NEOTEK - ICT SLEMAN
NEOTEK - ICT SLEMAN
NEOTEK - ICT SLEMAN
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
utilitas ini mempunyai efek samping<br />
berupa munculnya pesan scan dari<br />
produk-produk IDS utama. Jadi,<br />
udp_scan bukanlah tool yang paling<br />
‘siluman’ yang dapat digunakan. Dengan<br />
UDP umumnya kita men-scan<br />
port-port berisiko tinggi di atas 1024.<br />
Netcat<br />
Utilitas lain yang amat baik adalah<br />
netcat atau nc, yang ditulis oleh<br />
Hobbit (hobbit@avian.org). Utilitas<br />
ini dapat menjalankan begitu banyak<br />
pekerjaan sehingga dikenal sebagai<br />
Swiss army knive dalam kelompok<br />
security toolkit. Di antara fungsifungsi<br />
yang ada adalah kemampuan<br />
men-scan port TCP dan UDP. Opsi -v<br />
dan -vv memberikan output verbose<br />
dan very verbose. Opsi -z memberikan<br />
mode zero I/O dan digunakan untuk<br />
port scanning, dan opsi -w2 menyediakan<br />
nilai timeout pada setiap koneksi.<br />
Secara default, nc akan menscan<br />
port TCP, jadi untuk men-scan<br />
port UDP kita harus menggunakan<br />
opsi -u.<br />
Nmap (Network Mapper)<br />
Bila yang lain-lain merupakan port<br />
scanning tool dasar, maka port scanning<br />
tool utama adalah nmap. Nmap<br />
(www.insecure.org/nmap) karya Fyodor<br />
menyediakan kemampuan scanning<br />
TCP dan UDP selain teknik-teknik<br />
scanning lain yang telah dibahas di<br />
atas. Sangat jarang ada tool yang<br />
menyediakan begitu banyak utilitas<br />
dalam satu paket seperti nmap ini.<br />
Selain dapat digunakan untuk menscan<br />
suatu sistem, nmap dapat juga<br />
digunakan untuk men-scan network<br />
secara keseluruhan. Nmap memungkinkan<br />
kita memasukkan range notasi<br />
blok dari CIDR (Classless Inter-<br />
Domain Routing), suatu format yang<br />
memungkinkan kita menspesifikasi<br />
192.168.1.1 - 192.168.1.254 sebagai<br />
range yang kita pilih.<br />
Selain itu nmap menyediakan opsi -o<br />
untuk menyimpan output ke dalam<br />
suatu file. Opsi -oN akan menyimpan<br />
output dalam format yang dapat<br />
dibaca oleh manusia. Bila ingin lebih<br />
mudah dibaca lagi, misalnya dengan<br />
tab delimited, gunakan opsi -oM.<br />
Mengingat akan ada banyak informasi<br />
yang diperoleh, ada baiknya untuk<br />
menyimpannya pada salah satu format<br />
itu. Anda juga bisa mengkombinasi<br />
opsi -oN dan -oM untuk menyimpan<br />
outputnya kedalam kedua format itu.<br />
Misalkan setelah melakukan fingerprinting<br />
terhadap suatu organisasi,<br />
didapatkan bahwa mereka menggunakan<br />
packet-filtering device sebagai<br />
firewall, kita dapat menggunakan<br />
opsi -f dari nmap untuk memfragmentasi<br />
paket-paketnya. Pada dasarnya<br />
opsi ini memecah header TCP<br />
menjadi beberapa paket, yang akan<br />
mengakibatkan access control system<br />
maupun IDS kesulitan mendeteksi<br />
adanya scan. Dalam banyak hal,<br />
piranti-piranti packet filtering dan<br />
firewall berbasis aplikasi akan meng-<br />
• Opsi -sS menunjukkan service-service apa<br />
saja yang terdapat pada suatu server.<br />
• Opsi -oN menyimpan hasil scanning dalam file. Pada perintah nmap -sF 02.134.0.196/24<br />
-oN outfile, hasil scan disimpan dalam file outfile dan dapat diakses kemudian.<br />
NeoTekno<br />
queue semua fragmen IP sebelum<br />
mengevaluasinya, tetapi pada versi<br />
yang lebih lama, access control device<br />
tidak akan men-defragmentasi paketpaket<br />
dan membiarkannya saja masuk.<br />
Tergantung pada seberapa canggih<br />
network atau host sasaran, kegiatan<br />
scan dapat terdeteksi. Untuk itu nmap<br />
menyediakan pula opsi -D (decoy)<br />
yaitu fasilitas scan palsu yang dapat<br />
mengelabui sasaran dengan informasi<br />
palsu. Scan palsu diluncurkan bersamaan<br />
dengan scan yang sebenarnya.<br />
Hal ini dicapai dengan men-spoof<br />
source address dari server-server<br />
yang ada pada sistenm sasaran dan<br />
mencampur scan palsu tadi dengan<br />
port scan yang sebenarnya. Sistem<br />
sasaran akan merespon baik alamatalamat<br />
yang di-spoof tadi maupun<br />
port scan anda yang sebenarnya,<br />
sehingga sistem sasaran akan terbebani<br />
untuk melacak semua scan dan<br />
menentukan mana yang sebenarnya<br />
dan mana yang palsu. Perlu diingat<br />
bahwa alamat-alamat palsu itu harus<br />
berasal dari sistem yang hidup, sebab<br />
bila tidak, scan anda akan menyebabkan<br />
banjir SYN flood pada sistem<br />
target dan mengakibatkan kondisi<br />
denial of service.<br />
Fitur scanning lain yang berguna<br />
adalah ident scanning. Ident digunakan<br />
untuk mengidentifikasi user<br />
pada koneksi TCP tertentu dengan<br />
jalan berkomunikasi padanya di port<br />
113. Banyak versi dari ident akan<br />
memberikan respon berupa pemilik<br />
proses yang terikuat pada port tertentu.<br />
Hal ini terutama berjalan pada<br />
UNIX sebagai sasaran.<br />
Teknik scanning terakhir adalah FTP<br />
bounce scanning. FTP bounce attack<br />
dikemukakan oleh Hobbit pada tahun<br />
1995 yang menunjukkan kelemahankelemahan<br />
protokol FTP. Pada dasarnya<br />
FTP bounce attack adalah metode<br />
insidentil dengan memanfaatkan koneksi<br />
melalui protokol FTP dan menyalahgunakan<br />
dukungan ‘proxy’<br />
• Opsi -I menunjukkan siapa owner dari<br />
service-service yang ada.<br />
Mei 2002 NeoTek 37