Pada bab ini akan dibahas mengenai uji coba dan analisa Generalisasi rule menggunakan snort IDS. Pada dasarnya uji coba ini dilakukan untuk mengetahui apakah dari hasil generalisasi rule bisa menghasilkan variasi alert dari Snort rules asli dari simulasi serangan yang dilakukan. Hasil dari alert generalisasi dan alert Snort nantinya akan dibandingkan untuk mengetahui tingkat keakuratan alert, sehingga bisa diketahui tingkat serangan positif atau palsu. Dengan demikian dapat menyesuaikan rules yang ada guna mengurangi tingkat peringatan palsu. Untuk lebih jelasnya berikut ulasan dari hasil uji coba dan analisa dari sistem ini.
4.1 Kebutuhan Hardwar e
Pada uji coba ini penulis menggunakan satu buah Notebook yang akan menjalankan sistem secara keseluruhan termasuk host-host yang akan digunakan sebagai media uji coba. Spesifikasi hardware yang penulis gunakan adalah sebagai berikut :
− Notebook Hp Compaq Presario cq20
− Pentium ® Dual-Core CPU T4200 @ 2.0 Ghz
− 2 Gb RAM
− Hitachi HD 320 Gb
Karena sistem pada Tugas Akhir ini menggunakan Virtual Machine untuk menjalankan Router + snort IDS dan host-host yang ada, maka yang paling penting adalah kapasitas memory dan harddisk. Setiap Virtual box yang dijalankan akan menggunakan Physical Memory sebesar yang ditentukan oleh pengguna, semakin banyak host yang dijalankan, maka semakin berkurang pula jumlah memori fisik pada PC/Notebook pengguna, sebab itulah Physical Memory menjadi sangat penting pada sistem ini.
4.2 Kebutuhan Software
Pada uji coba ini menggunakan tiga buah aplikasi atau software untuk melakukan simulasi serangan, antara lain :
a) Zenmap
Pada gambar 4.1 merupakan tampilan antar muka zenmap. Dimana zenmap adalah aplikasi m ulti platform sebagai interface sederhan a un tuk apikasi
n m ap. Nm ap (N etw ork M apper) sen diri adalah sebuah aplikasi open source un tuk
explorasi n etw ork dan audit keam an an.
b) Hping3
Gambar 4.2 Hping3
Pada gambar 4.2 merupakan tampilan hping3 dimana berjalan dalam terminal bukan dalam bentuk antar muka. Hping3 adalah network tool yang mampu mengirim packet custom ICMP/UDP/TCP dan menampilkan reply target sebagaimana dilakukan program ping dengan reply ICMP.
c) Scapy
Pada gambar 4.3 merupakan tampilan scapy dimana scapy adalah program berbasis bahasa pemrograman python dan sangat “powerfull” dalam berinteraksi untuk memanipulasi paket di dalam jaringan.
4.3 Uji Coba Serangan
Serangan yang dilakukan adalah serangan Denial of Service attacks,
SynFlood attack, Port scanning. Sebelumnya cek Snort terlebih dahulu apakah
dapat berjalan dengan benar dengan perintah snort -vde . Snort berjalan dalam mode Sniffer yang meng-capture semua paket jaringan ysng lewat.
1.3.1 Serangan Port Scanning Zenmap
Melakukan Port Scanning pada server dengan alamat ip
192.168.1.100 menggunakan perintah intense scan all TCP port.
Pada gambar 4.4 adalah alert yang dihasilkan dari Original rules yang kemudian disimpan dalam ids.alert, yaitu :
1. 12/04-03:36:08.063984 [**] [116:59:1] [snort decoder]: Tcp Window
Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:35728 -> 192.168.1.100:1
Dengan keterangan:
− 12/04-03:36:08.063984 : merupakan waktu terjadinya alert.
− [116:59:1] : merupakan id rule yang dihasilkan dari module [snort decoder].
− Tcp Window Scale Option found with length > 14 :
merupakan keterangan telah terjadi peningkatan ukuran skala jendela dalam Transmission Control Protocol dengan skala lebih dari 14000 bytes.
− [Priority: 3] {TCP} 10.134.212.12:35728 ->
192.168.1.100:1 :
mempunyai skala prioritas 3, menggunakan protokol TCP dari IP address 10.134.212.12 denganPort 35728 menuju ke IP address 192.168.1.100 dengan Port 1.
2. 12/04-03:41:00.058969 [**] [122:1:0] (portscan) TCP Portscan [**]
[Priority: 3] {PROTO:255} 192.168.1.1 -> 192.168.100.
Dengan keterangan:
− Telah terjadi alert pada waktu 12/04-03:41:00.058969 yang dipicu oleh snort rules sid [122:1:0] dengan keterangan
tindakan port scanning TCP mempunyai prioritas skala 3 menggunakan IP Protocol 255 dari IP address 192.168.1.1 menuju IP address 192.168.1.100.
Gambar 4.5 Portscan Zenmap Generalisasi.alert
Sedangkan pada gambar 4.5 generalisasi.alert yang menggunakan generalisasi rules berhasil mencatat alert yang berbeda dibandingkan dengan alert yang berhasil tercatat di ids.alert.Alert yang berhasil dicatat antara lain :
1. 12/04-03:41:00.153745 [**] [1:100000160:2] COMMUNITY SIP
TCP/IP message flooding directed to SIP proxy [**] [Classsification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:44878 -> 192.168.1.100:52780
Dengan keterangan:
− Telah terjadi alert pada waktu 12/04-03:41:00.153745 yang dipicu id rules [1:100000160:2] dengan keterangan
COMMUNITY SIP TCP/IP message flooding directed to SIP proxy, memiliki klasifikasi berusaha melakukan Denial of Service. Memiliki pioritas skala 2 menggunakan protokol
TCP dari IP address 192.168.1.1 dengan port 44878 menuju IP address 192.168.1.100 dengan port 52780.
2. 12/04-03:41:21.528605 [**] [1:1228:7] SCAN nmap XMAS [**]
[Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:4507 -> 192.168.1.100:1
Dengan keterangan:
− Telah terjadi alert pada waktu 12/04-03:41:21.528605 yang dipicu id rules [1:1228:7] dengan keteranga alert SCAN
nmap XMASmemiliki klasifikasi berusaha melakukan
pengambilan informasi. Memiliki prioritas skala 2 menggunakan protokol TCP dari IP address 10.134.212.12 dengan port 4507 menuju IP address 192.168.1.100 dengan
port 1.
Tabel 4.1 Portscan Zenmap ids.alert
No Alert Prioritas
1 2 3 1 11/07-11:08:17.245342 [**] [122:1:0] (portscan) TCP Portscan [**]
[Priority: 3] {PROTO:255} 192.168.1.1 -> 192.168.1.100
v 2 11/07-11:08:25.903946 [**] [116:59:1] (snort_decoder): Tcp Window Scale
Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879
-> 192.168.1.100:1
3 11/07-11:08:26.004985 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
4 11/07-11:08:26.106864 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
5 11/07-11:08:26.215636 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
6 11/07-11:08:28.263481 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
7 11/07-11:08:28.367837 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
8 11/07-11:08:28.468925 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
9 11/07-11:08:28.579612 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
10 11/07-11:08:30.754739 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
11 11/07-11:08:30.856162 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
12 11/07-11:08:30.956817 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
13 11/07-11:08:31.057606 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
14 11/07-11:08:34.614592 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
15 11/07-11:08:34.714806 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
16 11/07-11:08:34.815430 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
17 11/07-11:08:34.916340 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
18 11/07-11:08:37.022241 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
19 11/07-11:08:37.124670 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
21 11/07-11:08:37.332190 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
Pada tabel 4.1 merupakan sebagian data alert yang dihasilkan dari
original snort rules ketika terjadi port scanning menggunakan zenmap
dimana semua alert menunjukan prioritas 3. Tabel 4.2 Portscan Zenmap generalisasi.alert
No Alert Prioritas
1 2 3 1 11/07-11:08:17.549089 [**] [1:100000160:2] COMMUNITY SIP TCP/IP
message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:51708 -> 192.168.1.100:3322
v
2 11/07-11:08:17.551054 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.100:13 -> 192.168.1.1:51708
v
3 11/07-11:08:25.903946 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
4 11/07-11:08:26.004985 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
5 11/07-11:08:26.106864 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
6 11/07-11:08:26.215636 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
7 11/07-11:08:28.263481 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
8 11/07-11:08:28.367837 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
9 11/07-11:08:28.468925 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
10 11/07-11:08:28.579612 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
11 11/07-11:08:30.754739 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
12 11/07-11:08:30.856162 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
13 11/07-11:08:30.956817 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
14 11/07-11:08:31.057606 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
15 11/07-11:08:34.614592 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
16 11/07-11:08:34.714806 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
17 11/07-11:08:34.815430 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
18 11/07-11:08:34.916340 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
19 11/07-11:08:37.022241 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
20 11/07-11:08:37.124670 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
21 11/07-11:08:37.225566 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1
v
Pada tabel 4.2 merupakan sebagian data alert yang dihasilkan generalisasi rules ketika terjadi port scanning menggunakan zenmap dimana semua alert menunjukan prioritas 2.
1.3.2 Serangan Hping3 SynFlood
Melakukan serangan SynFlood menggunakan Hping3 dengan
perintah : hping3 -i u1 -S -p 53 192.168.1.100 mengirim SynFlood pada ip 192.168.100 menggunakan port 53, yaitu DNS Server.
Pada gambar 4.6 dibawah ini merupakan alert yang dihasikan oleh
Original alert adalah:
1. 12/04-03:41:00.058969 [**] [122:1:0] (portscan) TCP Portscan [**]
2. 12/04-03:41:21.629227 [**] [snort decoder]: Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:35728 -> 192.168.1.100:1
Gambar 4.6 Hping3 ids.alert
Pada gambar 4.7 merupakan alert dari generalisasi.alert yang termasuk dalam klasifikasi seranganDenial of Service, yaitu :
1. 12/04-03:41:24.244531 [**] [1:1228:7] SCAN nmap XMAS [**]
[Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:4507 -> 192.168.1.100:1
2. 12/04-03:48:21.092053 [**] [1:100000160:2] COMMUNITY SIP
TCP/IP message flooding directed to SIP proxy [**] [Classsification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:44878 -> 192.168.1.100:52780.
Tabel 4.3 Hping3 ids.alert
No Alert Prioritas
1 2 3 1 12/02-04:11:50.045547 [**] [122:1:0] (portscan) TCP Portscan [**] [Priority:
3] {PROTO:255} 192.168.1.1 -> 192.168.1.100
v 2 12/02-04:12:06.673544 [**] [116:59:1] (snort_decoder): Tcp Window Scale
Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1
v
3 12/02-04:12:06.777014 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1
v
4 12/02-04:12:06.879778 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1
v
5 12/02-04:12:06.982993 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1
v
6 12/02-04:12:09.046443 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1
v
7 12/02-04:12:09.151014 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1
v
8 12/02-04:12:09.254171 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1
v
9 12/02-04:12:09.358389 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1
v
10 12/02-04:12:11.407766 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1
Pada tabel 4.3 merupakan sebagian data alert yang dihasilkan dari
original snort rules ketika terjadi serangan SynFlood menggunakan hping3
dimana semua alert menunjukan prioritas 3. Tabel 4.4 Hping3 generalisasi.alert
No Alert Prioritas
1 2 3 1 12/02-04:11:50.097501 [**] [1:100000160:2] COMMUNITY SIP TCP/IP
message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:49895 -> 192.168.1.100:16041
v
2 12/02-04:11:50.098121 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.100:48332 -> 192.168.1.1:49895
v
3 12/02-04:12:06.673544 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1
v
4 12/02-04:12:06.777014 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1
v
5 12/02-04:12:06.879778 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1
v
6 12/02-04:12:06.982993 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1
v
7 12/02-04:12:09.046443 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1
v
8 12/02-04:12:09.151014 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1
v
9 12/02-04:12:09.254171 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1
v
10 12/02-04:12:09.358389 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1
v
Pada tabel 4.4 merupakan sebagian data alert yang dihasilkan dari generalisasi rules ketika terjadi serangan SynFlood menggunakan hping3 dimana semua alert menunjukan prioritas 2.
1.3.3 Scapy SynFlood
Menggunakan Scapy untuk melakukan serangan SynFlood tapi
terlebih dahulu harus membuat script serangan SynFlood dalam bahasa
pemrograman Phytonyang nantinya akan dipanggil perintahnya
menggunakan Scapy.
Gambar 4.8 SynFlood.py
(Sumber : :http://www.linuxforu.com/2011/10/syn-flooding-using-scapy- and-prevention-using-iptables/)
Pada gambar 4.8 merupakan potongan script untuk melakukan SynFlood,Randshort () function digunakan untuk menghasilkan nomor port acak untuk sport (source port) dari paket TCP. Port tujuan (dport) diatur ke port 22 (SSH) dan 80 (Web server Apache). The TCP menghubungkan flag diatur ke SYN menggunakan opsi flags.
Gambar 4.9 Scapy Synflood
Pada gambar 4.9 merupakan tampilan pengiriman SynFlood
mengunakan Scapy.Hasil yang didapat menggunakan Scapy hampir sama dengan hasil yang didapatkan pada hping3. Pada ids.alert tidak tercatat
alertkarena snort rules tidak menghasilkan suatu peringatan serangan.
Sedangkan pada gambar 4.10 dibawah ini merupakan hasil alert yang dihasilkan oleh generalisasi rules, dimana hasilnya sama dengan alert yang dihasilkan dari serangan Hping3, yaitu sid [1:1228:7] dengan [1:100000160:2].
Gambar 4.10 Scapy SynFlood generalisasi.alert
Pada gambar 4.11 diatas local address adalah alamat server sedangkan foreign address adalah alamat milik router yang meneruskan permintaan dari client yang bertindak sebagai penyerang.terlihat pada alamat router 192.168.1.1 membuka banyak port secara acak (31419, 24173, 2004 dan seterusnya) menunjukan begitu banyak permintaan paket SYN padahal hanya satu client (attacker)yang sedang online.
Tabel 4.5 Scapy generalisasi.alert
No Alert Prioritas
1 2 3 1 12/04-03:48:21.092503 [**] [1:100000160:2] COMMUNITY SIP TCP/IP
message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:2322 -> 192.168.1.100:53
v
2 12/04-03:48:21.138991 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.100:53 -> 192.168.1.1:2471
v
3 12/04-03:49:21.053251 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:57990 -> 192.168.1.100:53
v
4 12/04-03:49:21.350407 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.100:53 -> 192.168.1.1:58807
v
5 12/04-03:53:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53
v
6 12/04-03:53:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53
v
7 12/04-03:57:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53
v
8 12/04-03:57:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53
v
9 12/04-04:01:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53
v
10 12/04-04:01:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53
Pada tabel 4.5 merupakan sebagian data alert yang dihasilkan dari generalisasi rules ketika terjadi serangan SynFlood menggunakan scapy dimana semua alert menunjukan prioritas 3.
4.4 Pengumpulan Alerts
Setelah semua data telah didapat, maka yang dilakukan selanjutnya adalah mengumpulkan alerts tersebut kemudian memproses dan memilah agar dapat diketahui asal alerts dari Snort rules asli apa dari generalisasi rules.
1.4.1 Merged.alert
Merged.alert berisi dari gabungan dua alerts yang berasal dari
Original dan Generalisasi rules. Dengan ketentuan jika ada waktu dari
setiap alerts yang sama atau bentrok, maka alert dari Original rules yang akan digunakan. Pada gambar 4.12 merupakan tampilan alert merge.
1.4.2 Allow.alert
Allow.alert hanya berisikan hasil alert dari generalisasi.alert yang waktu dan sidalert yang tidak sama dengan alert yang ada pada ids.alert. Pada gambar 4.13 merupakan tampilan allow.alert
Gambar 4.13 allow.alert 1.4.3 Rejected.alert
Rejected.alert hanya berisikan alert dari generalisasi.alert yang waktu alert nya sama dengan ids.alert tetapi dengan sid yang berbeda dari ids.alert.
Pada gambar 4.14dibawah ini menunjukan alert dari ids.alert dengan keterangan waktu dan sid, 12/04-03:41:21.528605 [116:59:1].
Gambar 4.14 Rejected.alert ids
Sedangkan pada gambar 4.15 merupakan alert dari
generalisasi.alert memiliki waktu yang sama tetapi berbeda sid, 12/04- 03:41:21.528605 [1:1228:7].
4.5 Merangkum Hasil Alert
Proses selanjutnya adalah merangkum hasil alert dan membuat suatu bentuk laporan sehingga bisa diketahui apakah alert tersebut dihasilkan dari Snort
rules asli atau dari empat kemungkinan yang ada.
Gambar 4.16 Laporan ids.alert
Gambar 4.16 merupakan laporan dari ids.alert yang menjelaskan alert yang dihasilkan dari original rules berisi keterangan sid alert dan berapa kali alert tersebut muncul secara keseluruhan. Contoh sid [1:100000160:2] muncul sebanyak satu kali.
Gambar 4.17 merupakan laporan dari generalisasi.alert yang menjelaskan
alert yang dihasilkan dari generalisasirules berisi keterangan sid alert dan berapa
kali alert tersebut muncul secara keseluruhan. Contoh sid [1:100000160:7] muncul sebanyak 115 kali.
Gambar 4.18 Laporan merged.alert
Gambar 4.18 merupakan laporan yang berisi gabungan dari ids.alert dan generalisasi.alert dengan ketentuan jika ada waktu dari setiap alerts yang sama atau bentrok, maka alert dari Original rules yang akan diambil.Contoh sid [1:100000160:2] muncul sebanyak 114kali, mengapa alert ini muncul sebanyak 114 kali padahal pada generalisasi.alert sid [1:100000160:2] muncul sebanyak 115 kali. Dikarenakan terdapat alert dengan waktu yang yang sama sehingga
Gambar 4.19 Laporan allow.alert
Pada gambar 4.19merupakan laporan yang berisi keterangan alert dari generalisasi.alert yang waktu alert dan jenis alert tidak bentrok demgan ids.alert. Contoh sid [1:100000160:2] muncul sebanyak 113 kali. Berarti dari keseluruhan jumlah alert yang dimiliki generalisasi.alert dengan sid [1:100000160:2] muncul sebanyak 115 kali hanya 113 alert yang tidak bentrok dengan alert dari ids.alert.
Gambar 4.20 Laporan rejected.alert
Pada gambar 4.20 merupakan laporan yang berisi alert dari generalisasi.alert yang alert waktunya dan jenis alert nya bentrok dengan
keseluruhan alert yang dimiliki generalisasi.alert sebanyak 115 alert hanya 113
alert yang di ijinkan sedangkan sisanya di tolak.
4.6 Analisa Hasil Perbandingan Rules
Terdapat perbedaan didalam pencatatan alert dari Snort rulesdan Generalisasi rules. Pada ids.alert yang menggunakan Snort rules pada saat melakukan simulasi serangan menghasilkan alertsdengan sid, yaitu:
(1:100000160:2), (116:151:1), (116:59:1) dan (122:1:0).
Sedangkan pada generalisasi.alert menghasilkan lebih banyak variasi
alerts dengan sid yaitu : (1:100000160:2), (1:1228:7), (1:366:7), (1:368:6) dan
(1:384:5). Untuk mengetahui keakuratan dari alert yang dihasilkan maka nilai dari prioritas yang akan dijadikan bahan acuan, semakin kecil nilai dari prioritas mewakili serangan yang paling parah atau bisa dikatakan paling mendekati serangan yang asli sedangkan semakin besar nilai dari prioritas maka bisa dikatakan serangan kurang parah atau tingkat keakuratannya diragukan dan bisa dianggap sebagai false alert.
Tabel 4.6 Daftar serangan generalisasi rules
Rule ID Frekuensi Class Ditemukan oleh
Snort rules
100000160 115 Additional Information Ya
1228 192 Additional Information Tidak
366 74 Additional Information Tidak
Pada tabel 4.6 snort rules original hanya bisa menghasilkan satu alert yang sama dengan hasil dari generalisasi rules yaitu alert dengan sid (1:100000160:2). Alerts yangdihasilkan oleh Snort rules kebanyakan memiliki nilai prioritas 3 yang menunjukkan serangan dengan resiko kecil, sedangkanalert yang sama-sama dihasilkan baik oleh Snort rules dan generalisasi rules menghasilkan alert yang rata-rata memiliki nilai 2 yang berarti hampir mendekati serangan yang sesungguhnya.Untuk memudahkan melihat perbedaan alert yang dihasilkan hasil laporan alert dapat dilihat bentuk web browser dimana data alert telah diklasifikasikan menjadi 3 bagian, yaitu :
1. Alert False dengan prioritas low
2. Alert True Medium dengan prioritas medium
3. Alert true High dengan prioritas high
Gambar 4.20 False alert
Pada gambar 4.20 merupakan laporan alert false yang berisikan alert dengan prioritas low, dimana berisikan banyak alert dari ids.alert.
Gambar 4.21 Medium alert
Pada gambar 4.21 merupakan laporan alert true medium yang berisikan
alert dengan prioritas medium, dimana berisikan banyak alert dari
generalisasi.alert dan memiliki keterangan alert dimana semuanya menunjukan potensi serangan Denial of Service.
Pada gambar 4.21 menjelaskan jumlah keseluruhan file alert pada low.alert yang merupakan kumpulan alert dengan prioritas 3 dan medium.alert yang merupakan kumpulan alert dengan prioritas 2 begitu juga jumlah alert dari
ids.alert dan generalisasi.alert. Lebih jelasnya pada tabel 4.7 dibawah ini.
Tabel 4.7 Jumlah alert ids.alert dan generalisasi.alert
No Nama File Ids.alert Generalisasi.alert
1 Low alert 3058 222
2 Medium alert 1 3119
3 High alert - -
Pada tabel 4.7 ids.alert menghasilkan alert dengan prioritas low lebih banyak daripada generalisasi.alert, yaitu 3058 alert sedangkan generalisasi.alert berjumlah 222 alert dari total keseluruhan 3280 alert pada low alert. Sedangkan pada medium alert total keseluruhan alert berjumlah 3120 alert dengan rincian 1
alert yang dihasilkan dari ids.alert dan 3119 alert yang dihasilkan dari