Jumat, 28 Juni 2013

NETWORK SCANNING DAN PROBING UBUNTU 12.04 LTS


     Scanning adalah kegiatan yang dilakukan hacker untuk menentukan aktif tidaknya host target dalam jaringan. Hasil scanning dapat berupa IP Address, sistem operasi, service maupun aplikasi yang dijalankan. Informasi ini berguna untuk menentukan jenis exploit yang akan digunakan.

Scanning dapat dibedakan menjadi 3, yaitu :
  • Port Scanning, Dilakukan untuk mengetahui service apa yang dijalankan oleh target berdasarkan well known ports
  • Network Scanning, Dilakukan untuk mengetahui aktifnya suatu host dan IP Address dari host tersebut.
  • Vulnerability Scanning, Dilakukan untuk mengethaui sistem operasi, versi sistem operasi, maupun service pack yang digunakan.
     Umumnya port scanning tools akan melakukan probe ke host target yang mudah dideteksi oleh IDS. Network scanning maupun Vulnerability Scanning juga mudah dideteksi oleh IDS, karena tetap melakukan interaksi dengan target.

      Server tugasnya adalah melayani client dengan menyediakan service yang dibutuhkan. Server menyediakan service dengan bermacam-macam kemampuan, baik untuk lokal maupun remote. Server listening pada suatu port dan menunggu incomming connection ke port. Koneksi bisa berupa lokal maupuan remote. Port sebenarnya suatu alamat pada stack jaringan kernel, sebagai cara dimana transport layer mengelola koneksi dan melakukan pertukaran data antar komputer. Port yang terbuka mempunyai resiko terkait dengan exploit. Perlu dikelola port mana yang perlu dibuka dan yang ditutup untuk mengurangi resiko terhadap exploit.
     Ada beberapa utility yang bisa dipakai untuk melakukan diagnosa terhadap sistem service dan port kita. Utility ini melakukan scanning terhadap sistem untuk mencari port mana saja yang terbuka, ada juga sekaligus memberikan laporan kelemahan sistem jika port ini terbuka.

Type Scanning

- connect scan (-sT)
   Jenis scan ini konek ke port sasaran dan menyelesaikan three-way handshake (SYN, SYN/ACK, dan ACK). Scan jenis ini mudah terdeteksi oleh sistem sasaran.


-sS (TCP SYN scan)
  Paling populer dan merupakan scan default nmap. SYN scan juga sukar terdeteksi, karena tidak menggunakan 3 way handshake secara lengkap, yang disebut sebagai teknik half open scanning. SYN scan juga efektif karena dapat membedakan 3 state port, yaitu open, filterd ataupun close. Teknik ini dikenal sebagai half-opening scanning karena suatu koneksi penuh TCP tidak sampai terbentuk. Sebaliknya, suatu paket SYN dikirimkan ke port sasaran. Bila SYN/ACK diterima dari port sasaran, kita dapat mengambil kesimpulan bahwa port itu berada dalam status LISTENING. Suatu RST/ACT akan dikirim oleh mesin yang melakukan scanning sehingga koneksi penuh tidak akan terbentuk. Teknik ini bersifat siluman dibandingkan TCP connect penuh, dan tidak akan tercatat pada log sistem sasaran.



- TCP FIN scan (-sF)
   Teknik ini mengirim suatu paket FIN ke port sasaran. Berdasarkan RFC 793, sistem sasaran akan mengirim balik suatu RST untuk setiap port yang tertutup. Teknik ini hanya dapat dipakai pada stack TCP/IP berbasis UNIX.


- TCP Xmas Tree scan (-sX)
   Teknik ini mengirimkan suatu paket FIN, URG, dan PUSH ke port sasaran. Berdasarkan RFC 793, sistem sasaran akan mengembalikan suatu RST untuk semua port yang tertutup.


- TCP Null scan (-sN)
   Teknik ini membuat off semua flag. Berdasarkan RFC 793, sistem sasaran akan mengirim balik suatu RST untuk semua port yang tertutup.



- TCP ACK scan (-sA)
   Teknik ini digunakan untuk memetakan set aturan firewall. Dapat membantu menentukan apakah firewall itu merupakan suatu simple packet filter yang membolehkan hanya koneksi-koneksi tertentu (koneksi dengan bit set ACK) atau suatu firewall yang menjalankan advance packet filtering.

- TCP Windows scan
   Teknik ini dapat mendeteksi port-port terbuka maupun terfilter/tidak terfilter pada sistem- sistem tertentu (sebagai contoh, AIX dan FreeBSD) sehubungan dengan anomali dari ukuran windows TCP yang dilaporkan.

- TCP RPC scan
   Teknik ini spesifik hanya pada system UNIX dan digunakan untuk mendeteksi dan mengidentifikasi port RPC (Remote Procedure Call) dan program serta normor versi yang berhubungan dengannya.

- UDP scan (-sU)
  Teknik ini mengirimkan suatu paket UDP ke port sasaran. Bila port sasaran memberikan respon berupa pesan (ICMP port unreachable) artinya port ini tertutup. Sebaliknya bila tidak menerima pesan di atas, kita dapat menyimpulkan bahwa port itu terbuka. Karena UDP dikenal sebagai connectionless protocol, akurasi teknik ini sangat bergantung pada banyak hal sehubungan dengan penggunaan jaringan dan system resource. Sebagai tambahan, UDP scanning merupakan proses yang amat lambat apabila anda mencoba men-scan suatu perangkat yang menjalankan packet filtering berbeban tinggi.   

Beberapa Tools dan cara scanning ke sistem

1. Netstat
   Netstat merupakan utility yang powerfull untuk menngamati current state pada server, service apa yang listening untuk incomming connection, interface mana yang listening, siapa saja yang terhubung.
cara penggunaan netstat dan option option yang dipakai serta arti option tersebut :
netstat -at : Menampilkan semua TCP port yang terbuka

2. Nmap
    Nmap adalah port scanner yang sangat terkenal dalam dunia hacking. dan banyak sekali digunakan untuk mengaudit suatu system, dimana untuk mengetahui port yang terbuka yang memungkinkan port tersebut dapat di exploitasi oleh sang intruder. selain NMAP msh banyak lagi port scanner di belahan dunia internet, seperti : superscan, THC, BluesPortTool, dll.


Konfigurasi Scanning dan Probing
1. Lakukan footprinting pada suatu alamat website, misalnya seperti perintah berikut untuk mengetahui informasi pada website sis.pcr.ac.id
# nslookup sis.pcr.ac.id
# whois sis.pcr.ac.id
# dig sis.pcr.ac.id
Catat informasi yang didapat dari perintah diatas.

-->
root@server1:/home/retnawati# nslookup sis.pcr.ac.id
Server: 172.16.30.1
Address: 172.16.30.1#53

Non-authoritative answer:
Name: sis.pcr.ac.id
Address: 172.16.10.14

You have new mail in /var/mail/root


root@server1:/home/retnawati# whois sis.pcr.ac.id
Not found: -V Md5.0 sis.pcr.ac.id


root@server1:/home/retnawati# dig sis.pcr.ac.id
; <<>> DiG 9.8.1-P1 <<>> sis.pcr.ac.id
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14982
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;sis.pcr.ac.id. IN A

;; ANSWER SECTION:
sis.pcr.ac.id. 8349 IN A 172.16.10.14

;; AUTHORITY SECTION:
pcr.ac.id. 11111 IN NS ns1.pcr.ac.id.
pcr.ac.id. 11111 IN NS ns2.pcr.ac.id.

;; ADDITIONAL SECTION:
ns1.pcr.ac.id. 11261 IN A 113.212.118.130
ns2.pcr.ac.id. 11250 IN A 113.212.118.130

;; Query time: 6 msec
;; SERVER: 172.16.30.1#53(172.16.30.1)
;; WHEN: Thu Jun 27 08:41:07 2013
;; MSG SIZE rcvd: 115

You have new mail in /var/mail/root 

2. Melihat status service yang aktif di local komputer. Gunakan command netstat –tpane dan netstat –tupane bandingkan hasilnya. Lakukan beberapa option netstat untuk mengetahui hanya tcp atau udp saja yang terlihat
Lakukan pula options – options yang lain.
Perintah yang dilakukan adalah seperti di bawah ini :
-->
-->
root@server1:/home/retnawati# netstat -tpane sis.pcr.ac.id 
root@server1:/home/retnawati# netstat -tupane sis.pcr.ac.ia 
-->
root@server1:/home/retnawati# nmap -sT -v sis.pcr.ac.id 
-->
root@server1:/home/retnawati# nmap -sS -v sis.pcr.ac.id 
-->
root@server1:/home/retnawati# nmap -O -v sis.pcr.ac.id 
-->
root@server1:/home/retnawati# nmap -sF -v sis.pcr.ac.id 
-->
root@server1:/home/retnawati# nmap -sN -v sis.pcr.ac.id 
-->
root@server1:/home/retnawati# nmap -sA -v sis.pcr.ac.id 
-->
root@server1:/home/retnawati# nmap -sU -v sis.pcr.ac.id 

3.  Install Wireshark.
#apt-get install wireshark

4. Setelah itu install Nesus dengan cara mendownloadnya terlebih dahulu pada link silahkan diklik. Simpan hasil download Nessus tadi di folder Downloads.


5. Sebelum Nessus diaktifkan, kita harus memiliki kode aktivasi terlebih dahulu dengan mendaftar di website nya. Langkah-langkahnya adalah seperti di bawah ini :
- Buka website Nessus. Setelah muncul halaman awalnya, klik pada PLUGINS.

 - Selanjutnya pilih Obtain An Activation Code.
 - Kemudian pilih Using Nessus at Home.
 - Isi username, password, dan email anda untuk pengiriman kode aktivasi ke alamat email anda. Klik Register. Selesai.
6. cek email untuk mencopy kode aktivasinya. Kode aktivasi yang diperoleh adalah seperti gambar di bawah ini :
7. Buka terminal pada ubuntu. Masuk ke superuser (root), lalu masuk ke folder tempat file Nessus yang telah didownload tadi di simpan. Kemudian lakukan perintah seperti di bawah ini :

#sudo dpkg -i Nessus-5.2.1-ubuntu1110_i386

 dan akan muncul seperti ini :

8. Start Nessus dengan cara # /etc/init.d/nessusd start
9. Kemudian login dengan akun dan password yang baru untuk nanti login ke nessus.
10. Restart Nessus.
11. Selanjutnya login ke aplikasi Nessus dengan membuka browser dengan alamat https://localhost:8834 .




12. Tunggu hingga Nessus initializing selesai. Setelah selesai maka anda harus login terlebih dahulu dengan username dan password yang telah dikonfigurasi sebelumnya. Disini username saya adalah retna dengan passwordnya 12345.
Setelah username dan password diinputkan klik sign in to continue.

 

13. Tunggu hingga running selesai. 

 
 14. Setelah selesai klik new scan. Masukkan username dan alamat IP address yang akan discan pada kotak scan target , bisa sampai 8 IP address. IP yang saya scan ada 3 IP address.


15. Setelah dirun, maka akan muncul tampilan seperti di bawah ini. Ada 3 jaringan yang discan seperti terlihat pada Hosts.

 16. Pada saat diklik vulnerabilities maka akan muncul rincian setiap jaringan seperti di bawah ini. Yang berwarna ungu adalah jaringan tersebut berada pada status critical. Hal ini berarti jaringan ini sangat mudah untuk dimasuki.








17. Gambar di bawah ini merupakan tab policies ketika dibuka.

18. Untuk log out, silahkan klik pada pojok kanan.

Demikian sedikit ilmu yang bisa saya share :)
selamat mencoba :)

sumber:
http://d3tkjuntad.cyberfreeforum.com/t465-network-security-scanning
http://budi-aog.blogspot.com/2013/06/network-scanning-dan-probing-ubuntu-1110.html
http://iyunishak.wordpress.com/2012/10/09/dasar-hacking/

Tidak ada komentar:

Posting Komentar