investor

Home » , , , » Software untuk melihat paket TCP/IP yang lewat dalam jaringan

Software untuk melihat paket TCP/IP yang lewat dalam jaringan

1. Wireshark
Wireshark/Ethereal merupakan salah satu dari sekian banyak tools Network Analyzer yang banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya dan juga merupakan tools andalan Vaksinis (teknisi Vaksincom). Wireshark banyak disukai karena interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis.
Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan yang kita “intip”. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti Windows, Linux, Macintosh, dll.
Pada awal kemunculan dan perkembangan Conficker, tools ini merupakan “pelopor” tools yang digunakan oleh beberapa vendor security untuk menganalisa paket-paket data/informasi dalam jaringan dari serangan Conficker. Anda dapat mendownload wireshark pada alamat http://www.wireshark.org/download.html.
Pada saat instalasi, perhatikan untuk mengaktifkan dan menginstall plugin MATE (Meta Analysis Tracing Engine), karena secara default belum diaktifkan. Plugin ini dapat berfungsi untuk memfilter seluruh paket-paket data dari berbagai protocol yang lewat dalam jaringan. Selain itu dalam proses instalasi juga disertakan WinPcap. Lakukan instalasi WinPcap, WinPcap merupakan driver yang digunakan untuk membaca dan mem-filter lalu lintas paket data/informasi yang lewat.
Untuk penggunaannya cukup mudah, pada saat anda menjalankan Wireshark, pilih saja tab Capture kemudian pilih list Interfaces. Pada pilihan capture interfaces, pilih yang sesuai dengan jaringan LAN/Ethernet card anda kemudian klik tombol start. Wireshark juga memiliki kemampuan untuk melakukan scan komputer antar segmen.
Untuk deteksi Conficker, lakukan filter dengan protocol NBNS (NetBIOS Name Service) kemudian perhatikan info yang diberikan, umumnya NBNS akan membaca hostname komputer tetapi jika NBNS membaca selain hostname komputer dalam hal ini adalah domain-domain yang dituju oleh Conficker, maka source IP tersebut merupakan komputer yang terinfeksi dan berusaha untuk menyebarkan dan mengupdate dirinya.
2. Nmap
Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif pada port yang lebih spesifik.
Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Hebatnya lagi, tidak seperti Wireshark, Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih memiliki celah keamanan yang dapat dieksploitasi oleh Conficker.
Selain itu, Nmap juga memiliki satu keunggulan yang mungkin membuat administrator jaringan besar jatuh cinta, ia dapat melakukan scanning komputer antar segmen.
Terhadap kemunculan dan perkembangan Conficker, Nmap dengan bantuan source code dari Tillman Werner dan Felix Leder dari The Honeynet Project, telah merilis versi baru dengan tambahan fitur deteksi terhadap komputer yang terinfeksi Conficker. Anda dapat mendownload versi terbaru pada alamat http://nmap.org/download.html.
Proses instalasi Nmap cukup mudah, sama halnya seperti wireshark, Nmap juga melakukan instalasi terhadap WinPcap (jika belum terinstall). Jika sudah terinstall WinPcap, biasanya akan terjadi error dan proses instalasi WinPcap sebaiknya di lewatkan saja.
Untuk penggunaannya, baik mode console maupun GUI, kita tetap menggunakan perintah command. Penggunaan command untuk mendeteksi Conficker ada 2 cara :
Scan jaringan dengan membaca port 139 & 445 (lebih cepat) :
  • nmap -p 139,445 -T4 –script p2p-conficker,smb-os-discovery,smb-check-vulns –script-args checkconficker=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1…..)
  • Scan jaringan dengan membaca seluruh port yang digunakan Conficker (agak lambat) :
  • nmap -p – -T4 –script p2p-conficker,smb-os-discovery,smb-check-vulns –script-args checkall=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1….)
3. Retina Network Security Scanner (Conficker Worm)
Walaupun agak terlambat dan diluncurkan menjelang 1 April 2009, sebagai salah satu vendor keamanan komputer, eEye Digital Security juga ikut meluncurkan tools khusus dan gratis untuk mendeteksi keberadaan Conficker dalam jaringan. Tools ini didesain untuk mendeteksi keberadaan Conficker dan sekaligus mendeteksi vulnerability windows tersebut dari celah keamanan Windows Server Service (patch MS08-067). Anda dapat mendownload tools ini pada alamat http://www.eeye.com/html/downloads/other/ConfickerScanner.html.
Proses instalasi sangat mudah dan cepat, anda cukup menjalankan file instalasi yang dilanjutkan perintah-perintah selanjutnya hingga selesai.
Bagi pengguna umum, tools Retina dari Eeye relatif lebih mudah dibandingkan Wireshark dan Nmap, saat anda menjalankan tools ini anda dapat langsung memilih target yang diinginkan baik single IP maupun dengan range IP. Jika sudah, anda dapat langsung klik tombol scan.
Jika sudah selesai akan muncul box pesan tanda selesai. Hasil dari scan tersebut terdapat 4 kategori yaitu :
  • Not Tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)
  • Infected (komputer terdeteksi terinfeksi Conficker)
  • Patched (komputer bersih dan sudah di patch MS08-067)
  • Vulnerable (komputer bersih tetapi belum di patch, rawan terinfeksi Conficker)
Sayangnya tools ini hanya membaca port 139 dan 445, sehingga sangat sulit jika komputer yang terinfeksi tidak mengaktifkan port tersebut (File and Printer Sharing). Selain itu, Retina tidak dapat melakukan scanning antar segmen dan juga tidak memantau port 1024 – 10.000 yang di eksploitasi oleh Conficker.
4. SCS (Simple Conficker Scanner)
Tools simple dan canggih buatan Tillman Werner dan Felix Leder dari The Honeynet Project, yang pada saat awal diluncurkan banyak digunakan oleh Vaksincom untuk mendeteksi IP – IP ISP Indonesia yang terinfeksi Conficker ini menjadi rujukan beberapa vendor untuk membuat tools sejenis.
Mereka membuat tools conficker network scanner dari bahasa Python yang kemudian beserta source code-nya dipublish secara bebas. Tercatat beberapa vendor seperti Nmap, eEye dan Foundstone menggunakan source code yang kemudian di compile dan dijadikan plugin tools masing-masing vendor untuk digunakan mendeteksi conficker.
Tools ini dapat didownload pada alamat http://www.4shared.com/get/95921961/d7727fab/scs.html .
SCS tidak perlu diinstall, anda hanya perlu akstrak pada folder/drive yang anda tentukan saja. Tetapi untuk menjalankan SCS anda perlu meng-install Nmap. Hal ini dikarenakan SCS membutuhkan driver paket monitoring data.
Untuk penggunaannya, SCS menggunakan mode console atau command prompt. Pada mode command prompt, pindah pada folder scs kemudian ketik perintah berikut :
  • “scs [IP_Awal] [IP Akhir]” , contoh : C:\scs>scs 192.168.1.1 192.168.1.255
Sama seperti Retina, SCS hanya membaca port 139 dan 445 saja.
5. Conficker Detection Tool (MCDT)
Melalui salah satu divisi-nya yaitu Foundstone, McAfee ikut merilis salah satu tools network untuk mendeteksi keberadaan conficker. Tools yang juga menggunakan source dari Tillman Werner dan Felix Leder dari The Honeynet Project, merupakan pengembangan dari team Foundstone yang didesain untuk mendeteksi keberadaan komputer yang terinfeksi conficker, dan telah dipublish secara gratis. Anda dapat mendownload pada alamat http://www.mcafee.com/us/enterprise/confickertest.html .
Tools ini tidak perlu diinstall, anda hanya perlu ekstrak pada direktori / drive yang anda tentukan saja.
Untuk penggunaannya pun cukup mudah, saat anda menjalankan tools ini anda dapat langsung memilih range target yang diinginkan. Bahkan anda dapat melakukan scanning jika terdapat beberapa segmen pada jaringan komputer anda, hal ini yang tidak terdapat pada Retina.
Tetapi sayangnya tools ini tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang di eksploitasi Conficker seperti Nmap dan Retina. Berbeda dengan Retina, tools ini memiliki 3 kategori hasil scan yaitu :
  • INFECTED (komputer terinfeksi conficker)
  • Not infected (komputer bersih atau tidak terinfeksi)
  • Not tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)
Sama seperti halnya Retina dan SCS, tool ini hanya membaca port 139 dan 445 (File Printer Sharing) dan tidak melakukan pemantauan atas port 1024 – 10.000 yang di eksploitasi oleh Conficker.
Hasil Perbandingan…..
Dari beberapa tools tersebut, kami me-review dan membuat tabel perbandingan-nya sebagai berikut (klik untuk memperbesar):

Dari hasil pengujian yang dilakukan oleh lab Vaksincom, terlihat bahwa tidak ada tools yang sempurna. Masing-masing tools memiliki kelebihan dan kekurangannya masing-masing.
Nmap walaupun memiliki fitur yang paling lengkap tetapi memiliki kelemahan pada sisi penggunaan yang masih menggunakan command dan kecepatan scan yang lambat dibanding tools yang lain. Sementara MCDT merupakan tools yang sangat simple tanpa instalasi serta proses scan cukup cepat memilki kelemahan tidak dapat berfungsi dengan baik jika port 445 ditutup/disable (File and Printer Sharing di non aktifkan) dan tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang dieksploitasi oleh Conficker.
Download pdfnya disini
Share this article :

0 comments:

Post a Comment

No Sara
No Spam
Add Facebook http://www.facebook.com/lesmanaadiputra
follow twitter @lesmanaadiputra

Translate

mohon klik salah satu iklan saya

Dock Content put in here

Categories

[Pasang Widget] | [tutup]
laksamana lesmana. Powered by Blogger.

Followers

 
Support : Your Link | Your Link | Your Link
Copyright © 2013. LAKSAMANA LESMANA - All Rights Reserved
Template Created by Creating Website Published by Mas Template
Proudly powered by Blogger