HASIL PENELITIAN DAN PEMBAHASAN
4.3 Hasil Analisa
Dari hasil analisa yang telah dilakukan oleh peneliti di dapat beberapa port yang terdapat virus di dalamnya.
4.3.1 Port 137
Pada port ini merupakan NetBIOS yang di gunakan untuk melakukan file and sharing. Dalam port ini juga apabila di aktifkan untuk melakukan file and sharing yang termasuk TCP/IP (Internet Protocol) maka tidak hanya di jaringan lokal akan tetapi di sleluruh internet dapat membaca port ini sedang melakukan aktifitas jaringan.
Adapun beberapa virus yang menggunakan port ini yaitu : a. W32.HLLW.Moega
Worm / cacing yang memiliki kemampuan backdoor. Ia mencoba untuk menyebar melalui jaringan area lokal. Worm ini menghubungkan ke server IRC untuk menerima instruksi lebih lanjut dari penciptanya.
Ikon dari W32.HLLW.Moega.E executable terlihat mirip dengan yang ada pada Windows XP Windows Update executable, Wupdated.exe.
b. W32.Crowt.A
Worm atau virus ini telah sering digunakan dalam serangan penolakan layanan dan upaya lain untuk mengganggu djaringan komputasi dalam skala besar . Mereka dirancang untuk mereplikasi diri dan menyebar dengan cepat melalui lampiran email palsu, email spam, dan metode lainnya. Mereka juga dapat menyebarkan backdoors untuk memungkinkan akses remote dan kontrol dari komputer yang terinfeksi.
c. W32.Reidana.A
worm yang menyebar menggunakan kerentanan RPC DCOM MS. Worm ini mencoba untuk men-download dan menjalankan file remote melalui FTP .
Dari hasil analisa yang di lakukan pada port ini sering muncul pada ethereal dan diduga pada port ini mengandung virus yang mampu menginfeksi komputer yang ada.
4.3.2 Port 80
Beberapa router broadband menjalankan web server pada port 80 atau 8080 untuk manajemen remote. WAN Administrasi dapat dinonaktifkan menggunakan antarmuka Web Admin.
Apabila saat tidak menjalankan layanan web, ada beberapa worm/cacing Code Red dan Nimda yang dapat merambat melalui TCP port 80 (HTTP) ini. Selain itu juga ada beberapa trojan yang juga menggunakan port ini yaitu 711 trojan (Seven Eleven), AckCmd, Back End, Back Orifice 2000 Plug-Ins, Cafeini, CGI Backdoor, Executor, God Message, God Message Creator, Hooker, IISworm, MTX, NCX, Nerte 7.8.1, Reverse WWW Tunnel Backdoor, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader Trojan.Webus.C
Gambar 4.8 : Tampilan Capture Port 80
4.3.3 Port 445
Pada port ini sering sekali terlihat pada ethereal dan port ini juga sering sekali digunakan oleh para Hacker untuk mencuri data komputer melalui port ini. Maka daripada itu port ini sangat rentan terhadap serangan yang dilakukan oleh penyusup untuk melakukan hal-hal yang membuat data – data pada komputer hilang ataupun rusak. Kelemahan windows yg membuka port ini biasanya port ini
digunakan sebagai port file sharing termasuk printer sharing, port ini mudah terinfeksi virus atau worm dan sebangsanya.
Saat melakukan capture terhadap lalu lintas jaringan, port ini sering muncul dan tampil pada ethereal secara ualang dan terus menerus sehingga port ini dicurigai akan dilakukannya penyusupan melalui port ini.
Beberapa virus yang mungkin menyusup melalui port ini antara lain :
a. W32.Zotob.C
Worm atau cacing yang membuka backdoor dan memanfaatkan MS Plug and Play Buffer Overflow kerentanan pada port 445/tcp. Ini menghubungkan ke server IRC dan mendengarkan perintah remote pada port 8080/tcp. Ini juga membuka server FTP pada port 33333/tcp.
b. W32.Zotob.D
Worm atau cacing yang membuka backdoor dan memanfaatkan MS Plug and Play Buffer Overflow kerentanan pada port 445/tcp. Conects ke server IRC untuk mendengarkan perintah remote pada port 6667/tcp. Juga membuka server FTP pada port 1117/tcp.
c. W32.Zotob.E
Worm/cacing yang membuka backdoor dan memanfaatkan MS Plug and Play Buffer Overflow kerentanan pada port 445/tcp. Ini berjalan dan menyebar menggunakan semua versi Windows saat ini, tetapi hanya menginfeksi Windows 2000. Worm ini menghubungkan ke server IRC dan mendengarkan perintah remote pada port 8080/tcp . Ini membuka port 69/udp untuk memulai transfer TFTP. Ini juga membuka backdoor pada komputer dikompromikan jarak jauh pada port 8594/tcp. Port 445/tcp juga digunakan oleh W32.Zotob.H varian dari worm.
d. W32.Conficker.worm
Worm/cacing dengan beberapa varian ini mengeksploitasi kerentanan buffer overflow pada Server Service pada komputer Windows. McAfee telah bernama varian yang paling baru ditemukan cacing ini sebagai W32/Conficker.worm.gen.d . The original serangan W32.Conficker.worm port 445, port yang menggunakan Microsoft Layanan Direktori, dan mengeksploitasi kerentanan Microsoft Windows.
4.3.4 Port 53
Pada port ini juga terlihat saat melakukan capture pada komputer. Port ini terdapat pada server DNS dan memungkinkan untuk melakukan serangan pada komputer.
Dalam hal ini terdapat beberapa virus yang melakukan serangan terhadap port ini antara lain :
a. ADM worm
Sebuah sistem yang ditargetkan oleh Adm akan menerima paket khusus dibuat pada port tcp 53 . Paket ini memanfaatkan buffer overflow dalam server BIND DNS dan memungkinkan kode untuk dijalankan dengan hak akses root .
Adm menciptakan w0rm account pengguna tanpa password dan suid shell dengan hak akses root di direktori / tmp bernama . W0rm pada mesin target . Ini akan menghapus file hosts.deny di / etc untuk mencegah dari memblokir permintaan dari alamat IP. The mengeksploitasi kemudian download file bernama ADMw0rm.tgz , yang berisi bagian utama dari worm .
Ketika sistem terinfeksi, worm akan mengirimkan email ke alamat [email protected], memberitahu orang dengan akses ke alamat email ini bahwa sistem telah berhasil terinfeksi. Ini akan menghapus halaman index.html ( halaman awal dari sebuah situs web ) dan menggantikannya dengan halaman index.html yang berisi kalimat " The ADM Inet w0rm ada di sini! "
Untuk mencari sistem baru untuk menginfeksi , Adm dimulai dengan alamat IP secara acak bekerja jalan dari sana, pemindaian semua alamat sampai dengan 229.230.230.230 . Untuk setiap alamat, ia akan mengecek pelabuhan id 53 aktif dan jika mendukung IQuery. Jika demikian, ia akan mengirimkan kode mengeksploitasi ke komputer target pada alamat IP.
b. Lion (1i0n)
Lion adalah worm Linux yang menyebabkan beberapa kerusakan kecil pada awal tahun 2001. Varian ketiga agak mirip dengan Ramen. Beberapa ahli antivirus mencurigai kemungkinan adanya hubungan antara lion dan Slammer worm. Pada sistem yang sudah terinfeksi dengan Lion, worm akan memindai acak jaringan IP kelas B pada port 53 untuk sistem dengan Signiture Transaksi ( TSIG ) kerentanan buffer overflow di Berkeley Internet Name Service Domain ( BIND DNS ) . Worm ini hanya dapat bekerja dengan BIND DNS versi 8.2 , 8.2 - P1 , 8.2.1 , 8.2.2 - Px , dan semua 8.2.3 - beta . Ketika mesin rentan telah ditemukan , ia akan mengirimkan memanfaatkan kode ke mesin itu .
Ketika sistem baru telah diganggu , ia menciptakan sebuah direktori bernama / dev / .lib ( periode sebelum nama berarti akan disembunyikan ) . Singa kemudian download file crew.tgz dari http://coollion.51.net/ website, yang berisi bagian utama dari worm Lion. File akan didownload dan diekstrak untuk lib / . . The tgz arsip memiliki satu direktori utama bernama / lib dengan dua direktori di bawahnya bernama / lib dan / scan.
Setelah isi diekstrak , komponen yang memindai sistem baru untuk menginfeksi dijalankan .Ia kemudian mengirimkan file shadow dan passwd ( keduanya di direktori / etc ) serta output dari perintah ifconfig ke alamat email [email protected] . Worm ini kemudian akan menambahkan sebuah entri ke file inetd.conf di / etc dan restart daemon inetd , yang membuka shell yang mendengarkan perintah pada port 1008, dan menghapus file hosts.deny
Worm ini menginstal rootkit t0rn . Rootkit menonaktifkan daemon syslogd . Ia menambahkan dua entri ke file inetd.conf
yang membuat mendengarkan shell untuk perintah pada port 33567 dan 60008 . Kemudian restart daemon inetd untuk mengaktifkan perubahan . Ini kemudian membuat daemon ssh Trojanized bernama nscd di direktori / usr / sbin dan menambahkan entri untuk itu dalam file ' / etc / rc.d / rc.sysinit ' . Daemon ini akan mendengarkan port 33.568 .Ia menggantikan sistem banyak executables dengan versi fungsional tapi Trojanized.
Dalam port 445 dengan IP 192.168.1.2 dari port 49175 dengan IP 192.168.1.3 jumlah paket data yang masuk ke port ini keadaan normalnya hanya berkisar antara 10 kilobytes – 40 kilobytes, akan tetapi setelah dilakukan capture jumlah paket data yang masuk ke port 445 dengan IP 192.168.1.2 yaitu rata-rata sebesar 50 kilobytes. Dan jumlah paket yang masuk ke trafik jaringan sering terlihat secara berurutan serta jumlah paket datanya sangat besar.
Sedangkan dalam port 137 dengan IP 192.168.1.3 dari port 50787 dengan IP 192.168.1.255 paket data yang masuk berbeda dengan port 445 dimana port 137 ini jumlah paket data yang masuk cukup kecil dengan jumlah paket data hanya 10 kilobytes – 15 kilobytes akan tetapi jumlah tersebut sangat sering terlihat. Hal ini terjadi dimana paket data yang terlihat dengan jumlah yang sama dan memiliki jeda antara paket data yang satu dengan yang lain. Ini mengindikasikan paket data yang telah di capture sebelumnya telah terinfeksi virus atau worm. Dan jumlah paket data ini yang berkisar antara 10 kilobytes – 15 kilobytes akan memenuhi jaringan komputer dan bisa membuat komputer menjadi hang.
Dengan seringnya jumlah paket data yang muncul pada port 445 dan port 137 maka dapat dikatakan bahwa kedua port ini telah terkena virus atau worm yang masuk ke jaringan komputer. Ini dapat membahayakan komputer apabila virus atau worm yang telah masuk tidak melakukan penutupan atau menghalangi port tersebut sehingga serangan yang mungkin akan kembali tidak akan bisa melalui port tersebut. Dan setelah dilakukannya pemblokiran port tersebut maka jaringan yang ada sudah bisa kita gunakan dengan aman.
Dari hasil di atas terdapat beberapa port yang tertangkap oleh ethereal dalam melakukan capture terhadap jaringan yang ada. Di antara beberapa port di atas terdapat port yang sangat rentan terhadap serangan atau penyusupan pada komputer yaitu port 445 dan port 137, walaupun beberapa port lain tidak terlalu bahaya terhadap serangan atau penyusupan akan tetapi port tersebut juga memungkinkan adanya terjadi serangan pada port itu.
Di antara kedua port yang sangat mungkin terkena serangan atau penyusupan pada port 445 dan port 137, port 445 inilah yang sering digunakan hacker untuk melakukan serangan serta merusak jaringan komputer yang ada. Port ini sangat disukai oleh para penyusup untuk melakukan penyerangan maupun penyusupan.
BAB V
PENUTUP
5.1 Kesimpulan
Berdasarkan hasil analisis jaringan pada Ethereal untuk mendapatkan port yang mungkin terjadinya serangan, maka dapat diambil kesimpulan sebagai berikut :
a. Dari beberapa port yang didapat dari hasil capture yang dilakukan menggunakan ethereal terdapat dua port yang sering muncul yaitu port 445 dengan jumlah paket data yang melebihi normal yaitu 50 kilobytes dan port 137 dengan paket data yang tdak terlalu besar akan tetapi dengan jumlah kemunculan yang sering dan ini menunjukkan bahwa kedua port tersebut telah terinfeksi virus.
b. Pada port 445 sangat rentan terhadap serangan virus atau worm dan memudahkan melakukan serangan.
5.2 Saran
Dari beberapa kesimpulan yang telah diambil, maka dapat dikemukakan saran -saran yang akan sangat membantu untuk pengembangan sistem ini selanjutnya yaitu :
a. Perlu dipertimbangkan untuk menambah jumlah port yang akan di analisis dikarenakan sangat banyak port yang nantinya akan di analisa sehingga untuk melakukan lebih banyak lagi diperlukan aplikasi tambahan yang lebih baik supaya port-port yang belum teridentfikasi dapat diketahui .
b. Analisa yang dilakukan pada jaringan komputer masih cukup sederhana sehingga masih dapat dilakukan lagi analisa lebih lanjut dan dikembangkan lagi untuk mencapai hasil yang lebih akurat dan tepat.