Upload
lykhanh
View
225
Download
1
Embed Size (px)
Citation preview
1. Pendahuluan
Pada tugas akhir ini akan dibahas mengenai hal-hal yang berhubungan
dengan port serta port scan. Diawali dengan pemaparan proses hacking sebagai
dasar pengetahuan karakter hacking, kemudian dilanjutkan pengertian port
number dan jenis scanning. Setelah dasar pengertian masalah yang berhubungan
dengan port diurai, maka dilanjutkan mengulas macam-macam tool untuk port
scanning serta hasil yang diharapkan dari port scanning tersebut. Untuk lebih
jelasnya pembahasan diteruskan dengan aplikasi praktis tools port scanning.
Setelah lengkap pembahasan port dan proses pengeksplotasiannya, paparan
diakhiri dengan pembahasan tool yang dapat menjaga system jaringan dari adanya
port scanning.
2. Proses Hacking
Hacking merupakan ‘seni’ tersendiri yang melibatkan proses mencari
serpihan-serpihan informasi yang bertebaran di mana-mana dan seolah-olah tidak
ada hubungannya satu sama lainnya. Menurut pakar keamanan jaringan Budi
Rahardjo antara Hacker, Cracker dan Security Professional perbedaannya sangat
tipis, karna sama-sama menggunakan tools yang sama, hanya perbedaannya pada
itikad dan cara pandang (view) terhadap berbagai hal, misalnya mengenai kegiatan
probing / (port) scanning sistem orang lain dapat dilegalkan atau tidak.
Adapun untuk memberi gambaran tentang keseluruhan proses hacking, di
bawah ini disajikan langkah-langkah logisnya.
2.1. Footprinting. Mencari rincian informasi terhadap sistemsistem untuk
dijadikan sasaran, mencakup pencarian informasi dengan search engine,
whois, dan DNS zone transfer.
Pada tahap 1 (footprinting), hacker baru mencari-cari sistem mana yang
dapat disusupi. Footprinting merupakan kegiatan pencarian data berupa:
• Menentukan ruang lingkup (scope) aktivitas atau serangan
• Network enumeration
• Interogasi DNS
• Mengintai jaringan
Semua kegiatan ini dapat dilakukan dengan tools dan informasi yang tersedia
bebas di Internet. Kegiatan footprinting ini diibaratkan mencari informasi yang
tersedia umum melalui buku telepon. Tools yang tersedia untuk ini di
Port Scan 1
antaranya
• Teleport Pro: Dalam menentukan ruang lingkup, hacker dapat men-download
keseluruhan situs-situs web yang potensial dijadikan sasaran untuk dipelajari
alamat, nomor telepon, contact person, dan lain seagainya.
• Whois for 95/9/NT: Mencari informasi mengenai pendaftaran domain yang
digunakan suatu organisasi. Di sini ada bahaya laten pencurian domain
(domain hijack).
• NSLookup: Mencari hubungan antara domain name dengan IP address.
• Traceroute 0.2: Memetakan topologi jaringan, baik yang menuju sasaran
maupun konfigurasi internet jaringan sasaran.
2.2. Scanning. Terhadap sasaran tertentu dicari pintu masuk yang paling
mungkin. Digunakan ping sweep dan port scan.
Tahap 2 atau scanning lebih bersifat aktif terhadap sistem-sistem sasaran. Di
sini diibaratkan hacker sudah mulai mengetuk-ngetuk dinding sistem sasaran
untuk mencari apakah ada kelemahannya. Kegiatan scanning dengan demikian
dari segi jaringan sangat 'berisik' dan mudah dikenali oleh sistem yang
dijadikan sasaran, kecuali menggunakan stealth scanning. Scanning tool yang
paling legendaris adalah nmap (yang kini sudah tersedia pula untuk Windows
9x/ME maupun DOS), selain SuperScan dan UltraScan yang juga banyak
digunakan pada sistem Windows. Untuk melindungi diri anda dari kegiatan
scanning adalah memasang firewall seperti misalnya Zone Alarm, atau bila
pada keseluruhan network, dengan menggunakan IDS (Intrusion Detection
System) seperti misalnya Snort.
2.3. Enumeration. Telaah intensif terhadap sasaran, yang mencari user account
absah, network resource and share, dan aplikasi untuk mendapatkan mana
yang proteksinya lemah.
Tahap 3 atau enumerasi sudah bersifat sangat intrusif terhadap suatu sistem.
Di sini penyusup mencari account name yang absah, password, serta share
resources yang ada. Pada tahap ini, khusus untuk sistem-sistem Windows,
terdapat port 139 (NetBIOS session service) yang terbuka untuk resource
sharing antar-pemakai dalam jaringan. Anda mungkin berpikir bahwa hard
disk yang di-share itu hanya dapat dilihat oleh pemakai dalam LAN saja.
Kenyataannya tidak demikian. NetBIOS session service dapat dilihat oleh
siapa pun yang terhubung ke Internet di seluruh dunia! Tools seperti Legion,
Port Scan 2
SMBScanner , atau SharesFinder membuat akses ke komputer orang menjadi
begitu mudah (karena pemiliknya lengah membuka resource share tanpa
password).
2.4. Gaining Access. Mendapatkan data lebih banyak lagi untuk mulai mencoba
mengakses sasaran. Meliputi mengintip dan merampas password, menebak
password, serta melakukan buffer overflow.
Tahap 4 atau gaining access adalah mencoba mendapatkan akses ke dalam
suatu sistem sebagai user biasa. Ini adalah kelanjutan dari kegiatan enumerasi,
sehingga biasanyadi sini penyerang sudah mempunyai paling tidak user
account yang absah, dan tinggal mencari passwordnya
saja. Bila resource share-nya diproteksi dengan password, maka password ini
dapat saja ditebak (karena banyak yang menggunakan password sederhana
dalam melindungi komputernya). Menebaknya dapat secara otomatis melalui
dictionary attack (mencobakan kata-kata dari kamus sebagai password) atau
brute-force attack (mencobakan kombinasi semua karakter sebagai password).
Dari sini penyerang mungkin akan berhasil memperoleh logon
sebagai user yang absah.
2.5. Escalating Privilege. Bila baru mendapatkan user password di tahap
sebelumnya, di tahap ini diusahakan mendapat privilese admin jaringan
dengan password cracking atau exploit sejenis getadmin, sechole, atau
lc_messages.
Tahap 5 atau Escalating Privilege mengasumsikan bahwa penyerang sudah
mendapatkan logon access pada sistem sebagai user biasa. Penyerang kini
berusaha naik kelas menjadi admin (pada
sistem Windows) atau menjadi root (pada sistem Unix/Linux). Teknik yang
digunakan sudah tidak lagi dictionary attack atau brute-force attack yang
memakan waktu itu, melainkan mencuri password file yang tersimpan dalam
sistem dan memanfaatkan kelemahan sistem. Pada sistem Windows 9x/ME
password disimpan dalam file .PWL sedangkan pada Windows NT/2000
dalam file .SAM. Bahaya pada tahap ini bukan hanya dari penyerang di luar
sistem, melainkan lebih besar lagi bahayanya adalah 'orang dalam' yaitu user
absah dalam jaringan itu sendiri yang berusaha 'naik kelas' menjadi admin atau
root.
Port Scan 3
2.6. Pilfering. Proses pengumpulan informasi dimulai lagi untuk mengidentifikasi
mekanisme untuk mendapatkan akses ke trusted system. Mencakup evaluasi
trust dan pencarian cleartext password di regiatry, config file, dan user data.
2.7. Covering Tracks. Begitu kontrol penuh terhadap system diperoleh, maka
menutup jejak menjadi prioritas.Meliputi membersihkan network log dan
penggunaan hide toolseperti macam-macam rootkit dan file streaming.
2.8. Creating Backdoors. Pintu belakang diciptakan pada berbagai bagian dari
sistem untuk memudahkan masuk kembali ke sistem ini dengan cara
membentuk user account palsu,menjadwalkan batch job, mengubah startup
file, menanamkan service pengendali jarak jauh serta monitoring tool, dan
menggantikan aplikasi dengan trojan.
Pada tahap 6, 7, dan 8 penyerang sudah berada dan menguasai suatu sistem
dan kini berusaha untuk mencari informasi lanjutan (pilfering), menutupi jejak
penyusupannya (covering tracks), dan menyiapkan pintu belakang (creating
backdoor) agar lain kali dapat dengan mudah masuk lagi ke dalam sistem.
Adanya Trojan pada suatu sistem berarti suatu sistem dapat dengan mudah
dimasuki penyerang tanpa harus bersusah payah melalui tahapan-tahapan di
atas, hanya karena kecerobohan pemakai komputer itu sendiri.
2.9. Denial of Service. Bila semua usaha di atas gagal, penyerang dapat
melumpuhkan sasaran sebagai usaha terakhir. Meliputi SYN flood, teknik-
teknik ICMP, Supernuke, land/latierra, teardrop, bonk, newtear, trincoo, dan
lain-lain.
Terakhir, denial of service, bukanlah tahapan terakhir,melainkan kalau
penyerang sudah frustrasi tidak dapat masuk ke dalam sistem yang kuat
pertahanannya, maka yang dapat dilakukannya adalah melumpuhkan saja
sistem itu dengan menyerangnya menggunakan paket-paket data yang bertubi-
tubi sampai sistem itu crash. Denial of service attack sangat sulit dicegah,
sebab memakan habis bandwidth yang digunakan untuk suatu situs.
Pencegahannya harus melibatkan ISP yang bersangkutan. Para script kiddies
yang pengetahuan hacking-nya terbatas justru paling gemar melakukan
kegiatan yang sudah digolongkan tindakan kriminal di beberapa negara ini.
Port Scan 4
Pengertian Land attack (Hacking + Hacker)
Land attack merupakan serangan kepada sistem dengan menggunakan program yang bernama “land”. Apabila serangan diarahkan kepada sistem Windows 95, maka sistem yang tidak diproteksi akan menjadi hang (dan bisa keluar layar biru). Demikian pula apabila serangan diarahkan ke beberapa jenis UNIX versi lama, maka sistem akan hang. Jika serangan diarahkan ke sistem Windows NT, maka sistem akan sibuk dengan penggunaan CPU mencapai 100% untuk beberapa saat sehingga sistem terlihat seperti macet. Dapat dibayangkan apabila hal ini dilakukan secara berulang-ulang.
Serangan land ini membutuhkan nomor IP dan nomor port dari server yang dituju. Untuk sistem Windows, biasanya port 139 yang digunakan untuk menyerang.
Program land menyerang server yang dituju dengan mengirimkan packet palsu yang seolah-olah berasal dari server yang dituju. Dengan kata lain, source dan destination dari packet dibuat seakanakan berasal dari server yang dituju. Akibatnya server yang diserang menjadi bingung.
Serangan kepada sistem dengan menggunakan program yang bernama “land”. Apabila serangan diarahkan kepada sistem Windows, maka sistem yang tidak diproteksi akan menjadi hang (dan bisa keluar layar biru). Demikian pula apabila serangan diarahkan ke sistem UNIX versi lama, maka sistem akan hang. Jika serangan diarahkan ke sistem Windows NT, maka sistem akan sibuk dengan penggunaan CPU mencapai 100% untuk beberapa saat sehingga sistem terlihat seperti macet. Program land menyerang server yang dituju dengan mengirimkan packet palsu yang seolah-olah berasal dari server yang dituju. Dengan kata lain, source dan destination dari packet dibuat seakan-akan berasal dari server yang dituju. Akibatnya server yang diserang menjadi bingung.
* Land Attack � dalam Land attack � gabungan sederhana dari SYN attack � hacker membanjiri jaringan dengan paket TCP SYN dengan alamat IP sumber dari sistem yang di serang. Biarpun dengan perbaikan SYN attack di atas, Land attack ternyata menimbulkan masalah pada beberapa sistem. Serangan jenis ini relatif baru, beberapa vendor sistem operasi telah menyediakan perbaikannya. Cara lain untuk mempertahankan jaringan dari serangan Land attack ini adalah dengan memfilter pada software firewall anda dari semua paket yang masuk dari alamat IP yang diketahui tidak baik. Paket yang dikirim dari internal sistem anda biasanya tidak baik, oleh karena itu ada baiknya di filter alamat 10.0.0.0-10.255.255.255, 127.0.0.0-127.255.255.255, 172.16.0.0-172.31.255.255, dan 192.168.0.0-192.168.255.255.
* Ping of Death menggunakan program utility ping yang ada di sistem operasi komputer. Biasanya ping digunakan untuk men-cek berapa waktu yang dibutuhkan
Port Scan 5
untuk mengirimkan sejumlah data tertentu dari satu komputer ke komputer lain. Panjang maksimum data yang dapat dikirim menurut spesifikasi protokol IP adalah 65,536 byte. Pada Ping of Death data yang dikirim melebihi maksimum paket yang di ijinkan menurut spesifikasi protokol IP. Konsekuensinya, pada sistem yang tidak siap akan menyebabkan sistem tersebut crash (tewas), hang (bengong) atau reboot (booting ulang) pada saat sistem tersebut menerima paket yang demikian panjang. Serangan ini sudah tidak baru lagi, semua vendor sistem operasi telah memperbaiki sistem-nya untuk menangani kiriman paket yang oversize.
Teardrop � teknik ini dikembangkan dengan cara mengeksplotasi proses disassembly-reassembly paket data. Dalam jaringan Internet, seringkali data harus di potong kecil-kecil untuk menjamin reliabilitas & proses multiple akses jaringan. Potongan paket data ini, kadang harus dipotong ulang menjadi lebih kecil lagi pada saat di salurkan melalui saluran Wide Area Network (WAN) agar pada saat melalui saluran WAN yang tidak reliable proses pengiriman data menjadi lebih reliable. Pada proses pemotongan data paket yang normal setiap potongan di berikan informasi offset data yang kira-kira berbunyi �potongan paket ini merupakan potongan 600 byte dari total 800 byte paket yang dikirim�. Program teardrop akan memanipulasi offset potongan data sehingga akhirnya terjadi overlapping antara paket yang diterima di bagian penerima setelah potongan-potongan paket ini di reassembly. Seringkali, overlapping ini menimbulkan system yang crash, hang & reboot di ujung sebelah sana.
* UDP Flood pada dasarnya mengkaitkan dua (2) sistem tanpa disadarinya.
Dengan cara spoofing, User Datagram Protocol (UDP) flood attack akan menempel pada servis UDP chargen di salah satu mesin, yang untuk keperluan �percobaan� akan mengirimkan sekelompok karakter ke mesin lain, yang di program untuk meng-echo setiap kiriman karakter yang di terima melalui servis chargen. Karena paket UDP tersebut di spoofing antara ke dua mesin tersebut, maka yang terjadi adalah banjir tanpa henti kiriman karakter yang tidak berguna antara ke dua mesin tersebut. Untuk menanggulangi UDP flood, anda dapat men-disable semua servis UDP di semua mesin di jaringan, atau yang lebih mudah memfilter pada firewall semua servis UDP yang masuk. Karena UDP dirancang untuk diagnostik internal, maka masih aman jika menolak semua paket UDP dari Internet. Tapi jika kita menghilangkan semua trafik UDP, maka beberapa aplikasi yang betul seperti RealAudio, yang menggunakan UDP sebagai mekanisme transportasi, tidak akan jalan.
SYN Attack- kelemahan dari spesifikasi TCP/IP, dia terbuka terhadap serangan paket SYN. Paket SYN dikirimkan pada saat memulai handshake (jabat tangan) antara dia aplikasi sebelum transaksi / pengiriman data dilakukan. Pada kondisi normal, aplikasi klien akan mengirimkan paket TCP SYN untuk mensinkronisasi paket pada aplikasi di server (penerima). Server (penerima) akan mengirimkan respond berupa acknowledgement paket TCP SYN ACK. Setelah paket TCP SYN ACK di terima dengan baik oleh klien (pengirim), maka klien (pengirim) akan mengirimkan paket ACK sebagai tanda transaksi pengiriman / penerimaan data akan
Port Scan 6
di mulai. Dalam serangan SYN flood (banjir paket SYN), klien akan membanjiri server dengan banyak paket TCP SYN. Setiap paket TCP SYN yang dikirim akan menyebabkan server menjawab dengan paket TCP SYN ACK. Server (penerima) akan terus mencatat (membuat antrian backlog) untuk menunggu responds TCP ACK dari klien yang mengirimkan paket TCP SYN. Tempat antrian backlog ini tentunya terbatas & biasanya kecil di memori. Pada saat antrian backlog ini penuh, sistem tidak akan merespond paket TCP SYN lain yang masuk dalam bahasa sederhana-nya sistem tampak bengong / hang. Sialnya paket TCP SYN ACK yang masuk antrian backlog hanya akan dibuang dari backlog pada saat terjadi time out dari timer TCP yang menandakan tidak ada responds dari klien pengirim. Biasanya internal timer TCP ini di set cukup lama. Kunci SYN attack adalah dengan membanjiri server dengan paket TCP SYN menggunakan alamat IP sumber (source) yang kacau. Akibatnya, karena alamat IP sumber (source) tersebut tidak ada, jelas tidak akan ada TCP ACK yang akan di kirim sebagai responds dari responds paket TCP SYN ACK. Dengan cara ini, server akan tampak seperti bengong & tidak memproses responds dalam waktu yang lama. Berbagai vendor komputer sekarang telah menambahkan pertahanan untuk SYN attack ini & juga programmer firewall juga menjamin bahwa firewall mereka tidak mengirimkan packet dengan alamat IP sumber (source) yang kacau.
* Smurf Attack - jauh lebih menyeramkan dari serangan Smurf di cerita kartun. Smurf attack adalah serangan secara paksa pada fitur spesifikasi IP yang kita kenal sebagai direct broadcast addressing. Seorang Smurf hacker biasanya membanjiri router kita dengan paket permintaan echo Internet Control Message Protocol (ICMP) yang kita kenal sebagai aplikasi ping. Karena alamat IP tujuan pada paket yang dikirim adalah alamat broadcast dari jaringan anda, maka router akan mengirimkan permintaan ICMP echo ini ke semua mesin yang ada di jaringan. Kalau ada banyak host di jaringan, maka akan terhadi trafik ICMP echo respons & permintaan dalam jumlah yang sangat besar. Lebih sial lagi jika si hacker ini memilih untuk men-spoof alamat IP sumber permintaan ICMP tersebut, akibatnya ICMP trafik tidak hanya akan memacetkan jaringan komputer perantara saja, tapi jaringan yang alamat IP-nya di spoof jaringan ini di kenal sebagai jaringan korban (victim). Untuk menjaga agar jaringan kita tidak menjadi perantara bagi serangan Smurf ini, maka broadcast addressing harus di matikan di router kecuali jika kita sangat membutuhkannya untuk keperluan multicast, yang saat ini belum 100% di definikan. Alternatif lain, dengan cara memfilter permohonan ICMP echo pada firewall. Untuk menghindari agar jaringan kita tidak menjadi korban Smurf attack, ada baiknya kita mempunyai upstream firewall (di hulu) yang di set untuk memfilter ICMP echo atau membatasi trafik echo agar presentasinya kecil dibandingkan trafik jaringan secara keseluruhan.
3. Port Number
Istilah port number bagi pengguna Internet tentu bukan hal yang asing lagi
karena begitu sering dipakai pada saat mengakses layanan yang ada di Internet.
Misalnya port 194 dipakai untuk protokol IRC, port 1080 untuk SOCKS (proxy
IRC), port 21 untuk FTP, port 80 atau 8080 untuk HTTP (WWW), port 25 untuk
Port Scan 7
SMTP (E-mail), port 22 untuk SSH (Secure Shell), 110 untuk pop server dan port
23 untuk Telnet.
Internet Assigned Numbers Authority (IANA) yang merupakan sub dari
Internet Architecture Board (IAB)—sebuah badan koordinasi dan penasihat teknis
bagi masyarakat pengguna Internet, membagi port number ke dalam tiga jarak
(range).3.1 Well Known Port Numbers adalah sebutan untuk range pertama port
number, yang terdiri dari port 0-1023.
3.2 Registered Port Numbers adalah sebutan untuk range kedua dari port
number, yang terdiri dari port 1024-49151.
3.3 Dynamic Ports atau Private Ports adalah sebutan untuk range ketiga dari
port number, yang terdiri dari port 49152-65535.
Adapun nomor port beserta keterangannya secara rinci terdapat pada
lampiran.
4. Jenis Scanning
Port Scan adalah awal dari masalah besar yang akan datang melalui
jaringan, untuk itu perlu mendeteksi adanya Port Scan. Port Scan merupakan awal
serangan dan hasil Port Scan membawa beberapa informasi kritis yang sangat
penting untuk pertahanan mesin & sumber daya yang kita miliki. Keberhasilan
untuk menggagalkan Port Scan akan menyebabkan tidak berhasilnya memperoleh
informasi strategis yang dibutuhkan sebelum serangan yang sebetulnya dilakukan.
Salah satu pionir dalam mengimplementasikan teknik port scanning adalah
Fyodor. Ia memasukkan berbagai teknik scanning kedalam karyanya yang amat
terkenal: nmap. Di bawah ini disajikan teknik-teknik port scanning yang ada.
4.1 TCP connect scan
Jenis scan ini konek ke port sasaran dan menyelesaikan three-way
handshake (SYN, SYN/ACK, dan ACK). Scan jenis ini mudah terdeteksi oleh
sistem sasaran.
4.2 TCP SYN scan
Port Scan 8
Teknik ini dikenal sebagai half-opening scanning karena suatu koneksi
penuh TCP tidak sampai terbentuk. Sebaliknya, suatu paket SYN dikirimkan
ke port sasaran. Bila SYN/ACK diterima dari port sasaran, kita dapat
mengambil kesimpulan bahwa port itu berada dalam status LISTENING.
Suatu RST/ACT akan dikirim oleh mesin yang melakukan scanning sehingga
koneksi penuh tidak akan terbentuk. Teknik ini bersifat siluman dibandingkan
TCP connect penuh, dan tidak aka tercatat pada log sistem sasaran.
4.3 TCP FIN scan
Teknik ini mengirim suatu paket FIN ke port sasaran. Berdasarkan RFC
793, sistem sasaran akan mengirim balik suatu RST untuk setiap port yang
tertutup. Teknik ini hanya dapat dipakai pada stack TCP/IP berbasis UNIX.
4.4 TCP Xmas Tree scan
Teknik ini mengirimkan suatu paket FIN, URG, dan PUSH ke port
sasaran. Berdasarkan RFC 793, sistem sasaran akan mengembalikan suatu
RST untuk semua port yang tertutup.
4.5 TCP Null scan
Teknik ini membuat off semua flag. Berdasarkan RFC 793, sistem
sasaran akan mengirim balik suatu RST untuk semua port yang terturup.
4.6 TCP ACK scan
Teknik ini digunakan untuk memetakan set aturan firewall. Dapat
membantu menentukan apakah firewall itu merupakan suatu simple packet
filter yang membolehkan hanya koneksi-koneksi tertentu (koneksi dengan bit
set ACK) atau suatu firewall yang menjalankan advance packet filtering.
4.7 TCP Windows scan
Teknik ini dapat mendeteksi port-port terbuka maupun terfilter/tidak
terfilter pada sistem-sistem tertentu (sebagai contoh, AIX dan FreeBSD)
sehubungan dengan anomali dari ukuran windows TCP yang dilaporkan.
4.8 TCP RPC scan
Teknik ini spesifik hanya pada system UNIX dan digunakan untuk
mendeteksi dan mengidentifikasi port RPC (Remote Procedure Call) dan
program serta normor versi yang berhubungan dengannya.
4.9 UDP scan
Port Scan 9
Teknik ini mengirimkan suatu paket UDP ke port sasaran. Bila port
sasaran memberikan respon berupa pesan “ICMP port unreachable” artinya
port ini tertutup. Sebaliknya bila tidak menerima pesan di atas, kita dapat
menyimpulkan bahwa port itu terbuka. Karena UDP dikenal sebagai
connectionless protocol, akurasi teknik ini sangat bergantung pada banyak hal
sehubungan dengan penggunaan jaringan dan system resource. Sebagai
tambahan, UDP scanning merupakan proses yang amat lambat apabila anda
mencoba men-scan suatu perangkat yang menjalankan packet filtering
berbeban tinggi.
5. Tool Scanner Port
5.1 Scanner Berbasis Windows
Beberapa port scanner berbasis Windows yang cukup baik kecepatan,
akurasi, dan fitur-fitur yang tersedia antara lain seperti dibawah ini.
NetScan Tools Pro 2000
NetScan Tools Pro 2000 (NSTP2K) menyediakan segala macam
utilitas dalam satu paket: DNS query mencakup nslookup dan dig dengan
axfr, whois, ping sweeps, Net-BIOS name table scan, SNMP walks, dan
banyak lagi.
Lebih jauh lagi NSTP2K mempunyai kemampuan multitasking. Serta
dapat menjalankan port scan terhadap suatu sistem dan menjalankan ping
sweep pada sistem yang lain. NetScan Tools Pro 2000 menyertakan port
scanner versi Windows terbaik yang ada sekarang, yaitu pada tab Port
Probe. Kehebatan Port Pro mencakup flexible target dan spesifikasi port
(IP sasaran maupun daftar port dapat diimpor dari file teks), mendukung
scan TCP maupun UDP (tapi tidak selektif per port), dan multithreaded
speed. Di sisi negatifnya, output yang dihasilkan Port Pro bersifat grafis
sehingga sulit dibaca oleh script ataupun tool pemilah-milah data.
Sayangnya juga, output dari suatu fungsi (misalnya NetScanner) tidak
dapat secara otomatis dijadikan input oleh fungsi lain (misalnya Port
Probe).
SuperSCAN
SuperScan dapat diperoleh di www.foundstone.com/rdlabs/
termofuse.php?filename=superscan.exe. SuperScan adalah port scanner
TCP yang juga cepat dan dapat diandalkan pada harga yang jauh lebih baik
Port Scan 10
(gratis!). Seperti juga NSTP2K, SupeScan memungkinkan spesifikasi
fleksibel dari IP-IP sasaran dan daftar port. Opsi Extract From File nyaman
mudah digunakan dan cepat pula.
WinScan
WinScan, karya Sean Mathias dari Prosolve (http://prosolve.com)
adalah suatu TCP port scanner yang tersedia baik dalam format grafis
(winscan.exe) maupun command line (scan.exe). Versi command line-nya
mampu men-scan network Class-C dan output-nya mudah dibaca.
IpEye
Packet scan eksotis hanya nmap di Linux? Tidak juga. IpEye karya
Arne Voidstrom (http://ntsecurity.nu) dapat menjalankan source port
scanning, selain SYN, FIN, dan Xmas scan dari command line Windows.
Satu-satunya keterbatasan ipEye adalah hanya berjalan pada Windows
2000 dan setiap kali hanya dapat men-scan satu host.
Banyak router dan firewall dikonfigurasikan agar memungkinkan
protokol seperti DNS (UDP 53), FTP data channel (TCP 20), SMTP (TCP
25), dan HTTP (TCP 80) masuk melalui filter, source port scanning dapat
menyerang kontrolkontrol ini dengan jalan menyamar sebagai lalu-lintas
komunikasi inbound ini. Untuk itu, anda harus mengetahui ruang alamat
yang ada di balik firewall atau router, yang sulit bila melibatkan NAT
(NetBIOS Auditing Tool).
WUPS
Windows UDP Port Scanner (WUPS) berasal dari pengarang yang
sama dengan ipEye (Arne Vidstorm). Suatu UDP scanner grafis yang
mudah digunakan dan cepat (tergantung pada delay setting-nya), walaupun
hanya dapat men-scan satu host setiap kali. Suatu tool yang baik untuk
UDP scan cara cepat.
5.2 Windows Ping Tools
Pinger (www.nmrc.org/files/snt/)
Pinger dari Rhino9 ini adalah pinger tercepat yang ada untuk
Windows dan merupakan freeware! Seperti juga fping, Pinger
mengirimkan benyak paket ICMP ECHO secara bersamaan dan menunggu
Port Scan 11
responnya. Selain itu, Pinger dapat melacak host name dan menyimpannya
pada suatu file.
Ping Sweep (www.solarwinds.net)
Ping Sweep dapat sangat cepat sebab kita dapat menentukan delay
time antara paket-paket yang dikirimkan. Dengan menetapkan delay time
sebagai 0 atau 1, suatu hostname dari network kelas C dapat diperoleh
dalam waktu kurang dari 7 detik. Hati-hati dengan tool ini sebab bisa-bisa
membuat macet link yang lambat seperti ISDN 128K atau Frame Relay
link.
WS_Ping ProPack (www.ipswitch.com) dan
NetScanTools (www.nwpsw.com)
Kedua utilitas ping sweep ini memadai untuk melakukan ping sweep
terhadap network kecil, namun keduanya lebih lambat dibandingkan
dengan Pinger atau Ping Sweep.
Lebih lengkapnya, tool-tool yang ada dicantumkan pada lampiran Scanning Tools.
6. Jenis-Jenis Probe (Hasil Scan)
Setelah mengenal macam-macam teknik dan tool untuk port scanning, apa
yang dapat diperoleh dari hasil scan? Dari tool apapun yang digunakan, yang coba
didapatkan adalah mengidentifikasi port yang terbuka dan memberi tanda
mengenai sistem operasinya. Sebagai contoh, apabila port 139 dan 135 terbuka,
besar kemungkinannya bahwa system operasi sasaran adalah Windows NT.
Windows NT umumnya listen pada port 135 dan 139. Berbeda dengan Windows
95/98 yang listen pada port 139.
Jenis-jenis pemeriksaan (probe) yang dapat dikirim untuk membantu
membedakan suatu system operasi dari yang lain:
6.1 FIN probe
Suatu paket FIN dikirim ke suatu port terbuka. Perilaku yang benar
adalah tidak memberikan respon. Akan tetapi, banyak implementasi stack
seperti Windows NT akan merespon dengan suatu FIN/ACK.
6.2 Bogus Flag probe
Port Scan 12
Suatu flag TCP yang tidak didefinisikan di-set pada header TCP dari
suatu SYN packet. Beberapa system operasi, seperti Linux, akan merespon
dengan flag yang di-set pada response packet-nya
6.3 Initial Sequence Number (ISN) sampling
Pemahaman dasarnya adalah mendapatkan suatu pola pada initial
sequence yang dipilih oleh implementasi TCP sewaktu merespon suatu
permintaan koneksi.
6.4 'Don't fragment bit' monitoring
Beberapa sistem operasi akan menset 'Don't fragment bit' untuk
meningkatkan kinerja. Bit ini dapat dimonitor untuk menentukan jenis sistem
operasi apa yang menampilkan perilaku ini.
6.6 TCP initial windows size
Melacak initial window size pada paket yang kembali. Pada beberapa
implementasi stack, ukuran ini unik dan sangat meningkatkan akurasi
mekanisme fingerprinting.
6.7 ACK value
IP stack berbeda-beda dalam menggunakan nsequence value yang
digunakan untuk ACK field; beberapa implementasi akan mengembalikan
sequence number yang anda kirim dan yang lain akan mengembalikan
sequence number + 1
6.8 ICMP error message quenching
Suatu sistem operasi mungkin mengikuti RFC 1812 dan membatasi
kecepatan pengiriman error message. Dengan cara mengirim paket UDP ke
beberapa port acak bernomor besar, anda dapat menghitung banyaknya
unreachable message received dalam suatu jangka waktu tertentu
6.9 ICMP message quoting
Sistem operasi berbeda-beda dalam memberikan informasi yang dikutip
sewaktu mendapatkan ICMP error. Dengan memeriksa quoted message, anda
dapat menduga sistem operasi sasaran.
6.10 ICMP error message – echoing integrity
Beberapa implementasi stack mungkin mengubah IP header sewaktu
mengirim balik ICMP error messages. Dengan memeriksa jenisjenis
Port Scan 13
pengubahan yang dilakukan pada header, anda dapat emperkirakan sistem
operasi sasaran.
6.11 Type of service (TOS)
Untuk pesan 'ICMP port unreachable,' TOS-nya diperiksa. Kebanyakan
implementasi stack menggunakan 0, tapi bisa berbeda di system operasi lain.
6.12 Fragmentation handling
Stack yang berbeda menangani overlapping fragmen dengan cara yang
berbeda. Ada yang menimpa data lama dengan yang baru atau dapat pula
sebaliknya pada waktu fragmen-fragmen ini dirakit kembali.
6.13 TCP options
TCP options didefiniskan oleh RFC 793 dan yang lebih baru oleh RFC
1323. Implementasi stack yang lebih baru cenderung mengimlementasikan
opsi RFC 1323 yang lebih maju. Dengan mengirimkan paket dengan multiple
option set, seperti no operation, maximum segment size, window scale factor,
dan timestamp, dimungkinkan untuk membuat dugaan-dugaan tentang system
operasi sasaran.
7. Aplikasi Scanning Tools
Netcat Tools Andalan Hacker
Tools netcat sering disebut sebagai “TCP/IP swiss army knife”-nya para
hacker. Versi orisinalnya adalah ditulis untuk sistem operasi Unix oleh
*hobbit* [email protected]. Versi Windows NT dikerjakan oleh Wld Pond
Feature yang sering dimanfaatkan oleh hacker adalah:
Mengambil alih console sistem target dari remote sistem
Banner grabbing
Port scanning
Netcat tersedia untuk berbagai sistem operasi mulai dari Linux, Unix
sampai dengan Windows. Pada pembahasan kali ini menggunakan netcat versi
Windows dengan menggunakan command line agar lebih mudah dipahami.
7.1.1 Instalasi
Instalasi netcat pada sistem operasi Windows sangat sederhana.
Pertama download netcat dari internet antara lain dapat diambil
dari:http://www.netcat.org/ kemudian cukup melakukan unzip terhadap
Port Scan 14
file yang telah didownload yaitu nc11nt.zip ke dalam sebuah direktori
sebagai berikut:
C:\TMP\NETCAT>dir Volume in drive C has no label. Volume Serial Number is 141F-1208
Directory of C:\TMP\NETCAT 02/23/2003 05:03 PM <DIR> .02/23/2003 05:03 PM <DIR> ..11/03/1994 07:07 PM 4,765 GETOPT.H01/04/1998 03:17 PM 69,081 NETCAT.C01/03/1998 02:37 PM 59,392 NC.EXE11/28/1997 02:48 PM 12,039 DOEXEC.C11/28/1997 02:36 PM 544 MAKEFILE11/06/1996 10:40 PM 22,784 GETOPT.C07/09/1996 04:01 PM 7,283 GENERIC.H02/06/1998 03:50 PM 61,780 HOBBIT.TXT02/06/1998 05:53 PM 6,771 README.TXT02/22/2000 11:24 AM 2,044 AVEXTRA.TXT 10 File(s) 246,483 bytes 2 Dir(s) 8,868,044,800 bytes free C:\TMP\NETCAT>
File utama yang perlu diperhatikan hanyalah nc.exe saja, file
lainnya perlu diperhatikan bila melakukan kompilasi ulang.
7.1.2 Cara pakai netcat
Pada DOS console windows, netcat dijalankan dengan
mengetikkan:
C:\> nc –opsi <host> <port>
Dapat juga pada console netcat dengan mengetikkan:C:\> ncCmd line: -opsi <host> <port>
Untuk mengetahui opsi lengkapnya dapat menggunakan help sebagai berikut:
C:\TMP\NETCAT>nc -h[v1.10 NT]connect to somewhere: nc [-options] hostname port[s] [ports] ...listen for inbound: nc -l -p port [options] [hostname] [port]options: -d detach from console, stealth mode -e prog inbound program to exec [dangerous!!] -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, ... -h this cruft -i secs delay interval for lines sent, ports scanned -l listen mode, for inbound connects -L listen harder, re-listen on socket close
Port Scan 15
-n numeric-only IP addresses, no DNS -o file hex dump of traffic -p port local port number -r randomize local and remote ports -s addr local source address -t answer TELNET negotiation -u UDP mode -v verbose [use twice to be more verbose] -w secs timeout for connects and final net reads -z zero-I/O mode [used for scanning]port numbers can be individual or ranges: m-n [inclusive] C:\TMP\NETCAT>
Berikut ini contoh untuk memeriksa status port web dari port 10
s./d port 140 dari situs web tertentu, sebagai berikut:
C:\TMP\NETCAT>nc -v -z 128.1.9.81 10-140adminristek [128.1.9.81] 139 (netbios-ssn) openadminristek [128.1.9.81] 113 (auth) openadminristek [128.1.9.81] 110 (pop3) openadminristek [128.1.9.81] 98 (?) openadminristek [128.1.9.81] 80 (http) openadminristek [128.1.9.81] 79 (finger) openadminristek [128.1.9.81] 25 (smtp) openadminristek [128.1.9.81] 23 (telnet) openadminristek [128.1.9.81] 21 (ftp) open C:\TMP\NETCAT>
7.2 Melacak Port Number dengan UltraScan
Jika menggunakan sistem Microsoft Windows 95/97/98/2000/ME atau
NT, ada cara yang lebih praktis untuk melacak port number pada host
komputer jauh (remote system), yaitu dengan menggunakan perangkat lunak
UltraScan. Dengan UltraScan, dijamin anda tidak akan mengalami kegagalan
saat melakukan stealth probe..
UltraScan adalah sebuah program port scanning ciptaan Michael
Marchuk, dan dapat didownload dari
www.point1.com/UltraScan/UltraScan_v.1.5.EXE.
Untuk melacak port number dengan menggunakan UltraScan, yang
pertama kali harus dilakukan adalah menyiapkan alamat IP dari host yang
akan dilacak. Misalnya akan melacak port number berapa saja yang aktif pada
host ibank.klikbca. com, maka harus mengetahui atau me-reverse nama host
ibank.klikbca.com ke bentuk IP terlebih dahulu.
Ada dua buah cara yang paling umum untuk me-reverse domain
(hostname) menjadi IP atau dari IP menjadi domain:
Port Scan 16
Dengan mengetik perintah /DNS [hostname] di IRC. Contoh: /DNS
ibank.klikbca.com, hasilnya terlihat pada gambar berikut.
Dengan memanfaatkan utilitas nslookup yang banyak terdapat pada Web,
salah satunya adalah di http://dns411.com.
Dengan mengetikkan nama host yang akan direverse ke dalam field
NSLOOKUP, klik tombol Search, kemudian lihat hasilnya seperti tampak
pada gambar di bawah ini.
Selanjutnya copy dan paste alamat IP tersebut di atas ke dalam field
TCP/IP Host Start Range dan TCP/IP Host End Range pada program
UltraScan.
Agar tidak ada port number yang terlewatkan pada saat proses stealth
probe berlangsung, dan memiliki kesabaran yang cukup tinggi untuk
Port Scan 17
menunggu hasilnya, maka dapat mengisi nomor port maksimal yang akan di-
scan ke dalam field Scan ports to, yakni mulai dari range port 1 − 65535.
Setelah itu klik tombol Scan, dan tunggu hasilnya.
Sebagai bahan eksperimen, cobalah reverse host shells.go-link.net,
kemudian jalankan program UltraScan, akan ditemukan begitu banyak port
number yang aktif pada host tersebut seperti yang tampa pada gambar di
bawah ini, akan diperoleh begitu banyak port number aktif pada host yang
berhasil dilacak.
Lalu muncul pertanyaan, “Layanan apa saja yang memakai nomor-
nomor port tersebut?”Jawabnya ada dua, yaitu: Kalau senang mencoba-coba
sesuatu yang belum pasti (tahap awal untuk menjadi seorang hacker), boleh
mencoba salah satu port number tersebut. Misal lewat program Telnet, yaitu
dengan mengetik IP atau host ke dalam field Host Name, kemudian ketik
nomor port yang akan anda test ke dalam field Port, lalu klik tombol
Connect.Tunggu sebentar hingga benar benar tersambung. Setelah itu akan
Port Scan 18
segera diketahui nama layanan atau program yang menempati port number
tersebut
Baca informasi yang diperlihatkan pada tabel port number.
Namun demikian, jangan terkecoh oleh keterangan port number pada
tabel setelah program UltraScan menampilkan nomor-nomor port yang
terlacak, karena belum tentu hasilnya sama dengan keterangan di tabel. Oleh
karena itu, perlu memastikannya terlebih dahulu.
Cara paling gampang untuk mengetahui nama layanan atau program
yang menempati port number adalah dengan menggunakan program IRC:
Jalankan program mIRC client Anda.
Pada jendela status ketik /SERVER [IP/Hostname] <port number>.
Contoh: /SERVER 66.252.4.2 1980
Port Scan 19
Kemudian lihat informasi yang muncul pada jendela status program mIRC
setelah perintah tersebut di atas anda Enter.
Hasil yang sama juga terlihat pada gambar di bawah ini.
Dari informasi di atas, dapat kita ketahui bahwa ternyata program yang
menempati nomor port 1980 adalah psyBNC versi 2.2.1, padahal keterangan
di tabel, layanan atau program yang seharusnya menempati nomor port 1980
adalah PearlDoc XACT.
Buat memperoleh akses ke host BNC, EZBNC, atau psyBNC orang lain
dari hasil trade, dan sering kesal karena tidak bisa lagi menggunakannya
karena port numbernya telah diubah oleh si pemilik (Supervisor/Admin) tanpa
memberitahu, maka teknik port scanning menggunakan program UltraScan
bisa dijadikan acuan yang tepat untuk melacak port-port number yang telah
berubah itu.
8. Penjaga Serangan Portscan di Jaringan dengan PORTSENTRY
Apabila Network-based IDS seperti Snort memonitor paket data yang lalu-
lalang di jaringan dan mengamati adanya pola-pola serangan, maka PortSentry
dikhususkan untuk menjaga port yang terbuka. PortSentry dapat di terjemahkan ke
bahasa Indonesia sebagai Penjaga Gerbang/ Pelabuhan. Sentry berarti penjaga,
Port dapat diterjemahkan gerbang atau pelabuhan.
Port Scan 20
Pada jaringan komputer (Internet), masing-masing server aplikasi akan
stand-by pada port tertentu, misalnya, Web pada port 80, mail (SMTP) pada port
25, mail (POP3) pada port 110. PortSentry adalah program yang di disain untuk
mendeteksi dan merespond kepada kegiatan port scan pada sebuah mesin secara
real-time.
PortSentry tersedia untuk berbagai platform Unix, termasuk Linux,
OpenBSD & FreeBSD. Versi 2.0 dari PortSentry memberikan cukup banyak
fasilitas untuk mendeteksi scan pada berbagai mesin Unix. Versi 1.1 mendukung
mode deteksi PortSentry yang klasik yang tidak lagi digunakan pada versi 2.0.
PortSentry 2.0 membutuhkan library libpcap untuk dapat di jalankan.
Biasanya sudah tersedia berbentuk RPM dan akan terinstall secara otomatis jika
anda menggunakan Linux Mandrake. Bagi yang tidak menggunakan Linux
Mandrtake dapat mengambilnya dari situs tcpdump.org.
Pembaca PortSentry dapat diambil langsung dari sumbernya di
http://www.psionic.com/products/portsentry.html. Source portsentry terdapat
dalam format tar.gz atau .rpm. Bagi pengguna Mandrake 8.0, PortSentry telah
tersedia dalam CD-ROM dalam format RPM. Instalasi PortSentry menjadi amat
sangat mudah dengan di bantu oleh program Software Manager. Yang dilakukan
tinggal:
Mencari PortSentry dalam paket program.
Pilih (Klik) PortSentry.
Klik Install maka PortSentry..
Port Scan 21
Bagi pengguna Mandrake 8.2 ternyata PortSentry tidak dimasukan dalam
CD ROM Mandrake 8.2, jadi harus menggunakan CD Mandrake 8.0 untuk
mengambil PortSentry dan menginstallnya.
Beberapa fitur yang dimiliki oleh PortSentry, antara lain:
Mendeteksi adanya Stealth port scan untuk semua platform Unix. Stealth port
scan adalah teknik port scan yang tersamar/tersembunyi, biasanya sukar
dideteksi oleh system operasi.
Instalasi PortSentry pada Linux Mandrake 8.0 sangat mudah. PortSentry
akan mendeteksi berbagai teknik scan seperti SYN/half-open, FIN, NULL dan
XMAS. Untuk mengetahui lebih jelas tentang berbagai teknik ini ada baiknya
untuk membaca-baca manual dari software nmap yang merupakan salah satu
software portscan terbaik yang ada.
PortSentry akan bereaksi terhadap usaha port scan dari lawan dengan cara
membolkir penyerang secara real-time dari usaha auto-scanner, probe
penyelidik, maupun serangan terhadap sistem.
PortSentry akan melaporkan semua kejanggalan dan pelanggaran kepada
software daemon syslog lokal maupun remote yang berisi nama sistem, waktu
serangan, IP penyerang maupun nomor port TCP atau UDP tempat serangan di
lakukan. Jika PortSentry didampingkan dengan LogSentry, dia akan
memberikan berita kepada administrator melalui e-mail.
Port Scan 22
Fitur cantik PortSentry adalah pada saat terdeteksi adanya scan, sistem anda
tiba-tiba menghilang dari hadapan si penyerang. Fitur ini membuat penyerang
tidak berkutik.
PortSentry selalu mengingat alamat IP penyerang, jika ada serangan Port Scan
yang sifatnya random PortSentry akan bereaksi. Salah satu hal yang menarik
dari PortSentry adalah bahwa program ini dirancang agar dapat dikonfigurasi
secara sederhana sekali dan bebas dari keharusan memelihara.
Beberapa hal yang mungkin menarik dari kemampuan PortSentry antara
lain: PortSentry akan mendeteksi semua hubungan antar-komputer menggunakan
protokol TCP maupun UDP. Melalui file konfigurasi yang ada PortSentry akan
memonitor ratusan port yang di scan secara berurutan maupun secara random.
Karena PortSentry juga memonitor protokol UDP, PortSentry akan
memberitahukan kita jika ada orang yang melakukan probing (uji coba) pada
servis RPC, maupun servis UDP lainnya seperti TFTP, SNMP dll.
8.1 Setup Paremeter PortSentry
Setup Parameter PortSentry dilakukan secara sangat sederhana melalui
beberapa file yang berlokasi di /etc/portsentry
adapun file-file tersebut adalah:always_ignoreportsentry.blocked.atcpportsentry.blocked.audpportsentry.confportsentry.historyportsentry.ignoreportsentry.modes
dari sekian banyak file yang ada, yang perlu kita perhatikan sebetulnya tidak
banyak hanya:
Always_ignore, yang berisi alamat IP yang tidak perlu di perhatikan oleh
PortSentry.
Portsentry.conf, yang berisi konfigurasi portsentry, tidak terlalu sukar
untuk di mengerti karena keterangannya cukup lengkap.
Mengedit portsentry.conf tidak sukar & dapat dilakukan menggunaan
teks editor biasa saja. Sebetulnya portsentry dapat langsung bekerja hampir
tanpa perlu mengubah file konfigurasi yang ada. Beberapa hal yang perlu
diperhatikan dalam mengedit konfigurasi file portsentry.conf adalah:
Port Scan 23
Konfigurasi Port, disini di set port mana saja di komputer yang kita
gunakan yang perlu di perhatikan. Pada konfigurasi port ini tersedia juga
pilihan untuk menghadapi advanced stealth scan.
Pilihan untuk melakukan respons (Reponds Options) seperti Ignore options
yang memungkinkan kita mengacuhkan serangan, menghilang dari tabel
routing yang mengakibatkan paket dari penyerang tidak diproses
routingnya, setting untuk TCP Wrappers yang akan menyebabkan paket
dari penyerang tidak akan masuk ke server.
Serang balik—ini adalah bagian paling berbahaya dari PortSentry, pada
file konfigurasi PortSentry telah disediakan link untuk menyambungkan /
menjalankan script untuk menyerang balik ke penyerang. Bagian ini
sebaiknya tidak digunakan karena akan menyebabkan terjadinya perang
Bharatayudha.
Dari sekian banyak parameter yang ada di konfigurasi file
portsentry.conf, saya biasanya hanya menset bagian routing table saja untuk
menghilangkan semua paket dari penyerang yang mengakibatkan paket tidak
di proses. Kebetulan saya menggunakan Mandrake 8.0 yang proses paket
dilakukan oleh iptables, kita cukup menambahkan perintah di bagian Dropping
Routes: dengan perintah iptables.# PortSentry Configuration## $Id: portsentry.conf,v 1.13 1999/11/09 02:45:42 crowland Expcrowland $## IMPORTANT NOTE: You CAN NOT put spaces between your portarguments.## The default ports will catch a large number of common probes## All entries must be in quotes.#################### Dropping Routes:##################### For those of you running Linux with ipfwadm installed you maylike# this better as it drops the host into the packet filter.# You can only have one KILL_ROUTE turned on at a time though.# This is the best method for Linux hosts.##KILL_ROUTE="/sbin/ipfwadm -I -i deny -S $TARGET$ -o"## This version does not log denied packets after activation#KILL_ROUTE="/sbin/ipfwadm -I -i deny -S $TARGET$"## New ipchain support for Linux kernel version 2.102+
Port Scan 24
# KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l"## New iptables support for Linux kernel version 2.4+KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"
8.2 Cek Adanya Serangan
Untuk mencek adanya serangan, ada beberapa file dan perintah yang
dapat dilihat, yaitu:
/etc/hosts.deny berisi daftar IP mesin yang tidak diperkenankan untuk
berinteraksi ke server kita. Daftar ini digunakan oleh TCP Wrappers & di
hasilkan secara automatis oleh PortSentry pada saat serangan di lakukan.
/etc/portsentry/portsentry.blocked.atcp berisi daftar alamat IP
mesin yang di blok aksesnya ke semua port TCP.
/etc/portsentry/portsentry.blocked.audp berisi daftar alamat IP
mesin yang di blok aksesnya ke semua port UDP.
/etc/portsentry/portsentry.history berisi sejarah serangan yang
diterima oleh mesin kita.
Pada Mandrake 8.0 dan Mandrake 8.2, untuk melihat paket yang di tabel
paket filter oleh PortSentry dapat dilakukan menggunakan perintah:# iptables -L
Jika hanya PortSentry yang digunakan maka tabel filter iptables seluruhnya
secara automatis di hasilkan oleh PortSentry. Untuk membuang semua tabel filter
dapat dilakukan dengan perintah:# iptables -F
9. Penutup
Dari paparan diatas jelas menunjukkan bahwa Port adalah pintu gerbang dari
masuknya bahaya selanjutnya. Port Scanning merupakan cara mendapatkan
informasi jalan yang terbuka serta informasi-informasi yang penting lainnya.
Untuk itu maka bila diketahui adanya kegiatan port scanning maka sangat perlu
dicurigai.
Pada dasarnya tergantung untuk keperluan apa port scanning itu dilakukan,
bila dilakukan administator guna mengembalikan fungsi port-port yang tidak
sesuai, maka tidaklah menjadi masalah. Namun jika dilakukan oleh pelaku yang
berniat untuk meganggu system jaringan, maka itu akan sangat berbahaya sekali.
Dari uraian diatas di tunjukkan bahwa program untuk melakukan port scan
lebih banyak dibandingkan progran penangkalnya. Ini mengisyaratkan peluang
Port Scan 25
untuk melakukan kejahatan lebih terbuka lebar. Tinggal menanyakan kesucian
hati nurani untuk dapat menahan diri dan tidak ikut melakukan aktivitas yang
dapat merugikan pihak lain.
Untuk amannya, kalau terjadi kegiatan port scanning dengan pelaku yang
tidak jelas maka sebaiknya dicegah. Hal ini merupakan langkah awal pencegahan
terhadab bahaya serangan yang lebih berbahaya.
Referensi: http://www.neotec.co.idhttp://www.pemula.com/http://www.netcat.org/http://www.terakorp.com/onesight/index.html http://searchtechtarget.techtarget.com/ http://www.sdesign.com/securitytest/win9xsecurity.htmlhttp://www.sdesign.com/securitytest/howtoscan.html http://www.totse.com/en/hack/introduction_to_hacking/162407.htmlhttp://www.tuxedo.org/~esr/jargon/jargon.htmlHTTP://cybercrimes.net/Property/Hacking/Hacker%20Manifesto/HackerManifesto.html
Port Scan 26
LAMPIRAN
NOMOR PORT
Tabel 1. Daftar beberapa Well Known Port Numbers yang umum digunakan
Port Keterangan Port Keterangan1235111317181920212223242529313335373839424345484950515253575963666768697071–747579808184
TCP Port Service Multiplexer (tcpmux)Management UtilityCompression ProcessRemote Job EntryActive UsersDaytimeQuote of the DayMessage Send ProtocolCharacter GeneratorFile Transfer (Data)File Transfer (Control)SSH Remote Login ProtocolTelnetPrivate Mail SystemSimple Mail Transfer Protocol (SMTP)MSG ICPMSG AuthenticationDisplay Support ProtocolPrivate Printer ServerTimeRoute Access ProtocolResource Location ProtocolHost Name ServerWho IsMessage Processing ModuleDigital Audit DaemonLogin Host ProtocolRemote Mail Checking ProtocolIMP Logical Address MaintenanceXNS Time ProtocolDomain Name ServerPrivate Terminal AccessPrivate File ServiceWhois++Oracle SQL*NETBootstrap Protocol ServerBootstrap Protocol ClientTrivial File TransferGopherRemote Job ServicePrivate Dial Out ServiceFingerWorld Wide Web HTTP
209213217218223244245246257258259260261280281282311344396397412413414423424427434435442443444445448449451452453454455457458464469470473
Display Systems ProtocolSecure Electronic TransactionYak Winsock Personal ChatEfficient Short Remote OperationsOpenportIIOP Name Service over TLS/SSLHTTP-MGMTPersonal LinkCable Port A/XAppleShare IP WebAdminProspero Data Access ProtocolNovell Netware over IPMulti Protocol Trans. Net.ISO Transport Class 2 Non-Control over TCPWorkstation SolutionsUninterruptible Power Supply (UPS)Interactive Mail Support ProtocolProspero Resource Manager Sys. Man.Prospero Resource Manager Node Man.Remote MT ProtocolTrap Convention PortStorage Management Services ProtocolInfoSeekIBM Operations Planning and Control StartIBM Operations Planning and Control TrackServer LocationMobileIP-AgentMobileIP-MNCVC_HOSTDHTTP Protocol Over TLS/SSLSimple Network Paging ProtocolMicrosoft-DSDDM-SSLAS Server MapperCray Network Semaphore ServerCray SFS Config ServerCreativeServerContentServerCreativePartnr
Port Scan 27
878889929399101103105105107108109110111112113114115117118119123125126127129130131132133134135136137138139143144
150152156157158159160161162163164169170174177220221222178
HOSTS2 Name ServerCommon Trace FacilityPrivate Terminal LinkKerberosSU/MIT Telnet GatewayNetwork Printing ProtocolDevice Control ProtocolMetagram RelayNIC Host Name ServerGenesis Point-to-Point Trans NetCCSO Name Server ProtocolMailbox Name NameserverRemote Telnet ServiceSNA Gateway Access ServerPost Office Protocol - Version 2Post Office Protocol - Version 3SUN Remote Procedure CallMcIDAS Data Transmission ProtocolAuthentication Service (Ident)Audio News MulticastSimple File Transfer ProtocolUUCP Path ServiceSQL ServicesNetwork News Transfer Protocol (NNTP)Network Time ProtocolLocus PC-Interface Net Map ServerUnisys Unitary LoginLocus PC-Interface Conn ServerPassword Generator ProtocolCisco FNATIVECisco TNATIVECisco SYSMAINTStatistics ServiceINGRES-NET ServiceDCE Endpoint ResolutionPROFILE Naming SystemNETBIOS Name ServiceNETBIOS Datagram ServiceNETBIOS Session ServiceInternet Message Access Protocol (IMAP)Universal Management Architecture (UMA)SQL-NETBackground File Transfer ProgramSQL ServiceKNET/VM Command/Message ProtocolPCMail ServerNSS-RoutingSGMP-TRAPSSNMPSNMPTRAPCMIP/TCP ManagerCMIP/TCP AgentSENDNetwork PostScriptMAILQ
484488489511512513514515517518519520521525526527528531532533534537540541542546547550551552554556560–561562563565574581582583584585586587591592593614615616617620624631633636537648
SCOHELPApple Quick TimeKPASSWDRadio Control ProtocolSCX-ProxyHybrid-POPIntegra Software Management EnvironmentGSS-HTTPNest-ProtocolPassGoEXECLoginCMDPrinter SpoolerTalkNTalkUnix TimeRouterRPingTimeserverNewdateStock IXChangeCustomer IXChangeChatReadnewsEmergency BroadcastsMegaMedia AdminNetworked Media Streaming ProtocolUUCPDUUCP-rloginCommerceDHCPv6 ClientDHCPv6 ServerNew-WhoCyberCashDeviceshareReal Time Stream Control ProtocolRFS ServerRmonitordCHCMDNNTP Protocol Over TLS/SSLWhoamiFTP Software Agent SystemBundle Discovery ProtocolSCC SecurityPhilips Video-ConferencingKey ServerIMAP4+SSLPassword ChangeSubmissionFileMaker, Inc.—HTTP AlternateEudora SetHTTP RPC Ep MapSSLshellInternet Configuration ManagerSCO System Administration ServerSCO Desktop Administration ServerSCO WebServer Manager
Port Scan 28
179187189190191192193194197198200201202204206399400401406408409411
X Display Manager Control ProtocolInteractive Mail Access Protocol v3Berkeley rlogind with SPX AuthBerkeley rshd with SPX AuthNextStep Window ServerBorder Gateway ProtocolApplication Communication InterfaceQueued File TransportGateway Access Control ProtocolProspero Directory ServiceOSU Network Monitoring SystemSpider Remote Monitoring ProtocolInternet Relay Chat ProtocolDirectory Location ServiceDirectory Location Service MonitorIBM System Resource ControllerAppleTalk Routing MaintenanceAppleTalk Name BindingAppleTalk EchoAppleTalk Zone InformationQuick Mail Transfer ProtocolIPXdBASE UnixNetix Message Posting ProtocolCertificate Distribution CenterInbusinessLINK
652660677691699705709710711729730731744747749750767777989990991992993994/995
Crypto AdminIPP (Internet Printing Protocol)Service Status update (Sterling Software)LDAP Protocol Over TLS/SSLLanserverRegistry Registrar Protocol (RRP)HELLO_PORTMacOS Server AdminVirtual Presence ProtocolMS Exchange RoutingAccess NetworkAgentXEntrust Key Management Service HandlerEntrust Administration Service HandlerCisco TDPIBM NetView DM/6000 Server/ClientIBM NetView DM/6000 send/tcpIBM NetView DM/6000 receive/tcpFlexible License ManagerFujitsu Device ControlKerberos AdministrationKerberos Version IVPhonebookMultiling HTTPFTP Protocol, Data, Over TLS/SSLFTP Protocol, Control, Over TLS/SSLNetnews Administration SystemTelnet Protocol Over TLS/SSLIMAP4 Protocol Over TLS/SSLIRC/POP3 Protocol Over TLS/SSL
Tabel 2. Daftar beberapa Registered Port Numbers yang umum digunakanPort Keterangan Port Keterangan
1025103610451052105310671068107310801092109610971102–11031110111211141155118011831184
Network BlackjackRADAR Service ProtocolFingerprint Image Transfer ProtocolDynamic DNS Tools (DDT)Remote Assistant (RA)Installation Bootstrap Protocol ServerInstallation Bootstrap Protocol ClientBridgeControlSOCKSOpen Business Reporting ProtocolCommon Name Resolution ProtocolSun Cluster ManagerADOBE SERVERCluster Status InfoIntelligent Communication Protocol
1998199921212146214721802221–22232248230223032311234623472348234923672368242724502451
Cisco X.25 Service (XOT)Cisco Identification PortSCIENTIA-SSDBLive Vault Admin Event NotificationLive Vault AuthenticationMillicent Vendor Gateway ServerRockwell CSP1 - 3User Management ServiceBindery SupportProxy GatewayMessage ServiceGame Connection PortGame Announcement and LocationInformation to query for game statusDiagnostics PortService ControlOpentableMedia Gateway Control Protocol GatewayNetadminNetchat
Port Scan 29
1188120312041215122012271234124312461255125612571258125912671278–1279128312961297131413331334133613461347–13481349–13501352136313641365136613691370138913901391139213931394139513971398142414261512
1516151715181519152015951612161316141615
Mini SQLNetwork File AccessMillicent Client ProxyLL Surfup HTTPLL Surfup HTTPSHP Web AdminLicense ValidationLog Request ListenerscanSTAT 1.0QT SERVER ADMINDNS2goInfoseek Search AgentSerialgatewayPayrouterDE-Cache-QueryDE-ServerShockwave 2Open Network LibraryOpen Network Library VoicepcmlinuxDELL Web AdminProductInfoDProxySDProxyPhotoscript Distributed Printing SystemPassword PolicyWritesrvInstant Service ChatAlta Analytics License ManagerMulti Media ConferencingRegistration Network ProtocolLotus NoteNetwork DataMover RequesterNetwork DataMover ServerNetwork Software AssociatesNovell NetWare Comm Service PlatformGlobalView to Unix ShellUnix Shell to GlobalViewDocument ManagerStorage ControllerStorage Access ServerPrint ManagerNetwork Log ServerNetwork Log ClientPC Workstation Manager softwareAudio Active MailVideo Active MailHybrid Encryption ProtocolSatellite-data Acquisition System 1Microsoft's Windows Internet Name ServiceVirtual Places Audio DataVirtual Places Audio ControlVirtual Places Video DataVirtual Places Video Control
24522463247824792495250025332567257625932594266727272764277027842860–2861297629802987300030013006300730113012301430163017301830313032304430603073309231073108311031113195–31963197–319832033204330333043306330733113312519054295432543555995600
SnifferclientSymbios RaidSecurSight Authentication Server (SSL)SecurSight Event Logging Server (SSL)Fast Remote ServicesResource Tracking system serverSnifferServerCisco Line ProtocolTCL Pro DebuggerMNS Mail Notice ServiceData Base ServerAlarm Clock ServerMedia Gateway Control Protocol Call AgentData InsuranceVeronicaWorld Wide Web—DevelopmentDialpad Voice 1–2CNS Server PortInstant Messaging ServiceIdentifyRemoteware ClientRedwood BrokerInstant Internet AdminLotus Mail Tracking Agent ProtocolTrusted WebTrusted Web ClientBroker ServiceNotify ServerEvent ListenerService RegistryRemote Appleevents/PPC ToolboxRedwood ChatEndpoint ProtocolInterserverVery Simple Chatroom ProtocolNetware Sync ServicesBusiness ProtocolGeolocate ProtocolSimulator Control PortocolWeb Synchronous ServicesNetwork Control Unit 1–2Embrace Device Protocol Server 1–2Network Watcher MonitorNetwork Watcher DB AccessOP Session ClientOP Session ServerMySQLOP Session ProxyMCNS Tel RetApplication Management ServerAmerica-OnlineBilling and Accounting System ExchangePostgreSQL DatabaseData Tunneling Transceiver Linking (DTTL)
Port Scan 30
16161626173517391745175019421973
19801994199519961997
ATM ZIP OfficeRadioNetBill Transaction ServerNetBill Key RepositoryNetBill Credential ServerNetBill Authorization ServerNetBill Product ServerShockwavePrivateChatWebaccessRemote-WinsockSimple Socket Library's PortmasterReal Enterprise ServiceData Link Switching Remote Access ProtocolPearlDoc XACTCisco Serial Tunnel PortCisco Perf PortCisco Remote SRB PortCisco Gateway Discovery Protocol
56015680–571257296150–62526583–66646665–66696674–670077777779800880808133–81598381–83998474–855349151
Enterprise Security Remote InstallEnterprise Security ManagerEnterprise Security AgentUnassignedOpenmail User Agent LayerUnassignedUnassignedIRCUUnassignedCBTVSTATHTTP AlternateHTTP AlternateUnassignedUnassignedUnassignedIANA Reserved
SCANNING TOOLS Nmap
Scanner serba guna yang tersedia pada Linux dan NT. Mempunyai kemampuan ping sweep, port scan untuk TCP serta ICMP dan fasilitas scan eksotis lainnya seperti TCP SYN scan yang bersifat siluman (steakth scan)
SuperScanKini bukan hanya pengguna Linux dan NT yang dapat menikmati fasilitas scan yang eksotis. Pemilik Windows 98 juga bisa dengan SuperScan, yang kekurangannya hanya tidak men-scan port ICMP.
NetScan ToolVersi kecil dari port scanner komersial terbaik untuk Windows saat ini, NetScan Tools Pro 2000.Versi kecil ini tidak men-scan port UDP.Ping Sweep
Port Scan 31
Untuk melakukan ping secara cepat dan mendapatkan sistem yang hidup dan menembus port ICMP yang diblokir(Linux)
Fping Hping icmpenum NetPing PAT Ping Sweeper
Pinger SATAN Sping ICMP Warscan exploit
(Windows) Fping PingSweep Rhino Pinger
SAINT 1.1.2 WS_Ping Pro Pack
Unix Port ScannerPort scanning untuk menentukan service apa yang berjalan pada suatu sistem yang sudah diketahui hidup lewat ping sweep.
Host Sentry Hping L0pht Watch Netcat Nmap
Port Sentry rinedt Port Redirect Sara Scotty Network Mgt. Strobe
Win Port Scanner Utama SuperScan ipEye WUPS
Karena tidak ada port scanner yang selengkap nmap pada Windows 9x, gabungkan kemampuan SuperScan, ipEye, dan WUPS agar kurang lebih setara dengan nmap pada Linux dan NT.Win Port Scanner Lain
7th Port Scan AA Tools Cabra Domain Scanner Chaos Port Scan DumpSec
Netcat for NT NetFizz Ngrep Nmap for NT NTO Scanner 126
Port Scan 32
Fpipe Port Forwarder Fscan HCOpen Port Scanner Hoppa Port Scanner Legion Ming Sweeper NetBIOS Audit Tool
Pinger rinedt Port Redirect Scan Port Ultrascan Win Nessus WinScan 2
OS Detection Siphon (Windows) Siphon (Linux)
Selain dapat menggunakan nmap untuk deteksi system operasi suatu sistem, dapat juga digunakan Siphon dan Queso.Network Admin Tools
Cheops 0.59a RPM Cheops 0.6 Tarball Cheops-ng
Tools untuk otomatisasi pengamatan terhadap jaringan local maupun remote yang dilengkapi dengan pemetaan grafis. Meliputi ping sweep, port scan, OS detection selain juga footprinting.
Port Scan 33