Identifikasi Live Systems Menggunakan Protokol

pada tanggal

TCP atau transmission control protocol memiliki 3 jalan untuk handshake. Jalan pertama adalah client akan mengirimi synchronization paket (sequence=n), jika server menerima maka akan masuk ke jalan kedua, yaitu server akan mengirim synchronization dan acknowledgement (sequence=m ACK =n+1), dan diakhiri dengan tanggapan dari client yang akan mengirim acknowledgment (ACK = m+1). Pengetahuan tentang handshake sangat pengting untuk diketahui karena dalam pemindaian jaringan menggunakan bagian dari handshake untuk mendapatkan tanggapan. Layanan mungkin saja ditolak karena RST dan ICMP atau karena adanya firewall atau karena host meminta kembali dengan synchronization paket yang lain.

Sumber: https://www.linkedin.com/learning/ethical-hacking-scanning-networks/the-three-way-handshake?autoSkip=true&autoplay=true&resume=false&u=95231473

Untuk melihat proses handshake dapat menggunakan alat wireshark. Bisa dilihat di atas yang merupakan client adalah .2 dan yang merupakan server adalah .183. Artinya .2 mengirimkan paket synchronization ke .183. Jika .183 menerima amaka .183 akan mengirim synchronization dan acknowledgement ke .2. Untuk keadaan detailnya bisa dipelajari melalui wireshark di bagian detailnya terkait nilai-nilia yang muncul.

Terdapat 65.535 TCP dan UDP saat melakukan pemindaian. Kedua port (nomor port) tersebut digunakan untuk mengidentifikasi aplikasi atau proses spesifik yang dilakukan. Seperti yang telah diketahui sebelumnya port yang telah cukup umum bagi seorang ahli network adalah port 1-1023 (FTP, DNS, dan HTTP). Port yang teregistrasi yaitu 1024-49151 (SOCKS, OpenVPN, dan aplikasi gaming). Dan port yang dinamis atau tidak tetap atau berubah-ubah yaitu 49152-65535. Nah, dalam melakukan pemindaian port hanya 2 jenis port pertama yang memungkinkan.

UDP dipindai dengan frekuensi rendah sedangkan TCP memberikan kemungkinan yang lebih besar untuk manipulasi di bagian header. UDP bersifat protokol koneksi rendah dan response-nya terbatas (ICMP 3 code 3 atau tidak ada respon), sedangkan TCP bersifat protokol berorientasi koneksi dan bagian flag-nya bisa dimanipulasi. Beberapa istilah dalam flags:

  • Reserved : for future use and set to zero
  • Nonce : an optional field added to ECN
  • CWR : congestion windows reduced
  • ECN : echo end-to-end congestion
  • URG : urgent, packet should have priority (rarely seen)
  • ACK : acknowledgement of packet received
  • PSH : push, data should be sent immediately
  • RST : reset or abort the connection
  • SYN : synchronizes sequence numbers (hanya di dua paket pertama pada handshake)
  • FIN : process complete (tidak ada data lagi dari pengirim)

TCP flag membantu untuk menceritakan transmisi data yang terjadi, digunakan saat pemindaian jaringan, dan juga dapat digunakan untuk mendeteksi sistem intrusi. Kondisi TCP yang dapat dilakukan koneksi adalah saat port terbuka, perhatikan gambar di bawah:

Sumber: https://www.linkedin.com/learning/ethical-hacking-scanning-networks/tcp-flags?autoSkip=true&autoplay=true&resume=false&u=95231473

Untuk melakukan pemindaian secara sembunyi-sembunyi dapat dilakukan dengan pemindaian idle. Pemindaian dilakukan melalui zombie. Paket juga akan dikirim melalui zombie. Hal ini yang akan membuat pemindaian sulit untuk dilacak. Idle scan ini merupakan metode yang kompleks dari kebanyakan pemindaian. Dalam melakukan idle scan, status port menjadi tidak terlalu penting, namun zombie harus menetapkan paket IP identification secara bertahap. Langkah dapat idle scan:

  1. Pengiriman sebuah pemindaian TCP ke target dengan menggunakan IP zombie
    • Jika port closed maka reset akan dikirim ke zombie dan zombie akan membuang paket kemudian melakukan pengiriman dengan ID selanjutnya
    • Jika port open maka SYN/ACK akan dikirim ke zombie, lalu zombie akan mengirim RST ke target, dan kemudian zombie akan melakukan penambahan ID (ID= n+1), di tahap selanjutnya zombie akan melakukan penambahan ID (ID= n+2)
  2. Mengulangi proses sebelumnya
    • Jika medan ID inkremen dengan 1 maka port target closed
    • Jika medan ID inkremen dengan 2 maka port target open
Sayangnya idle scan sulit untuk diterapkan karena sistem operasi terbaru telah kebal terhadap zombie, zombie harus benar-benar idle, statefull firewall akan melakukan pemblokiran SYN/ACKs yang mencurigakan, dan IP ID hanya memandatori dengan fragmentasi.

DNS atau domain name system dapat melayani setiap jaringan internal dan eksternal, mengirim email, mengunjungi halaman web, dan melihat device di sebuah jaringan. Secara historis DNS melakukan pengembangan ruang nama, menyediakan distribusi database, mengijinkan caching secara lokal, dan memastikan kondisi up-to-date dengan menggunakan TTL (time to live) value. Root DNS seperti com, net, dan au melakukan penanganan pada tahap pertama, perhatikan gambar di bawah:

Sumber: https://www.linkedin.com/learning/ethical-hacking-scanning-networks/scan-and-query-dns?autoSkip=true&autoplay=true&resume=false&u=95231473

Sebagaimana sistem yang lain, DNS juga memiliki kelemahan yang bisa dieksploitasi seperti rekaman dapat di domain dapat dimodifikasi, DDoS dapat terjadi pada infrastruktur DNS, cache yang justru mengganggu, dan informasi direktori WHOIS. Jika ingin mengetahui rekaman dari sebuah DNS dapat mengunjungi halaman: https://dnsdumpster.com/. Untuk mengatasi kelemahan tersebut diperlukan praktik terbaik seperti batasi zona transfer, lakukan deny koneksi ke TCP port 53, pertimbangkan menggunakan DNSSec, tutup informasi di file registrasi, gunakan DNS secara terpotong, jangan sediakan layanan rekursif ke publik, dan lakukan pemantauan infrastruktur DNS.

ICMP atau internet control message protocol juga bisa digunakan sebagai alat pemindaian secara efektif. ICMP menjadi syarat di setiap TCP/IP dan merupakan bagian terintegrasi dari IP. Ada 4 jenis pesan yang dikirim oleh ICMP, yaitu echo (menguji reachability), time stamp (delay yang terjadi antara dua proses), information (untuk melihat alamat IP di jaringan lokal), dan subnet mask (memberikan informasi tentang subnet). Sedangkan pesan error yang dikirim oleh ICMP, yaitu destination unreachable, source quench, redirect, time exceeded, dan parameter problem. Manipulasi ICMP dapat digunakan untuk melakukan pemulihan seperti live hosts, network topology, firewall detection, dan OS fingerprinting. Sejauh ini praktek terbaik dari penggunaan ICMP adalah menggunakan yang tipe 3 dan tipe 4.

Untuk mendapatkan informasi dari target host diperlukan proses banner grabbing. Informasi yang mungkin diperoleh adalah sistem operasi, port yang terbuka, layanan yang sedang berjalan, dan nomor versi. Alat-alat di kali linux yang digunakan untuk banner grabbing adalah netcat, nmap, DMitry (Deep Magic Information Tool), Curl (untuk grab sebuah banner web), dan armitage (menyediakan daftar sesuai eksploitasi). Untuk mencegah terjadinya banner grabbing perlu dilakukan antisipasi seperti mask atau disable web server, sembunyikan ekstensi file pada layanan, dan disable layanan yang tidak dibutuhkan.

Application Layer

Merupakan layer paling atas dari protokol TCP/IP. Di layer ini client berinteraksi secara langsung dengan aplikasi. Pada layer ini ada 5 protokol, yaitu:

  • HTTP dan HTTPS
    • Hypertext Transfer Protocol merupakan pondasi dari interaksi melalui internet di seluruh dunia. HTTP digunakan untuk mentransfer data antarperangkat. Untuk mengakses halaman HTTP di internet, komputer client akan memulai koneksi TCP ke server pada port 80 atau port 443 untuk HTTPS dan ketika server menerima permintaan dari client maka client berwenang untuk mengakses halaman web. Perbedaan HTTP dan HTTPS adalah adanya TLS/SSL. Saat memeberi request ke server dengan menggunakan HTTP maka request tersebut tidak di-encrypt sehingga jika ada yang memindai akan diketahui apa permintaannya, berbeda dengan HTTPS yang request-nya di-encrypt sehingga jika ada yang memindai, pemindai tersebut perlu decrypt untuk mengetahui apa permintaan client ke server tersebut.
  • SMTP
    • Simple Mail Transfer Protocol merupakan protokol yang digunakan untuk mentransfer email. Saat email dikirim, proses pengiriman akan ditangani oleh Message Transfer Agent. Nah, Message Transfer Agent menggunakan SMTP untuk meneruskan email ke Message Transfer Agent yang lain. Kalau bicara agent maka di sana akan ada instance atau bahasa mudahnya server.
  • DNS
    • Domain Name System adalah sistem penamaan untuk IP Address misalnya IP Address 8.8.8.8 menjadi dns.google.com. Tanpa protokol DNS maka setiap website harus diketahui alamatnya yang berupa angka dan tentu itu akan sulit. Berbeda jika hanya perlu menghafal rangkaian kata, tentu bagi manusia akan lebih mudah.
  • FTP
    • File Transfer Protokol merupakan protokol yang digunakan untuk mengirim file. Secara sederhana FTP digunakan untuk download atau upload.
  • SSH
    • Secure Shell merupakan protokol jaringan kriptografi untuk komunikasi data. Dengan SSH dimungkinkan perintah jarak jauh. SSH yang paling sederhana biasanya menggunakan key pair yang digunakan untuk mengenkripsi koneksi jaringan lalu menggunakan kata sandi untuk mengautentikasi pengguna.

Transport Layer

Layer pada lapis kedua ini bertanggung jawab atas data atau file yang lalu lalang melalui jaringan. Pada layer ini ada 2 jenis protokol, yaitu:

  • TCP
    • Transmission Control Protocol adalah protokol yang memastikan bahwa setiap paket yang dikirim telah dikirim, sehingga jika paket tidak berhasil diterima oleh penerima yang dituju maka TCP otomatis akan mengirim ulang. TCP menggunakan segment untuk menentukan apakah apakah perangkat penerima siap menerima data yaitu segment yang disebut SYN (synchronize), SYN/ACK (synchronize/acknowledge), dan ACK (acknowledge).
  • UDP
    • User Data Protocol adalah protokol yang bersifat connectionless atau koneksi yang rendah maksudnya kurang lengkat atau yang penting dikirim tanpa mengetahui apakah paket tersebut berhasil diterima oleh perangkat tujuan. Jadi UDP hanya mengatur port tujuan dan mengirim paket begitu saja.

Network Layer

Layer lapis ketiga bertanggung jawab untuk menerima dan mengirim paket melalui jaringan. Pada layer ini ada 3 jenis protokol, yaitu:

  • IP
    • Internet Protokol sudah tidak asing bagi orang yang berkenalan dengan jaringan karena IP ini yang digunakan setiap seseorang untuk mengunjungi halaman tertentu. IP address harus unik untuk setiap halaman, ini analog dengan alamat sebuah rumah. IP address berbentuk 4 oktet dengan masing-masing berisi angka dari 0 hingga 255. Setiap oktet terdiri atas 8 bit dan dipisahkan oleh titik. Panjang seluruh alamat adalah 32 bit.
  • ARP
    • Address Resolution Protocol bertugas untuk membantu IP dalam mengarahkan paket ke komputer penerima sesuai dengan memetakan MAC address ke IP address. Perangkat yang akan memulai komunikasi akan mengirimkan broadcast message ARP yang mencari IP Address. Setiap perangkat yang berada dalam jaringan akan menerima paket ARP sehingga jika terjadi kesesuaian perangkat tersebut akan memberikan respon. 
  • ICMP
    • Internet Control Message Protocol bertugas untuk mendiagnosis kondisi jaringan dan kemudian melaporkan hasilnya. Jika ada satu perangkat tidak dapat mengirim paket data maka ICMP akan mengirim pesan ke sumber paket. Laporan dari ICMP berupa dropped packet, connectivity failure, dan redirection.
Data Link Layer

Pada layer keempat dari TCP/IP bertugas mengidentifikasi jenis protokol pada paket. Ada 5 standar protokol di data link, yaitu:

  • Ethernet
    • Merupakan teknologi jaringan dengan kabel seperti LAN, MAN, dan WAN. Kabel yang terkenal adalah fiber optic. Merupakan teknologi utama yang membentuk internet dan mampu bekerja sama dengan teknologi nirkabel.
  • Frame Relay
    • Melakukan packet switching jaringan lainnya. 
  • Token Ring
    • Teknologi yang digunakan untuk membangun Local Area Network. Sehingga biasa digunakan dalam sebuah gedung perusahaan atau pemerintahan.
  • IEEE 802.11
    • Kumpulan protokol MAC dan physical layer sehingga memungkinkan komunikasi perangkat wireless LAN. Ini merupakan protokol yang paling banyak digunakan di dunia dengan merek Wi-Fi. Protokol ini menggunakan berbagai frekuensi misalnya 2,4 GHz, 5 GHz, 6 GHz, dan 60 GHz.
  • PPP
    • Menghubungkan sistem perangkat yang berbeda melalui jaringan telepon atau internet.
Physical Layer

Layer terakhir yang menghubungkan koneksi fisik antarperangkat. Ada 6 teknologi yang masuk layer physical, yaitu:

  • Bluetooth
    • Teknologi komunikasi jarak pendek untuk menggantikan kabel. Bluetooth memungkinkan komunikasi jarak pendek antara ponsel, komputer, dan periferal.
  • DSL
    • Digital Subscriber Line digunakan untuk mengirim data melalui saluran telepon.
  • Ethernet
    • Contohnya 100BASE-TX, 10BASE-T, 1000BASE-T, dan 100BASE-T.
  • SONET dan SDH
    • Synchronous optical networking (SONET) dan Synchronous Digital Hierarchy merupakan standar untuk mentransfer aliran bit digital secara sinkron melalui fiber optic dengan cahaya yang sangat koheren dari LED atau laser.
  • Modem
    • Modulator demodulator adalah hardware untuk mengubah data dari format digital ke dalam bentuk analog.
  • USB
    • Universal Serial Bus bisa digunakan untuk menghubungkan storage seperti flash disk. Penerapan lainnya untuk menghubungkan antara laptop dan printer.

Model TCP/IP sangat penting untuk dipahami agar dapat memahami bagaimana teknologi informasi bekerja. Informasi akan melewati 5 layer baik melalui gelombang radio (Wi-Fi) atau gelombang laser (Fiber Optic).




ref:
https://www.linkedin.com/learning/ethical-hacking-scanning-networks/

Komentar

Posting Komentar