Banner 468x 60

Senin, 02 September 2024

Home » , » BAB 4

BAB 4

No comments

A. Teknik Scanning TCP

 ㅤ Teknik scanning TCP adalah metode yang digunakan oleh penyerang atau administrator jaringan untuk memetakan port yang terbuka dan layanan yang berjalan pada sistem target. Ada beberapa jenis scanning TCP, di antaranya :

1. SYN Scan

ㅤ Ini adalah metode scanning yang paling umum dan cepat. Dalam SYN scan, penyerang mengirimkan paket SYN (synchronize) ke port target. Jika port terbuka, target akan merespons dengan paket SYN-ACK. Jika port tertutup, target akan merespons dengan paket RST (reset). Penyerang kemudian tidak menanggapi dengan paket ACK, sehingga koneksi tidak pernah benar-benar terbuka. Teknik ini sering disebut sebagai "half-open scanning" karena tidak menyelesaikan proses TCP three-way handshake.

2. Connect Scan

ㅤ Metode ini lebih sederhana tetapi lebih mudah terdeteksi. Penyerang mencoba melakukan TCP three-way handshake penuh dengan target. Jika port terbuka, handshake akan berhasil, dan koneksi akan terbuka. Setelah koneksi terbuka, penyerang akan segera menutupnya. Karena metode ini menyelesaikan koneksi penuh, sistem target dapat mencatatnya sebagai aktivitas mencurigakan.

3. ACK Scan

ㅤ ACK scan digunakan untuk menentukan aturan firewall dan identifikasi port yang disaring. Dalam teknik ini, penyerang mengirimkan paket ACK ke port target. Jika firewall di depan target mengizinkan paket ACK, maka penyerang akan menerima paket RST dari target. Jika firewall menolak paket ACK, penyerang tidak akan menerima balasan.

4. FIN Scan

ㅤ Dalam FIN scan, penyerang mengirimkan paket FIN (finish) ke port target tanpa terlebih dahulu melakukan three-way handshake. Jika port tertutup, target akan mengirimkan paket RST. Namun, jika port terbuka, biasanya tidak ada respons, sehingga metode ini bisa sulit dideteksi oleh firewall.

5. XMAS Scan

ㅤ XMAS scan adalah teknik scanning yang mengirimkan paket dengan semua flag diatur (FIN, PSH, dan URG). Jika port tertutup, target akan mengirimkan paket RST sebagai respons. Jika port terbuka, target tidak akan merespons, mirip dengan FIN scan. Teknik ini disebut "XMAS" karena bit-bit pada paket menyala seperti lampu pada pohon Natal.

6. Null Scan

ㅤ Dalam Null scan, penyerang mengirimkan paket TCP tanpa flag diatur. Jika port tertutup, target akan merespons dengan paket RST. Jika port terbuka, tidak akan ada respons.

Setiap teknik scanning ini memiliki kelebihan dan kekurangannya masing-masing. 


B. Scanning UDP dan Teknik Deteksi Layanan

ㅤ ㅤ UDP Scanning dan teknik deteksi layanan adalah metode yang digunakan untuk mengidentifikasi layanan yang berjalan di server atau perangkat jaringan. Berikut adalah penjelasan tentang keduanya:

UDP Scanning

ㅤ    UDP (User Datagram Protocol) scanning adalah metode untuk memeriksa port yang terbuka pada protokol UDP, yang berbeda dari TCP karena tidak memiliki mekanisme three-way handshake dan tidak ada pengakuan (ACK) dalam pengirimannya. Oleh karena itu, scanning UDP lebih sulit dan kurang dapat diandalkan dibandingkan dengan TCP scanning. Ada beberapa metode yang digunakan dalam UDP scanning:

1. Basic UDP Scan

 ㅤ Penyerang mengirimkan paket UDP ke port target. Jika port terbuka, dan layanan di port tersebut merespons, penyerang akan menerima respons balik, yang dapat berupa data atau ICMP Port Unreachable message jika port tertutup. Namun, banyak layanan UDP tidak memberikan respons jika port terbuka, membuat deteksi menjadi sulit.

2. UDP ICMP Scan

ㅤ Jika port tertutup, perangkat target sering merespons dengan ICMP Port Unreachable (Type 3, Code 3). Jika tidak ada respons, itu mungkin menunjukkan bahwa port tersebut terbuka atau disaring (filtered) oleh firewall.

3. Payloaded UDP Scan

ㅤ Beberapa scanner UDP (seperti Nmap) mengirimkan payload tertentu untuk setiap port umum. Misalnya, untuk port 53 (DNS), scanner dapat mengirimkan permintaan DNS yang valid dan menunggu respons. Hal ini meningkatkan kemungkinan mendapatkan respons yang mengindikasikan bahwa port terbuka.

Teknik Deteksi Layanan

ㅤ    Setelah port yang terbuka diidentifikasi menggunakan TCP atau UDP scanning, langkah berikutnya adalah deteksi layanan (service detection) untuk mengetahui layanan apa yang berjalan pada port tersebut. Teknik ini sering disebut service fingerprinting. Berikut adalah beberapa teknik umum:

1. Banner Grabbing

ㅤ Metode paling sederhana untuk deteksi layanan adalah dengan menghubungi port yang terbuka dan membaca "banner" yang diberikan oleh layanan tersebut. Misalnya, server web biasanya akan memberikan banner yang menunjukkan jenis server web dan versinya (seperti Apache 2.4.41).

2. Service Version Detection

ㅤ Scanner seperti Nmap dapat mengirim berbagai permintaan ke port terbuka untuk mencoba mengidentifikasi layanan dan versinya. Ini sering dilakukan dengan mencocokkan respons yang diterima dengan database tanda tangan (fingerprints) yang dikenal.

3. Probing

ㅤ Probing adalah teknik di mana scanner mengirimkan permintaan tertentu ke port terbuka yang sesuai dengan layanan tertentu dan menilai respons untuk mengidentifikasi layanan. Misalnya, mengirimkan perintah `HELO` ke port SMTP (25) untuk memastikan layanan yang berjalan adalah mail server.

4. OS Fingerprinting

ㅤ Selain layanan yang berjalan pada port tertentu, penyerang juga dapat mencoba mendeteksi sistem operasi yang digunakan. Teknik ini melibatkan analisis respons TCP/IP dari perangkat target dan mencocokkannya dengan database tanda tangan OS yang dikenal.

5. Active and Passive Fingerprinting

ㅤ Active fingerprinting mengirimkan paket tertentu ke target dan memeriksa respons untuk mendapatkan informasi, sedangkan passive fingerprinting menganalisis lalu lintas jaringan yang ada tanpa mengirim paket apa pun untuk mengidentifikasi layanan dan OS.

ㅤ    Teknik-teknik ini digunakan dalam berbagai alat pentest dan hacking, seperti Nmap, untuk mengidentifikasi layanan yang berjalan di server target dan mengeksploitasi kerentanan yang mungkin ada dalam layanan tersebut. 


    C. OS Fingerprinting dan Aplikasi dari Hasil Scanning

    ㅤ    OS Fingerprinting dan aplikasi dari hasil scanning adalah bagian penting dari keamanan jaringan dan penilaian kerentanan. Berikut penjelasannya:

     OS Fingerprinting

    ㅤ    OS Fingerprinting adalah teknik untuk mengidentifikasi sistem operasi (OS) yang digunakan oleh perangkat di jaringan. Ini bisa dilakukan secara aktif atau pasif:

    1. Active OS Fingerprinting

    •     Melibatkan pengiriman paket-paket khusus ke target dan menganalisis respons untuk mengidentifikasi sistem operasi. Alat seperti Nmap menggunakan teknik ini dengan mengirimkan berbagai paket TCP, UDP, dan ICMP ke target dan membandingkan respons yang diterima dengan database tanda tangan OS yang dikenal.
    •    Misalnya, Nmap mengirimkan paket TCP dengan flag yang tidak biasa atau urutan flag tertentu. Sistem operasi yang berbeda mungkin merespons paket ini dengan cara yang berbeda, sehingga memungkinkan identifikasi OS yang berjalan di perangkat tersebut.

    2. Passive OS Fingerprinting

    •    Tidak seperti metode aktif, teknik ini tidak mengirimkan paket apa pun ke target. Sebaliknya, ia menganalisis lalu lintas jaringan yang ada untuk mendeteksi sistem operasi. Teknik ini bergantung pada pengamatan paket yang masuk atau keluar dari target, seperti analisis TTL (Time to Live), ukuran jendela TCP, dan nilai opsi TCP/IP lainnya.
    •    Keuntungan dari metode ini adalah lebih sulit dideteksi oleh target, karena tidak melibatkan pengiriman paket langsung.


    Aplikasi dari Hasil Scanning

    ㅤ    Hasil dari scanning dan OS fingerprinting memiliki berbagai aplikasi, terutama dalam konteks keamanan jaringan:

    1. Penilaian Kerentanan (Vulnerability Assessment)

    ㅤ    Dengan mengetahui port apa yang terbuka dan layanan apa yang berjalan, serta OS yang digunakan, penyerang atau administrator keamanan dapat mengidentifikasi kerentanan spesifik yang mungkin ada pada sistem. Misalnya, jika layanan web berjalan pada Apache versi lama, penyerang dapat mencoba mengeksploitasi kerentanan yang diketahui dalam versi tersebut.

    2. Perencanaan Serangan (Attack Planning)

    ㅤ    Penyerang dapat menggunakan informasi dari scanning untuk merencanakan serangan lebih lanjut. Mengetahui OS target dapat membantu mereka memilih eksploitasi atau malware yang kompatibel dengan sistem operasi tersebut. Misalnya, jika target menggunakan Windows, penyerang mungkin akan menggunakan eksploitasi yang ditargetkan khusus untuk Windows.

    3. Pengetesan Penetrasi (Penetration Testing)

    ㅤ    Hasil scanning digunakan oleh para profesional keamanan dalam tes penetrasi untuk mengevaluasi keamanan jaringan. Mereka menggunakan hasil ini untuk menemukan celah keamanan dan menguji seberapa jauh mereka bisa masuk ke dalam jaringan tanpa terdeteksi.

    4. Enforcement of Security Policies

    ㅤ    Administrator jaringan dapat menggunakan hasil scanning untuk memastikan bahwa hanya layanan yang diizinkan yang berjalan dan bahwa sistem operasi yang digunakan telah diperbarui sesuai dengan kebijakan keamanan organisasi.

    5. Forensik Digital

    ㅤ    Dalam investigasi insiden keamanan, hasil scanning dapat membantu dalam melacak sumber serangan atau memahami bagaimana penyerang mendapatkan akses ke sistem. Dengan mengetahui OS dan layanan apa yang dieksploitasi, investigator dapat mempersempit pencarian mereka untuk mencari jejak serangan.

    6. Inventarisasi Jaringan

    ㅤ    Scanning juga digunakan untuk inventarisasi jaringan, di mana administrator dapat mengidentifikasi perangkat yang terhubung ke jaringan dan memastikan bahwa mereka menjalankan versi perangkat lunak yang sesuai dan aman.


    ㅤ    Dengan menggunakan teknik scanning dan OS fingerprinting, baik penyerang maupun profesional keamanan dapat memperoleh wawasan penting tentang jaringan yang mereka hadapi, yang kemudian digunakan untuk mempertahankan atau menyerang sistem tersebut.

    0 komentar:

    Posting Komentar