Port Scanning

Tulisan ini dibuat untuk mata kuliah Keamanan Informasi Lanjut. Kali ini materinya adalah penyerangan (attack) dengan metode port scanning. Tujuan umum dari tugas ini adalah agar kita mempelajari bagaimana caranya memantau jaringan dengan menggunakan beberapa tools. Tujuan yang lebih spesifik lagi adalah agar kita mengetahui cara menggunakan nmap,  cara menggunakan tools untuk sniffer (penyadap), proses port scanning, serta cara kerja jaringan.

Tools yang Digunakan

Berikut ini tools yang saya gunakan dalam simulasi port scanning:

  • Zenmap
    Zenmap digunakan untuk melakukan nmap dari penyerang (attacker) ke target. Sebenarnya menggunakan command prompt saja bisa, namun saya menggunakan tool ini karena pada Zenmap sudah disediakan beberapa pilihan jenis scan. Untuk tiap scan-nya, dituliskan juga syntax nmap yang digunakan. Bagi yang malas/ sulit menghafal syntax, dengan tool ini masalah itu dapat terselesaikan. Pun sebaliknya, bagi yang ingin menghafalkan syntax agar dapat menggunakan command prompt dalam melakukan nmap untuk tujuan tertentu, tool ini pun dapat menjadi alat bantu untuk menghafalkan.
  • Wireshark
    Wireshark digunakan untuk memantau traffic jaringan, sehingga kita dapat juga melihat jalannya port scanning. Disini, Wireshark akan bertindak sebagai penyadap.
  • WinPCap
    WinPcap adalah tool standar yang digunakan pada industri untuk mengakses link-layer network pada lingkungan kerja Windows. WinPCap mengizinkan aplikasi untuk mengambil dan mentransmisikan paket-paket jaringan, serta mendukung kernel-level packet filtering, network statistics engine, dan remote packet capture. Jika kita sudah menginstal wireshark, kita sudah otomatis pula menginstal WinPCap. Namun jika tidak menginstal Wireshark, kita dapat menginstal WinPCap sendiri (tanpa Wireshark).

Aktor

Simulasi port scanning ini dilakukan di laboratorium LSKK, Teknik Elektro, ITB. Adapun komputer yang terlibat dalam simulasi ini dapat dirinci sebagai berikut.

Peran Alamat IP Tool
Penyerang 167.205.66.102 Zenmap
Target 167.205.66.13 WinPCap
Penyadap 167.205.66.105 Wireshark

Secara ilustrasi, skema penyerangan dan penyadapan dapat dilihat pada gambar berikut.

Ilustrasi
Langkah dan Hasil Kerja

Target

Pastikan WinPCap telah terinstal pada komputer target. Setelah terinstal, pada command prompt, buka direktori WinPCap, lalu ketikkan rpcapd -n atau rpcapd. Kegunaan syntax ini adalah menjalankan rpcapd, yaitu daemon yang memungkinkan pihak lain (dalam hal ini penyadap) untuk melihat traffic jaringan yang terjadi pada komputer target. Beda antara rpcapd -n dan rpcapd terlihat pada saat penyadapan. Jika menggunakan rpcapd -n, penyadap hanya perlu memasukkan alamat IP target. Namun jika dituliskan rpcapd saja (tanpa -n), penyadap perlu memasukkan alamat IP serta username dan password komputer target.

Penyerang

Langkah yang ditempuh:

  1. Jalankan Zenmap.
  2. Masukkan alamat IP komputer target pada field Target.
  3. Pilih jenis scan dari combo box Profile. Jika anda prefer menggunakan nmap pada command prompt, anda dapat menyalin teks yang terdapat pada field Command.
  4. Klik scan dan lihat hasilnya pada tab-tab di bawah Command. Berikut ini contoh sebagian hasil nmap menggunakan Zenmap.

Hasil Zenmap 1
Hasil Zenmap 2

Penyadap

Langkah yang ditempuh:

  1. Jalankan Wireshark.
  2. Masuk ke Capture –> Options.
  3. Pengaturan Target
    1. Pada field Interface, ada dua combo box. Untuk combo box kiri, pilih Remote...  Akan muncul tampilan seperti gambar di bawah ini.
      Remote Interface
    2. Isikan field Host dengan alamat IP target penyadapan, kosongkan field Port. Jika komputer target tadi menjalankan rpcapd, pilih Password Authentification dan isi field Username dan Password. Jika menjalankan rpcapd -n, pilih Null Authentification. Klik OK jika sudah selesai.
    3. Pada combo box sebelah kanan, pilih jenis ethernet.
      Capture Options
  4. Pengaturan Penyerang
    1. Klik Capture Filter.
    2. Pilih filter IP Address xxx.xxx.xxx.xxx (di bawah IP Only).  Ganti tulisan pada field Filter name dengan IP Address [alamat IP penyerang]  dan ganti isi field Filter string dengan host [alamat IP penyerang]. Klik OK.
      Capture Filter
  5. Klik Start dan lihat hasilnya. Contoh hasil capture traffic jaringan dapat dilihat pada gambar di bawah ini.
    Captured Data

Analisis Port Scanning

Dengan melihat hasil nmap (baik menggunakan tool khusus maupun command prompt), kita dapat mengetahui port mana dari komputer yang terbuka dan port mana yang tertutup. Namun demikian, proses untuk menemukan port yang terbuka dan tertutup itu tidak ditampilkan. Karena itu, kita perlu melihat hasil scan traffic jaringan.

Dari hasil scan traffic jaringan, bagian mana yang disebut dengan port scanning? Perhatikan gambar di bawah ini.

Port Scanning

Pada gambar tersebut terlihat ada banyak permintaan [SYN] dari 167.205.66.102 ke 167.205.66.13. Itulah yang dinamakan port scanning. Seperti yang pernah dijelaskan pada saat perkuliahan, port scanning dapat diibaratkan kita ingin memasuki sebuah rumah, namun kita mengetuk semua pintu dan jendela yang ada di rumah itu untuk mengetahui mana yang tidak dikunci. Apakah itu wajar? Tentu saja tidak. Karena itulah port scanning dianggap sebagai suatu “ancaman” .

Sekarang perhatikan bagian yang ada di dalam kotak merah muda pada gambar di atas. Pada baris atas terlihat permintaan [SYN] dari 54569 ke microsoft-ds, sementara itu pada baris di bawahnya terlihat balasan [SYN, ACK] dari microsoft-ds ke 54569. Hal ini menandakan bahwa port microsoft-ds (atau port 445 jika dilihat pada keterangan di kotak oranye yang dipanah) terbuka.

Jadi, jika permintaan [SYN] dibalas dengan [SYN, ACK], artinya port sedang dibuka. Namun jika ada permintaan [SYN] dibalas dengan [RST, ACK], berarti port yang di-scan tertutup. Sementara itu, jika ada permintaan [SYN] namun tidak ada balasan, berarti port yang di-scan tidak sedang digunakan oleh komputer.

34 thoughts on “Port Scanning

    • Bisa aja mas, malah gak perlu jalanin rpcapd kalo liatnya dari attacker/ target. Tapi Pak Budi bilangnya gini di Blended Learning:

      Anda diminta untuk memantau jaringan dengan menggunakan program sniffer (tcpdump, wireshark). Salah satu yang harus Anda pantau adalah usaha untuk melakukan port scanning (misalnya dengan menggunakan program nmap). Gunakan sniffer tersebut untuk menunjukkan attack port scanning tersebut.

      Anda bisa menggunakan 3 komputer untuk melakukan hal di atas; (1) penyerang, (2) target (yang diserang), dan (3) pemantau (yang menjalankan sniffer).

      Maen2 ke kampus aja mas, komputernya banyak kan yang gak dipake :)

    • dibiarin aja boleh, dilakukan tindakan lebih lanjut (misalnya ngeblok IP yang melakukan port scanning) juga gapapa..
      yaaa intinya mah, silakan dipergunakan sesuai dengan kebutuhan. :)

    • Di atas kan sudah saya tulis, jika kita menginstal Wireshark, otomatis WinPCap juga terinstal. Jadi, tidak bisa menginstal Wireshark tanpa WinPCap. :)
      Instalasi WinPCap juga kan bukan berarti mengizinkan pihak lain untuk menyerang komputer target. Dengan atau tanpa adanya WinPCap, komputer target tetap dapat diserang. Hanya saja, dengan adanya WinPCap, traffic jaringan yang menuju komputer target dapat dipantau, sehingga jika ada hal-hal yang terindikasi mencurigakan, kita dapat lebih cepat mengambil tindakan.

    • Masa sih? Wireshark gampang kok dapatnya, coba cari di web resmi Wireshark (wireshark.org).
      Kalau yang Zenmap itu sifatnya opsional. Ya kalau mau, bisa coba download yang dari softpedia.com. Tapi tanpa Zenmap sebenarnya juga bisa. Tinggal cari installer nmap (nmap.exe) terus dijalankan via Command Prompt. :)
      NB: semua software-nya gratis

    • Ada paling e-book “Cryptography and Network Security” yang versi tahun 2005. Mau?
      Klo artikel ya search di google aja kan banyak.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s