TOOLS SNIFFING

Berikut adalah tools Sniffing atau software yang digunakan untuk melihat paket TCP/IP yang lewat dalam

suatu jaringan:

1. Wireshark

Wireshark/Ethereal merupakan salah satu dari sekian banyak tools Network Analyzer yang

banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya dan juga

merupakan tools andalan Vaksinis (teknisi Vaksincom). Wireshark banyak disukai karena

interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis.

Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan

yang kita “intip”. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan

mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti Windows, Linux,

Macintosh, dll.

Pada awal kemunculan dan perkembangan Conficker, tools ini merupakan “pelopor” tools yang

digunakan oleh beberapa vendor security untuk menganalisa paket-paket data/informasi dalam

jaringan dari serangan Conficker. Anda dapat mendownload wireshark pada alamat

http://www.wireshark.org/download.html.

Pada saat instalasi, perhatikan untuk mengaktifkan dan menginstall plugin MATE (Meta

Analysis Tracing Engine), karena secara default belum diaktifkan. Plugin ini dapat berfungsi

untuk memfilter seluruh paket-paket data dari berbagai protocol yang lewat dalam jaringan.

Selain itu dalam proses instalasi juga disertakan WinPcap. Lakukan instalasi WinPcap, WinPcap

merupakan driver yang digunakan untuk membaca dan mem-filter lalu lintas paket

data/informasi yang lewat.

Untuk penggunaannya cukup mudah, pada saat anda menjalankan Wireshark, pilih saja tab

Capture kemudian pilih list Interfaces. Pada pilihan capture interfaces, pilih yang sesuai dengan

jaringan LAN/Ethernet card anda kemudian klik tombol start. Wireshark juga memiliki

kemampuan untuk melakukan scan komputer antar segmen.

Untuk deteksi Conficker, lakukan filter dengan protocol NBNS (NetBIOS Name Service)

kemudian perhatikan info yang diberikan, umumnya NBNS akan membaca hostname komputer

tetapi jika NBNS membaca selain hostname komputer dalam hal ini adalah domain-domain yang

dituju oleh Conficker, maka source IP tersebut merupakan komputer yang terinfeksi dan

berusaha untuk menyebarkan dan mengupdate dirinya.

2. Nmap

Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif

menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap

kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif

pada port yang lebih spesifik.

Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning

jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada

semua jenis OS, baik mode console maupun grafis. Hebatnya lagi, tidak seperti Wireshark,

Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh

Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih

memiliki celah keamanan yang dapat dieksploitasi oleh Conficker.

Selain itu, Nmap juga memiliki satu keunggulan yang mungkin membuat administrator jaringan

besar jatuh cinta, ia dapat melakukan scanning komputer antar segmen.

Terhadap kemunculan dan perkembangan Conficker, Nmap dengan bantuan source code dari

Tillman Werner dan Felix Leder dari The Honeynet Project, telah merilis versi baru dengan

tambahan fitur deteksi terhadap komputer yang terinfeksi Conficker. Anda dapat mendownload

versi terbaru pada alamat http://nmap.org/download.html.

Proses instalasi Nmap cukup mudah, sama halnya seperti wireshark, Nmap juga melakukan

instalasi terhadap WinPcap (jika belum terinstall). Jika sudah terinstall WinPcap, biasanya akan

terjadi error dan proses instalasi WinPcap sebaiknya di lewatkan saja.

Untuk penggunaannya, baik mode console maupun GUI, kita tetap menggunakan perintah

command. Penggunaan command untuk mendeteksi Conficker ada 2 cara :

Scan jaringan dengan membaca port 139 & 445 (lebih cepat) :

nmap -p 139,445 -T4 –script p2p-conficker,smb-os-discovery,smb-check-vulns –script-

args checkconficker=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1…..)

Scan jaringan dengan membaca seluruh port yang digunakan Conficker (agak lambat) :

nmap -p – -T4 –script p2p-conficker,smb-os-discovery,smb-check-vulns –script-args

checkall=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1….)

3. Retina Network Security Scanner (Conficker Worm)

Walaupun agak terlambat dan diluncurkan menjelang 1 April 2009, sebagai salah satu vendor

keamanan komputer, eEye Digital Security juga ikut meluncurkan tools khusus dan gratis untuk

mendeteksi keberadaan Conficker dalam jaringan. Tools ini didesain untuk mendeteksi

keberadaan Conficker dan sekaligus mendeteksi vulnerability windows tersebut dari celah

keamanan Windows Server Service (patch MS08-067). Anda dapat mendownload tools ini pada

alamat http://www.eeye.com/html/downloads/other/ConfickerScanner.html.

Proses instalasi sangat mudah dan cepat, anda cukup menjalankan file instalasi yang dilanjutkan

perintah-perintah selanjutnya hingga selesai.

Bagi pengguna umum, tools Retina dari Eeye relatif lebih mudah dibandingkan Wireshark dan

Nmap, saat anda menjalankan tools ini anda dapat langsung memilih target yang diinginkan baik

single IP maupun dengan range IP. Jika sudah, anda dapat langsung klik tombol scan.

Jika sudah selesai akan muncul box pesan tanda selesai. Hasil dari scan tersebut terdapat 4

kategori yaitu :

Not Tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)

Infected (komputer terdeteksi terinfeksi Conficker)

Patched (komputer bersih dan sudah di patch MS08-067)

Vulnerable (komputer bersih tetapi belum di patch, rawan terinfeksi Conficker)

Sayangnya tools ini hanya membaca port 139 dan 445, sehingga sangat sulit jika komputer yang

terinfeksi tidak mengaktifkan port tersebut (File and Printer Sharing). Selain itu, Retina tidak

dapat melakukan scanning antar segmen dan juga tidak memantau port 1024 – 10.000 yang di

eksploitasi oleh Conficker.

4. SCS (Simple Conficker Scanner)

Tools simple dan canggih buatan Tillman Werner dan Felix Leder dari The Honeynet Project,

yang pada saat awal diluncurkan banyak digunakan oleh Vaksincom untuk mendeteksi IP – IP

ISP Indonesia yang terinfeksi Conficker ini menjadi rujukan beberapa vendor untuk membuat

tools sejenis.

Mereka membuat tools conficker network scanner dari bahasa Python yang kemudian beserta

source code-nya dipublish secara bebas. Tercatat beberapa vendor seperti Nmap, eEye dan

Foundstone menggunakan source code yang kemudian di compile dan dijadikan plugin tools

masing-masing vendor untuk digunakan mendeteksi conficker.

Tools ini dapat didownload pada alamat

http://www.4shared.com/get/95921961/d7727fab/scs.html .

SCS tidak perlu diinstall, anda hanya perlu akstrak pada folder/drive yang anda tentukan saja.

Tetapi untuk menjalankan SCS anda perlu meng-install Nmap. Hal ini dikarenakan SCS

membutuhkan driver paket monitoring data.

Untuk penggunaannya, SCS menggunakan mode console atau command prompt. Pada mode

command prompt, pindah pada folder scs kemudian ketik perintah berikut :

“scs [IP_Awal] [IP Akhir]” , contoh : C:\scs>scs 192.168.1.1 192.168.1.255

Sama seperti Retina, SCS hanya membaca port 139 dan 445 saja.

5. Conficker Detection Tool (MCDT)

Melalui salah satu divisi-nya yaitu Foundstone, McAfee ikut merilis salah satu tools network

untuk mendeteksi keberadaan conficker. Tools yang juga menggunakan source dari Tillman

Werner dan Felix Leder dari The Honeynet Project, merupakan pengembangan dari team

Foundstone yang didesain untuk mendeteksi keberadaan komputer yang terinfeksi conficker, dan

telah dipublish secara gratis. Anda dapat mendownload pada alamat

http://www.mcafee.com/us/enterprise/confickertest.html .

Tools ini tidak perlu diinstall, anda hanya perlu ekstrak pada direktori / drive yang anda tentukan

saja.

Untuk penggunaannya pun cukup mudah, saat anda menjalankan tools ini anda dapat langsung

memilih range target yang diinginkan. Bahkan anda dapat melakukan scanning jika terdapat

beberapa segmen pada jaringan komputer anda, hal ini yang tidak terdapat pada Retina.

Tetapi sayangnya tools ini tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang

di eksploitasi Conficker seperti Nmap dan Retina. Berbeda dengan Retina, tools ini memiliki 3

kategori hasil scan yaitu :

INFECTED (komputer terinfeksi conficker)

Not infected (komputer bersih atau tidak terinfeksi)

Not tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)

Sama seperti halnya Retina dan SCS, tool ini hanya membaca port 139 dan 445 (File Printer

Sharing) dan tidak melakukan pemantauan atas port 1024 – 10.000 yang di eksploitasi oleh

Conficker.

Hasil Perbandingan…..

Dari beberapa tools tersebut, kami me-review dan membuat tabel perbandingan-nya sebagai

berikut (klik untuk memperbesar):

Dari hasil pengujian yang dilakukan oleh lab Vaksincom, terlihat bahwa tidak ada tools yang

sempurna. Masing-masing tools memiliki kelebihan dan kekurangannya masing-masing.

Nmap walaupun memiliki fitur yang paling lengkap tetapi memiliki kelemahan pada sisi

penggunaan yang masih menggunakan command dan kecepatan scan yang lambat dibanding

tools yang lain. Sementara MCDT merupakan tools yang sangat simple tanpa instalasi serta

proses scan cukup cepat memilki kelemahan tidak dapat berfungsi dengan baik jika port 445

ditutup/disable (File and Printer Sharing di non aktifkan) dan tidak melakukan pemeriksaan pada

celah keamanan MS08-067 yang dieksploitasi oleh Conficker.

Penulis, Adi Saputra dan Alfons Tanujaya, adalah analis antivirus untuk Vaksincom.

http://ndhobos.blogspot.com