Responsive Ads Here

Saturday, December 03, 2011

Mendeteksi Port Scanning


Tugas Keamanan Informasi lanjut kali ini adalah bagaimana caranya kita mendeteksi dan mengetahui bahwa port komputer kita sedang diserang atau discanning oleh mesin lain.

Port scanning merupakan salah satu langkah awal dari penetrasi. Dengan mengetahui port-port yang terbuka pada suatu mesin maka kita dapat mengetahui service apa yang dijalankan pada suatu mesin.

Sebelum memposisikan diri kita sebagai yang diserang, kita mencoba dulu posisi sebagai penyerang (yang melakukan port scanning). Dari yang berbentuk
command line sampai yang GUI. Tetapi tugas disini kita disuruh menggunakan Nmap. Nmap atau kependekkan dari Network Mapper adalah sebuah tools yang simple dan ampuh dalam pemetaan jaringan.

Karena ini adalah simulasi maka ip target sudah dikompromikan dengan teman. Kali ini saya sebagai si penyerang yang melakukan port scanning sedangkan teman saya menjadi target.

Saya menggunakan Nmap dengan parameter -sS untuk mengirimkan paket SYN, mengenai parameter yang lain dapat diketahui dengan membaca bantuan dari Nmap, dengan mengetikan : Nmap -help


Hasilnya bisa dilihat dari screenshot, port TCP yang terbuka sejumlah 12 port yang 4 merupakan port yang well-known dipakai oleh service window sedangkan 8 merupakan Registered Port (digunakan oleh program yang dijalankan oleh pengguna pada system).



135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
554/tcp open rtsp
2869/tcp open unknown
10243/tcp open unknown
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49159/tcp open unknown
49160/tcp open unknown


Port pada komputer terbagi dalam 3 kategori yaitu :
1. Well-Known port : 0 - 1023
2. Registered port : 1024 - 49151
3. Dynamic, private or ephemeral ports: 49152–65535

Keterangan port hasil scanning:
135/msrpc merupakan port untuk menggunakan Remote Procedure Call (RPC) protocol dan menyediakan DCOM (Distributed Component Object Model, atau biasa disebut RPC/DCOM.

139/netbios-ssn merupakan port untuk NetBios Session Service terutama digunakan untuk menyediakan file sharing dan printer sharing.

445/microsoft-ds adalah SMB over IP (File Sharing) atau untuk Active Directory.

554/rtsp adalah port yang digunakan oleh real time streaming protocol. Setelah melakukan port scanning, sekarang ganti saya yang menangkap capture dari port scanning teman dengan menggunakan wireshark. Berikut hasil capturenya:


Ternyata hasil capturenya masih bercampur antara ip teman saya dan ip yang lain. Untuk membatasi hanya ip address yang berasal dari teman saja maka dilakukan filtering, dengan menambahkan syntaks alamat ip pada kotak dialog whireshark yang diinginkan [ip.addr==xxx.xxx.xxx.xxx].



Dari image capture yang ditangkap bisa dilihat bahwa ip teman [167.205.67.87] melakukan pengiriman paket SYN ke port netbios-ssn komputer korban. Akan tetapi berulang kali koneksi mengalami reset [RST] setelah menerima pesan balasan. Karena merasa curiga saya melakukan port scanning komputer saya sendiri. Hasilnya adalah :

PORT STATE SERVICE
1/tcp unknown tcpmux
3/tcp unknown compressnet
4/tcp unknown unknown
6/tcp unknown unknown
7/tcp unknown echo
9/tcp unknown discard
13/tcp unknown daytime
17/tcp unknown qotd
19/tcp unknown chargen
20/tcp unknown ftp-data
21/tcp unknown ftp
22/tcp unknown ssh
23/tcp unknown telnet
24/tcp unknown priv-mail
25/tcp unknown smtp
26/tcp unknown rsftp
30/tcp unknown unknown
32/tcp unknown unknown
33/tcp unknown dsp
37/tcp unknown time
42/tcp unknown nameserver
43/tcp unknown whois
49/tcp unknown tacacs
53/tcp unknown domain
70/tcp unknown gopher
79/tcp unknown finger
80/tcp unknown http
81/tcp unknown hosts2-ns
82/tcp unknown xfer
83/tcp unknown mit-ml-dev
84/tcp unknown ctf
85/tcp unknown mit-ml-dev
88/tcp unknown kerberos-sec
89/tcp unknown su-mit-tg
90/tcp unknown dnsix
99/tcp unknown metagram
100/tcp unknown newacct
106/tcp unknown pop3pw
109/tcp unknown pop2
110/tcp unknown pop3
111/tcp unknown rpcbind
113/tcp unknown auth
119/tcp unknown nntp
125/tcp unknown locus-map
135/tcp unknown msrpc
139/tcp unknown netbios-ssn
143/tcp unknown imap
144/tcp unknown news
146/tcp unknown iso-tp0
161/tcp unknown snmp
163/tcp unknown cmip-man
179/tcp unknown bgp
199/tcp unknown smux
211/tcp unknown 914c-g
212/tcp unknown anet
222/tcp unknown rsh-spx
254/tcp unknown unknown
255/tcp unknown unknown
256/tcp unknown fw1-secureremote
259/tcp unknown esro-gen
264/tcp unknown bgmp
280/tcp unknown http-mgmt
301/tcp unknown unknown
306/tcp unknown unknown
311/tcp unknown asip-webadmin
340/tcp unknown unknown
366/tcp unknown odmr
389/tcp unknown ldap
406/tcp unknown imsp
407/tcp unknown timbuktu
416/tcp unknown silverplatter
417/tcp unknown onmux
425/tcp unknown icad-el
427/tcp unknown svrloc
443/tcp unknown https
444/tcp unknown snpp
445/tcp unknown microsoft-ds
----dilanjutkan---------------
62078/tcp unknown iphone-sync
63331/tcp unknown unknown
64623/tcp unknown unknown
64680/tcp unknown unknown
65000/tcp unknown unknown
65129/tcp unknown unknown
65389/tcp unknown unknown

Dari hasil scanning localhost diketahui bahwa port pada komputer target semuanya memiliki STATE UNKNOWN tidak seperti waktu sebelumnya ada beberapa port yang memiliki STATE OPEN.


Sejatinya Nmap melakukan scanning port secara random kecuali port yang well-known (0-1023) akan discan secara sequens (berurutan), dengan melakukan paket capture dengan wireshark bisa dianalisa bahwa bila ada capture yang terlihat pada port 0-1023 secara berurutan, ada kemungkinan bahwa seseorang sedang melakukan port scanning pada komputer kita.


Sedikit tambahan, bahwa Nmap dapat melakukan port scanning tidak berurutan untuk port well-known sesuai dengan kemauan kita. Bisa dengan cara melakukan kustomisasi perintah ataupun membuat batch file untuk melakukan perintah scanning.
Misalnya : Nmap -p U:137,53,111,T:80,21-25,8080,139 [IP Target]
Keterangan :
-p untuk melakukan scanning port dengan ip-range
U: scan port UDP
T: scan port TCP

Demikian, lebih kurangnya terima kasih.


No comments:

Post a Comment