Pola Serangan Port Scanning dengan Nmap

Kali ini, saya mencoba menganalisis pola serangan port scanning dengan Nmap menggunakan tools Wireshark . Tentunya dengan cara mengcapture paket-paket yang dikirim oleh Nmap dengan tools wireshark ini

Pertama-tama, persiapkan dulu tools Nmap , dalam kasus ini saya menggunakan komputer dengan IP 192.168.0.3 dan komputer target yang dituju 192.168.0.21 . Pada option scan paint, saya memilih profil intense scan full TCP, mungkin artinya dia akan melakukan port scanning pada semua port, tidak hanya port-port yang sudah general saja

Kemudian hidupkan wireshark di interface

Berikut hasil pertama capturenya.

Perhatikan bahwa IP 192.168.0.3 membuka serangan melalui port 52099 ke beberapa port sekaligus, kemudian mendapat respon dari port yang diserang, beberapa saat kemudian. Setelah respon selesai, kembali menycan beberapa port lain begitu seterusnya

Ini adalah hasil akhir capture. Perhatikan nomor paketnya adalah 134910 , sementara port scan pertama berada di ururtan nomor 4. Berarti jumlah port yang diserang (134910 – 4)/2 = 67453 port , dari seharusnya makasimal 65535 port. Namun jumlah tersebut masih dikurangi misal paket ARP, atau paket yang di-retransmit. Tapi setidaknya diketahui, bahwa Nmap benar-benar melakukan scanning ke semua port korban.

Akan tetapi pola penyerangannya tidak berurutan. Nmap akan menyecan dulu port-port yang terkenal biasa dibuka. Pada tes capture pertama terlihat port 22 (ssh), 110 (pop)atau 3389 (rdesktop) discan terleih dahulu, baru kemudian port-port sembarang. Tampaknya hal ini disengaja untuk mengelabui IDS yang mendetek port scanner secara berurutan (kemungkinan Nmap versi lama menyecan port secara berurutan).   Demikian analisis dari saya. Semoga bermanfaat 🙂

Eksplorasi DNS

Tulisan ini dibuat untuk memenuhi  Tugas II3602-26

1. Mencari pemilik domain detik.com

Untuk mencari pemilik domain detik.com, menggunakan perintah whois , maka akan diperoleh hasil siapa pemilik yang meregister domain tersebut.

Administrative Contact, Technical Contact:
Siberkom, PT. Agranet Multicitra          wiwi@agrakom.com
Aldevco Octagon Building lt 2
Jl. Warung Buncit Raya 75
Jakarta, DKI Jakarta 12740
IN
+62 21 7941177 fax: +62 21 7941176

Record expires on 28-May-2011.
Record created on 13-May-2004.
Database last updated on 1-Mar-2010 09:14:31 EST.

Domain servers in listed order:

NS1.DUNIADETIK.COM
NS1.DETIK.NET.ID

terlihat data siapa yang meregister domain, namun masih dalam bentuk nama perusahaan, kita coba untuk mem-whois duniadetik.com (dengan asumsi DNS server ini dipunyai oleh perusahaan pemilik detik, jadi otomatis domain duniadetik.com juga milik pemilik detik.com)

whois duniadetik.com

Registrant:
Didi Nugrahadi
Rahman Alfianto
Jl. Warung Buncit Raya No.75
Jakarta, DKI 12740
ID
Phone: 62-622-17941177
Email: wiwi@agrakom.com

Terlihat alamatnya identik , jadi kemungkinan pemilik detik.com adalah Didi Nugrahadi atau Rahman Alfianto

2. Mencari dan list 4th level subdomain dari ITB.AC.ID

Untuk mencari banyaknya subdomain, saya menggunakan tools “host” ,  tools host dengan option -l membuat list daftar zona transfer . KArena saya menjalankan tools ini di dalam network itb, sehinggga memperoleh permission untuk zona transfer sehingga saya bisa mendapatkan alamat subdomain dari .itb.ac.id . UNtuk keamanan zona transfer ini dibatasi, sehingga apabila menggunakan tools ini dari luar kampus tidak akan bisa.

Jumlah subdomain di ITB ini total kira-kira ada 487 buah setelah diparsing dari output host -l karena (ada beebrapa subdomain yang sama) , berikut daftar list-nya ftp://telecom.ee.itb.ac.id/incoming/13206114/Subdomain.pdf (maaf hanya bisa diakses dari dalam kampus ITB. khawatir digunakan oleh pihak yang tidak berkepentingan 🙂 )

Mati lampu sejam, masalahnya seharian :(

Cerita berawal  dari malam jumat (ngeri deh.. ), jam 10 malam, sebuah instant messenger ke saya “Ham, ITB mati lampu”. Pikiran saya langsung tertuju ke peternakan server  di comlabs , pasti peliharaan-peliharaan ini pada mati karena emang ga ada UPS yang bagus. UPS yang ada cuma bisa mengatasi spike listrik (Denyutan yang terjadi pada tegangan listrik dalam waktu yang cukup singkat ). Tapi ya sudahlah, tidak tahu mati lampunya sampai kapan , besok pagi-pagi saja menghidupkan peliharaan-peliharaan itu. Saya hubungi 2 pawang server lainnya ady & ichsan, untuk juga datang pagi-pagi.

Esoknya, jam 1/2 8 (saya telat bangun >.<),  belum juga selesai masalahnya. Saya datang ke TKP, ternyata, komputer sudah nyala semua . Cuman jaringannya belum jalan, setelah dicek ternyata , switch VLAN yang menghubungkan ke uplink belum nyala. Sial , ternyata hewan ini nggak otomatis hidup lagi 😀 ,jadi harus dihidupkan manual. Eits, masalah belum selesai, jaringannya masih ga jalan.Ternyata si router ga mau booting, masalahnya VGAnya rusak. OK, dicari VGA pengganti , diganti VGA PCI (masih ada ya VGA model gini :D) . Setelah itu, masalah selesai, servis-servis udah jalan, hatipun senang 😀

Siangnya, setelah jumatan, dapat SMS dari teman “ham, rileks error” . Waduh, hajat hidup orang banyak ini. Tak terbayang, weekend anak ITB bila rileks mati jumat ini.

FYI

1. Rileks adalah forum bersama anak ITB, isinya mulai diskusi ringan, serius, film, multimedia dan masih banyak lagi

2. Sebagian besar anak ITB adalah jomblo

3. Sebagian besar jomblo menghabiskan weekend dengan menonton film, di kosan, sendirian (paling banter sama teman kosnya sesama jomblo :D)

4. Penulis adalah sebagian kecil dari jomblo itu -_-

Jadi kesimpulannya, “no rileks, no weekend ”

Kembali ke permasalahan, ngulik-ngulik rileks yang error ternyata susah. Tulisannya “IPS Driver Error”.  Waktu nyari-nyari di google, solusi permasalahannya pasti Please ask, to our technical support”.halah . Tapi udah dapat dipastikan databasenya eror . Pilihan saya cuma 2, restore ke database hari kemarin atau coba memperbaiki databasenya. Akhirnya kita coba perbaiki dulu databasenya, memakan waktu kira-kira 1 jam (jumlah postingannya banyak). Alhamdulillah setelah direpair, rileks  up lagi 😀 . Tapi agak-agak ngehang, ups, ternyata tanggal servernya salah dan mungkin mereset saat mati lampu kemarin. Jadi mungkin kronologisnya, mati lampu -> server mati -> server hidup -> tanggal mereset -> database postingan kacau -> database error . Yah akhirnya, rileks kembali normal dan menyelamatkan weekend rilekser 😀

Tapi yang saya soroti ini adalah mati lampunya, terbukti dari mati lampu sejam ini, menyusahkan orang selama hampir seharian. Yah semoga jangan mati lampu lagi ya (ngarep…)…

Konfigurasi squid sebagai proxy server

Squid adalah program proxy server. Proxy sendiri adalah program untuk melakukan caching terhadap halaman website, sehingga pengaksesan ke halaman website menjadi lebih cepat karena halaman web yang sudah dibuka telah tersimpan di proxy server. Gabungan aplikasi proxy server dan firewall, dapat menjadikanya semacam gateway untuk mengakses halaman website.
Squid yang saya gunakan ini adalah versi 2.6 .Proses instalasi saya lakukan lewat source. Hasilnya sama saja dengan lewat port atau package. Setelah proses instalasi pastikan ada file konfigurasinya squid.conf, biasanya berada di /usr/local/etc/squid/squid.conf dan juga ada user squid dan group squid sebagai user yang menjalankan squid, demi keamanan sistem.
Continue reading

Prinsip kerja DNS

Pengalamatan di internet menggunakan IP Address x.x.x.x. Tentu saja dengan pengalamatan seperti ini akan menghasilkan kurang lebih 4 milyar alamat IP yang unik. Bagi manusia, tentu saja menghafalkan alamat IP sebanyak itu dengan representasi angka akan menyulitkan. Kita lebih mudah menghafalkan alamat dengan representasi huruf. UNtuk itu diperlukan resolver dari nama ke alamat IP
Dulu ketika awal internet belum banyak, penamaan dilakukan dengan menggunakan sistem file HOST.TXT. File HOST.TXT berisi translasi dari alamat nama ke nomor IP. SIstem ini dibuat dengan terus mengupdate file HOST.TXT. File ini diupdate terpusat di Stanford Research Institute Network INformation Center (SRI-NIC). Selanjuta file ini didownload mandiri oleh masing-masing resolver. Namun sistem ini memiliki kelemahan, dikarenakan berkembangnya jaringan internet, mkaa traffic untukmendownload file ini juga semakin tinggi. Juga ada kemungkinan terjadinya pemakaian 2 alamat/ lebih yang sama.
Maka dibuatlah sistem penamaan yang baru, yang disebut Domain Name System (DNS). Sistem ini mempunyai domain, zone dan pendelegasian.Sistem domain pada DNS hampir sama pada hierarki file system pada sistem UNIX, bedanya keduanya terbalik dalam penulisannnya
Contoh:
Pada UNIX : /etc/named/crontab
Pada DNS : crontab.named.etc (Bukan contoh domain sebenarnya ^_^)

Prinsip kerja DNS
Prinsip kerja DNS adalah dengan pendelegasian setiap name server. Setiap name server mengikuti hierarki penamaan DNS tersebut.
Misalnya, untuk alamat station.arc.itb.ac.id , kurang lebih langkah yang dilakukan adalah seperti ini,
Diperlukan nameserver, untuk root server, top level domain (.id), name server academic (.ac.id), name server itb(.itb.ac.id) dan name server arc (.arc.itb.ac.id). Untuk menemukan alamat IP dari station.arc.itb.ac.id ,
1. Pertama-tama komputer client akan menanyakan pada local name servernya.
2. Pada local name server akan menanyakan station.arc.itb.ac.id pada root server, biasanya tipe alamat server ini sudah diketahui name server. KArena alamatnya memang cenderung sudah fixed, maka disebut tipe hint (cache). Pada instalasi program name sever biasanya langsung didapatkan data root server ini (kalau tidak salah ada 13 root server di dunia).
3. Root server akan menjawab bahwa, domain .id sudah ia delegasikan pada name server .id
4. Local name server akan menanyakan pada name server .id,
5. name server .id manjawab, bahwa domain .ac.id, sudah ia delegasikan pada name server academic .ac.id
6. Local name server menanyakan pada name server academic .ac.id
7. Name server academic .ac.id, menjawab, bahwa domain .itb.ac.id sudah ia delagasikan pada name server itb .itb.ac.id
6. Local name server menanyakan pada name server itb .itb.ac.id
7. Name server academic .ac.id, menjawab, bahwa domain arc.itb.ac.id sudah ia delegasikan pada name server arc .arc.itb.ac.id
6. Local name server menanyakan pada name server arc .arc.itb.ac.id
7. Name server .arc.itb.ac.id melookup databasenya, dan ternyata station.arc.itb.ac.id memang berada pada zonenya dan dalam database zone
8. Name server ARC, .arc.itb.ac.id, menjawab ke local domain name server berupa alamat station.arc.itb.ac.id, selanjutnya local name sever meneruskan jawaban ke komputer client
9. Akhirnya komputer client mengetahui alamat IP station.arc.itb.ac.id, sehingga ia dapat memulai koneksi TCP/IP le station.arc.itb.ac.id

Dengan sistem seperti ini, walaupun mata rantai lebih panjag, tapi dengan DNS, sistem penambahan nama menjadi lebih teratur. d

Konfigurasi FTP Server Publik dengan proftpd

Proses transfer dengan FTP memang cepat daripada dengan protokol SMB (Entah kenapa… wa ga tau? :D). BEberapa software FTP Server, seperti proFTPd, vsFTPd pureFTPd. Kali in saya akan membahas mengenai proFTPd
PErtama-tama Install software proftpd, dengan ./configure && make && make install (apabila lewat source)
Apabila sudah terinstall, biasanya file konfigurasi ada di /etc atau /usr/local/etc dengan nama proftpd.conf. BUka file tersebut dengan teks editor

ServerType standalone # kita ingin proftpd berjalan secara stand alone, tanpa inetd
DefaultServer on
ScoreboardFile /var/run/proftpd.scoreboard

Port 21 # Port Standar dari FTP

Umask 022 # Merupakan representasi lain sari chmod 644, jadi user lain hanya bisa membaca file saja

User nobody
Group nogroup #untuk keamanan, maka FTP servis ini berjalan bukan daru user maupn group manapun

#Untuk FTP Server Publik (Anonymous)

<Anonymous /data/ftp>
User ftp
Group ftp

UserAlias anonymous ftp # user ftp = anonymuus – definisi seperti definisi variabel di bahasa pemrograman

MaxClients 10 #jumlah klien maksimum anonymous yang login

HideUser root # Agar klien tidak dapat membuka file yang dimilki root

<Limit WRITE>
AllowAll
</Limit>

<Limit READ DIRS>
IgnoreHidden on #Membatasi agar user lain tidak bisa membuka file hidden
</Limit>

</Anonymous>

Dengan konfigurasi seperti diatas, FTP Publik ini oleh user Anonymous hanya bisa dibaca. Ia tidak bisa meng-uplot file atau menghapus file di dalam file ini.