gilangkukuh@gmail.com

CAPTURING PAKET PADA PROTOKOL JARINGANDENGAN WIRESHARK

Layer 2 (Layer Data-Link)1. ICMP

Protokol IP merupakan datagram yang tidak reliable dan connectionless. Karena didisain sedemikianadalah untuk membuat sumber daya jaringan lebih efisien. Walaupun demikian IP memiliki 2defisiensi yaitu : lack of error control dan lack of assistance mechanism.Protokol IP tidak memiliki no error-reporting atau error-corecting mechanism. Lalu apa yang terjaditerjadi suatu masalah?ICMP didisain untuk mengkompensasi 2 defisiensi tersebut. ICMP sebenarnya adalah protokol yangmendukung dan mendampingi protokol IP. Jadi ICMP itu sendiri adalah network layer. Gambarberikut memperlihatkan bagaimana ICMP dienkapsulasi.

Pesan ICMP dibagi dalam 2 jenis : error-reporting message dan query message. Lihat Tabel berikut.

Kategori Tipe Pesan/message

Pesan Error-reporting

3 Destination unreachable4 Source quench11 Time exeeded12 Parameter problem5 Redirection

Pesan query

8 atau 0 Echo request or reply13 atau14 Timestamp request and reply

17 atau18

Address mask request andreply

10 atau 9 Router solicitation andadvertisement

Jenis pesan yang lain untuk ICMP adalah query. Dalam pesan jenis ini, node mengirim pesan yangdijawab dalam format spesifik oleh node tujuan. Jenis-jenis query pada ICMP adalah :

Echo request and reply Timestamp request and reply Address mask request and reply Router solicitation and advertisement.

Untuk melihat disain dan komponen ICMP dapat dilihat pada Gambar berikut.

gilangkukuh@gmail.com

Untuk melihat paket ICMP menggunakan wireshark cukup lakukan filter dengan mengisikan ICMPlalu klik apply, bias kita lihat pada kolom source 192.168.0.89 melakukan request pada destination192.168.0.1 dan kemudian IP destination mengirim reply ke IP source

2. ARP

ARP & RARP (Address Resolution Protocol & Reverse/Inverse Address Resolution Protocol): adalahprotokol yang bertugas untuk memetakan IP Address menjadi alamat MAC (Media Access Control)juga untuk sebaliknya, memetakan MAC Address menjadi IP Address.Untuk melihat alamat IP (Layer 3) dan alamat fisik MAC (Layer 2). Pada shell Linux, ketik perintahifconfig dan untuk cmdWindows, ketik perintah ipconfig

root@eniac:/home/inan# ifconfigeth0 Link encap:Ethernet HWaddr 00:1b:24:2a:3e:e0inetaddr:192.168.0.2 Bcast:192.168.0.255 Mask 255.255.255.0UP BROADCAST MULTICAST MTU:1500 Metric:1RX packets:0 errors:0 dropped:0 overruns:0 frame:0TX packets:0 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)Interrupt:20 Base address:0xa000wlan0 Link encap:Ethernet HWaddr 00:19:7e:45:99:ebinetaddr:217.0.0.7 Bcast:217.0.0.255 Mask 255.255.255.0UP BROADCAST MULTICAST MTU:1500 Metric:1

gilangkukuh@gmail.com

RX packets:0 errors:0 dropped:0 overruns:0 frame:0TX packets:0 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

Yang saya garis bawah adalah alamat MAC (alamat device) dan yang saya bold adalah alamat IP(Layer 3). Tiap alamat MAC (alamat device) tidak ada yang sama di dunia ini. Seperti juga contohnyaalamat MAC LAN card saya (eth0) dan Wireless card saya (wlan0) berbeda.Nah, sekarang tugas ARP pada komputer saya adalah mengabarkan kepada seluruh node didalam jaringan WLAN saya bahwa IP 217.0.0.7 mempunyai alamat MAC 00:19:7e:45:99:eb begitujuga untuk LAN, ARP akan membroadcast informasi ke tiap node bahwaalamat 192.168.0.2 mempunyai alamat MAC00:1b:24:2a:3e:e0.Sebenarnya untuk apa alamat MAC? Alamat MAC diperlukan untuk transfer data yang secara fisikdalam satu jaringan. Kalau begitu untuk apa alamat IP? Alamat IP digunakan sebagai alamat logictiap node untuk kebutuhan pengalamatan jaringan-jaringan. Kalo peran ARP dalam komunikasi dijaringan lokal? Jika anda pernah mengkoneksikan komputer anda ke sebuah jaringan (menggunakanswitch misalnya) maka tanpa peran ARP, mungkin komputer anda tidak akan pernah mendapatkanpaket data karena kesasar di jaringan lokal. Switch bekerja pada layer 2. Sebenernya switchmemiliki database ARP table di dalam switch tersebut. Isinya kurang lebih (contoh) seperti ini:IP Address MAC Address Lewat port switch192.168.0.1 00:1b:cc:c0:bd:e0 Port 1 switch192.168.0.2 00:1b:24:2a:3e:e0 Port 2 switch192.168.0.3 00:1c:13:dd:a2:bb Port 3 switch192.168.0.4 00:1c:25:1c:ae:4e Port 4 switch

Cara switch bekerja adalah dengan membaca ARP Table nya. Baris-baris pada table tersebut selaludi update oleh protokol ARP secara periodik. Misalnya ada paket datang ke switch dari IP192.168.0.1 yang akan menuju 192.168.0.2. ARP akan me-resolv alamat 192.168.0.2 menjadi00:1b:24:2a:3e:e0, sehingga switch mengerti maksud alamat logic (IP) tersebut maksudnya adalahalamat fisik tertentu yang berada di port mana, kemudian switch akan meneruskan paket tersebutmenuju port nomer 2 pada switch (ke komputer dengan alamat MAC 00:1b:24:2a:3e:e0 atauberalamat logic 192.168.0.2). Untuk selanjutnya paket dari 192.168.0.1 tersebut di proses secaralokal oleh komputer 192.168.0.2Bila kita menggunakan wireshark untuk mengcapture paket , bias kita lihat pada kolom info Who has10.0.0.117 Tell 10.0.0.50 . Artinya who has adalah IP address client dan tell adalah gatewaynya,Yang perlu diperhatikan adalah jika ada komputer yang bertindak sebagai gateway secara terusmenerus, hal ini bisa berarti komputer tersebut melakukan ARP Poisoning.

gilangkukuh@gmail.com

Layer 3 (Layer Network)3. IP

IP (Internet Protocol): adalah protokol yang bertugas untuk pengalamatan logic node. Selainpengalamatan fisik, diperlukan juga pengalamatan logic. Mungkin anda berpikir, untuk apapengalamatan logic, kenapa kita tidak berinternet dengan menggunakan alamat fisik (Layer 2) saja,alamat fisik tiap Network Interface Card berbeda-beda.Ini karena alamat fisik tidak bisa di masking. Alamat fisik komputer 00:1b:24:2a:3e:e0 tidak bisa dimasking menjadi 00:1b:24:2a:3e:XX Karena bisa saja 00:1b:24:2a:3e:e0 tidak berada di networkyang sama dengan komputer beralamat fisik 00:1b:24:2a:3e:aa misalnya walaupun bagian terakhire0 diganti menjadi aaJadi untuk mengetahui alamat jaringan, tidak bisa dengan menggunakan alamat fisik. Alamat fisikspesifik untuk pengalamatan langsung untuk host tertentu saja (Direct-Delivery).Secara mudah, bisa saya jelaskan bersamaan dengan intro di layer 3 ini.

Routing Antar Dua Jaringan

Dari gambar ini, routing table pada ROUTER bisa saya jelaskan seperti ini:

Source Network Destination Network Interface192.168.0.X (byte terakhir terserah,asal masih berada di sub-net 192.168.0) 192.168.1.X m0192.168.1.X 192.168.0.X m1

Untuk melakukan filtering IP source pada wireshark bisa dilalukan dengan menulis command sepertidi bawh ini,

gilangkukuh@gmail.com

Layer 4 (Layer Transport)4. TCP dan UDP

TCP (Transmission Control Protocol): adalah protokol yang bertugas untuk membentuk koneksi antarnode. Sifat TCP adalah connection-oriented. TCP baru akan membuat koneksi jika kedua belah pihaktelah setuju. Karenanya, TCP dianggap reliable (dapat diandalkan). Berbeda dengan UDP (UserDatagram Protocol) yang connectionless, transmisi data yang berbasis UDP akan langsungmengirimkan paket karena tidak ada kesepakatan dulu antar node yang bertransmisi.Untuk analoginya pada TCP, sebelum computer A mengirim data pada computer B, computer Aterlebih dahulu akan mengenali alamat logic dan fisiknya, setelah itu computer A akan memberikankode pada computer B saat pengiriman paket karena menunggu respon dari computer B terlebihdahulu, computer A akan mengkalkulasi rute yang akan ditempuh sekaligus menentukan rutecadangan bilamana terjadi kegagalan pengiriman. Berbeda pada UDP, computer A akan langsungmengirim paket tanpa pemberitahuan pada computer B terlebih dahulu tanpa menentukan rutekhusus untuk antisipasi sehingga paket akan langsung dikirim sehingga UDP mempunyai kelebihandalam respon kecepatan , sedangkan TCP dalam kehandalan.Pada kenyataannya, TCP digunakan untuk transmisi yang sifatnya kritikal dan tentu saja, butuhkehandalan. Sedangkan UDP digunakan untuk komunikasi antar proses yang tidak begitumemerlukan kehandalan, justeru membutuhkan kecepatan respon.Seperti yang kita lihat pada gambar di bawah, TCP terlebih dahulu mengirim SYN ACK padadestination dan menunggu destination untuk mereply ACK. Sedangkan pada UDP, User Sourcelangsung melakukan pengiriman data pada User destination

gilangkukuh@gmail.com

Layer 5 (Layer Application)5. DNS

DNS (Domain Name Service): adalah protokol yang tugasnya memetakan nama domain yanggampang diingat manusia menjadi alamat IP yang gampang diproses komputer (sesuai denganframework TCP/IP).DNS Server (Node yang melakukan pemetaan alamat domain menjadi alamat IP) tentu sajamempunyai database nama domain ke alamat IP nya. Sesuai pada tabel berikut:

Nama Domain Alamat IPonyon.com 117.231.21.223gorilla.com 193.112.125.88Jadi ketika kita menggunakan DNS Server yang memiliki database seperti ini, dan ketika kitabrowsing ke gorilla.com, sebenernya kita sama saja dengan melakukan query ke DNS Server untukme-resolv nama gorilla.com menjadi IP 193.112.125.88 kemudian membuat koneksi HTTP ke193.112.125.88Apakah seluruh nama domain di Internet terekam di DNS Server? Jawabannya Ya, tapi tidak semuanama domain di rekam (record) di satu computer server. Yaitu dengan cara distributed system. Bisasaja ada DNS Server yang tidak tau alamat onyon.com, tapi ketika nanya ke DNS server kita, ter-resolv IP 117.231.21.223. Tiap baris DNS sebenarnya selalu di update tiap subuh waktu GMT. AdaDNS-Root di Internet yang menghandle gTLD (Top Level Domain) dan ccTLD (country-code TopLevel Domain). Contoh TLD yaitu: com, net, org, edu, mil. Contoh ccTLD yaitu: co.id, go.uk, or.jp.DNS-Root ini hanya mengatur Top Level Domain Untuk SLD (Second Level Domain) di TLDtersebut ada Name Server-Name Server lain yang pastinya lebih tau. Contoh SLD: google, yahoo,tibandung, detik, kaskus, dsbProtokol DNS menggunakan layanan UDP. Yang membutuhkan kecepatan dalam respon ketimbangmasalah kehandalan. Bisa dilihat sendiri, kenapa lebih membutuhkan kecepatan respon ketimbangkehandalan. Karena data yang diquery hanya nama domain dan mungkin banyak node yang \harus dilewati untuk pemecahan nama domain.

gilangkukuh@gmail.com

Contoh DNS Client adalah aplikasi kecil bernama nslookup. Ini adalah contoh ketika sayamelakukan query google.co.id ke aplikasi ini

inan@eniac:~$ nslookup> serverDefault server: 192.168.255.3Address: 192.168.255.3#53Default server: 10.88.77.6Address: 10.88.77.6#53> google.co.idServer: 192.168.255.3Address: 192.168.255.3#53Non-authoritative answer:Name: google.co.idAddress: 64.233.181.104> server 8.8.8.8Default server: 8.8.8.8Address: 8.8.8.8#53> google.co.idServer: 8.8.8.8Address: 8.8.8.8#53Non-authoritative answer:Name: google.co.idAddress: 64.233.181.104> exitinan@eniac:~$

Bisa kita lihat pada gambar capture paket DNS dibawah, computer client mengirim query ke23.docs.google.com

6. DHCPDHCP (Dynamic Configuration Protocol) adalah layanan yang secara otomatis memberikan nomor IPkepada komputer yang memintanya. Komputer yang memberikan nomor IP disebut sebagai DHCPserver, sedangkan komputer yang meminta nomor IP disebut sebagai DHCP Client. Dengandemikian administrator tidak perlu lagi harus memberikan nomor IP secara manual pada saatkonfigurasi TCP/IP, tapi cukup dengan memberikan referensi kepada DHCP Server.

gilangkukuh@gmail.com

Pada saat kedua DHCP client dihidupkan , maka komputer tersebut melakukan request ke DHCP-Server untuk mendapatkan nomor IP. DHCP menjawab dengan memberikan nomor IP yang ada didatabase DHCP. DHCP Server setelah memberikan nomor IP, maka server meminjamkan (lease)nomor IP yang ada ke DHCP-Client dan mencoret nomor IP tersebut dari daftar pool. Nomor IPdiberikan bersama dengan subnet mask dan default gateway. Jika tidak ada lagi nomor IP yang dapatdiberikan, maka client tidak dapat menginisialisasi TCP/IP, dengan sendirinya tidak dapat tersambungpada jaringan tersebut.Setelah periode waktu tertentu, maka pemakaian DHCP Client tersebut dinyatakan selesai dan clienttidak memperbaharui permintaan kembali, maka nomor IP tersebut dikembalikan kepada DHCPServer, dan server dapat memberikan nomor IP tersebut kepada Client yang membutuhkan. Lamaperiode ini dapat ditentukan dalam menit, jam, bulan atau selamanya. Jangka waktu disebut leasedperiod.

Kelebihan DHCP :

1. Memudahkan dalam transfer data kepada PC client lain atau PC server.2. DHCP menyediakan alamat-alamat IP secara dinamis dan konfigurasi lain. DHCP ini

didesain untuk melayani network yang besar dan konfigurasi TCP/IP yang kompleks.3. DHCP memungkinkan suatu client menggunakan alamat IP yang reusable, artinya

alamat IP tersebut bisa dipakai oleh client yang lain jika client tersebut tidak sedangmenggunakannya (off).

4. DHCP memungkinkan suatu client menggunakan satu alamat IP untuk jangka waktutertentu dari server.

5. DHCP akan memberikan satu alamat IP dan parameter-parameter kofigurasilainnya kepada client.

Contoh capture paket DHCP computer client pada wireshark

gilangkukuh@gmail.com

7. FTPFile Transfer Protokol (FTP) adalah suatu protokol yang berfungsi untuk tukar-menukar file dalamsuatu network yang mensupport TCP/IP protokol. Dua hal penting yang ada dalam FTP adalah FTPserver dan FTP Client. FTP server menjalankan software yang digunakan untuk tukar menukar file,yang selalu siap memberian layanan FTP apabila mendapat request dari FTP client. FTP clientadalah komputer yang merequest koneksi ke FTP server untuk tujuan tukar menukar file(mengupload atau mendownload file).Tujuan FTP server adalah sebagai berikut :

1. Untuk men-sharing data.2. Untuk menyediakan indirect atau implicit remote computer.3. Untuk menyediakan teempat penyimpanan bagi user.4. Untuk menyediakan transfer data yang reliable dan efisien.

FTP sebenarnya cara yang tidak aman untuk mentransfer file karena file tersebut ditransfer tanpamelalui enkripsi terlebih dahulu tetapi melalui clear text. Mode text yang dipakai untuk transfer dataadalah format ASCII atau format Binary. Secara default, ftp menggunakan mode ASCII untuk transferdata. Karena pengirimannya tanpa enkripsi, maka username, password, data yang ditransfer,maupun perintah yang dikirim dapat di sniffing oleh orang dengan menggunakan protocol analyzer(Sniffer). Solusi yang digunakan adalah dengan menggunakan SFTP (SSH FTP) yaitu FTP yangberbasis pada SSH atau menggunakan FTPS (FTP over SSL) sehingga data yang dikirim terlebihdahulu dienkripsi (dikodekan).

FTP biasanya menggunakan dua buah port yaitu port 20 dan 21 dan berjalan exclusively melaluiTCP. FTP server Listen pada port 21 untuk incoming connection dari FTP client. Biasanya port 21untuk command port dan port 20 untuk data port. Pada FTP server, terdapat 2 mode koneksi yaituaktif mode dan pasif mode.

Contoh capture paket FTP pada wireshark

8. HTTPdefinisi HTTP (HyperText Transfer Protocol) adalah sebuah protokol untuk meminta dan menjawabantara client dan server. Sebuh client HTTP seperti web browser, biasanya memulai permintaandengan membuat hubungan TCP/IP ke port tertentu di tempat yang jauh (biasanya port 80). Sebuahserver HTTP yang mendengarkan di port tersebut menunggu client mengirim kode permintaan(request) yang akan meminta halaman yang sudah ditentukan, diikuti dengan pesan MIME yang

gilangkukuh@gmail.com

memiliki beberapa informasi kode kepala yang menjelaskan aspek dari permintaan tersebut, diikutdengan badan dari data tertentu.

HTTP berkomunikasi melalui TCP / IP. Klien HTTP terhubung ke server HTTP menggunakan TCP.Setelah membuat sambungan, klien dapat mengirim pesan permintaan HTTP keserver. HTTPdigunakan untuk mengirimkan permintaan dari klien web (browser) ke web server,dikembali kan ke konten web (halaman web) dari server ke klien.

HTTP tidaklah terbatas untuk penggunaan dengan TCP/IP, meskipun HTTP merupakan salah satuprotokol aplikasi TCP/IP paling populer melalui Internet. Memang HTTP dapat diimplementasikan diatas protokol yang lain di atas Internet atau di atas jaringan lainnya.

Saat Client mengakses web, aka nada dua paket HTTP yaitu GET dimana client melakukan requestpda webserver dan POST dimana client mengirimkan data (login) ke webserver, pada informasi paketPOST kita bias melihat informasi apa saja yang dikirim client ke webserver termasuk informasi loginseperti gambar dibawah

9. Simple Mail Transfer Protocol (SMTP)Salah satu Protokol TCP / IP, yang menentukan distribusi mail di Internet disebut Simple MailTransfer Protocol (SMTP) yang berbasis kode ASCII. Format mail dalam kode ASCII dipergunakankhusus untuk dokumen mail yang berupa teks. Untuk transfer dokumen mail dalam bentuk grafisdigunakan format biner dan mempergunakan protokol khusus yang disebut Multipurpose Internet MailExtension (MIME).

Fungsi utama SMTP adalah menyampaikan E-Mail dari suatu host ke host lainnya dalam jaringan.Protokol ini tidak memiliki kemampuan untuk melakukan penyimpanan dan pengambilan E-Mail darisuatu mailbox. Service SMTP berjalan pada protokol TCP port 25, yang merupakan port standarservice SMTP. Karena SMTP tidak memiliki kemampuan penyimpanan E-Mail dalam mailbox, makadiperlukan protokol lain untuk menjalankan fungsi tersebut yaitu POP3 dan IMAP. Dari sisi klien E-

gilangkukuh@gmail.com

Mail, server SMTP merupakan sarana untuk melakukan outgoing connection atau mengirimkanpesan. Sedangkan untuk incoming connection digunakan protokol POP3

Contoh capture packet pada wireshark

10. POPPOP atau Post Office Protocol, sesuai dengan namanya merupakan protokol yang digunakanuntuk pengelolaan mail. POP yang sekarang lebih umum dikenal dengan POP3 (POP Version3), dimaksudkan untuk mengizinkan client untuk mengakses secara dinamis mail yang masihada di POP3 server. POP3 menawarkan pada user untuk meninggalkan mail-nya di POP3server, dan mengambil mail-nya tersebut dari sejumlah sistem sebarang. Untuk mengambilmail dengan menggunakan POP3 dari suatu client, banyak pilihan yang dapat digunakanseperti Sun Microsystem Inc.s Mailtool, QualComm Inc.s Eudora, Netscape Comm. Corp.sNetscape Mail dan Microsoft Corp.s Outlook Express.

POP3 tidak dimaksudkan untuk menyediakan operasi manipulasi mail yang ada di server secaraluas. Pada POP3, mail diambil dari server dan kemudian dihapus (bisa juga tidak dihapus).

Kelebihan : Kelebihan utama POP mail adalah kemampuannya untuk dibaca secara offline (tidak harus

terkoneksi ke internet). Melalui e-mail berbasis POP3 akses internet pada saat mengirim dan menerima dapat

dikurangi. E-mail berbasis POP3 lambat. Lebih mudah dalam pengarsipan, karena e-mail disimpan di komputer pengguna Hanya dapat dibuka dari komputer pemakai saja.

gilangkukuh@gmail.com

Kekurangan : Harus menggunakan e-mail client seperti Outlook Express, Eudora Mail, Mutt, dan lain-lain. Hanya dapat mengakses e-mail dari komputer yang terinstal e-mail client, tidak bisa

mengecek e-mail Anda dari sembarang tempat.

Kapasitas : Besarnya media penyimpanan yang dapat digunakan untuk menampung e-mail dapat tak

terbatas, tergantung besarnya kapasitas pada komputer lokal.

11. IMAPIMAP adalah salah satu dari dua standar internet untuk protokol e-mail. Hampir semua arsitektur e-mail klien dan server modern mendukung kedua protokol sebagai sarana untuk mentransfer e-mail dari server, seperti yang digunakan oleh Gmail ke klien, seperti Mozilla Thunderbird,Apple Mail dan Microsoft Outlook. Port yang digunakan oleh protokol ini dalam TCP/IP adalah portnomor 143.

IMAP memiliki berbagai keunggulan bila dibandingkan dengan POP3 antara lain : Memiliki 2 mode operasi : Connected dan Disconnected Banyak pengguna dapat tersambungkan dengan sebuah mailbox yang sama secara simultan Informasi berisikan status pesan Banyak mailboxes di dalam server Pencarian di bagian server

gilangkukuh@gmail.com

Namun IMAP juga memiliki beberapa kekurangan. Tingkat kompleksitas akan bertambah ketikamenggunakan IMAP. Misalnya, beberapa klien mengakses kotak surat yang sama pada saatyang sama perlu dilakukan untuk meng-kompensasikan server-side workarounds seperti Maildiratau database backends.

Kelebihan : Dengan IMAP, user dapat membuat, mengubah dan menghapus folder yang ada di server. E-mail baru akan didownload dari server jika user ingin membacanya, sehingga e-mail juga

dapat diakses dari tempat lain.

Kekurangan : Server layanan e-mail memerlukan kapasitas resource yang agak tinggi.

Pada paket yang dikirim oleh protocol IMAP, kita juga bias melihat informasi akun seperti padaprotocol http seperti gambar dibawah ini

gilangkukuh@gmail.com

Referensihttp://blog.trainingmikrotik.net/protocol-icmp/http://blog.tibandung.com/computer-networking-tcpip/http://aminudin.net/ftp-server/http://blog.um.ac.id/afanardiansyah/2011/12/07/pop-dan-imap/http://kelasjarkom.wordpress.com/category/ssl-tlstransport-layer-security-by-ahmad-gunawa/http://wiki.wireshark.org