Pola Serangan Port Scanning dengan Nmap

Kali ini, saya mencoba menganalisis pola serangan port scanning dengan Nmap menggunakan tools Wireshark . Tentunya dengan cara mengcapture paket-paket yang dikirim oleh Nmap dengan tools wireshark ini

Pertama-tama, persiapkan dulu tools Nmap , dalam kasus ini saya menggunakan komputer dengan IP 192.168.0.3 dan komputer target yang dituju 192.168.0.21 . Pada option scan paint, saya memilih profil intense scan full TCP, mungkin artinya dia akan melakukan port scanning pada semua port, tidak hanya port-port yang sudah general saja

Kemudian hidupkan wireshark di interface

Berikut hasil pertama capturenya.

Perhatikan bahwa IP 192.168.0.3 membuka serangan melalui port 52099 ke beberapa port sekaligus, kemudian mendapat respon dari port yang diserang, beberapa saat kemudian. Setelah respon selesai, kembali menycan beberapa port lain begitu seterusnya

Ini adalah hasil akhir capture. Perhatikan nomor paketnya adalah 134910 , sementara port scan pertama berada di ururtan nomor 4. Berarti jumlah port yang diserang (134910 – 4)/2 = 67453 port , dari seharusnya makasimal 65535 port. Namun jumlah tersebut masih dikurangi misal paket ARP, atau paket yang di-retransmit. Tapi setidaknya diketahui, bahwa Nmap benar-benar melakukan scanning ke semua port korban.

Akan tetapi pola penyerangannya tidak berurutan. Nmap akan menyecan dulu port-port yang terkenal biasa dibuka. Pada tes capture pertama terlihat port 22 (ssh), 110 (pop)atau 3389 (rdesktop) discan terleih dahulu, baru kemudian port-port sembarang. Tampaknya hal ini disengaja untuk mengelabui IDS yang mendetek port scanner secara berurutan (kemungkinan Nmap versi lama menyecan port secara berurutan).   Demikian analisis dari saya. Semoga bermanfaat 🙂

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s