Postingan hari ini saya akan menjelaskan tentang port scanning Menggunakan WireShark
Dalam Uji Coba Scanning port manfaat bagi pembaca adalah sebagai berikut :
Bisa melakukan port scanning menggunakan nmap
Bisa mendeteksi port scanning menggunakan Wireshark
Bisa memahami cara kerja jaringan
Percobaan ini melibatkan tiga komputer yang terhubung oleh jaringan. Berikut ini skema penggunaan ketiga komputer tersebut:
Skema Percobaan Deteksi Port Scanning
Skema Percobaan Deteksi Port Scanning
Langkah-langkah yang dilakukan adalah:
1. Setting komputer target: jalankan rpcapd
rpcapd(remote packet capture daemon) adalah daemon yang meng-capture network traffic yang ada di suatu host(tempat daemon tersebut dijalankan) dan mengirimkan data capture ke komputer sniffer. Agar bisa menjalankan rpcapd, pada komputer target terlebih dahulu diinstall WinPcap. Untuk sistem operasi Windows, setelah WinPcap di-install secara default maka daemon tersebut bisa ditemukan di:
C:\Program Files\WinPcap\rpcapd.exe
rpcapd bisa dijalankan langsung melalui command prompt atau dijalankan sebagai service Windows. Agar Wireshark bisa memonitor traffic di komputer target tanpa perlu memasukkan user dan password maka dipakai option -n. Berikut command line untuk menjalankan rpcapd:
C:\Program Files\WinPcap>rpcapd -n
Press CTRL + C to stop the server...
2. Setting komputer monitor: jalankan Wireshark
Wireshark adalah program yang digunakan untuk memonitor komputer target. Untuk bisa men-setting target jalankan menu Capture -> Options atau memakai shortcut Ctrl+K. Pilih pilihan “Remote…” pada combobox dengan label Interface. Maka akan muncul window berikut ini:
Setting remote host
Setting remote host
Isikan ip address komputer target (167.205.66.13). Untuk memakai default port(2002), isian port bisa dikosongi. Karena rpcapd dijalankan dengan option -n maka untuk authentication yang dipakai adalah pilihan Null authentication.
Setelah remote host selesai di-setting, monitoring mulai dilakukan dengan menjalankan Start (menu Capture -> Options -> Start atau Capture -> Start atau shortcut Ctrl+E).
3. Port scanning oleh komputer penyerang: menggunakan nmap
nmap adalah program yang digunakan untuk melakukan port scanning. Port scanning yang dilakukan adalah TCP connect() scanning. Command line yang digunakan adalah:
nmap -v 167.205.66.13
Option -v dipakai untuk menjalankan nmap dalam mode verbose.
Hasil nmap dalam percobaan ini adalah sebagai berikut:
C:\Documents and Settings\MDGT>nmap -v 167.205.66.13
Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-17 13:15 SE Asia Standard Time
Initiating ARP Ping Scan at 13:15
Scanning 167.205.66.13 [1 port]
Completed ARP Ping Scan at 13:15, 0.06s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 13:15
Completed Parallel DNS resolution of 1 host. at 13:15, 0.00s elapsed
Initiating SYN Stealth Scan at 13:15
Scanning lskk-13.ee.itb.ac.id (167.205.66.13) [1000 ports]
Discovered open port 445/tcp on 167.205.66.13
Discovered open port 139/tcp on 167.205.66.13
Discovered open port 2002/tcp on 167.205.66.13
Completed SYN Stealth Scan at 13:15, 4.25s elapsed (1000 total ports)
Nmap scan report for lskk-13.ee.itb.ac.id (167.205.66.13)
Host is up (0.00s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1433/tcp closed ms-sql-s
2002/tcp open globe
MAC Address: 00:24:1D:29:95:FD (Giga-byte Technology Co.)
Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 4.41 seconds
Raw packets sent: 1998 (87.896KB) | Rcvd: 7 (288B)
Dari hasil ekseksusi nmap, diketahui bahwa ada empat service yang berjalan di komputer target yaitu service netbios-ssn, microsoft-ds, ms-sql-s, dan globe.
Hasil monitoring oleh Wireshark
Berikut screen capture Wireshark setelah nmap dijalankan oleh komputer penyerang:
Hasil Monitoring oleh Wireshark
Hasil Monitoring oleh Wireshark
Berikut sebagian hasil monitoring dalam bentuk teks:
No. Time Source Destination Protocol Length Info
1 0.000000 Elitegro_09:f9:ad Broadcast ARP 60 Who has 167.205.66.8? Tell 167.205.66.55
2 0.108123 167.205.66.55 167.205.66.127 NBNS 92 Name query NB ARCK54<1b>
3 0.132310 IntelCor_c2:df:f2 Broadcast ARP 60 Who has 167.205.66.76? Tell 167.205.66.101
4 0.449321 IntelCor_73:4d:cf Broadcast ARP 60 Who has 167.205.66.59? Tell 167.205.66.3
5 0.844019 167.205.66.55 239.255.255.250 SSDP 175 M-SEARCH * HTTP/1.1
6 0.858138 167.205.66.55 167.205.66.127 NBNS 92 Name query NB ARCK54<1b>
7 1.147969 IntelCor_c2:df:f2 Broadcast ARP 60 Who has 167.205.66.76? Tell 167.205.66.101
8 1.655560 CompalIn_95:15:51 Broadcast ARP 60 Who has 167.205.66.1? Tell 167.205.66.57
9 2.103557 167.205.66.15 167.205.66.127 BROWSER 243 Host Announcement ADM-ACA, Workstation, Server, NT Workstation
10 2.421784 SC&C_29:20:1d Broadcast ARP 60 Who has 167.205.66.96? Tell 167.205.66.7
11 2.628544 167.205.66.55 167.205.66.127 BROWSER 216 Get Backup List Request
12 2.628577 167.205.66.55 167.205.66.127 NBNS 92 Name query NB ARCK54<1b>
13 3.378284 167.205.66.55 167.205.66.127 NBNS 92 Name query NB ARCK54<1b>
14 3.844447 167.205.66.55 239.255.255.250 SSDP 175 M-SEARCH * HTTP/1.1
15 4.128302 167.205.66.55 167.205.66.127 NBNS 92 Name query NB ARCK54<1b>
16 4.449320 IntelCor_73:4d:cf Broadcast ARP 60 Who has 167.205.66.59? Tell 167.205.66.3
17 4.562174 167.205.66.56 239.255.255.250 SSDP 543 NOTIFY * HTTP/1.1
18 4.562418 167.205.66.56 239.255.255.250 SSDP 541 NOTIFY * HTTP/1.1
19 4.563031 167.205.66.56 239.255.255.250 SSDP 477 NOTIFY * HTTP/1.1
20 4.563033 167.205.66.56 239.255.255.250 SSDP 486 NOTIFY * HTTP/1.1
21 4.564054 167.205.66.56 239.255.255.250 SSDP 529 NOTIFY * HTTP/1.1
22 4.596208 167.205.66.56 239.255.255.250 SSDP 557 NOTIFY * HTTP/1.1
23 5.008445 Giga-Byt_d8:ed:50 Broadcast ARP 42 Who has 167.205.66.13? Tell 167.205.66.102
24 5.008498 Giga-Byt_29:95:fd Giga-Byt_d8:ed:50 ARP 60 167.205.66.13 is at 00:24:1d:29:95:fd
25 5.018856 167.205.66.102 167.205.66.7 DNS 86 Standard query PTR 13.66.205.167.in-addr.arpa
26 5.019203 SC&C_29:20:1d Broadcast ARP 60 Who has 167.205.66.102? Tell 167.205.66.7
27 5.019207 Giga-Byt_d8:ed:50 SC&C_29:20:1d ARP 42 167.205.66.102 is at 00:1f:d0:d8:ed:50
28 5.019351 167.205.66.7 167.205.66.102 DNS 120 Standard query response PTR lskk-13.ee.itb.ac.id
29 5.021672 167.205.66.102 167.205.66.13 TCP 58 37335 > http [SYN] Seq=0 Win=3072 Len=0 MSS=1460
30 5.021686 167.205.66.102 167.205.66.13 TCP 58 37335 > blackjack [SYN] Seq=0 Win=2048 Len=0 MSS=1460
31 5.021695 167.205.66.102 167.205.66.13 TCP 58 37335 > sunrpc [SYN] Seq=0 Win=2048 Len=0 MSS=1460
32 5.021705 167.205.66.102 167.205.66.13 TCP 58 37335 > imaps [SYN] Seq=0 Win=4096 Len=0 MSS=1460
33 5.021714 167.205.66.102 167.205.66.13 TCP 58 37335 > telnet [SYN] Seq=0 Win=2048 Len=0 MSS=1460
34 5.021723 167.205.66.102 167.205.66.13 TCP 58 37335 > domain [SYN] Seq=0 Win=1024 Len=0 MSS=1460
35 5.021732 167.205.66.102 167.205.66.13 TCP 58 37335 > pop3 [SYN] Seq=0 Win=2048 Len=0 MSS=1460
36 5.021742 167.205.66.102 167.205.66.13 TCP 58 37335 > rfb [SYN] Seq=0 Win=4096 Len=0 MSS=1460
37 5.021751 167.205.66.102 167.205.66.13 TCP 58 37335 > ddi-tcp-1 [SYN] Seq=0 Win=4096 Len=0 MSS=1460
38 5.021761 167.205.66.102 167.205.66.13 TCP 58 37335 > pop3s [SYN] Seq=0 Win=3072 Len=0 MSS=1460
Sumber : Link
0 Komentar untuk "Cara Mendeteksi Port Scanning Menggunakan Wireshark"