan. Tools yang dilakukan untuk melakukan scanning kali ini adalah dengan nmap. Opsi-opsi dalam nmap yang dapat melakukan pemindaian (scanning) dengan paling cepat dan paling lengkap contentnya telah dipraktikan seperti hasil dan cara penggunaanya dapat dilihat dalam hasil praktikum diatas.

Baca selengkapnya »

INTRUSION DETECTION SYSTEM USING SNORT

PERCOBAAN

1. Bangunlah jaringan sebagai berikut :
2. Konfigurasi sesuai dengan topologi yang diminta :

• Gunakan dhclient di masing-masing PC untuk i dmendapatkan IP dari router.

• 192.168.50.x & y : IP dari router

• Pilih 192.168.50.x sebagai PC Server yang akan dipasangi snort

• Pilih 192.168.50.y sebagai PC Client

IP Client :

Ip server :

Analisa : untuk membangun topologi maka praktikum kali ini kita mengeset IP dari Router kemudian mengatur IP PC yang dijadikan sebagai client dan dalam hal ini IP client adalah 192.168.2.249 ,sedangkan IP PC Server yang di install snort adalah 192.168.2.250.

3. Lakukan instalasi snort pada PC Server

# apt-get install snort

Masukkan range network yang akan dianalisa :

Address range for the local network :

192.168.2.0/24

Analisa : sebelum menginstall snort kita lakukan remove terlebih dahulu,karena bisa jadi pada PC yang kita gunakan telah di install Snort sebelumnya, setelah dilakukan remove maka kita dapat melakukan instalasi snort,dan pada gambar diatas terlihat 1 newly installed yang menandakan kita berhasil melakukan instalasi snort dengan range untuk local network 192.168.2.0/24

4. Manjalankan snort

a. Bekerjalah dengan kelompok anda, salah satu menjalankan snort (PC Server) dan yang lain

menjalankan aplikasi yang lain (PC Client).

b. Jalankan perintah ping dan nmap dari PC Client ke PC Server.

c. Jalankan snort dengan menggunakan mode sniffer

#snort –v     #snort –vd     #snort –vde     #snort –v –d –e

Ket : Running in packet dump mode

Jelaskan perbedaan hasil dari option di atas.

Analisa: snort –v digunakan untuk melihat header TCP/IP paket yang lewat. Dan dalam percobaan diatas terlihat total packet wire yang diterima sejumlah 24, dan total breakdown menggunakan protokol sebanyak 

24.

Analisa : Snort –vd digunakan untuk melihat isi paket.

Analisa : tambahan –e atau snort –vde digunakan untuk melihat header link layer paket seperti ethernet headaer.

Analisa : dengan menambahkan beberapa switch –v –d –e maka menghasilkan beberapa keluaran yaitu untuk melihat header TCP/IP paket yang lewat, untuk melihat isi paket, dan melihat header link layer paket seperti ethernet header.

d. Untuk mempermudah pembacaan masukkan hasil snort ke dalam file, jalankan

perintah berikut :

#snort –dev –i eth0 –L /var/log/snort/snort.log

Ket : Running in packet logging mode

Akan menghasilkan sebuah file di folder /var/log/snort, lihat dengan perintah :

# ls /var/log/snort

Analisa : pada gambar diatas terlihat Action Stats : alert 0,logged 14, dan passed 0, yang berarti file berhasil dilog sejulah 14, dan untuk melihat masukan hasil snort kedalam file maka dapat dilihat menggunakan ls /var/log/snort dan pada gambar diatas terlihat sebuah file di /var/log/snort yaitu snort.log.1365412530.

e. Untuk membaca file snort (misal : snort.log.1234) berikan option –r pada snort

# snort -dev -r /var/log/snort/snort.log.1234

Analisa : pada percobaan diatas kita membaca file snort yang ada di /var/log/snort ,dan terlihat pada gambar diatas snort yang diproses ada 14 packet.

5. Menjalankan snort dengan mode NIDS (Network Intrusion Detection System)

a. Opsi e, dihilangkan karena kita tidak perlu mengetahui link layer MAC. Opsi v

dihilangkan juga, jalakan menggunakan option sbb :

#snort -d -h 192.168.1.0/24 -l /var/log/snort -c /etc/snort/snort.conf

Ket : Running in IDS mode

Analisa : pada percobaan diatas kita menjalankan snort dengan mode NIDS(Network Intrusion Detection System), terlihat pada gambar Server Default Configuration adalah WinXP dengan port yang terdeteksi SHB: 139,445 , TCP:135, UDP:135,dan SSLPP config dengan port   443, 465,563,636,989,992,993,994,995 serta keterangan server side data is Trusted.

b. Bekerjasamalah dengan rekan anda. Sekarang coba jalankan scanning dari

komputer lain (PC Client) dengan nmap menuju komputer yang anda pasangi

snort (PC Server). Terlebih dulu jalankan snort dengan mode NIDS, kemudian

lakukan scanning dengan perintah :

# snort -d -h 192.168.1.0/24 host <no_ip_snort> -l

/var/log/snort –c /etc/snort/snort.conf

#nmap -sS -v <no_ip_snort>

Analisa : Snort berhasil dijalankan.kemudian dilakukan scanning.

Analisa: pada proses penscanan terlihat IP adress discan dengan waktu 0,40 detik dan raw packet yang dikirim sebanyak 2(84B) serta paket yang diterima 0(0B).

c. Lihatlah apakah scan anda terekam oleh snort. Jika iya, copy paste hasil snort

pada bagian scanning SYN. Untuk melihat, gunakan perintah :

# snort –dev –r <nama-log-file> | more

Apakah scanning ini ditandai sebagai alert ? Coba lihat di /var/log/snort,

gunakan perintah :

# vim /var/log/snort/alert

Analisa:  Pada gambar terlihar snort membaca traffic dari file /var/log/snort/tcpdump.log.1366018551 .dan di alert terlihat message TCP/IP flooding didirectkan ke SIP Proxy.

d. Jalankan snort. Buka halaman web. Apakah ini terdeteksi sebagai alert?

Analisa : ketika kita menjalankan web maka secara otomatis pada snort akan terdeteksi sebagai alert.snort secara otomatis akan menambah informasi paket yang dijalankan.

e. Sekarang coba ubah rule snort. Buat rule baru yaitu alltcp.rules dan simpan di

/etc/snort/rules

# vim /etc/snort/rules/alltcp.rules

alert tcp any any -> any any (content:”www.facebook.com”;

msg:”Someone is visiting Facebook”;sid:1000001;rev:1;)

alert tcp any any -> any any (msg:"TCP

Traffic";sid:1000002;rev:0;)

Analisa : kita mengubah rule alltcp.rules dimana any any (host port), sid harus lebih dari 1 juta, rev mulai dari 0.

f. Coba lihat snort.conf. Beri tanda # pada semua rule lain dan tambahkan rule

anda yaitu : alltcp.rules.

# vim /etc/snort/snort.conf

include $RULE_PATH/alltcp.rules

Analisa : ini berarti pada snort.conf rule yang berlaku adalah rule yang ada di alltcp.rules.

g. Lakukan restart aplikasi snort anda :

# /etc/init.d/snort restart

h. Bukalah halaman web untuk mengakses “www.facebook.com”, lihatlah apakah

ada tanda sebagai alert atau tidak?

Analisa : ketika membuka www.facebook.com ,pada snort terlihat informasi baru yang muncul,namun pada halaman web masih belum dapat membuka halaman www.facebook.com karena didirectkan pada proxy.

i. Coba lakukan scanning seperti perintah b. Lihatlah apakah ada tanda sebagai

alert atau tidak

Untuk mengetahui beberapa baris terakhir dari informasi alert :

# tail –f /var/log/snort/alertAnalisa : informasi yang ada pada baris terakhir alert adalah message TCP/IP flooding didirectkan ke SIP proxy.

Kesimpulan:

Snort merupakan software yang berguna untuk mengamati aktivitas dalam suatu jaringan komputer. Snort dapat digunakan sebagai suatu NIDS(Network Intrusion Detection System) dan snort ini menggunakan sistem peraturan untuk melakukan deteksi dan pencatatan(logging) terhadap berbagai macam serangan terhadap jaringan komputer.

 

Baca selengkapnya »