Modul 1
Network scanning

dan probing dengan NMAP

TUJUAN PEMBELAJARAN:

1. Mengenalkan pada mahasiswa tentang konsep Scanner dan Probing
   
2. Mahasiswa memahami konsep layanan jaringan dan port numbering
   
3. Mahasiswa mampu menganalisa kelemahan jaringan menggunakan software scanning yang ada
   

 

DASAR TEORI

Server tugasnya adalah melayani client dengan menyediakan service yang dibutuhkan. Server menyediakan service dengan bermacam-macam kemampuan, baik untuk lokal maupun remote. Server listening pada suatu port dan menunggu incomming connection ke port. Koneksi bisa berupa lokal maupuan remote.

Port sebenarnya suatu alamat pada stack jaringan kernel, sebagai cara dimana transport layer mengelola koneksi dan melakukan pertukaran data antar komputer. Port yang terbuka mempunyai resiko terkait dengan exploit. Perlu dikelola port mana yang perlu dibuka dan yang ditutup untuk mengurangi resiko terhadap exploit.

Ada beberapa utility yang bisa dipakai untuk melakukan diagnosa terhadap sistem service dan port kita. Utility ini melakukan scanning terhadap sistem untuk mencari port mana saja yang terbuka, ada juga sekaligus memberikan laporan kelemahan sistem jika port ini terbuka.

Port Scanner merupakan program yang didesain untuk menemukan layanan (service) apa saja yang dijalankan pada host jaringan. Untuk mendapatkan akses ke host, cracker harus mengetahui titik-titik kelemahan yang ada. Sebagai contoh, apabila cracker sudah mengetahui bahwa host menjalankan proses ftp server, ia dapat menggunakan kelemahan-kelemahan yang ada pada ftp server untuk mendapatkan akses. Dari bagian ini kita dapat mengambil kesimpulan bahwa layanan yang tidak benar-benar diperlukan sebaiknya dihilangkan untuk memperkecil resiko keamanan yang mungkin terjadi.

 

Netstat

    Nenstat merupakan utility yang powerfull untuk menngamati current state pada server, service apa yang listening untuk incomming connection, interface mana yang listening, siapa saja yang terhubung.

 

Nmap

Merupakan software scanner yang paling tua yang masih dipakai sampai sekarang.

 

.

 

Scanning NMAP dengan TCP packet

efore Nmap will scan a device, it checks to be sure the device is really on the network. If the scan is to a local device, then Nmap performs a simple ARP to the device to determine if it's alive. If the target station is on a different subnet, then Nmap uses a combination of an ICMP echo request and an out-of-order TCP ACK:

 

 

Macam-macam teknik scan :

 

-sS (TCP SYN scan)

Paling populer dan merupakan scan default nmap. SYN scan juga sukar terdeteksi, karena tidak menggunakan 3 way handshake secara lengkap, yang disebut sebagai teknik half open scanning. SYN scan juga efektif jarena dapat membedakan 3 tate port, yaitu open, filterd ataupun close. SYN scan bekerja dengan mengirimkan paket SYN seakan menunggu respon dari client untuk membuka koneksi. SYN/ACK respon menunjukkan apakah port dalam keadaan listening (open), sementara RST (reset) menunjukkan port dalam keadaan close. Jika client tidak merespon dalam selang waktu tertentu atau client mengirim pesan destination ICMP error, maka port client itu, maka client port dinyatakan dalam state filtered.

 

-sN; -sF; -sX (TCP Null, FIN, and Xmas scans)

Salah satu statement RFC menyebutkan bahwa bila suatu paket sepanjang tidak mengandung SYN, RST dan ACK, maka bila korban mengembalikan RST, maka port berarti tertutup dan tidak merespon sama sekali berartiterbuka. Nmap menggunakan 3 flag berikut : FIN, PSH dan URG. Jika tidak ada respon berarti open|filtered. Bila ter-filtered akan diperoleh reply ICMP unreachable error (type 3, code 1, 2, 3, 9, 10, or 13).

Null scan (-sN)

Tidak mengeset bit manapun pada flag tcp (tcp flag header 0)

FIN scan (-sF)

Mengeset hanya bit TCP FIN.

Xmas scan (-sX)

Mengeset flag FIN, PSH, and URG flags, seperti 'pohon natal'

 

-sA (TCP ACK scan)

Scan tipe ini berbeda karena tidak digunakan untuk menentukan apakah port tersebut terbuka tau tertutup. Scan ini hanya menunjukkan apakah state korban terfiltered atau unfiltered. Jika terfiltered, maka port mana yang terfiltered.

ACK scan bekerja dengan mengirimkan paket TCP dengan flag ACK. Jika unfiltered, korban mengirim RST, yang artinya korban menerima paket ACK, namun, status port bisa open atau close. Bila korban tidak merespon, atau mengirim paket ICMP error (type 3, code 1, 2, 3, 9, 10, or 13), maka korban diberi status filtered.,

 

-sT (TCP Connect scan)

Scan tipe ini tergantung dari OS korban, sehingga cukup rskan dipakai. Connect scan mirip dengan SYN scan, dengan full 3 way handshake. Karena itu sering disebut sebagai full connect scanning. Ini artinya bahwa korban akan melakukan logging scanning jenis ini, karena itu scanning jenis ini mudah terdeteksi

 

-sU (UDP scan)

Pada tipe ini, yang dikirim adalah paket UDP. Bila korban mengirimkan paket ICMP port unreachable, maka artinya port tertutup (close). Jika tidak ada respon, tidak selalu brarti port terbuka (open). Mungkin firewall atau packet filtering router berada didepan korban.

 

 

TUGAS PENDAHULUAN

• Sebutkan langkah dasar yang biasa dipakai untuk melakukan proses hacking !
  
• Sebutkan cara pemakaian software nmap dengan menggunakan tipe scanning:
  
  • TCP Connect scan
    
  • TCP SYN Scan
    
  • TCP FIN scan
    
  • TCP Xmas Tree scan
    
  • TCP null scan
    
  • TCP ACK scan
    
  • UDP scan
    
  • OS fingerprinting
    

 

 

 

 

PERCOBAAN

 

NMAP 1

1. Pastikan nmap terinstal pada komputer anda,jika belum ambil source code pada server yang telah disediakan dan lakukan installasi.
   
2. Catat versi nmap yang terinstall di komputer anda. Dengan perintah :
   

   # rpm -qa | grep nmap
   

3. Bagi kelompok menjadi 3. Masing-masing kelompok memeliki range subnet berbeda.
   
4. Kerjakan perintah ini :
   

   # nmap -h
   

   Catat paling tidak 3 scan teknik nmap
   

5. Untuk mengirim SYN scan, ketik :
   

   # nmap =sS -v <no_IP_tujuan>
   

   Catat hasilnya. Hasil ini menunjukkan port yg terbuka.
   

6. Sekarqang kirim SYN scan ke komputer lain dalam satu range serangan. Catat hasilnya. Apakah ada perbedaan dengan hasil scanning sebelumnya? Jika iya, sebutkan ! Tujuannya hanya sebagai pembanding.
   
7. Mintalah pada komputer yg discan untuk menjalankan scanning pada diri sendiri. Cocokkan dengan hasil scanning nmap.
   

   # nmap localhost
   

   Salin hasilnya dan bandingkan. Sama atau tidak ? Mengapa?
   

8. Sekarqang kirim SYN scan ke komputer lain dalam range serangan berbeda. Apakah anda berhasil ? Catat hasilnya.
   
9. Nmap dapat mengscan range IP tertentu, sehingga kita tidak perlu menulis satu persatu. Untuk melakuakn SYN scan pada rang terterntu, tulis :
   

   # nmap -sS -v 10.252.10.201-211
   

10. Coba juga perintah ini untuk melakukan pengecekan pada satu subnet :
    

    # nmap -sS -v 10.252.10.0/24
    

11. Sekarang coba tambah parameter dari nmap sehingga nmap dapat menscan layanan http saja. Petunjuk, gunakan help dari nmap pada bagian port. Http bekerja pada port 80. Tentunya sebelumnya mintalah rekan anda menyalakan service http.
    

 

NMAP 2

 

12. Sekarang mari kita coba berbagai opsi nmap yang ada. Yaitu ACK, XMAS, FIN scan

13. Jalankan tcpdump dengan perintah :

# tcpdump host <no_ip_penscan> and <no_ip_discan> > filexx.txt

14. Buka terminal linux baru, kemudian lihat hasilnya di tcpdump

15. Coba kirim FIN scan ke komputer lain dalam area anda. Lihatlah trafik yang     dibangkitkan oleh FIN scan nmap. Respon apa yang diberikan oleh komputer yang     menerima scan FIN ini ?

#nmap -sF -v <no_IP_discan>

Lihat dari hasil filexx.txt dan hasil scan nmap.

Lihat help dari tcpdump jika anda ingin mengetahui arti baris-barisnya.

16. Coba kirim XMAS scan ke komputer yang tadi menerima FIN scan. Apa     hasilnya?

Anda akan melihat bahwa hasil scannya terfiltered. Apa arinya?

17. Coba kirim ACK scan ke komputer yang sama. Apakah komputer tersebut     memberikan respon ? Respon apa ?

Anda akan melihat bahwa hasil scannya ter-unfiltered. Apa artinya?