Salam hangat selalu
buat teman ku yang ada dicivitas akademika, kali ini saya coba akan menjawab
sebuah pertanyaan yang menjadi tugas akhir dari mata kuliah Keamanan Komputer
Lanjut…tulisan ini dibuat berdasarkan beberapa referensi yang bertebaran yang
ada diinternet…hehehehehe. Silahkan dinilai dan kalau ada yang salah mohon
untuk dikonfirmasi donirizki75@gmail.com.
TCP
connect scan
Jenis scan ini konek ke
port sasaran dan menyelesaikan three-way handshake (SYN, SYN/ACK, dan
ACK). Scan jenis ini mudah terdeteksi oleh sistem sasaran.
TCP SYN scan
Teknik ini dikenal
sebagai half-opening scanning karena suatu koneksi penuh TCP tidak
sampai terbentuk. Sebaliknya, suatu paket SYN dikirimkan ke port sasaran. Bila
SYN/ACK diterima dari port sasaran, kita dapat mengambil kesimpulan bahwa port
itu berada dalam status LISTENING. Suatu RST/ACT akan dikirim oleh mesin yang
melakukan scanning sehingga koneksi penuh tidak akan terbentuk. Teknik ini bersifat
siluman dibandingkan TCP connect penuh, dan tidak aka tercatat pada log sistem
sasaran.
TCP
FIN scan
Teknik ini mengirim suatu paket FIN ke
port sasaran. Berdasarkan RFC 793, sistem sasaran akan mengirim balik suatu RST
untuk setiap port yang tertutup. Teknik ini hanya dapat dipakai pada stack
TCP/IP berbasis UNIX.
TCP
Xmas Tree scan
Teknik ini mengirimkan suatu paket FIN,
URG, dan PUSH ke port sasaran. Berdasarkan RFC 793, sistem sasaran akan
mengembalikan suatu RST untuk semua port yang tertutup.
TCP
Null scan
Teknik ini membuat off semua flag.
Berdasarkan RFC 793, sistem sasaran akan mengirim balik suatu RST untuk semua
port yang terturup.
TCP ACK scan
Teknik ini digunakan
untuk memetakan set aturan firewall. Dapat membantu menentukan apakah firewall
itu merupakan suatu simple packet filter yang membolehkan hanya
koneksi-koneksi tertentu (koneksi dengan bit set ACK) atau suatu firewall yang
menjalankan advance packet filtering.
TCP Windows scan
Teknik ini dapat
mendeteksi port-port terbuka maupun terfilter/tidak terfilter pada
sistem-sistem tertentu (sebagai contoh, AIX dan FreeBSD) sehubungan dengan
anomali dari ukuran windows TCP yang dilaporkan.
TCP RPC scan
Teknik ini spesifik
hanya pada system UNIX dan digunakan untuk mendeteksi dan mengidentifikasi port
RPC (Remote Procedure Call) dan program serta normor versi yang berhubungan
dengannya.
UDP scan
Teknik ini mengirimkan
suatu paket UDP ke port sasaran. Bila port sasaran memberikan respon berupa
pesan “ICMP port unreachable” artinya port ini tertutup. Sebaliknya bila tidak
menerima pesan di atas, kita dapat menyimpulkan bahwa port itu terbuka. Karena
UDP dikenal sebagai connectionless protocol, akurasi teknik ini sangat
bergantung pada banyak hal sehubungan dengan penggunaan jaringan dan system
resource. Sebagai tambahan, UDP scanning merupakan proses yang amat lambat
apabila anda mencoba men-scan suatu perangkat yang menjalankan packet
filtering berbeban tinggi.
Tool Scanner Port (Scanner Berbasis Windows)
Beberapa port scanner
berbasis Windows yang cukup baik kecepatan, akurasi, dan fitur-fitur yang
tersedia antara lain seperti dibawah ini:
NetScan Tools Pro 2000
NetScan Tools Pro 2000
(NSTP2K) menyediakan segala macam utilitas dalam satu paket: DNS query mencakup
nslookup dan dig dengan axfr, whois, ping sweeps, Net-BIOS name table scan,
SNMP walks, dan banyak lagi.
Lebih jauh lagi NSTP2K
mempunyai kemampuan multitasking. Serta dapat menjalankan port scan terhadap
suatu sistem dan menjalankan ping sweep pada sistem yang lain. NetScan Tools
Pro 2000 menyertakan port scanner versi Windows terbaik yang ada sekarang,
yaitu pada tab Port Probe. Kehebatan Port Pro mencakup flexible target dan
spesifikasi port (IP sasaran maupun daftar port dapat diimpor dari file teks),
mendukung scan TCP maupun UDP (tapi tidak selektif per port), dan multithreaded
speed. Di sisi negatifnya, output yang dihasilkan Port Pro bersifat
grafis sehingga sulit dibaca oleh script ataupun tool pemilah-milah
data. Sayangnya juga, output dari suatu fungsi (misalnya NetScanner) tidak
dapat secara otomatis dijadikan input oleh fungsi lain (misalnya Port Probe).
SuperSCAN
SuperScan dapat diperoleh di www.foundstone.com/rdlabs/
termofuse.php?filename=superscan.exe. SuperScan adalah port scanner TCP yang
juga cepat dan dapat diandalkan pada harga yang jauh lebih baik (gratis!).
Seperti juga NSTP2K, SupeScan memungkinkan spesifikasi fleksibel dari IP-IP
sasaran dan daftar port. Opsi Extract From File nyaman mudah digunakan dan
cepat pula.
WinScan
WinScan, karya Sean
Mathias dari Prosolve (http://prosolve.com)
adalah suatu TCP port scanner yang tersedia baik dalam format grafis
(winscan.exe) maupun command line (scan.exe). Versi command line-nya
mampu men-scan network Class-C dan output-nya mudah dibaca.
IpEye
Packet
scan eksotis hanya nmap di Linux? Tidak juga. IpEye karya Arne Voidstrom (http://ntsecurity.nu) dapat menjalankan source
port scanning, selain SYN, FIN, dan Xmas scan dari command line Windows.
Satu-satunya keterbatasan ipEye adalah hanya berjalan pada Windows 2000 dan
setiap kali hanya dapat men-scan satu host.
Banyak router dan
firewall dikonfigurasikan agar memungkinkan protokol seperti DNS (UDP 53), FTP
data channel (TCP 20), SMTP (TCP 25), dan HTTP (TCP 80) masuk melalui filter,
source port scanning dapat menyerang kontrolkontrol ini dengan jalan menyamar
sebagai lalu-lintas komunikasi inbound ini. Untuk itu, anda harus mengetahui
ruang alamat yang ada di balik firewall atau router, yang sulit bila melibatkan
NAT (NetBIOS Auditing Tool).
WUPS
Windows UDP Port
Scanner (WUPS) berasal dari pengarang yang sama dengan ipEye (Arne Vidstorm).
Suatu UDP scanner grafis yang mudah digunakan dan cepat (tergantung pada delay
setting-nya), walaupun hanya dapat men-scan satu host setiap kali. Suatu tool
yang baik untuk UDP scan cara cepat.
Windows Ping Tool
Pinger
(www.nmrc.org/files/snt/)
Pinger dari Rhino9 ini
adalah pinger tercepat yang ada untuk Windows dan merupakan freeware!
Seperti juga fping, Pinger mengirimkan benyak paket ICMP ECHO secara bersamaan
dan menunggu responnya. Selain itu, Pinger dapat melacak host name dan
menyimpannya pada suatu file.
Ping
Sweep (www.solarwinds.net)
Ping Sweep dapat sangat
cepat sebab kita dapat menentukan delay time antara paket-paket yang
dikirimkan. Dengan menetapkan delay time sebagai 0 atau 1, suatu hostname dari
network kelas C dapat diperoleh dalam waktu kurang dari 7 detik. Hati-hati
dengan tool ini sebab bisa-bisa membuat macet link yang lambat seperti
ISDN 128K atau Frame Relay link.
WS_Ping
ProPack (www.ipswitch.com) dan
NetScanTools (www.nwpsw.com)
Kedua utilitas ping
sweep ini memadai untuk melakukan ping sweep terhadap network kecil,
namun keduanya lebih lambat dibandingkan dengan Pinger atau Ping Sweep.
Lebih lengkapnya,
tool-tool yang ada dicantumkan pada lampiran Scanning Tools.
Jenis-Jenis
Probe (Hasil Scan)
Setelah mengenal
macam-macam teknik dan tool untuk port scanning, apa yang dapat diperoleh dari
hasil scan? Dari tool apapun yang digunakan, yang coba didapatkan adalah
mengidentifikasi port yang terbuka dan memberi tanda mengenai sistem
operasinya. Sebagai contoh, apabila port 139 dan 135 terbuka, besar
kemungkinannya bahwa system operasi sasaran adalah Windows NT. Windows NT
umumnya listen pada port 135 dan 139. Berbeda dengan Windows 95/98 yang listen
pada port 139.
Jenis-jenis pemeriksaan (probe) yang dapat dikirim
untuk membantu membedakan suatu system operasi dari yang lain:
FIN
probe
Suatu paket FIN dikirim
ke suatu port terbuka. Perilaku yang benar adalah tidak memberikan respon. Akan
tetapi, banyak implementasi stack seperti Windows NT akan merespon
dengan suatu FIN/ACK.
Bogus
Flag probe
Suatu flag TCP yang
tidak didefinisikan di-set pada header TCP dari suatu SYN packet. Beberapa
system operasi, seperti Linux, akan merespon dengan flag yang di-set pada response
packet-nya
Initial
Sequence Number (ISN) sampling
Pemahaman dasarnya
adalah mendapatkan suatu pola pada initial sequence yang dipilih oleh
implementasi TCP sewaktu merespon suatu permintaan koneksi.
'Don't
fragment bit' monitoring
Beberapa sistem operasi
akan menset 'Don't fragment bit' untuk meningkatkan kinerja. Bit ini dapat
dimonitor untuk menentukan jenis sistem operasi apa yang menampilkan perilaku
ini.
TCP
initial windows size
Melacak initial
window size pada paket yang kembali. Pada beberapa implementasi stack,
ukuran ini unik dan sangat meningkatkan akurasi mekanisme fingerprinting.
ACK
value
IP stack berbeda-beda dalam menggunakan
nsequence value yang digunakan untuk ACK field; beberapa implementasi akan
mengembalikan sequence number yang anda kirim dan yang lain akan mengembalikan
sequence number + 1
ICMP
error message quenching
Suatu sistem operasi
mungkin mengikuti RFC 1812 dan membatasi kecepatan pengiriman error message.
Dengan cara mengirim paket UDP ke beberapa port acak bernomor besar, anda dapat
menghitung banyaknya unreachable message received dalam suatu jangka
waktu tertentu
ICMP
message quoting
Sistem operasi
berbeda-beda dalam memberikan informasi yang dikutip sewaktu mendapatkan ICMP
error. Dengan memeriksa quoted message, anda dapat menduga sistem operasi
sasaran.
ICMP
error message – echoing integrity
Beberapa implementasi stack mungkin
mengubah IP header sewaktu mengirim balik ICMP error messages. Dengan
memeriksa jenisjenis pengubahan yang dilakukan pada header, anda dapat
emperkirakan sistem operasi sasaran.
Type
of service (TOS)
Untuk pesan 'ICMP port unreachable,'
TOS-nya diperiksa. Kebanyakan implementasi stack menggunakan 0, tapi bisa
berbeda di system operasi lain.
Fragmentation
handling
Stack yang berbeda menangani overlapping
fragmen dengan cara yang berbeda. Ada yang menimpa data lama dengan yang baru
atau dapat pula sebaliknya pada waktu fragmen-fragmen ini dirakit kembali.
TCP
options
TCP options
didefiniskan oleh RFC 793 dan yang lebih baru oleh RFC 1323. Implementasi stack
yang lebih baru cenderung mengimlementasikan opsi RFC 1323 yang lebih maju.
Dengan mengirimkan paket dengan multiple option set, seperti no
operation, maximum segment size, window scale factor, dan timestamp, dimungkinkan
untuk membuat dugaan-dugaan tentang system operasi sasaran.
Armitage
Tidak ada komentar:
Posting Komentar