• Tidak ada hasil yang ditemukan

COBA DAN ANALISA

Pada bab ini akan dibahas mengenai uji coba dan analisa Generalisasi rule menggunakan snort IDS. Pada dasarnya uji coba ini dilakukan untuk mengetahui apakah dari hasil generalisasi rule bisa menghasilkan variasi alert dari Snort rules asli dari simulasi serangan yang dilakukan. Hasil dari alert generalisasi dan alert Snort nantinya akan dibandingkan untuk mengetahui tingkat keakuratan alert, sehingga bisa diketahui tingkat serangan positif atau palsu. Dengan demikian dapat menyesuaikan rules yang ada guna mengurangi tingkat peringatan palsu. Untuk lebih jelasnya berikut ulasan dari hasil uji coba dan analisa dari sistem ini.

4.1 Kebutuhan Hardwar e

Pada uji coba ini penulis menggunakan satu buah Notebook yang akan menjalankan sistem secara keseluruhan termasuk host-host yang akan digunakan sebagai media uji coba. Spesifikasi hardware yang penulis gunakan adalah sebagai berikut :

Notebook Hp Compaq Presario cq20

− Pentium ® Dual-Core CPU T4200 @ 2.0 Ghz

− 2 Gb RAM

− Hitachi HD 320 Gb

Karena sistem pada Tugas Akhir ini menggunakan Virtual Machine untuk menjalankan Router + snort IDS dan host-host yang ada, maka yang paling penting adalah kapasitas memory dan harddisk. Setiap Virtual box yang dijalankan akan menggunakan Physical Memory sebesar yang ditentukan oleh pengguna, semakin banyak host yang dijalankan, maka semakin berkurang pula jumlah memori fisik pada PC/Notebook pengguna, sebab itulah Physical Memory menjadi sangat penting pada sistem ini.

4.2 Kebutuhan Software

Pada uji coba ini menggunakan tiga buah aplikasi atau software untuk melakukan simulasi serangan, antara lain :

a) Zenmap

Pada gambar 4.1 merupakan tampilan antar muka zenmap. Dimana zenmap adalah aplikasi m ulti platform sebagai interface sederhan a un tuk apikasi

n m ap. Nm ap (N etw ork M apper) sen diri adalah sebuah aplikasi open source un tuk

explorasi n etw ork dan audit keam an an.

b) Hping3

Gambar 4.2 Hping3

Pada gambar 4.2 merupakan tampilan hping3 dimana berjalan dalam terminal bukan dalam bentuk antar muka. Hping3 adalah network tool yang mampu mengirim packet custom ICMP/UDP/TCP dan menampilkan reply target sebagaimana dilakukan program ping dengan reply ICMP.

c) Scapy

Pada gambar 4.3 merupakan tampilan scapy dimana scapy adalah program berbasis bahasa pemrograman python dan sangat “powerfull” dalam berinteraksi untuk memanipulasi paket di dalam jaringan.

4.3 Uji Coba Serangan

Serangan yang dilakukan adalah serangan Denial of Service attacks,

SynFlood attack, Port scanning. Sebelumnya cek Snort terlebih dahulu apakah

dapat berjalan dengan benar dengan perintah snort -vde . Snort berjalan dalam mode Sniffer yang meng-capture semua paket jaringan ysng lewat.

1.3.1 Serangan Port Scanning Zenmap

Melakukan Port Scanning pada server dengan alamat ip

192.168.1.100 menggunakan perintah intense scan all TCP port.

Pada gambar 4.4 adalah alert yang dihasilkan dari Original rules yang kemudian disimpan dalam ids.alert, yaitu :

1. 12/04-03:36:08.063984 [**] [116:59:1] [snort decoder]: Tcp Window

Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:35728 -> 192.168.1.100:1

Dengan keterangan:

12/04-03:36:08.063984 : merupakan waktu terjadinya alert.

[116:59:1] : merupakan id rule yang dihasilkan dari module [snort decoder].

Tcp Window Scale Option found with length > 14 :

merupakan keterangan telah terjadi peningkatan ukuran skala jendela dalam Transmission Control Protocol dengan skala lebih dari 14000 bytes.

− [Priority: 3] {TCP} 10.134.212.12:35728 ->

192.168.1.100:1 :

mempunyai skala prioritas 3, menggunakan protokol TCP dari IP address 10.134.212.12 denganPort 35728 menuju ke IP address 192.168.1.100 dengan Port 1.

2. 12/04-03:41:00.058969 [**] [122:1:0] (portscan) TCP Portscan [**]

[Priority: 3] {PROTO:255} 192.168.1.1 -> 192.168.100.

Dengan keterangan:

Telah terjadi alert pada waktu 12/04-03:41:00.058969 yang dipicu oleh snort rules sid [122:1:0] dengan keterangan

tindakan port scanning TCP mempunyai prioritas skala 3 menggunakan IP Protocol 255 dari IP address 192.168.1.1 menuju IP address 192.168.1.100.

Gambar 4.5 Portscan Zenmap Generalisasi.alert

Sedangkan pada gambar 4.5 generalisasi.alert yang menggunakan generalisasi rules berhasil mencatat alert yang berbeda dibandingkan dengan alert yang berhasil tercatat di ids.alert.Alert yang berhasil dicatat antara lain :

1. 12/04-03:41:00.153745 [**] [1:100000160:2] COMMUNITY SIP

TCP/IP message flooding directed to SIP proxy [**] [Classsification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:44878 -> 192.168.1.100:52780

Dengan keterangan:

Telah terjadi alert pada waktu 12/04-03:41:00.153745 yang dipicu id rules [1:100000160:2] dengan keterangan

COMMUNITY SIP TCP/IP message flooding directed to SIP proxy, memiliki klasifikasi berusaha melakukan Denial of Service. Memiliki pioritas skala 2 menggunakan protokol

TCP dari IP address 192.168.1.1 dengan port 44878 menuju IP address 192.168.1.100 dengan port 52780.

2. 12/04-03:41:21.528605 [**] [1:1228:7] SCAN nmap XMAS [**]

[Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:4507 -> 192.168.1.100:1

Dengan keterangan:

Telah terjadi alert pada waktu 12/04-03:41:21.528605 yang dipicu id rules [1:1228:7] dengan keteranga alert SCAN

nmap XMASmemiliki klasifikasi berusaha melakukan

pengambilan informasi. Memiliki prioritas skala 2 menggunakan protokol TCP dari IP address 10.134.212.12 dengan port 4507 menuju IP address 192.168.1.100 dengan

port 1.

Tabel 4.1 Portscan Zenmap ids.alert

No Alert Prioritas

1 2 3 1 11/07-11:08:17.245342 [**] [122:1:0] (portscan) TCP Portscan [**]

[Priority: 3] {PROTO:255} 192.168.1.1 -> 192.168.1.100

v 2 11/07-11:08:25.903946 [**] [116:59:1] (snort_decoder): Tcp Window Scale

Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879

-> 192.168.1.100:1

3 11/07-11:08:26.004985 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

4 11/07-11:08:26.106864 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

5 11/07-11:08:26.215636 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

6 11/07-11:08:28.263481 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

7 11/07-11:08:28.367837 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

8 11/07-11:08:28.468925 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

9 11/07-11:08:28.579612 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

10 11/07-11:08:30.754739 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

11 11/07-11:08:30.856162 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

12 11/07-11:08:30.956817 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

13 11/07-11:08:31.057606 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

14 11/07-11:08:34.614592 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

15 11/07-11:08:34.714806 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

16 11/07-11:08:34.815430 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

17 11/07-11:08:34.916340 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

18 11/07-11:08:37.022241 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

19 11/07-11:08:37.124670 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

21 11/07-11:08:37.332190 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

Pada tabel 4.1 merupakan sebagian data alert yang dihasilkan dari

original snort rules ketika terjadi port scanning menggunakan zenmap

dimana semua alert menunjukan prioritas 3. Tabel 4.2 Portscan Zenmap generalisasi.alert

No Alert Prioritas

1 2 3 1 11/07-11:08:17.549089 [**] [1:100000160:2] COMMUNITY SIP TCP/IP

message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:51708 -> 192.168.1.100:3322

v

2 11/07-11:08:17.551054 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.100:13 -> 192.168.1.1:51708

v

3 11/07-11:08:25.903946 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

4 11/07-11:08:26.004985 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

5 11/07-11:08:26.106864 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

6 11/07-11:08:26.215636 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

7 11/07-11:08:28.263481 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

8 11/07-11:08:28.367837 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

9 11/07-11:08:28.468925 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

10 11/07-11:08:28.579612 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

11 11/07-11:08:30.754739 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

12 11/07-11:08:30.856162 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

13 11/07-11:08:30.956817 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

14 11/07-11:08:31.057606 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

15 11/07-11:08:34.614592 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

16 11/07-11:08:34.714806 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

17 11/07-11:08:34.815430 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

18 11/07-11:08:34.916340 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

19 11/07-11:08:37.022241 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

20 11/07-11:08:37.124670 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

21 11/07-11:08:37.225566 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:51879 -> 192.168.1.100:1

v

Pada tabel 4.2 merupakan sebagian data alert yang dihasilkan generalisasi rules ketika terjadi port scanning menggunakan zenmap dimana semua alert menunjukan prioritas 2.

1.3.2 Serangan Hping3 SynFlood

Melakukan serangan SynFlood menggunakan Hping3 dengan

perintah : hping3 -i u1 -S -p 53 192.168.1.100 mengirim SynFlood pada ip 192.168.100 menggunakan port 53, yaitu DNS Server.

Pada gambar 4.6 dibawah ini merupakan alert yang dihasikan oleh

Original alert adalah:

1. 12/04-03:41:00.058969 [**] [122:1:0] (portscan) TCP Portscan [**]

2. 12/04-03:41:21.629227 [**] [snort decoder]: Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:35728 -> 192.168.1.100:1

Gambar 4.6 Hping3 ids.alert

Pada gambar 4.7 merupakan alert dari generalisasi.alert yang termasuk dalam klasifikasi seranganDenial of Service, yaitu :

1. 12/04-03:41:24.244531 [**] [1:1228:7] SCAN nmap XMAS [**]

[Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:4507 -> 192.168.1.100:1

2. 12/04-03:48:21.092053 [**] [1:100000160:2] COMMUNITY SIP

TCP/IP message flooding directed to SIP proxy [**] [Classsification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:44878 -> 192.168.1.100:52780.

Tabel 4.3 Hping3 ids.alert

No Alert Prioritas

1 2 3 1 12/02-04:11:50.045547 [**] [122:1:0] (portscan) TCP Portscan [**] [Priority:

3] {PROTO:255} 192.168.1.1 -> 192.168.1.100

v 2 12/02-04:12:06.673544 [**] [116:59:1] (snort_decoder): Tcp Window Scale

Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1

v

3 12/02-04:12:06.777014 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1

v

4 12/02-04:12:06.879778 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1

v

5 12/02-04:12:06.982993 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1

v

6 12/02-04:12:09.046443 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1

v

7 12/02-04:12:09.151014 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1

v

8 12/02-04:12:09.254171 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1

v

9 12/02-04:12:09.358389 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1

v

10 12/02-04:12:11.407766 [**] [116:59:1] (snort_decoder): Tcp Window Scale Option found with length > 14 [**] [Priority: 3] {TCP} 10.134.212.12:50006 - > 192.168.1.100:1

Pada tabel 4.3 merupakan sebagian data alert yang dihasilkan dari

original snort rules ketika terjadi serangan SynFlood menggunakan hping3

dimana semua alert menunjukan prioritas 3. Tabel 4.4 Hping3 generalisasi.alert

No Alert Prioritas

1 2 3 1 12/02-04:11:50.097501 [**] [1:100000160:2] COMMUNITY SIP TCP/IP

message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:49895 -> 192.168.1.100:16041

v

2 12/02-04:11:50.098121 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.100:48332 -> 192.168.1.1:49895

v

3 12/02-04:12:06.673544 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1

v

4 12/02-04:12:06.777014 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1

v

5 12/02-04:12:06.879778 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1

v

6 12/02-04:12:06.982993 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1

v

7 12/02-04:12:09.046443 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1

v

8 12/02-04:12:09.151014 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1

v

9 12/02-04:12:09.254171 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1

v

10 12/02-04:12:09.358389 [**] [1:1228:7] SCAN nmap XMAS [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.134.212.12:50006 -> 192.168.1.100:1

v

Pada tabel 4.4 merupakan sebagian data alert yang dihasilkan dari generalisasi rules ketika terjadi serangan SynFlood menggunakan hping3 dimana semua alert menunjukan prioritas 2.

1.3.3 Scapy SynFlood

Menggunakan Scapy untuk melakukan serangan SynFlood tapi

terlebih dahulu harus membuat script serangan SynFlood dalam bahasa

pemrograman Phytonyang nantinya akan dipanggil perintahnya

menggunakan Scapy.

Gambar 4.8 SynFlood.py

(Sumber : :http://www.linuxforu.com/2011/10/syn-flooding-using-scapy- and-prevention-using-iptables/)

Pada gambar 4.8 merupakan potongan script untuk melakukan SynFlood,Randshort () function digunakan untuk menghasilkan nomor port acak untuk sport (source port) dari paket TCP. Port tujuan (dport) diatur ke port 22 (SSH) dan 80 (Web server Apache). The TCP menghubungkan flag diatur ke SYN menggunakan opsi flags.

Gambar 4.9 Scapy Synflood

Pada gambar 4.9 merupakan tampilan pengiriman SynFlood

mengunakan Scapy.Hasil yang didapat menggunakan Scapy hampir sama dengan hasil yang didapatkan pada hping3. Pada ids.alert tidak tercatat

alertkarena snort rules tidak menghasilkan suatu peringatan serangan.

Sedangkan pada gambar 4.10 dibawah ini merupakan hasil alert yang dihasilkan oleh generalisasi rules, dimana hasilnya sama dengan alert yang dihasilkan dari serangan Hping3, yaitu sid [1:1228:7] dengan [1:100000160:2].

Gambar 4.10 Scapy SynFlood generalisasi.alert

Pada gambar 4.11 diatas local address adalah alamat server sedangkan foreign address adalah alamat milik router yang meneruskan permintaan dari client yang bertindak sebagai penyerang.terlihat pada alamat router 192.168.1.1 membuka banyak port secara acak (31419, 24173, 2004 dan seterusnya) menunjukan begitu banyak permintaan paket SYN padahal hanya satu client (attacker)yang sedang online.

Tabel 4.5 Scapy generalisasi.alert

No Alert Prioritas

1 2 3 1 12/04-03:48:21.092503 [**] [1:100000160:2] COMMUNITY SIP TCP/IP

message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:2322 -> 192.168.1.100:53

v

2 12/04-03:48:21.138991 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.100:53 -> 192.168.1.1:2471

v

3 12/04-03:49:21.053251 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:57990 -> 192.168.1.100:53

v

4 12/04-03:49:21.350407 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.100:53 -> 192.168.1.1:58807

v

5 12/04-03:53:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53

v

6 12/04-03:53:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53

v

7 12/04-03:57:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53

v

8 12/04-03:57:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53

v

9 12/04-04:01:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53

v

10 12/04-04:01:51.349575 [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial of Service] [Priority: 2] {TCP} 192.168.1.1:48047 -> 192.168.1.100:53

Pada tabel 4.5 merupakan sebagian data alert yang dihasilkan dari generalisasi rules ketika terjadi serangan SynFlood menggunakan scapy dimana semua alert menunjukan prioritas 3.

4.4 Pengumpulan Alerts

Setelah semua data telah didapat, maka yang dilakukan selanjutnya adalah mengumpulkan alerts tersebut kemudian memproses dan memilah agar dapat diketahui asal alerts dari Snort rules asli apa dari generalisasi rules.

1.4.1 Merged.alert

Merged.alert berisi dari gabungan dua alerts yang berasal dari

Original dan Generalisasi rules. Dengan ketentuan jika ada waktu dari

setiap alerts yang sama atau bentrok, maka alert dari Original rules yang akan digunakan. Pada gambar 4.12 merupakan tampilan alert merge.

1.4.2 Allow.alert

Allow.alert hanya berisikan hasil alert dari generalisasi.alert yang waktu dan sidalert yang tidak sama dengan alert yang ada pada ids.alert. Pada gambar 4.13 merupakan tampilan allow.alert

Gambar 4.13 allow.alert 1.4.3 Rejected.alert

Rejected.alert hanya berisikan alert dari generalisasi.alert yang waktu alert nya sama dengan ids.alert tetapi dengan sid yang berbeda dari ids.alert.

Pada gambar 4.14dibawah ini menunjukan alert dari ids.alert dengan keterangan waktu dan sid, 12/04-03:41:21.528605 [116:59:1].

Gambar 4.14 Rejected.alert ids

Sedangkan pada gambar 4.15 merupakan alert dari

generalisasi.alert memiliki waktu yang sama tetapi berbeda sid, 12/04- 03:41:21.528605 [1:1228:7].

4.5 Merangkum Hasil Alert

Proses selanjutnya adalah merangkum hasil alert dan membuat suatu bentuk laporan sehingga bisa diketahui apakah alert tersebut dihasilkan dari Snort

rules asli atau dari empat kemungkinan yang ada.

Gambar 4.16 Laporan ids.alert

Gambar 4.16 merupakan laporan dari ids.alert yang menjelaskan alert yang dihasilkan dari original rules berisi keterangan sid alert dan berapa kali alert tersebut muncul secara keseluruhan. Contoh sid [1:100000160:2] muncul sebanyak satu kali.

Gambar 4.17 merupakan laporan dari generalisasi.alert yang menjelaskan

alert yang dihasilkan dari generalisasirules berisi keterangan sid alert dan berapa

kali alert tersebut muncul secara keseluruhan. Contoh sid [1:100000160:7] muncul sebanyak 115 kali.

Gambar 4.18 Laporan merged.alert

Gambar 4.18 merupakan laporan yang berisi gabungan dari ids.alert dan generalisasi.alert dengan ketentuan jika ada waktu dari setiap alerts yang sama atau bentrok, maka alert dari Original rules yang akan diambil.Contoh sid [1:100000160:2] muncul sebanyak 114kali, mengapa alert ini muncul sebanyak 114 kali padahal pada generalisasi.alert sid [1:100000160:2] muncul sebanyak 115 kali. Dikarenakan terdapat alert dengan waktu yang yang sama sehingga

Gambar 4.19 Laporan allow.alert

Pada gambar 4.19merupakan laporan yang berisi keterangan alert dari generalisasi.alert yang waktu alert dan jenis alert tidak bentrok demgan ids.alert. Contoh sid [1:100000160:2] muncul sebanyak 113 kali. Berarti dari keseluruhan jumlah alert yang dimiliki generalisasi.alert dengan sid [1:100000160:2] muncul sebanyak 115 kali hanya 113 alert yang tidak bentrok dengan alert dari ids.alert.

Gambar 4.20 Laporan rejected.alert

Pada gambar 4.20 merupakan laporan yang berisi alert dari generalisasi.alert yang alert waktunya dan jenis alert nya bentrok dengan

keseluruhan alert yang dimiliki generalisasi.alert sebanyak 115 alert hanya 113

alert yang di ijinkan sedangkan sisanya di tolak.

4.6 Analisa Hasil Perbandingan Rules

Terdapat perbedaan didalam pencatatan alert dari Snort rulesdan Generalisasi rules. Pada ids.alert yang menggunakan Snort rules pada saat melakukan simulasi serangan menghasilkan alertsdengan sid, yaitu:

(1:100000160:2), (116:151:1), (116:59:1) dan (122:1:0).

Sedangkan pada generalisasi.alert menghasilkan lebih banyak variasi

alerts dengan sid yaitu : (1:100000160:2), (1:1228:7), (1:366:7), (1:368:6) dan

(1:384:5). Untuk mengetahui keakuratan dari alert yang dihasilkan maka nilai dari prioritas yang akan dijadikan bahan acuan, semakin kecil nilai dari prioritas mewakili serangan yang paling parah atau bisa dikatakan paling mendekati serangan yang asli sedangkan semakin besar nilai dari prioritas maka bisa dikatakan serangan kurang parah atau tingkat keakuratannya diragukan dan bisa dianggap sebagai false alert.

Tabel 4.6 Daftar serangan generalisasi rules

Rule ID Frekuensi Class Ditemukan oleh

Snort rules

100000160 115 Additional Information Ya

1228 192 Additional Information Tidak

366 74 Additional Information Tidak

Pada tabel 4.6 snort rules original hanya bisa menghasilkan satu alert yang sama dengan hasil dari generalisasi rules yaitu alert dengan sid (1:100000160:2). Alerts yangdihasilkan oleh Snort rules kebanyakan memiliki nilai prioritas 3 yang menunjukkan serangan dengan resiko kecil, sedangkanalert yang sama-sama dihasilkan baik oleh Snort rules dan generalisasi rules menghasilkan alert yang rata-rata memiliki nilai 2 yang berarti hampir mendekati serangan yang sesungguhnya.Untuk memudahkan melihat perbedaan alert yang dihasilkan hasil laporan alert dapat dilihat bentuk web browser dimana data alert telah diklasifikasikan menjadi 3 bagian, yaitu :

1. Alert False dengan prioritas low

2. Alert True Medium dengan prioritas medium

3. Alert true High dengan prioritas high

Gambar 4.20 False alert

Pada gambar 4.20 merupakan laporan alert false yang berisikan alert dengan prioritas low, dimana berisikan banyak alert dari ids.alert.

Gambar 4.21 Medium alert

Pada gambar 4.21 merupakan laporan alert true medium yang berisikan

alert dengan prioritas medium, dimana berisikan banyak alert dari

generalisasi.alert dan memiliki keterangan alert dimana semuanya menunjukan potensi serangan Denial of Service.

Pada gambar 4.21 menjelaskan jumlah keseluruhan file alert pada low.alert yang merupakan kumpulan alert dengan prioritas 3 dan medium.alert yang merupakan kumpulan alert dengan prioritas 2 begitu juga jumlah alert dari

ids.alert dan generalisasi.alert. Lebih jelasnya pada tabel 4.7 dibawah ini.

Tabel 4.7 Jumlah alert ids.alert dan generalisasi.alert

No Nama File Ids.alert Generalisasi.alert

1 Low alert 3058 222

2 Medium alert 1 3119

3 High alert - -

Pada tabel 4.7 ids.alert menghasilkan alert dengan prioritas low lebih banyak daripada generalisasi.alert, yaitu 3058 alert sedangkan generalisasi.alert berjumlah 222 alert dari total keseluruhan 3280 alert pada low alert. Sedangkan pada medium alert total keseluruhan alert berjumlah 3120 alert dengan rincian 1

alert yang dihasilkan dari ids.alert dan 3119 alert yang dihasilkan dari

Unduh sekarang "ANALISA GENERALISASI R..."

Garis besar

Dokumen terkait