Post on 19-Mar-2019
ANALISA DAN IDENTIFIKASI POLA SERANGAN DI JARINGANINTERNET MENGGUNAKAN SISTEM HONEYPOT
DI LINGKUNGAN STMIK AMIKOM
Naskah Publikasi
diajukan oleh
Bondan Wahyutomo05.11.0741
kepada
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTERAMIKOM
YOGYAKARTA2010
ANALISA DAN IDENTIFIKASI POLA SERANGAN DI JARINGANINTERNET MENGGUNAKAN SISTEM HONEYPOT
DI LINGKUNGAN STMIK AMIKOM
Naskah Publikasi
diajukan oleh
Bondan Wahyutomo05.11.0741
kepada
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTERAMIKOM
YOGYAKARTA2010
ANALISA DAN IDENTIFIKASI POLA SERANGAN DI JARINGANINTERNET MENGGUNAKAN SISTEM HONEYPOT
DI LINGKUNGAN STMIK AMIKOM
Naskah Publikasi
diajukan oleh
Bondan Wahyutomo05.11.0741
kepada
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTERAMIKOM
YOGYAKARTA2010
ANALYZE AND IDENTIFICATION PATTERN ON INTERNET USINGHONEYPOT SYSTEM AT STMIK AMIKOM INFRASTRUCTURE
ANALISA DAN IDENTIFIKASI POLA SERANGAN DI JARINGANINTERNET MENGGUNAKAN SISTEM HONEYPOT
DI LINGKUNGAN STMIK AMIKOM
Bondan Wahyutomo
Jurusan Teknik Informatika
STMIK AMIKOM YOGYAKARTA
Abstract
Today internet users is increasing all over the world especially inIndonesia, the internet has become something that is vital in everyday life.The need is very high on the internet make the higher value. For that,many people who want to take advantage of the internet in a negativeway.
Analysis and identification patterns of attacks in Indonesia areexpected to increase security awareness in the community. Security in thecomputer world is extremely important to protect the Confidentiality,Integrity, and Availability of data. This science is also expected to increaseinterest and motivation toward the computer security field that is oftenoverlooked in the development of information technology today, growingrapidly in Indonesia.
The main objective of the thesis is to study the pattern of attacksthat occur, where they come from, in order to be anticipated so as to avoidor minimize the impact the attacks had happened, and to increaseawareness of safety in performing the activities associated with theInternet.
Keyword : HoneyPot, Nepenthes, Hacking
1. Pendahuluan
Perkembangan teknologi informasi di dunia yang semakin pesat mempermudah
manusia untuk melakukan banyak hal hanya dengan internet, membuat orang dengan
mudah melakukan banyak hal dalam satu waktu, seperti berbelanja, berhubungan
dengan orang-orang terdekatnya, memantau keadaan lalu lintas menuju tempat yang
akan dituju, mengecek surat elektronik, dan lain-lain.
Tidak ada yang sempurna di dunia ini, hal itu juga berlaku dalam sistem teknologi
informasi manapun yang paling mahal dan canggih sekalipun. Oleh karena itu
pengetahuan akan kelemahan sebuah sistem menjadi bahan dasar yang wajib dipelajari
untuk mencegah serangan-serangan dalam jaringan internet. Untuk melakukan
pencegahan terhadap serangan hacker dan cracker banyak hal yang dapat dilakukan,
misalnya menutup celah keamanan suatu sistem atau menggunakan firewall.
Dengan meningkatnya jumlah serangan-serangan yang terjadi di dunia internet,
solusi dengan menggunakan Honeypot ini dapat menjadi pilihan untuk mempelajari dan
mengatasi serangan yang terjadi di Indonesia. Skripsi ini ditujukan untuk mempelajari dan
menganalisa pola serangan yang terjadi di jaringan internet untuk dapat diantisipasi ke
depannya.
2. Landasan Teori
2.1 Jaringan Komputer
Jaringan komputer adalah sebuah kumpulan komputer, printer dan peralatan
lainnya yang terhubung dan saling berhubungan antara yang satu dengan yang lain
untuk melakukan tugas-tugasnya.
2.2 Kemanan Internet
Sejalan dengan kemajuan teknologi komunikasi dan informasi, semakin
kompleks pula jenis serangan yang terjadi di dunia maya. Jika dahulu
diperkenalkan istilah hacker dan cracker yang menunjuk pada individu dengan
kemampuan dan aktivitas khusus memasuki sistem komputer lain untuk beraneka
ragam tujuan, maka saat ini sudah banyak diciptakan mesin atau sistem yang
dapat bekerja sendiri secara intelijen untuk melakukan teknik‐teknik penyusupan
dan perusakan sistem. Intinya adalah bahwa serangan terhadap sistem keamanan
teknologi informasi organisasi telah masuk pada kategori kriminal, baik yang
bersifat pidana maupun perdata. Walaupun kebanyakan jenis tindakan kriminal
tersebut berkaitan erat dengan urusan finansial, tidak jarang akibat serangan
tersebut, sejumlah nyawa manusia melayang, karena menimpa sistem yang sangat
vital bagi kehidupan manusia. Ilustrasi berikut memperlihatkan begitu banyaknya jenis
tindakan atau serangan yang mengarah pada kriminalisasi dari tahun ke tahun.
2.3 HoneyPot
Honeypot adalah jebakan untuk mendeteksi, mengalihkan atau di lain sisi untuk
berinteraksi dengan percobaan penggunaan suatu system yang tidak terautorisasi.
Secara umum terdiri dari beberapa komputer yang terlihat seperti bagian dari sebuah
jaringan computer, tapi sebenarnya terisolasi, (tidak) terproteksi,diawasi, dan terlihat
seperti menyimpan informasi atau sumber daya yang berharga bagi penyerang.
3. Analisis
3.1 Konsep Nepenthes
Sebuah sistem honeypot yang berada di tingkat low-medium interaction yang
bersifat open-source dan banyak digunakan oleh peneliti di dunia keamanan internet
yang sekarang mencapai update 0.2.2 yang berisi modul-modul emulasi terbaru dari
kelemahan dalam layanan-layanan yang umum di internet, seperti IIS, MySQL, DNS, dan
lain-lain. Untuk menjalankan fungsinya nepenthes membutuhkan sumber data yang akan
diolah menjadi sebuah informasi
3.2 Alat dan Bahan Penelitian
3.2.1 Hardware
Dalam penelitian ini penulis mengunakan server dengan spesifikasi:
Prosesor : Amd Athlon XP 2000++
Memori : DDRAM 512 MB
Harddisk : 20 GB
Grafis : Ati Radeon 128 MB
Monitor, keyboard, dan mouse.
Server tersebut dilengkapi dengan onboard lan card untuk menghubungkan
dengan jaringan internet.
3.2.2 Sofware
Perangkat lunak yang digunakan ada pada tabel berikut
Perangkat Spesifikasi Keterangan
Linux Server Edition Kernel 2.6.26 Sistem Operasi
Nepenthes Nepenthes 2.0 Sistem Honeypot
SSHTools OpenSSH Remote Access
Putty Release 0.60 Remote access
3.3 Proses Instalasi dan Konfigurasi
Proses instalasi yang dimaksud adalah bagaimana mengimplementasi
nepenthes kepada sistem yang ada. Penulis menggunakan sistem operasi Linux Ubuntu
10.04 Lucid Lynx.
Instal paket nepenthes menggunakan installer aptitude.
Setelah paket terinstall, lakukan konfigurasi “nepenthes.conf” pada direktori
/etc/nepenthes/nepenthes.conf.
Yang perlu diperhatikan dalam konfigurasi nepenthes adalah menghilangkan
tanda komentar “//” pada pilihan berikut:
- Submitfile.so “submit-file.conf”
- Submitnorman.so “submit-norman.conf”
- Logdownload.so “log-download.conf”
Dan mengganti opsi “replace_local_ips” menjadi 0
Kemudian jalankan nepenthes secara daemon dengan mengetikan perintah
“sudo nepenthes –D”
3.4 Metode Penelitian
Teknik analisa yang penulis lakukan adalah mencari dan menjumlahkan interaksi
yang dicatat oleh nepenthes. Log file nepenthes dibuat sedemikian rupa untuk
memudahkan pembacaan. Struktur log file yang akan dianalisa adalah sebagai berikut:
1. Interaksi Port Scanning
Pada log file akan terlihat struktur seperti berikut ini:
DialogueFactory Watch Factory create Watch Dialogues could Accept a Connection[08102010 17:05:49 spam net handler] <in virtual nepenthes::Socket*
nepenthes::TCPSocket::acceptConnection()>[08102010 17:05:49 spam net handler] Socket TCP (accept) 218.211.189.230:46421 ->202.91.9.45:25
Terlihat bahwa IP 218.211.189.230 melakukan aktifitas port scanning menuju
sistem honeypot di 202.91.9.45 ke port 25. Dari struktur tersebut dapat terlihat bahwa jika
ada aktifitas port scanning akan ditandai dengan adanya kata-kata “Watch Dialogues”.
2. Interaksi Port Attack
Pada log file akan terlihat struktur seperti berikut ini:
[08102010 17:05:49 debug net mgr] Accepted Connection Socket TCP (accept)218.211.189.230:46421 -> 202.91.9.45:2531 Sockets in list[08102010 17:05:49 spam net handler] <in virtual int32_tnepenthes::TCPSocket::doRecv()>[08102010 17:05:49 spam mgr event] <in virtual uint32_tnepenthes::EventManager::handleEvent(nepenthes::Event*)>[08102010 17:05:49 spam net handler] doRecv() 0[08102010 17:05:49 debug net handler] Dialogue WatchDialogue inactive, returnedCL_DROP
Di contoh interaksi port attack tersebut dapat dilihat bahwa struktur yang ada
bahwa interaksi diawali dengan “Accepted Connection Socket TCP (accept)” diikuti
dengan IP penyerang menuju IP honeypot dan port yang diserang, dalam hal ini port 25.
4. Hasil Penelitian dan Pembahasan
4.1 Pengujian Sistem Honeypot
Pengujian dilakukan dengan melihat apakah sistem error ketika dijalankan, dan
dilakukan nya tes ping, tracepath, dan scanning menggunakan Nmap.
4.2 Hasil dan pembahasan
Rentang waktu yang digunakan untuk penelitian ini adalah dari sisten honeypot
publish ke internet tanggal 6 Oktober 2010 sampai dengan 5 November 2010. Dalam
rentang waktu tersebut penulis telah mengumpulkan log file sebesar 6,62MB atau setara
dengan 2438 halaman dokumen.
1. Jumlah Total Interaksi
2. Jumlah Serangan
Nama Layanan Port Jumlah Serangan
FTP 21 32
SMTP 25 6
Name Server 42 0
HTTP 80 116
POP3 110 2
MS-RPC 135 0
NetBios-SSN 139 0
IMAP 143 0
HTTPS 443 2
Microsoft-DS 445 34
SMTPS 465 0
IMAPS 993 0
Total
Jumlah Koneksi 192
Port Scanning 8
0
50
100
150
200
250
Jumlah Koneksi
Port Scanning
POP3S 995 0
NVC 1023 0
NFS-IIS 1025 0
ZEPHYR-CLT 2103 0
Eklogin 2105 0
MS-DTC 3372 0
UPNP 5000 0
Snet-Sensor-Management 10000 0
3. Lima IP teraktif
NO IP Jumlah serangan Asal Negara
1 93.92.128.167 99 Germany
2 202.91.9.8 34 Indonesia
3 122.115.33.55 17 China
4 218.108.83.210 6 China
5 114.59.113.156 4 Indonesia
0
20
40
60
80
100
120
21 25
32
6
POP3S 995 0
NVC 1023 0
NFS-IIS 1025 0
ZEPHYR-CLT 2103 0
Eklogin 2105 0
MS-DTC 3372 0
UPNP 5000 0
Snet-Sensor-Management 10000 0
3. Lima IP teraktif
NO IP Jumlah serangan Asal Negara
1 93.92.128.167 99 Germany
2 202.91.9.8 34 Indonesia
3 122.115.33.55 17 China
4 218.108.83.210 6 China
5 114.59.113.156 4 Indonesia
80 110 443 445
116
2 2
34
POP3S 995 0
NVC 1023 0
NFS-IIS 1025 0
ZEPHYR-CLT 2103 0
Eklogin 2105 0
MS-DTC 3372 0
UPNP 5000 0
Snet-Sensor-Management 10000 0
3. Lima IP teraktif
NO IP Jumlah serangan Asal Negara
1 93.92.128.167 99 Germany
2 202.91.9.8 34 Indonesia
3 122.115.33.55 17 China
4 218.108.83.210 6 China
5 114.59.113.156 4 Indonesia
4. Lima Negara Teraktif
No Negara Jumlah
1 China 8
2 USA 6
3 Taiwan 4
4 Rusia 3
5 Korea 2
Indonesia 2
Malaysia 2
5. Kesimpulan
Setelah selesai tahap-tahap pembahasan, pembuatan dan pengujian sistem
pada skripsi ini dapat ditarik kesimpulan sebagai berikut:
1. Berdasar hasil pengujian, sistem honeypot dapat bekerja dengan baik sesuai
dengan perancangan.
2. Dengan sistem ini dapat dilihat gambaran umum pola serangan di jaringan
internet, asal serangan, tujuan serangan yang tertangkap didalam sistem ini.
3. Pola serangan di internet cenderung mengarah ke port 80 dan 445 yang
merupakan layanan HTTP dan Microsoft-DS.
4. Sistem ini membantu untuk meningkatkan keamanan dalam sistem produksi
yang dimiliki dan meningkatkan kesadaran akan keamanan dalam berinternet.
6. Daftar Pustaka
Ardiyansah, Dian, “Teknologi Jaringan Komputer”, IlmuKomputer.com, 2004
Blasco, Jaime, “An Approach to Malware Collection Log Visualization”, Aitsec, Madrid
Spain.
Prihanto, Harry,”Membangun Jaringan Komputer: Mengenal Hardware dan Topologi
Jaringan”, IlmuKomputer.com, 2006
Provos, Niels dan Holz, Thorsten, “Virtual Honeypots: From Botnet tracking to Intrusion
Detection”, Pearson Education Inc, 2008.
Yuhefizar, “Tutorial Komputer dan Jaringan”, IlmuKomputer.com, 2003