Banyak Software terbaru di sini

Rabu, 11 Januari 2012

Jenis-Jenis Serangan Pada Jaringan Firewall

Ø SYN  FLOODING  ATTACK
 
Ilustrasi cara kerja serangan Denial of Service dengan menggunakan metode SYN Flooding Attack
SYN flooding attack adalah istilah teknologi informasi dalam bahasa Inggris yang mengacu kepada salah satu jenis serangan Denial-of-service yang menggunakan paket-paket SYN.
Paket-paket SYN adalah salah satu jenis paket dalam protokol Transmission Control Protocol yang dapat digunakan untuk membuat koneksi antara dua host dan dikirimkan oleh host yang hendak membuat koneksi, sebagai langkah pertama pembuatan koneksi dalam proses "TCP Three-way Handshake". Dalam sebuah serangan SYN Flooding, si penyerang akan mengirimkan paket-paket SYN ke dalam port-port yang sedang berada dalam keadaan "Listening" yang berada dalam host target. Normalnya, paket-paket SYN yang dikirimkan berisi alamat sumber yang menunjukkan sistem aktual, tetapi paket-paket SYN dalam serangan ini didesain sedemikian rupa, sehingga paket-paket tersebut memiliki alamat sumber yang tidak menunjukkan sistem aktual. Ketika target menerima paket SYN yang telah dimodifikasi tersebut, target akan merespons dengan sebuah paket SYN/ACK yang ditujukan kepada alamat yang tercantum di dalam SYN Packet yang ia terima (yang berarti sistem tersebut tidak ada secara aktual), dan kemudian akan menunggu paket Acknowledgment (ACK) sebagai balasan untuk melengkapi proses pembuatan koneksi. Tetapi, karena alamat sumber dalam paket SYN yang dikirimkan oleh penyerang tidaklah valid, paket ACK tidak akan pernah datang ke target, dan port yang menjadi target serangan akan menunggu hingga waktu pembuatan koneksi "kadaluwarsa" atau timed-out. Jika sebuah port yang listening tersebut menerima banyak paket-paket SYN, maka port tersebut akan meresponsnya dengan paket SYN/ACK sesuai dengan jumlah paket SYN yang ia dapat menampungnya di dalam buffer yang dialokasikan oleh sistem operasi.
Jumlah percobaan pembuatan koneksi TCP yang dapat ditampung oleh sebuah host di dalam buffer memang berbeda-beda antara satu platform dengan platform lainnya, tapi jumlahnya tidak lebih dari beberapa ratus buah koneksi saja. Dengan mengirimkan banyak paket SYN ke sebuah port yang berada dalam keadaan listening yang berada dalam host target, buffer koneksi yang dialokasikan oleh sistem penerima dapat mengalami "kepenuhan" dan target pun menjadi tidak dapat merespons koneksi yang datang hingga paket SYN yang sebelumnya mengalami "timed-out" atau buffer memiliki ruang tampung yang lebih banyak. Beberapa sistem operasi bahkan dapat mengalami hang ketika buffer koneksi terlalu penuh dan harus di-restart. Baik pe-restart-an ulang sistem operasi atau buffer yang dipenuhi dengan paket SYN yang tidak jelas datangnya dari mana tersebut mengakibatkan pengguna yang valid dalam sebuah jaringan menjadi tidak dapat mengakses layanan-layanan dalam jaringan. Sistem server di mana pengguna hendak mengakses pun menolak request akses dari pengguna.
Ada beberapa cara yang dapat dilakukan untuk mencegah dan mengurangi efek dari SYN Flooding, yakni sebagai berikut:
  • Meningkatkan ukuran buffer koneksi TCP untuk meningkatkan jumlah percobaan pembuatan koneksi yang dapat dilakukan secara simultan. Hal ini memang menjadi solusi sementara, karena penyerang juga mungkin meningkatkan ukuran paket SYN yang ia kirimkan untuk memenuhi buffer tersebut.
  • Mengurangi nilai waktu kapan sebuah percobaan pembuatan koneksi TCP menjadi "timed-out". Hal ini juga menjadi solusi sementara, apalagi jika jaringan di mana sistem berada sangat sibuk atau lambat.
  • Mengimplementasikan penapisan paket yang masuk ke dalam router, sehingga memblokir semua serangan yang menggunakan alamat palsu. Hal ini juga menjadi solusi sementara, karena tidak semua ISP mengimplementasikan fitur seperti ini.
  • Memantau firewall dan mengonfigurasikannya untuk memblokir serangan SYN flood ketika hal tersebut terjadi. Pendekatan ini merupakan pendekatan yang sering dilakukan oleh banyak organisasi, apalagi jika ditambah dengan Intrusion Prevention System (IPS), meski hal ini membutuhkan kejelian dari seorang administrator jaringan untuk memantau catatan (log) dari IPS dan firewall yang ia atur. Bahkan, dengan kedua perangkat tersebut, klien-klien yang valid dapat ditolaknya karena konfigurasi yang tidak benar.

adalah program yang membaca dan menganalisa setiap protokol yang melewati mesin di mana program tersebut diinstal. Secara default, sebuah komputer dalam jaringan (workstation) hanya mendengarkan dan merespon paket-paket yang dikirimkan kepada mereka. Namun demikian, kartu jaringan (network card) dapat diset oleh beberapa program tertentu, sehingga dapat memonitor dan menangkap semua lalu lintas jaringan yang lewat tanpa peduli kepada siapa paket tersebut dikirimkan. Aktifitasnya biasa disebut dengan sniffing.

Untuk dapat membaca dan menganalisa setiap protokol yang melewati mesin, diperlukan program yang bisa membelokkan paket ke komputer attaker. Biasa disebut serangan spoofing. Attaker akan bertindak sebagai Man-In-the-Middle (MIM).


Gambar di atas mengilustrasikan koneksi TCP yang sebenarnya, tanpa ada sebuah host yang bertindak sebagai MIM. Kemudian host attacker menjalankan program Spoofing, berarti host attacker akan bertindak sebagai host yang dilewati data antara host client dan host server.
http://3.bp.blogspot.com/_mHqA05y50Jc/TUlVpfHjF0I/AAAAAAAAAnI/Jx7Mx2e9b7A/s320/Modul+4+Sniffing+spoofing+Session+Hijacking+dan+Countermeasure.bmp

Setelah host attacker menjadi host yang berada di tengah-tengah dari dua host yang saling berkomunikasi, kemudian attacker melakukan analisa traffic dengan menjalankan program ethereal. Dengan menganalisa traffic TCP yang sudah tercapture, attacker dapat mengetahui apa saja yang dilakukan oleh host client terhadap host server.
Ø Man In Middle Attack
ARP chance adalah sebuah file yang digunakan utnuk menyimpan alamat – alamat ip dan mac address dari komputer – komputer yang pernah berhubunga dengannya dan jika suatu saat terjadi perbedaan ip antara ARP chance dengan (contoh) DNS server maka yang digunakan adalah alamat ip yang ada pada ARP chance tersebut (salah satu kesalahan karena terlalu  ).Jpercaya diri

Man-In-The-Middle Attack adalah sebuah aksi sniffing yang memanfaatkan kelemahan switch dan kesalahan penangannan ARP chache dan TCP/IP oleh OS 2003 dan XP. Ide awalnya adalah menempatkan komputer hacker ditengah dua komputer yang sedang berhubungan sehingga paket data harus melalui komputer hacker dulu agar paket data itu bisa dilihat atau diintip oleh hacker.

Untuk itu hacker perlu meracuni ARP chache komputer korban dan komputer tujuan dan menjadikan komputer hacker sebagai router. Perhatikan ilustrasi berikut:

(1.)
komputer TUJUAN, IP 192.168.0.1, MAC 11111111, switch port 1
komputer KORBAN, IP 192.168.0.2, MAC 22222222, switch port 2
komputer HACKER, IP 192.168.0.66, MAC 66666666, switch port 6

Ingat.!! Switch hanya akan menyimpan masing-masing alamat MAC dan port keberapa dia terkoneksi dan tidak akan menyimpan IP adrress karena swicth memang tidak bisa melakukannya.

Apabila komputer KORBAN sudah pernah berhubungan dengan komputer TUJUAN maka di komputer KORBAN maupun di komputer TUJUAN akan tersimpan ARP chache yang menyimpan IP adress dan MAC adrress komputer yang pernah berhubungan dengannya, untuk OS XP ARP chache bisa bertahan selama 5 menit.

ARP chache di komputer KORBAN
IP 192.168.0.1 MAC 11111111
IP 192.168.0.6 MAC 66666666

ARP chache di komputer TUJUAN
IP 192.168.0.2 MAC 22222222
IP 192.168.0.66 MAC 66666666

(2.)
komputer HACKER akan meracuni ARP chache di komputer KORBAN sehingga komputer KORBAN percaya bahwa komputer TUJUAN memiliki MAC 6666666 hal yang sama juga dilakukan pada komputer TUJUAN sehingga komputer TUJUAN akan percaya bahwa komputer KORBAN memiliki MAC 66666666.

Padahal kita tahu bahwa komputer yang memiliki MAC 666666 adalah komputer sang HACKER. Untuk meracuni ARP chache pada komputer KORBAN, komputer hacker akan mengirimkan ARP Reply ke komputer KORBAN. Benar..!!! komputer HACKER akan mengirimkan ARP Reply ke komputer korban tanpa harus menunggu ARP Request dari komputer KORBAN. Kok! Bisa?? Ya iyalah namanya juga hacker gitu loh..

Pada saat yang bersamaan komputer HACKER juga akan mengirimkan ARP Reply ke komputer TUJUAN. Dua komputer yang mendapatkan ARP Reply akan percaya 100% pada ARP Reply tersebut dan segera mengupdate ARP chache-nya (salah satu kesalahan penanganan ARP chache oleh OS) sehingga didapat:

ARP chache di komputer KORBAN
IP 192.168.0.1 MAC 66666666
IP 192.168.0.6 MAC 66666666

ARP chache di komputer TUJUAN
IP 192.168.0.2 MAC 66666666
IP 192.168.0.66 MAC 66666666

(3.)
Setelah ARP chache diracuni, ketika komputer KORBAN akan meghubungi komputer TUJUAN dia akan menghubungi IP 192.168.0.1 dengan MAC 666666.

Switch hanya menyimpan MAC address dan port yang terhubung (masih ingat?) karena di ingatannya tercatat bahwa MAC 66666666 terhubung di port 6 maka akan segera menghubungkan port 2 dengan port 6.

Kejadian yang sama terjadi pada saat komputer TUJUAN ingin berhubungan dengan komputer KORBAN dia akan menghubungi IP 192.168.0.2 dengan MAC 66666666. Switch yang hanya mengetahui MAC address dan port, akan segera menghubungkan port 1 dengan port 6 atau antara komputer TUJUAN dengan komputer HACKER.

Samua tahap ini masih ada satu kekurangan yaitu komputer KORBAN tidak bisa berhubungan dengan komputer TUJUAN, klo mereka tidak berhubungan apa yang mau dilihat atau diintip ?
Untuk itu tugas komputer HACKER selanjutnya adalah melakukan routing atau meneruskan paket – paket data yang dikirmkan komputer KORBAN ke komputer TUJUAN maupun sebaliknya.

Dengan demikian komunikasi antara komputer KORBAN dan komputer TUJUAN bisa berjalan seperti biasanya tanpa mengetahui bahwa paket data tersebut sebenarnya melalui komputer HACKER terlebih dahulu sehingga hacker bisa melakukan apa saja yang dia mau seperti mencuri password, membaca email dan lainnya.

Ø ALAMAT IP SPOOFING
IP Spoofing adalah serangan teknis yang rumit yang terdiri dari beberapa komponen. Ini adalah eksploitasi keamanan yang bekerja dengan menipu komputer, seolah-olah yang menggunakan komputer tersebut adalah orang lain. hal ini karena design flaw ( salah rancang ).

IP Spoofing melakukan aktivitasnya dengan menulis ke raw socket.program dapat mengisi header field dari suatu paket IP siapapun yang diinginkan. Dalam sistem Linux, User yang melakukan proses ini memerlukan izin dari Root. Karena routing hanya berdasarkan IP Destination Address ( Tujuan ), maka IP Source Address ( Alamat IP sumber ) dapat diganti dengan alamat apa saja. Dalam beberapa kasus seorang attacker menggunakan IP source address yang spesifik pada semua paket IP yang keluar untuk membuat semua pengembalian paket IP dan ICMP Message ke pemilik address tersebut. Seorang attacker juga menggunakan IP Spoofing untuk menyembunyikan lokasi mereka pada jaringan. Pada bahasa Smurf : ICMP Flood memperlihatkan serangan dengan menggunakan IP Spoofing untuk membanjiri korban dengan ECHO REQUEST.

Ø ARP Poisoning / Spoofing
Ancaman keamanan muncul ketika ada upaya manipulasi terhadap pengalamatan nomor IP dan MAC address. Proses ini biasa disebut dengan istilah ARP spoofing atau ARP poisoning.
Dengan ARP Poisoning Anda dapat memanipulasi lalu lintas data dari klien target agar semua paket-paket data klien target melalui komputer anda terlebih dahulu. Mengapa proses ini bisa terjadi?  proses ini dapat terjadi Karena computer anda akan memberi tahu kepada klien target bahwa MAC address komputer (hardware) anda adalah MAC dari komputer server/gateway. Kemudian komputer anda juga akan memberi tahu kepada komputer server/gateway (computer yang dituju klien taget) bahwa MAC address dari klien target adalah MAC address dari computer anda sendiri (sebagai penyerang). Serangan semacam ini disebut dengan Men-in-the-Middle (MITM).
Dengan tipe serangan semacam ini penyerang dapat menyadap semua paket data yang dikirimkan oleh klien target ke server/gateway. MITM ini dapat digunakan untuk mencuri akun (username dan password) dari klien target (komputer target). Sebenarnya banyak tool/aplikasi yang dapat digunakan untuk melakukan ARP pois

Ø DNS Spoofing
merupakan suatu kegiatan untuk mengganti ip yang seharusnya
merujuk kepada nama domain yang sebenarnya.
Langkah-langkah nya adalah sebagai berikut:
1.Click Start->Run->CMD
Tampilan nya adalah sebagai berikut:
2.Ketikan ipconfig/displaydns yang berguna untuk melihat nama domain apa saja yang telah anda buka dan di dalam cmd tersebut pun anda akan melihat ip dari nama domain tersebut.
Tampilan nya adalah sebagai berikut:
3.Ketikan cd\windows\system32\drivers\etc sehingga anda dapat masuk kedalam system 32 dari windows tersebut.
Tampilan nya sebagai berikut:


4.Ketikan Type Hosts pada  Cmd sehingga anda akan tahu dns yang terdapat dalam system 32 anda.
Tampilan nya adalah sebagai berikut:

5.Kemudian langkah terakhir memasukan ip terhadap file hosts yang ada pada system 32.
contoh : setiap ada permintaan terhadap www.facebook akan dialihkan kepada www.google.com.
Langkah-langkah nya adalah sebagai berikut:
1.Lakukan  ping terhadap google.com akan didapat ip sebagai berikut:74.125.127.100.
Tampilan ny adalah sebagai berikut:

2.Lakukan pengetikan di dalam cmd sebagai berikut: echo 74.125.127.100 www.facebook.com >> hosts.yang memiliki arti setiap permintaan nama domain www.facebook.com akan dialihkan ke ip 74.125.127.100 kepunyaan ww.google.com (menggunakan ip google agar lebih spesifik karena google memiliki ip yang lebih dari 1 untuk 1 nama domain maksudnya disini adalah www.google.com,www.google.co.id merujuk ke halaman yang sama).

Tampilan nya adalah sebagai berikut:

Kemudian hasil akhir jika setiap permintaan terhadap www.facebook.com maka akan dialihkan ke www.google.com yang seharusnya tidak memiliki ip google tersebut.(perubahan di sisi file hosts).

Ø PHISING
Adalah metode dimana seorang penyerang membuat sebuah halaman login yang hampir sama dari situs aslinya kemudian mengarahkan korban ke situs palsu tersebut, teknik ini biasanya dibangun dengan membuat halaman login palsu/Fake Login kemudian si korban diarahkan ke alamat web palsu tersebut dengan teknik DNS Poisoning dimana merubah DNS Record dari alamat web yang asli kehalaman palsu yang ia buat..
Pencegahan
Secara garis besar, untuk mencegah teknik ini. kita bisa menggunakan cara pencegahan pada teknik Sniffing

Ø SERANGAN BACK DOOR

Tidak ada komentar:

Posting Komentar

Saran Dan Komentar Anda Sangat Saya Butuhkan,