LAPORAN PRAKTIKUMKEAMANAN JARINGAN

MODUL 1 NETWORK SCANNING DAN PROBING

Oleh :Achdiat Prasdianta Putra

Elga Pandiko ArmanIndra Kurniawan Novianto

PROGRAM STUDI MANAJEMEN INFORMATIKAJURUSAN TEKNOLOGI INFORMASI

POLITEKNIK NEGERI MALANG2015

Tugas Pendahuluan1. Sebutkan langkah dasar yang biasa dipakai untuk melakukan proses hacking !

a. FootPrinting merupakan proses untuk mencari informasi mengenai target. Selain footprinting ada pula active footprinting yang merupakan proses pengumpulan informasi dengan melibatkan interaksi secara langsung dengan target.

b. Scanning merupakan sebuah teknik untuk mencari port atau pintu masuk yang terbuka dari target.

c. Reconnaissance adalah suatu tahap persiapan dimana hacker atau pihak yang akan melakukan “serangan” berusaha mencari informasi sebanyak-banyaknya menegnai target atau sasaran sistem yang ingin diserang sebelum rangkaian proses penyerangan dilaksanakan. Ada 2 jenis model reconnaissance yang di kenal,yaitu yang bersifat pasif dan aktif. Usaha terkait dikatakan pasif apabila tidak ada interaksi langsung antara pihak penyerang dengan target atau sasaran yang ingin diserang. Sementara proses terkait dikatakan aktif,jika dilakukan aktivitas interaksi secara langsung.

d. Gaining Access merupakan langkah untuk mendapatkan data lebih banyak agar dapat mengakses sasaran,seperti mencuri password,serta melakukan buffer overflow.

e. Maintaining Access adalah sebuah periode dimana setelah hacker berhasil masuk kedalam system dan berusaha untuk bertahan memperoleh hak akses tersebut.

f. Covering Tracks merupakan langhkah untuk menyembunyikan atau menghilangkan jejak kita jika kita sudah berhasil melaukan langkah-langkah diatas. Jika langkah ini tidak di perhatikan atau dianggap tidak penting, maka seorang hacker akan mudah dilacak jejaknya oleh pihak penegak hukum

2. Sebutkan cara penggunaan netstat dan option-option yang dipakai serta arti option tersebut ?Perintah Netstat digunakan untuk mengetahui koneksi apa saja yang keluar masuk dalam sebuah jaringan.Netstat mengambil informasi networking ini dengan cara membaca tabel routing dari kernel yang terdapat dalam memori.

Cara Penggunaan Netstat :a. Pertama buka Cmd : Start → All program’s → Accessories → Command Promptb. Ketikkan perintah Netstat, akan muncul informasi seperti gambar berikut

Keterangan dari output Nestat diatas:

Proto merupakan kolom yang menunjukan jenis protokol yang dipakai bisa TCP atau UDP.

Local Addres merupakan kolom yang menjelaskan alamat IP dan nomor port yang ada di komputer apabila koneksi sedang aktif.

Foreign Addres merupakan kolom yang menunjukan koneksi yang dituju oleh local adress beserta nomor portnya. Contoh diatas menunjukan adanya koneksi melalui port http.

State merupakan kolom yang menunjukan status dari koneksi yang sedang terjadi. ESTABLISED yang berarti status komputer sedang terhubung dengan suatu koneksi internet atau komputer lain dan siap mengirimkan data.

Jenis-jenis State : Listening : siap untuk melakukan koneksi Syn_Sent : mengirimkan paket Syn,terkadang memperlambat koneksi internet Syn_Received : Menerima paket Syn Established : koneksi terjadi dan siap mengirimkan data Time_wait : sedang menunggu koneksi

Berikut ini perintah dasar Netstat : –a : menampilkan semua koneksi TCP yang aktif dan port TCP &UDP dalam

computer yang berada dalam state listening –b : menampilkan nama binary program yang terlibat dalampembentukan tiap

koneksi atau listening port –e : menampilkan statistic Ethernet seperti jumlah bytes dan paketyang terkirim

maupun diterima –n: menampilkan alamat dan nomor port dalam bentuk numeric –o: menampilkan ID pemilik proses yang tergabung dalam tiapkoneksi. –p proto: menampilkan koneksi dari protocol yang didefinisikan olehproto. Proto ini

bisa berupa TCP, UDP, TCPv6 atau UDPv6 –r: menampilkan table routing –s: menampilkan statistic tiap protocol. Statistic yang ditampilkanbiasanya IP, IPv6,

ICMP, ICMPv6, TCP, TCPv6, UDP, UDPv6 –v: bila digunakan dalam kaitannya dengan parameter –b akanmenampilkan urutan

komponen yang terlibat dalam pembentukankoneksi atau listening port untuk semua program.

3. Sebutkan cara pemakaian software nmap dengan menggunakan tipe scanning: � a. TCP Connect scan

TCP Connect scan merupakan jenis scan baku TCP ketika scan SYN tidak dapat digunakan. Hal ini terjadi ketika user tidak memiliki privilege untuk paket raw atau ketika melakukan pemeriksaan jaringan IPv6. Alih-alihmenulis paket raw sebagaimana dilakukan jenis scan lainnya, Nmap meminta SO membuat koneksi dengan mesin target dan port denganmemberikan system call connect. Ini merupakan system call yangdigunakan oleh web browsers, klien P2P, dan kebanyakan aplikasi jaringan lainnya untuk membuat koneksi. Ia merupakan bagian dariinterface pemrograman yang dikenal sebagai Berkeley Sockets API.Nmap juga menggunakan API ini untuk memperoleh informasi statussetiap usaha koneksi.Ketika tersedia SYN scan, ia merupakan pilihan yang lebih baik. Nmapkurang

memiliki kendali atas call connect daripada paket raw,membuatnya kurang efisien. System call membuat koneksi lengkap untuk membuka port target daripada membuat reset setengah-terbuka (half-openreset) yang dilakukan SYN scan. Hal ini tidak saja lebih lambat danmembutuhkan lebih banyak paket untuk memperoleh informasi yang sama,namun juga mesin target kemungkinan mencatat koneksi. IDS yang baik akan mendeteksi hal ini, namun kebanyakan mesin tidak memiliki sistemalarm tersebut. Kebanyakan layanan pada sistem Unix umum akanmembuat catatan ke syslog, dan seringkali pesan kesalahan yang rumit,ketika Nmap membuka dan menutup koneksi tanpa mengirim data.Layanan yang benar-benar buruk akan crash ketika hal ini terjadi,meskipun tidak umum. Administrator yang melihat serangkaian usahakoneksi dari sistem tunggal di lognya seharusnya tahu bahwa ia telahdiperiksa dengan metode connect.

b. TCP SYN Scan �Top SYN scan merupakan opsi scan baku dan terpopuler dengan alasan yang baik. Ia dapat dilakukan dengan cepat, memeriksa ribuan port per detik pada jaringan yang cepat tidak dihalangi oleh firewall yang membatasi.Scan SYN relatif tidak mengganggu dan tersembunyi, karena ia tidak pernah melengkapi koneksi TCP. Ia juga bekerja terhadap stack TCP yangsesuai alih-alih tergantung pada platform khusus sebagaimana scanFIN/NULL/Xmas, Maimon dan idle. Ia juga memungkinkan pembedaanyang tegas dan hl antara status open, closed, dan filtered.Teknik ini seringkali diacu sebagai pemeriksaan setengah terbuka (half-open scanning), karena tidak membuka seluruh koneksi TCP. mengirimsebuah paket SYN, seperti ingin melakukan koneksi sesungguhnya dankemudian menunggu tanggapan. SYN/ACK menkan port sedangmendengarkan (open), RST (reset) menkan tidak sedang mendengarkan.Jika tidak ada tanggapan setelah beberapa kali pengiriman ulang, port ditisebagai tersaring (filtered). Port juga diti sebagai tersaring bila diterimakesalahan ICMP unreachable (tipe 3, kode 1, 2, 3, 9, 10, atau 13).

c. TCP FIN scan � d. TCP Xmas Tree scan � e. TCP null scan �

TCP FIN scan, TCP Xmas Tree Scan dan TCP null scan Ketiga jenis scan ini (bahkan kemungkinan lebih dengan adanya opsi –scanflags yang dijelaskan pada bagian berikutnya) mengeksploitasi kelemahan dalam RFC TCP untuk membedakan antara port open danclosed. Halaman 65 RFC 793 mengatakan bawha “if the [destination] portstate is CLOSED …. an incoming segment not containing a RST causes aRST to be sent in response.” Lalu halaman berikutnya mendiskusikanpaket yang dikirim ke port terbuka tanpa bit SYN, RST, atau ACK diset,menyatakan bahwa : “you are unlikely to get here, but if you do, drop thesegment, and return.”Ketika memeriksa sistem yang sesuai dengan teks RFC ini, sembarangpaket yang tidak berisikan bit SYN, RST, atau ACK akan berakibatpengembalian RST bila port tertutup dan tidak ada respon bila portterbuka. Selama ketiga bit ini tidak disertakan, sembarang kombinasiketiga bit lainnya (FIN, PSH, dan URG) adalah OK. Nmapmengeksploitasi celah ini dengan ketiga jenis scan berikut :Null scan (-sN)Tidak mengirimkan bit(header flag TCP

adalah 0)FIN scan (-sF)Hanya menset bit FIN TCP.Xmas scan (-sX)Menset flag FIN, PSH, dan URG, menerangi paket seperti sebuah pohonNatal.Ketiga jenis scan ini serupa perilakunya kecuali untuk flag TCP yang disetdalam paket probe. Jika diterima paket RST, port dianggap closed, tidak ada respon berarti ia open|filtered. Port diti filtered bila diterima kesalahanICMP unreachable (tipe 3, kode 1, 2, 3, 9, 10, atau 13).Keuntungan utama jenis scan ini adalah bahwa mereka dapat menyusupmelalui non-stateful firewall dan router packet filtering tertentu.Keunggulan lain adalah bahwa ketiga scan ini lebih tersembunyi bahkanbila dibandingkan dengan SYN scan. Jangan menglkan hal ini karenaproduk IDS modern dapat dikonfigurasi untuk mendeteksi mereka.Kelemahan utama adalah tidak semua sistem mematuhi RFC 793 secaratepat. Sejumlah sistem mengirim respon RST atas probe tanpa perduliapakah port terbuka atau tertutup. Hal ini membuat seluruh port dianggapsebagai closed. Sistem operasi utama yang melakukan hal ini adalahMicrosoft Windows, banyak device Cisco devices, BSDI, dan IBMOS/400. Scan ini tidak bekerja terhadap kebanyakan sistem berbasis Unix.Kekurangan lainnya adalah scan ini tidak dapat membedakan antara portopen dengan port tertentu yang filtered, memberikan tanggapanopen|filtered

f. TCP ACK scan �TCP ACK scan Scan ini berbeda dengan yang telah didiskusikan sejauh ini yaitu ia tidak pernah menentukan port open (or even open|filtered). Ia digunakan untuk memetakan aturan firewall, menentukan apakah mereka stateful atau tidak dan port mana saja yang disaring.Paket probe scan ACK hanya memiliki flag ACK di-set (kecualimenggunakan –scanflags). Ketika memeriksa sistem yang tidak disaring,port open dan closed keduanya akan mengembalikan paket RST. Nmapkemudian menkan mereka sebagai unfiltered, yang berarti mereka dapat dicapai oleh paket ACK, namun belum dapat ditentukan apakah merekaopen atau closed. Port yang tidak menanggapi, atau mengirim kembalipesan kesalahan ICMP (tipe 3, kode 1, 2, 3, 9, 10, atau 13), dianggap sebagai filtered.

g. TCP Windows scan � TCP Windows scan , Window scan serupa dengan ACK scan kecuali bahwa ia mengeksploitasidetil implementasi pada sistem tertentu yang membedakan port terbukadengan port tertutup, alih-alih selalu menampilkan unfiltered ketikadikembalikan RST. Ia melakukan hal ini dengan memeriksa field TCPWindow paket RST yang dikembalikan. Pada beberapa sistem, portterbuka menggunakan ukuran jendela positif (bahkan untuk paket RST)sementara port tertutup memiliki jendela nol. Sehingga alih-alih selalumenampilkan port sebagai unfiltered ketika menerima kembali RST,Window scan menampilkan port sebagai open atau closed jika nilai TCPWindow dalam reset tersebut positif atau nol.Scan ini menglkan detil implementasi sedikit sistem yang ada di Internet,sehingga tidak dapat selalu mempercayainya. Sistem yang tidak mendukungnya biasanya akan mengembalikan semua port sebagai closed.Tentu saja, adalah mungkin mesin benar-benar tidak memiliki port terbuka.Jika kebanyakan port yang diperiksa adalah closed namun beberapa angkaport umum (seperti 22, 25, 53) adalah filtered, informasi ini

kemungkinanbenar. Seringkali, sistem akan memberitahukan perilaku sebaliknya. Jikascan menunjukkan bahwa 1000 port terbuka dan tiga port tertutup ataudisaring, maka ketiga port tersebut mungkin saja adalah port yang terbuka.

h. TCP RPC scan � Teknik ini spesifik hanya pada sistem Unix dan digunakan untuk mendeteksi danmengidentifikasi port RPC dan program serta nomor versi yang berhubungan dengannya.

i. UDP scan � Teknik ini mengirimkan suatu paket UDP ke port host target. Bila port host target memberikanresponse pesan berupa “ICMP port unreachable” artinya port ini tertutup. Sebaliknya bila tidak menerima pesan tersebut, Anda dapat menyimpulkan bahwa port tersebut terbuka. Karena UDP dikenalsebagai connectionless protocol, maka akurasi teknik ini sangat bergantung pada banyak halsehubungan dengan penggunaan jaringan dan sistem reources lainnya.

j. OS fingerprinting

4. Bagaimana cara mematikan dan menghidupkan service yang ada!5. Sebutkan cara pemakaian software nessus untuk melihat kelemahan sistem jaringan kita !

HASIL PERCOBAAN

1. Melihat status service yang aktif di local komputer Gunakan command netstat –tpane dan netstat –tupane bandingkan hasilnya . Lakukan beberapa option netstat untuk mengetahui hanya tcp atau udp saja yang terlihat Lakukan pula options – options yang laina. Netstat -tpane

b. Netstat -tupane

2. Pastikan nmap dan wireshark terinstal pada komputer anda,jika belum lakukan installasi o Jalankan wireshark pada komputer target lalu lakukan command nmap pada komputer

sumber, analisa hasil dan perilaku data yang dikirim ke jaringan oleh masing- masing nmap.

o Pastikan koneksi terhubung dengan baik antara komputer sumber dan target, gunakan perintah ping. Misal beberapa perintah nmap berikut nmap –sT –v Nama_IP_Target nmap –sS –v Nama_IP_Target nmap –O –v Nama_IP_Target nmap –sF –v Nama_IP_Target

Hasil :- nmap –sT –v Nama_IP_Target

- nmap –sS –v Nama_IP_Target

- nmap –O –v Nama_IP_Target

- nmap –sF –v Nama_IP_Target

o Mintalah pada komputer yg discan untuk menjalankan scanning pada diri sendiri. Cocokkan dengan hasil scanning nmap. # nmap localhost Salin hasilnya dan bandingkan. Sama atau tidak ? Mengapa?

Computer 1

Computer 2

Kesimpulan : Tidak sama karena windows dan Ubuntu memiliki port yang berbeda dan memiliki service yang berbeda

o Jalankan nmap dengan beberapa option yang berdasarkan tipe-tipe scanning yang ada (FIN scan, TCP Xmas Tree scan, TCP null scan, TCP ACK scan, TCP Windows scan, TCP RPC scan, UDP scan, OS fingerprinting) dan analisa perilaku data yang dikirim dengan wireshark.

LAPORAN RESMI 1. Berikan kesimpulan hasil praktikum yang anda lakukan.2. Sebutkan option atau bentuk-bentuk scanning yang bisa dilakukan nmap

a. -sS (TCP SYN scan)

b. -sT (TCP connect scan)c. -sU (UDP scan)d. -sN; -sF; -sX (TCP NULL, FIN, dan Xmas scan)

Null scan (-sN)FIN scan (-sF)Xmas scan (-sX)

e. -sA (TCP ACK scan)f. -sW (TCP Window scan)g. -sM (TCP Maimon scan)h. --scanflags (Custom TCP scan)i. -sI <zombie host>[:<probeport>] (idle scan)j. -sO (IP protocol scan)k. -b <FTP relay host> (FTP bounce scan)

3. Cari di internet beberap tools scanning yang ada dan bagaimana cara pemakaian dan hasilnya?SoftPerfect Network Scanner tidak hanya menyediakan kemampuan pemindaian jaringan,

hal itu juga memungkinkan anda untuk melakukan pengecekan pada LAN, monitor services, monitor registry, monitor WMI, dan juga beberapa fitur lain yang dapat anda gunakan untuk memecahkan masalah jaringan, seperti Telnet, SMTP, dll.

Selain itu, alat ini juga memungkinkan anda untuk membangun remote mesin, semua yang perlu anda lakukan adalah kunci dalam alamat target mesin MAC, dan kemudian mengeluarkan instruksi membangun. Salah satu kelemahan untuk alat ini, alat ini tidak memberikan kemampuan menyimpan catatan pencarian dalam bentuk database.