1
BAB I
PENDAHULUAN
1.1 Latar Belakang
Seiring dengan Perkembangan Teknologi Informasi menjadikan keamanan suatu informasi sangatlah penting terlebih lagi pada suatu jaringan yang terkoneksi dengan internet. Namun yang cukup disayangkan adalah ketidakseimbangan antara setiap perkembangan suatu teknologi tidak diiringi dengan perkembangan pada sistem keamanan itu sendiri, dengan demikian cukup banyak sistem-sistem yang masih lemah dan harus ditingkatkan keamanannya. Keamanan suatu jaringan seringkali terganggu dengan adanya ancaman dari dalam ataupun dari luar.
Serangan tersebut berupa serangan Hacker yang bermaksud merusak Jaringan Komputer yang terkoneksi pada internet ataupun mencuri informasi penting yang ada pada jaringan tersebut. Terkadang beberapa dari Hacker yang melakukan pencurian informasi dengan berbagai macam cara salah satunya melalui celah-celah yang dapat disusupi untuk masuk kedalam jaringan komputer. Serangan yang biasa dilakukan yaitu port yang jarang digunakan maka itulah yang biasanya akan disusupi.
Hadirnya firewall telah banyak membantu dalam pengamanan, akan tetapi seiring berkembang teknolgi sekarang ini hanya dengan firewall keamanan tersebut belum dapat dijamin sepenuhnya. Karena itu telah berkembang teknologi IDS dan IPS sebagai pembantu pengaman data pada suatu jaringan komputer. Dengan adanya Intrusion Detection System (IDS) dan Instrusion Prevention System (IPS), maka serangan-serangan tersebut lebih dapat dicegah ataupun dihilangkan. IDS berguna untuk mendeteksi adanya serangan dari penyusup (serangan dari dalam), sedangkan IPS berguna untuk
mendeteksi serangan dan menindaklanjutinya dengan pemblokan (filter) serangan.
Salah satu aplikasi yang membantu pengamanan data pada suatu jaringan komputer adalah sistem pendeteksi intrusi atau Intrusion Detection System (IDS). Intrusion Detection System (IDS) adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Dalam hal ini IDS akan melakukan monitoring setiap lalulintas data pada sebuah jaringan computer yang kemudian akan menganalisa dengan algoritma tertentu serta akan memutuskan peringatan pasa seorang administrator jaringan atau tidak. Selama melakukan monitoring setiap lalulintas data tidak boleh ada yang terlewat apabila terjadi maka serangan atau aktivitas yang mencurigakan sulit untuk diketahui.
Dalam penggunaan IDS terdapat 2 metode atau teknik yang digunakan untuk mendeteksi adanya serangan atau tidak pada sebuah jaringan yaitu antara lain Anomaly Detection dan Misuse Detection. Metode atau teknik deteksi anomali (anomaly detection) memiliki cara kerja dengan mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan – kejanggalan pada sistem, yaitu adanya keanehan dan kejanggalan dari kondisi pada saat sistem normal, sebagai contoh : adanya penggunaan memory yang melonjak secara terus menerus atau terdapatnya koneksi secara paralel dari satu IP dalam jumlah banyak dan dalam waktu yang bersamaan. Sedangkan metode atau teknik deteksi penyalahgunaan (misuse detection) yaitu dengan cara mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule pada IDS tersebut. Database rule tersebut dapat berisi signature – signature paket serangan. Jika pattern atau pola paket data tersebut terdapat kesamaan dengan rule pada database rule pada IDS maka paket data tersebut dianggap sebagai serangan.
Untuk itu perlunya adanya suatu penelitian untuk mengetahui dalam penyerangan yang terjadi pada sebuah jaringan maka penulis mengambil salah satu metode yaitu apakah metode anomali yang digunakan sangat baik untuk mengatasi serangan yang terjadi pada jaringan yang ada.
Dari latar belakang diatas, penulis bermaksud untuk menganalisa metode anomaly detection pada jaringan komputer terhadap serangan yang terjadi dan mengetahui bagaimana hasilnya.
Berdasarkan latar belakang permasalahan tersebut maka penulis memilih judul tugas akhir: “Analisa Metode Deteksi Anomali IDS menggunakan Anomaly Baseline pada sebuah Jaringan Komputer”.
1.2 Rumusan Masalah
Berdasarkan latar belakang seperti yang diuraikan sebelumnya, dapat dirumuskan suatu masalah yaitu :
1. Bagaimana cara kerja dari ethereal untuk mendapatkan paket data dan port pada jaringan komputer.
2. Bagaimana virus melakukan penyusupan pada port yang tertangkap.
1.3 Batasan Masalah
Untuk mendapatkan hasil penelitian seperti yang diharapkan dan penelitian yang terarah, maka permasalahan dalam penelitian ini akan dibatasi pada penerapan metode anomaly detection untuk mengetahui paket data serta port pada jaringan komputer yang memungkinkan terjadinya serangan.
1.4 Tujuan Penelitian
Berdasarkan rumusan masalah yang didapat di atas diketahui tujuan penelitian yaitu mengetahui hasil dari penggunaan metode anomali yang digunakan dalam penggunaannya untuk mengatasi serangan yang ada pada jaringan komputer.
1.5 Manfaat Penelitian
Penelitian ini bermanfaat untuk membantu dan mengetahui akan terjadinya sebuah serangan yang akan merusak sebuah jaringan komputer yang ada. Diharapkan dapat memudahkan administrator jaringan mengetahui apabila akan adanya serangan ataupun penyusup yang mengancam sistem komputer dan jaringan komputer:
a. Bagi Akademik
1. Sebagai pelengkap literatur di perpustakaan yang dapat dijadikan refernsi dan evaluasi jika melakukan penelitian sejenis.
2. Sebagai tolak ukur keberhasilan suatu akademik dengan diterapkan ilmu yang diajarkan kedalam dunia kerja dan acuan akademik untuk menilai sejauh mana kemampuan mahasiswa menyerap ilmu yang telah diberi.
b. Bagi Penulis
1. Membantu dalam mengaplikasikan ilmu yang telah di dapat di perkuliahan dengan menunjang kesiapan untuk terjun di dunia kerja.
c. Bagi Masyarakat
1. Sebuah bahan referensi dan untuk menambah pengetahuan bagi pembaca.
BAB II
TINJAUAN PUSTAKA
Dalam penulisan laporan tugas akhir ini, digunakan beberapa media seperti buku, jurnal serta artikel yang berkaitan dengan penelitian ini sebagai informasi yang dapat menunjang dalam menyelesaikan laporan tugas akhir ini.
2.1 Jurnal Terkait
Beberapa jurnal dan artikel yang berhubungan menganalisa metode anomali pada sebuah jaringan komputer yang memiliki keterkaitan dalam topik penelitian yaitu :
a. Penggunaan Sistem IDS (Intrution Detection System) untuk
Pengamanan Jaringan dan Komputer (Muhammad
Rudyanto,2011)
Dalam jurnal ini menjelaskan bagaimana di jaman saat ini penggunaan internet yang tidak ada hentinya,akan tetapi dalam penggunaannya terdapat masalah yang cukup riskan terhadap keamanannya. Maka daripada itu penulis mencoba untuk mengatasi masalah tersebut dengan menggunakan pendekatan yang menerapkan sistem IDS
b. Pendeteksi Anomali pada Jaringan didasarkan pada Analisa Payload Data Berbasis Metode Support Vector Machine (Izbat Uzzin Nadhori dan Moch. Hariadi,2009)
Jurnal ini menjelaskan analisa yang dilakukan penulis untuk dapat mengkalsifikasi intrusi yang ada menggunakan metode Support Vector Machine yang dimana bias mencatat setiap aktifitas traffic pada jaringan dan juga mendeteksi serangan R2L (Remote to Local Attack) dan U2R ( User to Root Attack ) [1]
c. Deteksi Anomali untuk Identifikasi Botnet Kraken dan Conficker menggunakan Pendekatan Rule Based (Aisyatul Karima,2012)
Penulis menjelaskan bagaimana deteksi Anomali dapat mendeteksi Botnet Kraken dan Conficker dengan cara menambah rule based yang baru untuk mendeteksi kedua botnet tersebut. Diharapkan rule set mampu memberikan hasil yang signifikan di banding dengan implementasi IDS yang lain seperti Snort.[2]
d. Sistem Pendeteksi Intrusi berdasarkan Anomali pada Packet Header (Yohanes Khosasi,2010)
Dalam jurnal di atas menjelaskan pembuatan aplikasi IDS dengan basis anomaly dimana di fokuskan pada IP Header. Tujuan pembuatan aplikasi ini diharapkan mampu mengenelai serangan dan memiliki jangkauan yang cukup luas dalam mengenali serangan tanpa memperbaharui pengetahuan dari aplikasi.[3]
e. Analisa Kinerja Anomaly-Based Intrution Detection System (IDS) dalam Mendeteksi Serangan DoS (Denial of Services) pada Jaringan Komputer (I Gusti Ngurah Arya Sucipta,2012)
Jurnal ini berisikan analisa dari kinerja anomaly-based yang memiliki kemampuan menganalisa trafik jaringan serta mengenali adanya intrusi yang dating dan sedang terjadi dengan membangun baseline sebagai dasar pembeda antara trafik normal dan abnormal.
2.2 Landasan Teori
2.2.1 Jaringan Komputer
2.2.1.1 Pengertian Jaringan Komputer
Dengan berkembangnya teknologi komputer dan komunikasi suatu model komputer tunggal yang melayani seluruh tugas-tugas komputasi suatu organisasi kini telah diganti dengan sekumpulan komputer yang terpisah-pisah akan tetapi saling berhubungan dalam melaksanakan tugasnya, sistem seperti ini disebut jaringan komputer (computer network).[4]
Dengan demikian pengertian jaringan komputer adalah suatu kumpulan atau beberapa komputer yang dihubungkan sehingga dapat berkomunikasi dan saling bertukar data dengan waktu yang singkat serta dapat menggunakan sumber daya secara bersama-sama . Dengan melihat pada pengertian diatas mengenai jaringan komputer , maka dapat disimpulkan beberapa manfaat dari jaringan komputer :
Menjadikan sistem komputer menjadi lebih mudah dioperasikan dan fleksibel.
Banyak aplikasi pendukung yang dapat dijalankan di berbagai macam jenis computer.
Tidak menjadikan ketergantungan terhadap satu jenis komputer (sehingga jenis komputer lain bisa
dikoordinasikan secara bersamaan).
Reabilitas tinggi dan dapat membagi sumber daya. Memperluas pendayagunaan sistem operasi. Memperluas kemudahan berkomunikasi.
Memudahkan kecepatan mengakses informasi.[5]
2.2.2 Intrusion Detection System (IDS)
2.2.2.1 Pengertian Intrusion Detection System
IDS (Intrution Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatan-kegiatan yang mencurigakan berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol) sumber dari usaha pengaksesan jaringan. IDS sendiri muncul dengan beberapa jenis dan pendekatan yang berbeda yang intinya berfungsi untuk mendeteksi traffic yang mencurigakan didalam sebuah jaringan. [6]
Beberapa jenis IDS adalah yang berbasis jaringan (NIDS) dan berbasis host (HIDS). Ada IDS yang bekerja dengan cara mendeteksi berdasarkan pada pencarian ciri-ciri khusus dari percobaan yang sering dilakukan. Cara ini hampir sama dengan cara kerja perangkat lunak antivirus dalam mendeteksi dan melindungi sistem terhadap ancaman. Kemudian ada juga IDS yang bekerja dengan cara mendeteksi berdasarkan pada pembandingan pola traffic normal yang ada dan kemudian mencari ketidaknormalan traffic yang ada. Ada IDS yang fungsinya hanya sebagai pengawas dan pemberi peringatan ketika terjadi serangan dan ada juga IDS yang bekerja tidak hanya sebagai pengawas dan pemberi peringatan melainkan juga dapat melakukan sebuah kegiatan yang merespon adanya percobaan serangan terhadap sistem jaringan dan komputer.
2.2.2.2 Penggunaan IDS
IDS tidak dapat bekerja secara sendirinya dalam mengamankan sebuah jaringan. IDS dapat digunakan secara bersama – sama dengan firewall.
Pada dasarnya firewall adalah titik awal dair garis pertahanan padasebuah sistem jaringan komputer. Dalam firewall bias dilakukan setting untuk dapat melakukan penolakan terhadap semua traffic yang masuk kedalam sistem komputer dan hanya membuka lubang yang diperlukan saja.
IDS bias juga menjadi alat yang dapat membantu setiap pengawasan secara pro aktif dan melakukan perlindungan pada jaringan dari kegiatan-kegiatan yang membahayakan sekaligus mencurigakan, walaupun terkadang IDS cenderung memberikan peringatan yang salah. IDS juga perlu dikonfigurasi secara tepat
dan maksimal dikarenakan supaya IDS tersebut mampu untuk mendeteksi traffic normal dan traffic tidak normal atau membahayakan dalam jaringan.
2.2.2.3 Kelebihan dan Kelemahan IDS
Pada IDS juga memiliki kelebihan dan kelemahan yang ada pada sistem ini. Terkadang dalam sistem IDS ini dapat memberikan kita manfaat yang baik ataupun sebaliknya,dibawah ini merupakan beberapa kelebihan dan kelemahan dari IDS :
a) Kelebihan dari IDS
• Dapat mendeteksi “external hackers” dan serangan jaringan internal.
• Dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan.
• Dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama.
• Menyediakan pertahanan pada bagian dalam. • Menyediakan layer tambahan untuk perlindungan. • IDS memonitor Internet untuk mendeteksi serangan. • IDS membantu organisasi utnuk mengembangkan dan
menerapkan kebijakan keamanan yang efektif. • IDS memungkinkan anggota non-technical untuk
melakukan pengelolaan keamanan menyeluruh.
• Adanya pemeriksaan integritas data dan laporan perubahan pada file data.
• IDS melacak aktivitas pengguna dari saat masuk hingga saat keluar.
• IDS menyederhanakan sistem sumber informasi yang kompleks.
• IDS memberikan integritas yang besar bagi infrastruktur keamanan lainnya
b) Kekurangan dari IDS
• Lebih bereaksi pada serangan daripada mencegahnya. • Menghasilkan data yang besar untuk dianalisis. • Rentan terhadap serangan yang “rendah dan lambat”. • Tidak dapat menangani trafik jaringan yang terenkripsi. • IDS hanya melindungi dari karakteristik yang dikenal. • IDS tidak turut bagian dalam kebijakan keamanan yang
efektif, karena dia harus diset terlebih dahulu. • IDS tidak menyediakan penanganan kecelakaaN. • IDS tidak mengidentifikasikan asal serangan.
• IDS hanya seakurat informasi yang menjadi dasarnya. • Network-based IDS rentan terhadap “overload”. • Network-based IDS dapat menyalahartikan hasil dari
transaksi yang mencurigakan.
2.2.3 Anomaly Detection
2.2.3.1 Pengertian Anomali Detection
Pendeteksian intrusi pada model ini didasarkan pada perubahan dalam pola pemakaian atau kelakuan sistem. Cara yang dilakukan adalah dengan membangun sebuah model statistik yang berisi satuan-satuan alat ukur (metrik) yang nilainya akan diambil dari aktifitas proses sistem.
Anomali adalah suatu keadaan tidak normal atau nominal. Pendeteksi anomaly harus dapat membedakan antara keadaan normal atau anomali.
Penggunaan anomali based IDS ( teknik deteksi intrusi yang merujuk pada anomali ) dapat mendeteksi tidak hanya penyusup yang telah atau belum tercatat tetapi juga menginformasikan tentang kemungkinan masalah-masalah di jaringan. Metode ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang.
Cara umum untuk menggambarkan bentuk ini adalah dengan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Hal ini dapat ditempuh melalui penghitungan nilai rata-rata dan standart deviasi dari statistik terdistribusi. Jika hasil perhitungan berada diluar dari parameter standar deviasi, maka kemungkinan telah terjadi intrusi.
Gambar 2.1: Flowchart anomaly detection
Alur proses pendeteksian serangan DoS berdasarkan deteksi anomali pada aliran trafik jaringan ditunjukkan padagambar di atas. Adapun penjelasan dari tahapan proses deteksi anomali adalah sebagai berikut:
1. Proses awal adalah sistem akan menangkap dan mencatat setiap komunikasi data yang keluar ataupun masuk dari setiap host yang ada dalam jaringan.
2. Setiap informasi yang diperoleh akan akan dilakukan perhitungan untuk mendapatkan informasi pemakaian rata-rata seperti informasi trafik, aliran data, serta bandwidth yang terjadi selama rentang waktu periode training.
3. Jika dalam pengukuran trafik dilakukan dalam periode traning maka informasi rata-rata trafik yang diperoleh akan memperbaharui informasi trafik yang sudah ada untuk selanjutnya digunakan sebagai informasi dari baseline. Baseline sendiri berisikan informasi seperti rata-rata data bytes tiap detik, paket tiap detik, total aliran data dan total bytes yang diambil dalam interval jam, hari maupun minggu. Namun jika pengukuran trafik dilakukan bukan pada saat periode training, maka informasi yang diperoleh pada pengukuran ini akan dibandingkan dengan informasi baseline yang telah ada sebagai acuan dalam mendeteksi terdapatnya anomali pada jaringan.
4. Jika pada saat pengukuran trafik jaringan terjadi bukan pada periode training, maka apabila terdapat informasi trafik yang melebihi dari informasi yang telah ditetapkan sebagai baseline maka sistem akan melaporkan
terdapatnya anomali pada jaringan, jika informasi yang diukur tidak melanggar dari baseline yang telah ditetapkan sebelumnya maka sistem akan melaporkan sebagai
keadaan normal.
5. Dalam setiap tahapan training periode informasi baseline yang sudah ada akan terus diperbaharui dengan informasi baru. Proses mendapatkan nilai baseline adalah proses
yang berkelanjutan dimana jika suatu nilai baseline belum mampu untuk mendeteksi adanya anomali, maka akan dilakukan proses training
2.2.3.2 Jenis Anomaly IDS
Deteksi anomali terbagi menjadi dua kategori yaitu :
a. Anomali Statis
Metode jenis ini berguna untuk mengecek integritas data. Pendeteksian intrusi didasarkan pada asumsi bahwa terdapat :
•Terdapat bagian program yang seharusnya bernilai tetap pada sistem yang sedang dipantau.
•Kode dan data yang bernilai konstant •Hardware yang ada tidak perlu dicek.
•Perangkat sistem administrasi yang mengecek komponen fisik dan melaporkan jika terjadi perubahan.
Bagian statis dari suatu sistem dapat direpresentasikan sebagai sebuah string bit binary atau sekumpulan string ( seperti, file-file). Jika bagian yang statis berbeda dengan aslinya, maka diasumsikan error telah terjadi atau penyusup telah merubah bagian statis dari sistem.
b. Anomali dinamis
Pada metode ini, pendeteksi anomali dinamis harus mengincludekan sejumlah deskripsi tentang perilaku sistem yang dijelaskan seperti sebuah pengurutan namun dipesan secara terpisah dari kejadian yang berbeda. Untuk
itu, pendeteksi ini harus memiliki record tentang user yang berpotensi menjadi penyusup.
Pendeteksi anomali mengamati aktivitas-aktivitas subjek dan menggenerate deskripsi perilaku. Proses monitoring antara user dan system dilakukan secara bergiliran. Pemetaan antara proses, account, dan user hanya dilakukan ketika terdapat alarm yang berbunyi.
Tidak peduli apakah terdapat anomali atau tidak, sistem tetap merujuk pada parameter yang diset selama proses inisialisasi perilaku sistem. Perilaku ini diasumsikan sebagai bentuk normal, diukur dan akhirnya digunakan untuk mengeset parameter sehingga dapat menjelaskan mana perilaku yang normal dan yang mengandung anomali.
Jika suatu perilaku dianggap tidak mengandung anomali, maka tidak terjadi intrusi. Namun, jika anomali terdapat pada suatu perilaku, maka sistem administrator dapat membunyikan false alarm sebagai tindak lanjut.
2.2.3.3 Protokol untuk Deteksi Anomali
Protokol anomali pada network dan transport layer ( layer 3-4 ) dan application layer (layer 6-7). Untuk mendeteksi anomali, dilakukan dengan mendefrag keseluruhan IP, mengeset ulang TCP dan mengecek setiap kondisi pada proses yang tidak biasa.
Beberapa anomali yang dapat dideteksi pada protokol 3-4, antara lain:
•Tumpang tindih fragmentasi IP dan sejumlah IP yang mencurigakan
•Tumpang tindih segmentasi TCP dan sejumlah TCP yang illegal •Penggunaan checksum yang corrupt
2.2.3 Anomaly Baseline
Anomali baseline merupakan suatu acuan dasar yang di jadikan patokan sebelum melakukan perbandingan terhadap data yang nantinya akan di analisis. Baselin sendiri merupakan tindakan pengukuran dan penilaian nilai kerja dari jaringan berdasarkan kondisi real-time. Untuk membangun baseline dibutuhkan adanya uji cobaan pelaporan konektifitas secara fisik, penggunaan jaeingan yang normal, penggunaan protocol, puncak penggunaan jaringan dan rata-rata penggunaan throughput jaringan.
Sistem Deteksi Intrusi berdasarkan anomali adalah sistem keamanan jaringan yang berfungsiuntuk mendeteksi adanya gangguan-gangguan pada jaringan komputer dengan cara mendeteksigangguan-gangguan tersebut berdasarkan pola-pola anomali yang ditimbulkan. Serangan Denialof Services (DoS) adalah salah satu contoh jenis serangan yang dapat mengganggu infrastrukturdari jaringan komputer, serangan jenis ini memiliki suatu pola khas, dimana dalam setiapserangannya akan mengirimkan sejumlah paket data secara terus-menerus kepada targetserangannya. Dengan menggunakan metode deteksi anomali, serangan DoS dapat dideteksidengan mengidentifikasi pola-pola anomali yang
ditimbulkan. Metode deteksi berdasarkananomali memiliki tingkat kesalahan deteksi yang cukup besar, namun memiliki keunggulanuntuk mendeteksi jenis-jenis pola serangan baru.Sistem Deteksi Intrusi mempunyai kemampuan untuk menganalisa trafik jaringan danmengenali adanya intrusi yang datang atau yang sedang terjadi dengan membangun baselinesebagai dasar untuk membedakan trafik normal dan abnormal. Baseline yang tepat sangatmenentukan terhadap terdeteksinya suatu serangan, maka dari itu dalam penelitian ini fokusuntuk meneliti Sistem Deteksi Intrusi berdasarkan anomali dinama informasi dari baselinedibangun berdasarkan karakteristik jaringan yang sebenarnya untuk dapat menentukan nilaibaseline yang terbaik. Kinerja dari sistem telah diuji melalui simulasi serangan, dimana SistemDeteksi Intrusi berdasarkan anomali memiliki tingkat akurasi sebesar 87,5 % untuk seranganDoS UDP Flood.[7]
Baseline berisikan informasi mengenai threshold, dimana menentukan nilai threshold merupakan suatu keharusan untuk memnbantu sistem deteksi intrusi dalam membuat suatu keputusan yang baik dalam mengidentifikasi atau mendeteksi adanya suatu serangan.
2.2.5 Ethereal
Ethereal Network Protocol Analyzer adalah sebuah program aplikasi basis data komputer. Aplikasi ini merupakan salah satu aplikasi yang mampu menganalisis paket data yang masuk ke dalam
atau keluar pada jaringan komputer. Ethereal
Ethereal merupakan software sniffer gratis yang sudah berbentuk Graphical User Interface(GUI). Software ini berjalan baik di linux. Dengan grafiknya mempermudah melihat setiap detail sebuah paket dan frame ethernet.[8]
Ethereal adalah penganalisa protokol jaringan bebas untuk Unix dan Windows. Hal ini memungkinkan Anda untuk memeriksa data dari jaringan hidup atau dari file menangkap pada disk.
Anda secara interaktif dapat menelusuri data capture, melihat ringkasan dan detail informasi untuk setiap paket. Ethereal memiliki beberapa fitur canggih, termasuk filter bahasa tampilan yang kaya dan kemampuan untuk melihat sungai direkonstruksi dari sesi TCP.
Singkatnya, penganalisis protokol jaringan, atau dikenal sebagai sebuah packet sniffer, paket menangkap dan menerjemahkan informasi dari jaringan. Wireshark dapat menangkap lalu lintas jaringan hidup atau membaca data dari file dan menerjemahkan data yang akan disajikan dalam format pengguna dapat mengerti. Jaringan analisa seperti Wireshark adalah alat yang sangat berharga bagi administrator untuk mendiagnosa dan memecahkan masalah dengan, tetapi juga digunakan oleh penyusup untuk memperoleh informasi yang tidak sah.[9]
Gambar 2.2 : Tampilan Aplikasi Ethereal
Pada ethereal ini berfungsi untuk menangkap dan melihat isi paket data yang melalui setiap jaringan protokol pada komputer. Selain itu ethereal juga sering digunakan untuk melakukan analisis protokol jaringan.
Adapun fungsi – fungsi tombol yang sreing digunakan untuk melakukan capture isi paket data yang ada pada jaringan.
1. List The Avaible Capture Interface
Kegunaan dari tombol ini yaitu untuk melakukan capture pada komputer dam menampilkan hasil yang tertangkap oleh ethereal selama melakukan capture.
1
2 3 4
2. Show The Capture Options
Pada tombol ini digunakan juga sama melakukan capture akan tetapi bisa dilakukan pemilihan capture sesuai dengan kebutuhan yang akan dilakukannya nanti.
3. Start a New Live Capture
Tombol ini juga berguna melakukan capture secara otomatis dan akan menghentikan rekaman jaringan secara otomatis juga dan secara langsung akan menampilkan hasil dari capture tersebut.
4. Jendela Tampilan
Pada jendela tampilan ini akan menampilkan hasil capture yangtelah dilakukan sebelumnya.
2.2.6 Port
2.2.6.1 Pengertian Port
Port adalah mekanisme yang mengizinkan sebuah komputer untuk mendukung beberapa sesi koneksi dengan komputer lainnya dan program di dalam jaringan. Port dapat mengidentifikasikan aplikasi dan layanan yang menggunakan koneksi di dalam jaringan TCP/IP. Sehingga, port juga mengidentifikasikan sebuah proses tertentu di mana sebuah server dapat memberikan sebuah layanan kepada klien atau bagaimana sebuah klien dapat mengakses sebuah layanan yang ada dalam server. Port dapat dikenali dengan angka 16-Bit (dua byte) yang disebut dengan Port Number dan diklasifikasikan
dengan jenis protokol transport apa yang digunakan, ke dalam Port TCP dan Port UDP. Karena memiliki angka 16-bit, maka total maksimum jumlah port untuk setiap protokol transport yang digunakan adalah 65536 buah.[10]
Dilihat dari penomorannya, port UDP dan TCP dibagi menjadi tiga jenis, yakni sebagai berikut:
Well-known Port
Yang pada awalnya berkisar antara 0 hingga 255 tapi kemudian diperlebar untuk mendukung antara 0 hingga 1023. Port number yang termasuk ke dalam well-known port, selalu merepresentasikan layanan jaringan yang sama, dan ditetapkan oleh Internet Assigned Number Authority (IANA). Beberapa di antara port-port yang berada di dalam range Well-known port masih belum ditetapkan dan direservasikan untuk digunakan oleh layanan yang bakal ada pada masa depan. Well-known port didefinisikan dalam RFC 1060.
Registered Port
Port-port yang digunakan oleh vendor-vendor komputer atau jaringan yang berbeda untuk mendukung aplikasi dan sistem operasi yang mereka buat. Registered port juga diketahui dan didaftarkan oleh IANA tapi tidak dialokasikan secara permanen, sehingga vendor lainnya dapat menggunakan port number yang sama. Range registered port berkisar dari 1024 hingga 49151 dan beberapa port di antaranya adalah Dynamically Assigned Port.
Dynamically Assigned Port
Dynamically Assigned Port merupakan port-port yang ditetapkan oleh sistem operasi atau aplikasi yang digunakan untuk melayani request dari pengguna sesuai dengan kebutuhan. Dynamically Assigned Port berkisar dari 1024 hingga 65536 dan dapat digunakan atau dilepaskan sesuai kebutuhan.
2.2.6.2 Jenis Port
Di dalam jaringan komputer terdapat jenis-jenis port yang digunakan untuk melakukan transaksi jaringan. Di bawah ini gambar 2.3 merupakan jenis-jenis port yang digunakan.
Gambar 2.3 : Jenis port
Dari gambar di atas terdapat istilah-istilah port yang digunakan dalam jaringan komputer. Berikut ini pengertian istilah dari port tersebut :
1. FTP (singkatan dari File Transfer Protocol) adalah sebuah protokol Internetyang berjalan di dalam lapisan aplikasi yang merupakan standar untuk pentransferan berkas (file) computer antar mesin-mesin dalam sebuah internetwork.
2. SMTP (Simple Mail Transfer Protocol) merupakan salah satu protokol yang umum digunakan untuk pengiriman surat elektronik di Internet. Protokol ini
dipergunakan untuk mengirimkan data dari komputer pengirim surat elektronik ke server surat elektronik penerima.
3. HTTP (Hypertext Transfer Protocol, lebih sering terlihat sebagai http) adalah protocol yang dipergunakan untuk mentransfer dokumen dalam World Wide Web (WWW). Protokol ini adalah protokol ringan, tidak berstatus dan generik yang dapat dipergunakan berbagai macam tipe dokumen.
4. POP3 (Post Office Protocol version 3) adalah protokol yang digunakan untuk mengambil surat elektronik (email) dari server email.
5. IMAP (Internet Message Access Protocol) adalah protokol standar untuk mengakses/mengambil e-mail dari server. IMAP memungkinkan pengguna memilih pesan e-mail yang akan ia ambil, membuat folder di server, mencari pesan e-mail tertentu, bahkan menghapus pesan e-mail yang ada.
2.2.6.3 Fungsi Port
Port adalah soket atau jack koneksi yang terletak di luar unit sistem sebagai tempat kabel-kabel yang berbeda ditancapkan. Setiap port pasti berbeda fungsi dan bentuk fisiknya. Port-port tersebut adalah port serial, port paralel, port SCSI (dibaca “scuzzy”), port USB. Selama ini kita biasanya memanfaatkan port-port tersebut untuk mentransmisikan data.
Port serial digunakan untuk mentransmisikan data dari jarak jauh secara lambat, seperti keyboard, mouse, monitor, dan modem dial-up.
Port paralel untuk mentransmisikan data pada jarak yang pendek secara cepat. Port ini sering dipakai untuk
menghubungkan printer, disk eksternal, atau tape magnetik untuk bacup.
Port SCSI (small computer system interface), untuk mentransmisikan data secara cepat bahkan dapat dipakai untuk 7 alat sekaligus atau “daisy chain“. Contoh daisy chain : dari SCSI kontroller kemudian disambungkan ke perangkat hardisk drive eksternal, dari HDD eksternal disambungkan secara seri ke perangkat yang lain seperti tape drive, kemudian dari tape drive tsb bisa juga disambungkan ke CD/DVD drive dan seterusnya.
Port USB (universal serial bus), untuk mentransmisikan data hingga 127 periferal dalam rangkaian daisy chain. Port tambahan khusus seperti : FireWire, MIDI, IrDa,
Bluetooth, dan ethernet. Fire Wire berfungsi untuk camcorder, pemutar DVD, dan TV. Sedangkan port MIDI (musical instrument digital interface) untuk menghubungkan instrumen musik. Kemudian port IrDA (Infrared Data Association) untuk koneksi nirkabel sejauh beberapa kaki. Port Bluetooth adalah gelombang radio jarak pendek yang bisa menstransmisikan sejauh 9 m. Port ethernet adalah untuk LAN.
Pada terminologi jaringan komputer, port merupakan titik komunikasi spesifik yang digunakan oleh sebuah aplikasi yang memanfaatkan lapisan transport pada teknologi TCP / IP. Artikel ini menceritakan tentang beberapa port yang digunakan oleh aplikasi ataupun protokol standar.
Port Fisik adalah soket/ slot / colokan yang ada di belakang CPU sebagai penghubung peralatan input-output komputer, misalnya PS2 Port yang digunakan oleh Mouse dan Keyboard, USB Port atau Paralel Port.
Port Logika (non fisik),adalah port yang di gunakan oleh aplikasi sebagai jalur untuk melakukan koneksi dengan komputer lain mealalui teknologi TCP/IP, tentunya termasuk koneksi internet.
2.2.6.4 Macam-macam Port dan Fungsinya
Berikut ini merupakan macam-macam port pada jaringan komputer dan beserta fungsinya :
a. Port 80, Web Server
Port ini biasanya digunakan untuk web server, jadi ketika user mengetikan alamat IP atau hostname di web broeser maka web browser akan melihat IP tsb pada port 80.
b. Port 81, Web Server Alternatif
ketika port 80 diblok maka port 81 akan digunakan sebagai port altenatif hosting website.
c. Port 21, FTP Server
Ketika seseorang mengakses FTP server, maka ftp client secara default akan melakukan koneksi melalui port 21 dengan ftp server.
d. Port 22, SSH Secure Shell
e. Port 23, Telnet
Jika anda menjalankan server telnet maka port ini digunakan client telnet untuk hubungan dengan server telnet.
f. Port 25, SMTP(Simple Mail Transport Protokol) Ketika seseorang mengirim email ke server SMTP anda, maka port yg digunakan adalah port 25.
g. Port 2525 SMTP Alternate Server
Port 2525 adalah port alternatif aktif dari TZO untuk menservice forwarding email. Port ini bukan standard port, namun dapat diguunakan apabila port smtp terkena blok.
h. Port 110, POP Server
Jika anda menggunakan Mail server, user jika log ke dalam mesin tersebut via POP3 (Post Office Protokol) atau IMAP4 (Internet Message Access Protocol) untuk menerima emailnya, POP3 merupakan protokol untuk mengakses mail box.
i. Port 119, News (NNTP) Server
j. Port 3389, Remote Desktop
Port ini adalah untuk remote desktop di WinX. k. Port 389, LDAP Server
LDAP Directory Access Protocol menjadi populer untuk mengakses Direktori, atau Nama, Telepon, Alamat direktori. Contoh untuk LDAP: / / LDAP.Bigfoot.Com adalaha LDAP directory server.
l. Port 143, IMAP4 Server
IMAP4 atau Pesan Akses Internet Protocol semakin populer dan digunakan untuk mengambil Internet Mail dari server jauh.Disk lebih intensif, karena semua pesan yang disimpan di server, namun memungkinkan untuk mudah online, offline dan diputuskan digunakan.
m. Port 443, Secure Sockets Layer (SSL) Server
Ketika Anda menjalankan server yang aman, SSL Klien ingin melakukan koneksi ke server Anda Aman akan menyambung pada port.
n. Port 445, SMB over IP, File Sharing
Kelemahan windows yg membuka port ini. biasanya port ini digunakan sebagai port file sharing termasuk printer sharing, port inin mudah dimasukin virus atau worm dan sebangsanya.
o. Ports 1503 and 1720 Microsoft NetMeeting and VOIP
MS NetMeeting dan VOIP memungkinkan Anda untuk meng-host Internet panggilan video atau dengan lainnya.
BAB III
METODE PENELITIAN
3.1 Objek Penelitian
Dalam melaksanakan penelitian ini, tempat yang dijadikan bahan penelitian yaitu kantor Telkom Pekalongan IS Centre. Waktu penelitian dilakukan pada bulan Oktober sampai dengan bulan Desember 2013.
3.2 Jenis dan Sumber Data
Sumber data yang digunakan untuk penelitian ini adalah : 3.2.1 Data Primer
Data dan informasi yang diperoleh langsung dari narasumber/responden, yang berupa hasil wawancara dan analisa data yang ada. Data primer diperoleh langsung dari hasil wawancara dan melakukan penelitian secara langsung di tempat penelitian.
3.2.2 Data Sekunder
Data dan informasi yang diperoleh dari dokumen, publikasi, laporan penelitian dari instansi/dinas manapun sumber data lainnya yang menunjang.
3.3 Ruang Lingkup Penelitian
Agar penelitian dapat terfokus dan terarah, maka perlu adanya ruang lingkup yang digunakan sebagai pedoman dalam melaksanakan penelitian. Ruang lingkup penelitian ini adalah analisa metode deteksi anomali dengan
menggunakan anomaly baseline untuk mengetahui IP mana saja yang biasanya terjadi intrusi atau ancaman.
3.4 Metode Pengumpulan Data
Untuk menganalisa Metode Anomali baseline pada sebuah Jaringan Komputer, beberapa teknik pengumpulan data dan variable digunakan, diantaranya adalah :
1. Wawancara
Metode yang dilakukan dengan cara mengadakan wawancara langsung dengan pihak yang bersangkutan. Kegiatan yang dilakukan adalah melakukan wawancara kepada pemilik Manager IS Centre Pekalongan.
2. Survey
Metode yang digunakan untuk memperoleh data dengan cara mengadakan pengamatan terhadap objek penelitian dan pencatatan secara sistematis terhadap suatu gagasan yang diselidiki.
3. Studi Pustaka
Metode yang dilakukan dengan cara mencari sumber dari buku-buku, literatur dan jurnal penelitian yang berkaitan dengan penelitian ini.
Proses pengumpulan daa dimulai dari tahap pendahuluan yaitu dengan studi pustaka dengan mempelajari jurnal,buku bacaan lain dengan pokok bahasan yang sesuai dengan penelitian ini. Pada tahapan ini juga dilakukan dengan pengkajian data apa saja yang dibutuhkan, jenis data yang dipakai, ketersediaan data, serta cara mengolah data. Selanjutnya tahapan yang
dilakukan adalah mengumpulkan keseluruhan data untuk mengetahui hasil penelitian dan memperkaya literature yang menunjang penelitaian ini.
3.5 Metode Penelitian
Penyusunan tugas akhir ini menggunakan suatu metodologi yang mencakup bagaimana mencari mengumpulkan data, memilah dan menentukan mana yang berkaitan dengan materi penulisan. Adapun metode yang dipakai adalah sebagai berikut :
a. Studi Pustaka.
Dilakukan dengan cara mencari dan mengumpulkan referensi yang berkaitan dengan materi penulisan seperti melakukan browsing, download, dan mencari literature-literature bacaan yang sesuai dengan materi penulisan.
b. Praktikum.
Kegiatan praktikum dilakukan di kantor PT.TELKOM IS CENTRE Pekalongan untuk mengetahui dan mendapatkan data-data yang diperlukan saat nanti melakukan analisa.
c. Observasi
Observasi dilakukan untuk menganalisa hasil data yang di dapat saat melakukan pengujian trafik jaringan yang terkoneksi jaringan internet dan menggunakan aplikasi Ethereal untuk mencatat aktifitas data.
3.6 Langkah Penelitian
Langkah penelitian dilakukan untuk mengumpulkan data, mengolah data dan menganalisa data dari data-data akurat sehingga dapat dijamin kebenarannya. Langkah penelitian menggambarkan tahapan dalam proses
penelitian guna memecahkan masalah penelitiandari awal hingga tercapainya tujuan penelitian.
Adapun langkah untuk menyusun laporan penelitian ini adalah sebagai berikut :
3.6.1 Perencanaan
Pada perencanaan disiapkan 1 PC sebagai client untuk melakukan uji coba pendeteksian terhadap serangan dan tingkat kesalahan deteksi. Kemudian terdapat juga PC server dan PC monitoring yang berguna untuk memantau aktifitas jaringan yang ada dengan software Ethereal.
Model pengujian akan dilakukan dengan 2 cara yaitu dalam keadaan normal dan menggunakan anomaly baseline. Dan kemudian akan dilakukan pencatatan QoS menggunakan software Ethereal.
3.6.2 Kebutuhan Perangkat Keras dan Perangkat Lunak
Dari analisa kebutuhan yang dilakukan dapat diidentifikasi kebutuhan software dan hardware sebagai berikut :
a. Hardware
1 PC client : Intel (R) core (TM) i5-3450, Professional 32 bit
Koneksi internet : Dial up Connection Up To 512Kbps
Router : TP-Link TD-W8151N
b. Software
Ethereal : sebagai Network Analyzer digunakan untuk capture pake data.
3.6.3 Pengujian
Pengujian yang dilakukan untuk mendapatkan data yang diharapkan,maka dalam pengujian ini data ukur diperoleh dengan cara melihat paket data yang melalui jaringan tersebut pada PC client dengan menggunakan aplikasi Ethereal.
3.6.4 Pencatatan Hasil
Proses pencatatan hasil dilakukan dengan menggunakan aplikasi software monitoring yaitu Etheral. Pengambilan data dilakukan saat adanya koneksi internet atau adanya akifitas lalulintas jaringan yang sedang terjadi. Monitoring paket data pada jaringan terjadi setiap pengujian dilakukan.
3.6.5 Analisa Hasil
Setelah pencatatan hasil, data yang telah di dapat akan dikelompokkan sesuai kebutuhan analisa yang nanti dilakukan. Semua hasil yang telah di dapat akan dilakukan analisa apa yang terjadi dalam setiap paket data yang telah didapatkan sebelumnya. Analisa hasil ini digunakan untuk mengetahui apakah terjadi adanya serangan atau tidak pada trafik jaringan tersebut.
3.6.6 Penarikan Kesimpulan
Penarikan kesimpulan sementara, dilakukan setelah membandingkan data yang diperoleh dari masing-masing percobaan. Penarikan hasil kesimpulan diperoleh dari menganalisa setiap pengujian yang telah dilakukan.
BAB IV
HASIL PENELITIAN DAN PEMBAHASAN
4.1 Bahan dan Alat Penelitian
4.1.1 Spesifikasi Perangkat Keras
Perangkat keras (hardware) yang dipakai dalam proses proses analisa metode anomaly detection menggunakan anomaly baseline pada sebuah jaringan komputer yaitu :
No Jenis Hardware Spesifikasi Hardware
1 Processor
Intel (R) core (TM) i5-3450, Professional 32 bit
2 RAM 2,00 GB
3 HDD Typical installation 48 MB, full
installation 80 MB untuk VB
4 Monitor 14” HD (LED)
5 Modem HUAWEI Vodafone CE0682
6 Printer Canon iP2700 series
4.1.2 Spesifikasi Perangkat Lunak
Perangkat lunak (software) yang digunakan dalam proses analisa metode anomaly detection menggunakan anomaly baseline pada sebuah jaringan komputer yaitu :
No Jenis Software Spesifikasi Software
1 Sistem Operasi Windows 7 Ultimate
2 Aplikasi The Ethereal Network Protokol
Analyzer
3 Versi 0.99.0
Tabel 4.2 Spesifikasi Software (Perangkat Lunak)
4.2 Langkah – langkah deteksi Virus pada Ethereal
Sebelum melakukan analaisa terhadap virus yang terdapat pada jaringan komputer yang ada maka dilakukan terlebih dahulu scanning pada aplikasi ethereal untuk mengetahui apakah ada atau tidak virus pada jaringan komputer tersebut. Adapun langkah-langkahnya sebagai berikut :
Gambar 4.1 : Tampilan Awal
Klik aplikasi ethereal untuk menampilkan aplikasi tersebut. Maka akan tampil aplikasi dari ethereal tersebut. Kemudian langkah selanjutnya tunggu hingga tampilan tersebut tampil.
Gambar 4.2 : Tampilan Ethereal
Tampilan aplikasi ethereal. Langkah selanjutnya kemudian klik list the avaible capture interface untuk melakukan capture hasil port yag terekam pada ethereal.
Gambar 4.3 : Tampilan Ethereal untuk capture
Lalu klik pada bagian yang di tunjukkan pada gambar 4.3 untuk melakukan capture jaringan yang ada pada komputer.
Gambar 4.4 : Tampilan saat dilakukan Capture
Setelah dilakukannya capture tersebut kemudian klik stop untuk melihat bagian atau port-port yang dihasilkan dari capture tersebut.
Gambar 4.5 : Tampilan stop Capture
Setelah tombol stop di klik makaakan muncul tampilan hasil dari capture yang telah dilakukan sebelumnya dan mendapatkan hasil port-port yang ada pada komputer.
Gambar 4.6 : Tampilan Hasil Capture
Setelah itu lakukan capture ini secara berulang untuk mengetahui apakah ada port lain yang terdapat pada hasil capture yang dilakukan sebelumnya.
4.3 Hasil Analisa
Dari hasil analisa yang telah dilakukan oleh peneliti di dapat beberapa port yang terdapat virus di dalamnya.
4.3.1 Port 137
Pada port ini merupakan NetBIOS yang di gunakan untuk melakukan file and sharing. Dalam port ini juga apabila di aktifkan untuk melakukan file and sharing yang termasuk TCP/IP (Internet Protocol) maka tidak hanya di jaringan lokal akan tetapi di sleluruh internet dapat membaca port ini sedang melakukan aktifitas jaringan.
Adapun beberapa virus yang menggunakan port ini yaitu : a. W32.HLLW.Moega
Worm / cacing yang memiliki kemampuan backdoor. Ia mencoba untuk menyebar melalui jaringan area lokal. Worm ini menghubungkan ke server IRC untuk menerima
instruksi lebih lanjut dari penciptanya.
Ikon dari W32.HLLW.Moega.E executable terlihat mirip dengan yang ada pada Windows XP Windows Update executable, Wupdated.exe.
b. W32.Crowt.A
Worm atau virus ini telah sering digunakan dalam serangan penolakan layanan dan upaya lain untuk mengganggu djaringan komputasi dalam skala besar . Mereka dirancang untuk mereplikasi diri dan menyebar dengan cepat melalui lampiran email palsu, email spam, dan metode lainnya. Mereka juga dapat menyebarkan backdoors untuk memungkinkan akses remote dan kontrol dari komputer yang terinfeksi.
c. W32.Reidana.A
worm yang menyebar menggunakan kerentanan RPC DCOM MS. Worm ini mencoba untuk men-download dan menjalankan file remote melalui FTP .
Dari hasil analisa yang di lakukan pada port ini sering muncul pada ethereal dan diduga pada port ini mengandung virus yang mampu menginfeksi komputer yang ada.
4.3.2 Port 80
Beberapa router broadband menjalankan web server pada port 80 atau 8080 untuk manajemen remote. WAN Administrasi dapat dinonaktifkan menggunakan antarmuka Web Admin.
Apabila saat tidak menjalankan layanan web, ada beberapa worm/cacing Code Red dan Nimda yang dapat merambat melalui TCP port 80 (HTTP) ini. Selain itu juga ada beberapa trojan yang juga menggunakan port ini yaitu 711 trojan (Seven Eleven), AckCmd, Back End, Back Orifice 2000 Plug-Ins, Cafeini, CGI Backdoor, Executor, God Message, God Message Creator, Hooker, IISworm, MTX, NCX, Nerte 7.8.1, Reverse WWW Tunnel Backdoor, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader Trojan.Webus.C
Gambar 4.8 : Tampilan Capture Port 80
4.3.3 Port 445
Pada port ini sering sekali terlihat pada ethereal dan port ini juga sering sekali digunakan oleh para Hacker untuk mencuri data komputer melalui port ini. Maka daripada itu port ini sangat rentan terhadap serangan yang dilakukan oleh penyusup untuk melakukan hal-hal yang membuat data – data pada komputer hilang ataupun rusak. Kelemahan windows yg membuka port ini biasanya port ini
digunakan sebagai port file sharing termasuk printer sharing, port ini mudah terinfeksi virus atau worm dan sebangsanya.
Saat melakukan capture terhadap lalu lintas jaringan, port ini sering muncul dan tampil pada ethereal secara ualang dan terus menerus sehingga port ini dicurigai akan dilakukannya penyusupan melalui port ini.
Beberapa virus yang mungkin menyusup melalui port ini antara lain :
a. W32.Zotob.C
Worm atau cacing yang membuka backdoor dan memanfaatkan MS Plug and Play Buffer Overflow kerentanan pada port 445/tcp. Ini menghubungkan ke server IRC dan mendengarkan perintah remote pada port 8080/tcp. Ini juga membuka server FTP pada port 33333/tcp.
b. W32.Zotob.D
Worm atau cacing yang membuka backdoor dan memanfaatkan MS Plug and Play Buffer Overflow kerentanan pada port 445/tcp. Conects ke server IRC untuk mendengarkan perintah remote pada port 6667/tcp. Juga membuka server FTP pada port 1117/tcp.
c. W32.Zotob.E
Worm/cacing yang membuka backdoor dan memanfaatkan MS Plug and Play Buffer Overflow kerentanan pada port 445/tcp. Ini berjalan dan menyebar menggunakan semua versi Windows saat ini, tetapi hanya menginfeksi Windows 2000. Worm ini menghubungkan ke server IRC dan mendengarkan perintah remote pada port 8080/tcp . Ini membuka port 69/udp untuk memulai transfer TFTP. Ini juga membuka backdoor pada komputer dikompromikan jarak jauh pada port 8594/tcp. Port 445/tcp juga digunakan oleh W32.Zotob.H varian dari worm.
d. W32.Conficker.worm
Worm/cacing dengan beberapa varian ini mengeksploitasi kerentanan buffer overflow pada Server Service pada komputer Windows. McAfee telah bernama varian yang paling baru ditemukan cacing ini sebagai W32/Conficker.worm.gen.d . The original serangan W32.Conficker.worm port 445, port yang
menggunakan Microsoft Layanan Direktori, dan
mengeksploitasi kerentanan Microsoft Windows.
4.3.4 Port 53
Pada port ini juga terlihat saat melakukan capture pada komputer. Port ini terdapat pada server DNS dan memungkinkan untuk melakukan serangan pada komputer.
Dalam hal ini terdapat beberapa virus yang melakukan serangan terhadap port ini antara lain :
a. ADM worm
Sebuah sistem yang ditargetkan oleh Adm akan menerima paket khusus dibuat pada port tcp 53 . Paket ini memanfaatkan buffer overflow dalam server BIND DNS dan memungkinkan kode untuk dijalankan dengan hak akses root .
Adm menciptakan w0rm account pengguna tanpa password dan suid shell dengan hak akses root di direktori / tmp bernama . W0rm pada mesin target . Ini akan menghapus file hosts.deny di / etc untuk mencegah dari memblokir permintaan dari alamat IP. The mengeksploitasi kemudian download file bernama ADMw0rm.tgz , yang berisi bagian utama dari worm .
Ketika sistem terinfeksi, worm akan mengirimkan email ke alamat [email protected], memberitahu orang dengan akses ke alamat email ini bahwa sistem telah berhasil terinfeksi. Ini akan menghapus halaman index.html ( halaman awal dari sebuah situs web ) dan menggantikannya dengan halaman index.html yang berisi kalimat " The ADM Inet w0rm ada di sini! "
Untuk mencari sistem baru untuk menginfeksi , Adm dimulai dengan alamat IP secara acak bekerja jalan dari sana, pemindaian semua alamat sampai dengan 229.230.230.230 . Untuk setiap alamat, ia akan mengecek pelabuhan id 53 aktif dan jika mendukung IQuery. Jika demikian, ia akan mengirimkan kode mengeksploitasi ke komputer target pada alamat IP.
b. Lion (1i0n)
Lion adalah worm Linux yang menyebabkan beberapa kerusakan kecil pada awal tahun 2001. Varian ketiga agak mirip dengan Ramen. Beberapa ahli antivirus mencurigai kemungkinan adanya hubungan antara lion dan Slammer worm. Pada sistem yang sudah terinfeksi dengan Lion, worm akan memindai acak jaringan IP kelas B pada port 53 untuk sistem dengan Signiture Transaksi ( TSIG ) kerentanan buffer overflow di Berkeley Internet Name Service Domain ( BIND DNS ) . Worm ini hanya dapat bekerja dengan BIND DNS versi 8.2 , 8.2 - P1 , 8.2.1 , 8.2.2 - Px , dan semua 8.2.3 - beta . Ketika mesin rentan telah ditemukan , ia akan mengirimkan memanfaatkan kode ke mesin itu .
Ketika sistem baru telah diganggu , ia menciptakan sebuah direktori bernama / dev / .lib ( periode sebelum nama berarti akan disembunyikan ) . Singa kemudian download file crew.tgz dari http://coollion.51.net/ website, yang berisi bagian utama dari worm Lion. File akan didownload dan diekstrak untuk lib / . . The tgz arsip memiliki satu direktori utama bernama / lib dengan dua direktori di bawahnya bernama / lib dan / scan.
Setelah isi diekstrak , komponen yang memindai sistem baru untuk menginfeksi dijalankan .Ia kemudian mengirimkan file shadow dan passwd ( keduanya di direktori / etc ) serta output dari perintah ifconfig ke alamat email [email protected] . Worm ini kemudian akan menambahkan sebuah entri ke file inetd.conf di / etc dan restart daemon inetd , yang membuka shell yang mendengarkan perintah pada port 1008, dan menghapus file hosts.deny
Worm ini menginstal rootkit t0rn . Rootkit menonaktifkan daemon syslogd . Ia menambahkan dua entri ke file inetd.conf
yang membuat mendengarkan shell untuk perintah pada port 33567 dan 60008 . Kemudian restart daemon inetd untuk mengaktifkan perubahan . Ini kemudian membuat daemon ssh Trojanized bernama nscd di direktori / usr / sbin dan menambahkan entri untuk itu dalam file ' / etc / rc.d / rc.sysinit ' . Daemon ini akan mendengarkan port 33.568 .Ia menggantikan sistem banyak executables dengan versi fungsional tapi Trojanized.
Dalam port 445 dengan IP 192.168.1.2 dari port 49175 dengan IP 192.168.1.3 jumlah paket data yang masuk ke port ini keadaan normalnya hanya berkisar antara 10 kilobytes – 40 kilobytes, akan tetapi setelah dilakukan capture jumlah paket data yang masuk ke port 445 dengan IP 192.168.1.2 yaitu rata-rata sebesar 50 kilobytes. Dan jumlah paket yang masuk ke trafik jaringan sering terlihat secara berurutan serta jumlah paket datanya sangat besar.
Sedangkan dalam port 137 dengan IP 192.168.1.3 dari port 50787 dengan IP 192.168.1.255 paket data yang masuk berbeda dengan port 445 dimana port 137 ini jumlah paket data yang masuk cukup kecil dengan jumlah paket data hanya 10 kilobytes – 15 kilobytes akan tetapi jumlah tersebut sangat sering terlihat. Hal ini terjadi dimana paket data yang terlihat dengan jumlah yang sama dan memiliki jeda antara paket data yang satu dengan yang lain. Ini mengindikasikan paket data yang telah di capture sebelumnya telah terinfeksi virus atau worm. Dan jumlah paket data ini yang berkisar antara 10 kilobytes – 15 kilobytes akan memenuhi jaringan komputer dan bisa membuat komputer menjadi hang.
Dengan seringnya jumlah paket data yang muncul pada port 445 dan port 137 maka dapat dikatakan bahwa kedua port ini telah terkena virus atau worm yang masuk ke jaringan komputer. Ini dapat membahayakan komputer apabila virus atau worm yang telah masuk tidak melakukan penutupan atau menghalangi port tersebut sehingga serangan yang mungkin akan kembali tidak akan bisa melalui port tersebut. Dan setelah dilakukannya pemblokiran port tersebut maka jaringan yang ada sudah bisa kita gunakan dengan aman.
Dari hasil di atas terdapat beberapa port yang tertangkap oleh ethereal dalam melakukan capture terhadap jaringan yang ada. Di antara beberapa port di atas terdapat port yang sangat rentan terhadap serangan atau penyusupan pada komputer yaitu port 445 dan port 137, walaupun beberapa port lain tidak terlalu bahaya terhadap serangan atau penyusupan akan tetapi port tersebut juga memungkinkan adanya terjadi serangan pada port itu.
Di antara kedua port yang sangat mungkin terkena serangan atau penyusupan pada port 445 dan port 137, port 445 inilah yang sering digunakan hacker untuk melakukan serangan serta merusak jaringan komputer yang ada. Port ini sangat disukai oleh para penyusup untuk melakukan penyerangan maupun penyusupan.
BAB V
PENUTUP
5.1 Kesimpulan
Berdasarkan hasil analisis jaringan pada Ethereal untuk mendapatkan port yang mungkin terjadinya serangan, maka dapat diambil kesimpulan sebagai berikut :
a. Dari beberapa port yang didapat dari hasil capture yang dilakukan menggunakan ethereal terdapat dua port yang sering muncul yaitu port 445 dengan jumlah paket data yang melebihi normal yaitu 50 kilobytes dan port 137 dengan paket data yang tdak terlalu besar akan tetapi dengan jumlah kemunculan yang sering dan ini menunjukkan bahwa kedua port tersebut telah terinfeksi virus.
b. Pada port 445 sangat rentan terhadap serangan virus atau worm dan memudahkan melakukan serangan.
5.2 Saran
Dari beberapa kesimpulan yang telah diambil, maka dapat dikemukakan saran -saran yang akan sangat membantu untuk pengembangan sistem ini selanjutnya yaitu :
a. Perlu dipertimbangkan untuk menambah jumlah port yang akan di analisis dikarenakan sangat banyak port yang nantinya akan di analisa sehingga untuk melakukan lebih banyak lagi diperlukan aplikasi tambahan yang lebih baik supaya port-port yang belum teridentfikasi dapat diketahui .
b. Analisa yang dilakukan pada jaringan komputer masih cukup sederhana sehingga masih dapat dilakukan lagi analisa lebih lanjut dan dikembangkan lagi untuk mencapai hasil yang lebih akurat dan tepat.
DAFTAR PUSTAKA
[1] Nadhori,Izbat Uzzin dan Hariadi ,Moch. (2009). Pendeteksi Anomali pada Jaringan didasarkan pada Analisa Payload Data Berbasis Metode Support Vector Machine.
[2] Karima,Aisyatul. (2012). Deteksi Anomali untuk Identifikasi Botnet Kraken dan Conficker menggunakan Pendekatan Rule Based.
[3] Khosasi,Yohanes. (2010). Sistem Pendeteksi Intrusi berdasarkan Anomali pada Packet Header .
[4] http://www.mlarik.com/2013/07/pengertian-jaringan-komputer.html (diakses tanggal 22 Oktober 2013)
[5] http://www.mlarik.com/2013/07/pengertian-jaringan-komputer.html
(diakses tanggal 22 Oktober 2013)
[6] Rudyanto,Muhammad. (2011). Penggunaan Sistem IDS (Intrution Detection System)untuk Pengamanan Jaringan dan Komputer.AMIKOM Jogjakarta
[7] Arya Sucipta, I Gusti Ngurah. (2012). Analisa Kinerja Anomaly-Based Intrution Detection System (IDS) dalam Mendeteksi Serangan DoS (Denial of Services) pada Jaringan Komputer. Bali: JELIKU Vol 1
[8] http://siipglobal.blogspot.com/2010/09/analisa-protokol-layer-2-dan-3.html (diakses tanggal 26 Oktober 2013)
[9]http://multi-centre.blogspot.com/2011/03/ethereal-network-analyzersnifer.html (diakses tanggal 14 Januari 2014)
[10]http://rian-share4u.blogspot.com/2012/07/macam-macam-port-pada-jaringan.html(diakses tanggal 16 Januari 2014)
