Jumpa lagi bareng aye di edisi Taon baru hijriyah, aye juga mau ngucapin ''SELAMAT'' semoga kedapan kita lebih dekat sama ALLAH SWT Amin...
Huft... Abis lembur Me coba bikin CONTEKAN kecil, meski ude pade banyek yg ngebahas topik kaya gene, buat Gue yg suka lupa, tulisan ini penting Brow!! Xixixixi _aduh pak lek, kerjo kok ngene! Lembur sampe bengi...
Oke Guy's! disini
gue jelasin secara singkat
tentang ARP spoofing. ARP
spoofing merupakan konsep
dari serangan penyadapan
diantara terhadap dua mesin
yang sedang berkomunikasi
atau yang disebut dengan
Man in The Middle Attack.
Sebuah aplikasi alat bantu
untuk menganalisa paket dari
protokol kita pergunakan alat
yang disebut wireshark di
unduh di situs http://
www.wireshark.org. Kita
akan melakukan ARP
spoofing dengan
menggunakan skrip
“arpret.c” skrip tersebut
dibuat dengan bahasa
pemrograman C yang
bekerja dengan mengirim
ARP reply palsu kepada host
target dan hanya bisa
dijalankan dalam sistem
operasi Linux. Linux
Slackware versi 12.1 berjalan
di komputer penyadap yang
menjalankan skrip tersebut
mempunyai IP 192.168.10.22
dengan MAC address
00:1e:ec:c4:86:67 selain itu
dilakukan setting kernel untuk
bisa mem-forward paket ke
tujuan lain dengan kata lain
meneruskan paket yang telah
diterima.
Host yang menjadi sasaran
adalah komputer yang
berfungsi sebagai gateway
menjalankan sistem operasi
Linux Fedora 8 dengan IP
192.168.10.7
(00:0C:F1:86:E3:35) dan
komputer pengguna dengan
sistem operasi Ms Windows
XP SP2 yang menggunakan
layanan yang ada di gateway
dengan IP 192.168.10.4
(00:0C:F1:96:A7:1C).
Setelah proses kompilasi
skrip “arpret.c” di sistem
operasi Linux Slackware, lalu
kita akan mencoba
mengirimkan sebuah ARP-
reply palsu kepada komputer
192.168.10.7 dimana
headernya kita memberikan
MAC address penyusup tapi
dengan IP 192.168.10.4 yang
bertindak sebagai gateway
dengan maksud komputer
agar komputer penyusup
dianggap gateway oleh
komputer 192.168.10.7. Kita
mengatur kernel agar bisa
melakukan meneruskan
paket dengan perintah dalam
konsole Linux seperti di
bawah ini :
# echo ”1” > /proc/sys/net/ipv4/ip_forwarding |
skrip dan menjalankan skrip
dengan opsi menggunakan
kartu Ethernet eth0. Header
ARP-reply berisi alamat IP
gateway 192.168.10.4 tapi
dengan MAC address
00:1e:ec:c4:86:67 lalu
dikirimkan ke IP 192.168.10.6
dan opsi –k2 dengan maksud
proses meracuni ARP cache
dilakukan secara terus-
menerus.
./arpret -i eth0 -s 192.168.10.4 -S 00:1e:ec:c4:86:67 -d1 92.168.10.7 -D 00:50:ba:83:1b:d1 -k2 |
manipulasinya isi cache ARP
yang sebelumnya cache
untuk komputer gateway
adalah 00:0C:F1:96:A7:1C tapi
berubah menjadi MAC
address dari komputer
penyusup 00:1e:ec:c4:86:67.
Seperti yang terlihat pada
gambar dibawah ini pada
komputer 192.168.10.7 yang
menjalankan sistem operasi
MS Windows XP SP2 dengan
mengetikkan arp –a untuk
melihat semua ARP cache yang tersimpan.
_sebelum ARP
Dan berikut gambar ARP
cache setelah diracuni
menyimpan MAC address
penyusup untuk alamat IP
192.168.10.4.
_setelah ARP
Dalam setiap host dan
perangkat switch dalam
jaringan menyimpan catatan
daftar MAC dan IP Address
yang disebut dengan ARP
cache. Sistem akan
menggunakan ARP cache
untuk berhubungan dengan
host lain dalam pertukaran
data. Jika alamat tidak
terdapat dalam daftar di
memori atau ARP cache,
sistem akan menggunakan
ARP untuk mencari tahu
MAC address pada host
tujuan dan perangkat switch
menggunakan tabel ARP
untuk membatasi trafik
hanya untuk MAC address
yang terdaftar pada port.
Arp spoofing adalah teknik
untuk menyadap frame data
dalam jaringan lokal,
mengubah lalu lintas data
atau memberhentikan lalu
lintas data. Seorang
penyusup dalam melakukan
ARP spoofing akan mengirim
pesan ARP palsu ke ethernet
jaringan lokal dengan tujuan
menyamakan alamat MAC
dengan komputer lain
misalnya komputer gateway.
Jadi setiap lalu lintas data
terhadap IP gateway akan
mengarah terlebih dahulu ke
komputer penyusup sebagai
gateway palsu yang akhirnya
diteruskan ke gateway yang
asli dan memungkinkan
untuk memodifikasi data
sebelum diteruskan ke
gateway. Aksi ini disebut
dengan Man in The Middle
Attack.
Sebelum serangan terjadi
ARP cache dalam keadaan
normal menyimpan alamat
MAC dari tujuan transmisi
data. Target penyadapan
adalah di antara dua mesin
yang terhubung pada
jaringan yang sama dengan
penyusup yaitu korban 1
pada IP 192.168.10.4
(00:0C:F1:96:A7:1C) dengan
mesin korban 2 pada IP
192.168.10.7
(00:0C:F1:86:E3:35) dan mesin
penyusup pada IP
(00:1e:ec:c4:86:67). Pada
serangan dilakukan sang
penyusup akan melakukan
pengiriman paket ARP-Reply
yang berisi MAC dari mesin
penyusup.
penyusup —> korban 1 : (IP
korban 2) is at (MAC
penyusup)
penyusup —> korban 2 : (IP
korban 1) is at (MAC
penyusup)
Jika kita analisa paket-paket
yang dikirimkan penyusup
ke korban menggunakan
aplikasi bantu untuk analisa
paket dalam jaringan yang
bernama wireshark akan
tampak seperti dibawah ini :
Seperti yang kita lihat
komputer penyusup
mengirim ARP-reply kepada
IP 192.168.10.4 berikut
dengan alamat MAC dari
komputer penyusup
00:1e:ec:c4:86:67 dan hal
yang sama dikirimkan ARP-
reply kepada IP 192.168.10.7
berikut dengan alamat MAC
dari komputer penyusup
00:1e:ec:c4:86:67. Lalu lintas
yang terjadi antara korban 1
dan korban 2 akan diterima
terlebih dahulu oleh
komputer penyusup
sebelum di teruskan ke
tujuan data yang bisa
disadap adalah transmisi
tidak menggunakan enkripsi
atau berbasis plain text
seperti TELNET, FTP, POP,
RLOGIN, SSH1, ICQ, SMB,
NS, MySQL, HTTP, NNTP,
X11, NAPSTER, IRC, RIP, BGP,
SOCKS 5, IMAP 4, VNC,
LDAP, NFS, SNMP, HALF
LIFE, QUAKE 3, MSN, YMSG.
1 komentar:
Wow this is a great resource.. I’m enjoying it.. good article
Posting Komentar