Mendeteksi Port Scanning

Pada percobaan kali ini kita akan mencoba untuk mendeteksi port scanning yang dilakukan oleh sebuah komputer terhadap komputer lain menggunakan komputer lain yang terhubung pada network yang sama.

Pada skenario ini akan digunakan tiga komputer yang berbeda, dengan satu komputer sebagai port scanner dan dua komputer lain sebagai korban port scanning sekaligus sniffer yang akan mencoba untuk mendeteksi adanya usaha untuk port scanning.  Untuk melakukan simulasi tersebut, saya menggunakan satu buah PC Windows 7 dengan Oracle Virtualbox, digunakan dua buah Ubuntu 11.10 32-bit yang dijalankan dalam virtual machine.

Yaitu pada skenario ini sebuah komputer A melakukan port scanning terhadap komputer B, dan komputer C, sedangkan komputer B tersebut akan mencoba untuk mendeteksi port scanning tersebut.

Untuk virtualisasi, saya menggunakan Oracle VM Virtualbox karena selain gratis juga handal dan dapat digunakan untuk beragam situasi network.

Agar Host dan Guest dapat saling menemukan alamat IP masing-masing, maka setting network pada virtual machine harus diset pada Bridged Adapter, kemudian dalam masing-masing OS dilakukan setting IP Address dalam subnet yang sama.

Seperti yang dapat dilihat pada gambar dibawah ini, berikut adalah penjabaran alamat IP masing-masing :

  1. Komputer A (Ubuntu32 VM) 167.205.56.153
  2. Komputer B (Windows 7 host) 167.205.56.183
  3. Komputer C (Ubuntu32_2 VM) 167.205.56.151

Pada skenario ini, Komputer A menggunakan nmap untuk melakukan port scanning sedangkan komputer B menggunakan wireshark sebagai sniffer dan komputer C menggunakan tcpdump.

Dikarenakan seorang admin mungkin menangani sebuah jaringan dengan banyak komputer yang terhubung serta bandwidth data yang besar yang bertransaksi diantaranya, sekilas output dari wireshark yang tidak menggunakan filter susah digunakan sebagai alat untuk mendeteksi adanya upaya port scanning.

Dengan menggunakan konsep/strategi bahwa tools port scanning seperti nmap akan mengirimkan sebuah request ping ke tujuan korbannya, kita dapat mengeset sebuah filter pada alat sniffing seperti wireshark untuk hanya menampilkan packet ping. Kemudian setelah kita mendapatkan ada sebuah usaha ping, maka bisa ditelusuri apakah alamat tujuan ping tersebut dibombardir oleh packet tcp dengan port yang berbeda-beda atau tidak, jika ternyata tujuan tersebut dibombardir, berarti ada usaha untuk melakukan port scanning. Strategi ini hanya berlaku seandainya pelaku port scanning tidak menggunakan options pada nmap dan akan berakibat pada “ping scanning” dilakukan secara default atau seandainya pelaku menggunakan option -sP secara explicit yang akan menyalakan fitur  “ping scanning”.

Agar sebuah program sniffer dapat berjalan dengan baik, maka program tersebut harus mendapatkan aliran semua traffic dari network tersebut, untuk itu sebaiknya sniffer dipasang pada router atau gateway, dsb. Pada percobaan kali ini, dikarenakan semua komputer host maupun VM terhubung pada network card yang sama, maka wireshark pada host pada umumnya akan mendetect komunikasi diantaranya (seperti sebuah gateway, router, proxy).

Pada gambar dibawah ini, bisa dilihat program wireshark saat dijalankan dengan filter echo (ping) yang merupakan ICMP (Internet Control Message Protocol) tipe 8 (delapan). Dengan menggunakan filter tersebut, saat tidak ada yang mencoba untuk melakukan port scanning, wireshark tidak akan menampilkan apa-apa.

Dengan melakukan nmap pada komputer A terhadap komputer C maka akan didapatkan keterangan bahwa semua 1000 port yang discan pada komputer C ditutup. Hal tersebut memang benar karena saya tidak menyalakan services apapun pada Ubuntu VM 2.

Saat komputer A mencoba untuk melakukan port scanning ke komputer C, maka wireshark pada komputer B akan mendeteksi adanya ping dari komputer A ke C.

Kemudian seorang sysadmin dapat mengecek apakah ping tersebut adalah usaha untuk melakukan port scanning atau tidak dengan mengecek apakah ada kiriman paket-paket tcp dengan beragam port dari komputer A ke C.

Ternyata setelah dicek, ada serangkaian bombardir paket tcp ke berbagai port yang berbeda oleh komputer A (167.205.56.153) ke komputer B (167.205.56.151). Hal yang sama juga akan terjadi saat komputer A melakukan port scanning terhadap windows 7 yang merupakan host. Saat komputer A melakukan port scanning, ia akan menemukan beberapa port yang terbuka karena saya mematikan firewall dan menyalakan services pada OS tersebut.

Sama seperti sebelumnya, akan muncul tanda bahwa ada sebuah ping dari komputer A ke C.

Kemudian setelah ditelusuri, ternyata ada usaha bombardir paket TCP pada beberapa port yang berbeda.

Dengan demikian, maka diatas telah dipaparkan bagaimana sebuah komputer dapat digunakan untuk mendeteksi adanya usaha port scanning pada dirinya sendiri, maupun terhadap komputer lain yang trafficnya melalui komputer tersebut (router, gateway, proxy).

Advertisement
2011
12/08
CATEGORY
Uncategorized
Write comment

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Cancel

Connecting to %s

Recent entry

Archive

Category

Follow

Get every new post delivered to your Inbox.