Kamis, 27 Mei 2010

Belajar Menyadap Jaringan

Nah, pada kesempatan kali ini ada topik tugas yang cukup menarik. Deskripsinya sebagai berikut: "

Anda diminta untuk menggunakan program sniffer (penyadap) seperti wireshark, tcpdump, atau sejenisnya untuk melakukan salah satu dari hal di bawah ini:

  1. mengukur jumlah data yang digunakan untuk membuka satu sesi gmail atau facebook;
  2. memantau serangan dari port scanning yang dilakukan dengan menggunakan program nmap.
Untuk yang (1) yang disebut satu sesi adalah login, membaca sebuah email (atau menulis sebuah email), kemudian logout. Jangan lupa program sniffer diset agar *semua* data ditangkap. Biasanya default dari program sniffer hanya menangkap header saja. Tujuan utamanya adalah untuk menghitung jumlah data yang ditangkap.

Untuk (2) tujuannya adalah untuk melihat pola "serangan" port scanning yang dilakukan oleh nmap. Apakah dia melakukan scanning dengan menguji port secara berurutan?"

Berikut ulasannya:
Seorang hacker atau cracker pasti tidak akan lepas dari kegiatan yang satu ini, yaitu sadap-menyadap jaringan. Tujuan dari kegiatan ini adalah untuk mencari informasi yang penting bagi dirinya tanpa diketahui oleh orang lain yang berkepentingan terhadap informasi-informasi yang disadap.
Lantas bagaimana sih caranya menyadap jaringan?? Ternyata caranya sangat mudah sekali. Banyak sekali kakas-kakas yang bisa didapatkan secara gratis di internet untuk melakukan penyadapan jaringan. Kakas-kakas tersebut sudah dilengkapi dengan grafic user interface dan penyajian data yang menarik yang itu semua akan memudahkan user dalam membaca data-data yang mengalir di jaringan. Selain itu,, juga banyak tutorial-tutorial di internet yang mengajarkan cara menyadap jaringan.
Pada tulisan ini, penulis mencoba mempraktikkan penyadapan jaringan menggunakan kakas bernama wireshark (bisa didownload di http://www.wireshark.org/download.html ). Pertama, penulis akan mencoba mengukur jumlah data yang digunakan untuk membuka satu sesi http://gmail.com/ . Penulis membuka http://gmail.com/ pada browser, kemudian melakukan login. Setelah itu penulis membuat contoh pesan dan mengirimkannya pada email lain dari penulis. Kemudian logout dari http://gmail.com/ .
Berikut cuplikan gambar yang data yang mengalir selama membuka satu sesi http://gmail.com/ :





Dari gambar tersebut dapat dihitung bahwa ada 119 paket yang mengalir dari komputer client ke server gmail untuk membuka satu sesi (login, menulis pesan, mengirim pesan, dan logout). Jenis dari paket tersebut bermacam-macam, antara lain:
1. Menginisiasi koneksi
2. Establish connection
3. Close connection
4. Pertukaran enkripsi data
5. Get Method
Dengan wireshark, data-data yang tertangkap tersebut dapat dilihat keterangan-keterangannya berdasarkan protocol-protocol yang mengaturnya. Gambar berikut adalah contoh keterangan Tranmision Control Protocol (TCP) dan Hyper Text Transfer Protocol dari data untuk menginisiasi koneksi dengan server gmail :


Pada gambar tersebut dapat dilihat secara rinci keterangan-keterangan dari data yang mengalir tersebut. Salah satu keterangan dari data berdasarkan Transmission Control Protocol adalah jumlah Byte data yang mengalir. Pada contoh tersebut terlihat bahwa data yang mengalir tersebut sebesar 376 Byte.
Berdasarkan perhitungan manual, besar paket data yang mengalir dari komputer client ke server gmail selama pemakaian satu sesi sejumlah 135158 Byte atau sebesar 131.99 kiloByte. Ndak nyangka besar banget ternyata data yang digunakan. >.<
Coba evaluasi diri sendiri yang seharian hampir selalu mbuka fesbook sampai berpuluh-puluh halaman dengan berbagai aktivitas. Berapa besar data yang sudah digunakan ?? :P

Sedangkan pada bahasan ini, akan di analisis serangan dari port scanning yang dilakukan dengan menggunakan program nmap.
Penulis menjalankan program nmap untuk memantau semua port pada alamat IP 167.205.64.0/22
Berikut hasilnya dari program wireshark:

Dari gambar tersebut terlihat bahwa penyerang melakukan ICMP request terhadap semua alamat IP secara berurutan mulai dari 167.205.64.0 sampai 167.205.67,254 . Tujuannya adalah untuk memetakan alamat-alamat IP tersebut.
Setelah itu penyerang mengirimkan SYN ke seluruh alamat IP dengan tujuan untuk mengetahui apakah host atau server tersebut hidup atau tidak. Dan juga mengetahui ada berapa host yang terhubung dengan server.

Yup!! Silakan mencoba sendiri... :P

Tidak ada komentar:

Posting Komentar