• Tidak ada hasil yang ditemukan

BAB 4 HASIL PENELITIAN

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "BAB 4 HASIL PENELITIAN"

Copied!
13
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 13 Halaman )

Teks penuh

(1)

BAB 4

HASIL PENELITIAN

Pada bab ini akan dijelaskan mengenai deskripsi data yang telah diterima oleh kedua honeypot yaitu Dionaea dan Glastopf dan analisa data. Data tersebut diperoleh setelah kedua honeypot tersebut berjalan selama 7 hari pada tanggal 16 November 2011 – 22 November 2011. Kedua honeypot tersebut menggunakan ip publik sehingga traffic yang masuk ke dalam honeypot berasal dari seluruh dunia dan traffic yang masuk ke dalam Dionaea belum tentu sama dengan traffic yang masuk ke Glastopf. Data tersebut diambil dengan melihat data yang muncul pada tampilan web interface dari honeypot tersebut yaitu Carniwwwhore dan GlasIF.

4.1 Hasil Penelitian

Berikut adalah hasil penelitian yang diperoleh dari kedua honeypot: 4.1.1 Dionaea

Dionaea adalah low-interaction honeypot yang fungsi utamanya mendapat copy dari malware. Dionaea menarik serangan dengan cara menyediakan bug yang biasa dicari oleh para penyerang untuk dapat menyusupkan malware. Dionaea menggunakan Carniwwwhore sebagai web interface sehingga serangan yang diterima Dionaea dapat dilihat dengan mudah.

4.1.1.1 Tampilan web interface Dionaea

(2)

Gambar 4.1 Overview Carniwwwhore

Gambar 4.1 adalah gambar tampilan utama Carniwwwhore (web interface Dionaea). Pada gambar di atas dapat dilihat jumlah serangan/malware yang diterima selama 7 hari. Pada sumbu x dapat dilihat tanggal harinya dan pada sumbu y dapat dilihat jumlah serangan yang didapat. Di sebelah kiri ada menu Dionaea untuk melihat lebih detail tentang serangan yang didapat Dionaea.

(3)

Gambar 4.2 Tampilan jumlah serangan per hari Dionaea

Pada gambar 4.2 dapat dilihat jumlah serangan per hari. Di sebelah kiri terdapat menu seperti protocols (melihat protokol yang digunakan), transports (tcp/udp), attacks (melihat serangan lebih detail), hosts (melihat ip penyerang), dan ports (port yang digunakan).

(4)

Gambar 4.3 Tampilan serangan Dionaea

Gambar 4.3 adalah tampilan menu attacks pada Dionaea. Pada menu ini dapat dilihat detail serangan yang dilakukan seperti waktu, ip penyerang, protokol dan port yang digunakan.

4.1.1.2 Data Dionaea

Setelah Dionaea dijalankan selama 7 hari pada tanggal 16 November 2011 – 22 November 2011, diperoleh data serangan yang dikelompokan berdasarkan waktu, negara penyerang, dan port yang diserang.

(5)

• Serangan berdasarkan waktu

Gambar 4.4 Grafik jumlah penyerang terhadap waktu

Pada tabel di atas dapat dilihat serangan terhadap waktu selama 7 hari. Dalam 1 hari dibagi menjadi 3 waktu yaitu pagi (pukul 04:00-12:00 WIB), siang (pukul 12:00-20:00 WIB), dan malam (pukul 12:00-20:00-4:00 WIB). Dari segi waktu selama 7 hari dalam WIB, dapat dilihat serangan paling banyak terjadi pada malam hari lalu siang hari dan yang paling sedikit pada pagi hari. Hal ini disebabkan karena banyak attacker yang menjalankan serangannya dengan menggunakan bot berasal dari Negara yang beda waktunya jauh dengan Indonesia sehingga di negeri penyerang masih siang hari sedangkan di Indonesia sudah malam hari. Seperti diketahui bahwa pada siang hari aktifitas manusia paling banyak terjadi.

(6)

Selain jumlah serangan yang diterima oleh Dionaea, kita juga dapat melihat ip penyerang. Jika ip penyerang tersebut dikelompokan berdasarkan negara asal ip tersebut maka didapat negara yang paling sering melakukan serangan pada diagram dibawah ini.

Gambar 4.5 Diagram negara yang sering menyerang

Dari data negara yang paling banyak melakukan serangan, terdapat negara dengan 5 urutan teratas yaitu Rusia (28%), Brasil (14%), Taiwan (12%), Jepang (8%), dan Jerman (4%).

Negara seperti Rusia (GMT+3), Jerman (GMT+1), jarak waktunya jauh dibanding Indonesia sehingga jumlah serangan paling banyak terjadi pada malam hari (pukul 20:00-04:00 WIB) yaitu 150.629 (Rusia) dan 20.650 (Jerman). Hal ini dikarenakan pada saat waktu malam hari (sesuai pengelompokan kita) maka di waktu Rusia dan Jerman berada pada waktu manusia mulai beraktifitas (siang hari) sehingga

(7)

kapasitas serangan lebih besar pada waktu ini. Pada Brasil (GMT-3) yang memiliki beda waktu sangat jauh dari Indonesia menunjukkan serangan paling banyak pada pagi hari yaitu 65.321 serangan karena pada pukul 4:00 WIB maka di waktu di Brasil adalah menjelang malam sehingga serangan masih tinggi terjadi. Perbedaan waktu yang sangat jauh inilah yang membuat serangan dari negara Brasil juga banyak terjadi pada malam hari yaitu 52.854 serangan. Pada Taiwan (GMT+8) dan Jepang (GMT+9) yang beda waktunya sedikit dengan Indonesia maka serangan paling banyak terjadi pada siang hari yaitu 61.613 (Taiwan) dan 33.694 (Jepang).  

• Serangan berdasarkan port yang diserang

Dionaea membuka semua services yang ada sehingga data yang didapat sangat banyak. Kita juga dapat mengetahui nomor port yang diserang. Berikut adalah diagram yang menggambarkan port yang sering diserang dalam seminggu:

(8)

Dari gambar di atas dapat dilihat port 445 sering diserang (1.048.300 serangan) karena port ini digunakan untuk file sharing seperti printer sharing. Hal ini yang menyebabkan port ini paling rentan untuk dimasukkan worm. World Wide Web (www) merupakan bagian dari Internet yang paling populer, sehingga serangan kedua paling banyak pada port 80 yaitu 7915 serangan. Serangan ketiga paling banyak pada port 1433 yang digunakan oleh MSSQL. Seperti yang diketahui mssql adalah database yang cukup rentan untuk diserang seperti serangan buffer overflow sehingga  jika seorang attacker mengirim terlalu banyak data, kemungkinan terjadi “overflow” pada ukuran tertentu dan akan menulis data disekitar area buffer komputer. Buffer Overflow ini mungkin saja malicious user menjalankan perintah kewenangan pada remote system. Port lainnya adalah port 5060 dan 5061 yang sering digunakan untuk layanan voice dan media melalui internet, lalu port 3306 yang digunakan oleh mysql, port 21 untuk transfer data dan port lainnya.

4.1.2 Glastopf

Glastopf adalah honeypot yang bertujuan untuk menangkap serangan/request yang ditujukan ke web aplikasi. Glastopf menggunakan fitur google dork list untuk menarik serangan. Glastopf menggunakan GlasIF sebagai web interface untuk melihat serangan yang telah diterima.

4.1.2.1 Tampilan web interface Glastopf

(9)

Gambar 4.7 Dashboard GlasIF

Pada gambar 4.7 dapat dilihat tampilan dashboard dari GlasIF. Pada tampilan nii dapat dilihat jumlah serangan per hari dan per jam. Selain itu dapat juga dilihat lima ip yang paling banyak melakukan serangan, lima ip yang terakhir menyerang, dan lima file

(10)

untuk melihat log serangan, search untuk mencari serangan tertentu, dan admin untuk mengubah user dan password GlasIF.

Gambar 4.8 Log Glastopf

Gambar 4.8 adalah tampilan menu raw data. Pada gambar ini dapat dilihat log serangan yang terjadi seperti waktu, ip penyerang dan target, dan request yang dilakukan.

4.1.2.2 Data Glastopf

Pada data yang diterima Glastopf dapat dilihat host penyerang dan request yang dilakukan. Berikut adalah tabel data serangan yang diterima oleh Glastopf setelah dijalankan selama 7 hari pada tanggal 16 November 2011 – 22 November 2011:

Attacker Destination Time Request Negara

xxx.43.187.5 203.xxx.119.40 16/11/20 11

(11)

109.xxx.213. 134 proxyjudge2.xxx .net 17/11/20 11 http://proxyjudge2.xxx.net/faste nv Jerman 61.250.80.xx x 203.xxx.119.40 17/11/20 11 /user/soapCaller.bs Republic of Korea xxx.14.129.1 00 www.weibo.com 17/11/20 11 http://www.weibo.com/ China 188.xxx.163. 130 203.xxx.119.40 18/11/20 11 /appConf.htm Turkey 180.244.xxx. 74 203.xxx.119.40 18/11/20 11 /phpmyadmin/ Indonesia 194.63.xxx.7 9 203.xxx.119.40 18/11/20 11 /w00tw00t.at.blackhats.romania n.anti-sec:) Rusia 194.63.xxx.7 9 203.xxx.119.40 18/11/20 11 /phpMyAdmin/scrixxx/setup.ph p Rusia 173.xxx.101. 59 203.xxx.119.40 19/11/20 11 /appConf.htm United States xxx.132.116. 23 www.google.co m 21/11/20 11 http://www.google.com/ Ukraine 203.xxx.229. 187 203.xxx.119.40 22/11/20 11 /w00tw00t.at.blackhats.romania n.anti-sec:) Hongkong 203.xxx.229. 187 203.xxx.119.40 22/11/20 11 /phpMyAdmin/scrixxx/setup.ph p Hongkong 128.xxx.29.1 99 203.xxx.119.40 22/11/20 11 /phpMyAdmin/scrixxx/setup.ph p Australia

(12)

99 11 128.xxx.29.1 99 203.xxx.119.40 22/11/20 11 /w00tw00t.at.blackhats.romania n.anti-sec:) Australia 128.xxx.29.1 99 203.xxx.119.40 22/11/20 11 /myadmin/scrixxx/setup.php Australia

Tabel 4.1 Tabel Serangan Glastopf

Pada Glastopf, yang hanya membuka port 80 dapat dilihat asal ip yang menyerang dan request yang dilakukan. Glastopf dapat menarik serangan dengan menambahkan path atau file yang vulnerable yang sering dicari oleh penyerang di database Glastopf. Path atau file tersebut dapat kita lihat pada http://www.exploit-db.com/ dan menambahkan pada tabel path dalam database sehingga saat penyerang mencari file tersebut maka mereka akan menemukan dan menyerang Glastopf kita. Kita dapat mengidentifikasi data yang diterima Glastopf sebagai serangan jika penyerang menyisipkan file tertentu, meminta dan mengakses file yang tidak diperbolehkan untuk publik, dan me-request path yang kita tambahkan di database. Dari data di atas, dapat dilihat request yang dilakukan biasa mencari vulnerabilities di phpmyadmin dan webserver seperti /phpMyAdmin/scripts/setup.php dari Hongkong, Rusia, dan Australia dan request /w00tw00t.at.blackhats.romanian.anti-sec:) yang biasa dilakukan oleh Rusia dan Hongkong. Serangan lainnya adalah request /user/soapCaller.bs dari Korea. Request ini dilakukan oleh tools yaitu Morfeus F***ing Scanner yaitu scanner yang mencari bug yang terdapat dalam php atau web aplikasi lainnya. soapCaller.bs adalah halaman yang sangat rentan untuk diserang.

(13)

4.2 Perbandingan dan pencegahan

Dari data yang didapat dari kedua honeypot di atas, dapat dilihat bahwa Dionaea dapat mengumpulkan malware yang banyak pada port 80 dalam satu minggu sebanyak 7915. Sedangkan pada Glastopf hanya menerima serangan terhadap web aplikasi sebanyak 16 serangan. Dari data di atas dapat dilihat bahwa kinerja Dionaea lebih sensitif dalam menangkap serangan yang tersebar di internet.

Dari data di atas dapat dilihat serangan/tingkah laku para attacker yang sering terjadi yaitu serangan pada port 445 dan mencari bug pada webserver (port 80). Cara yang paling umum adalah menutup port yang sering diserang pada firewall. Untuk serangan pada port 445, dapat dicegah dengan salah satu cara yaitu menutup services file sharing sehingga port tersebut ditutup. Di regedit pada folder berikut :

• HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

Temukan SMBDeviceEnabled Ganti dengan D=Word 00000000. Untuk serangan yang mengarah pada web aplikasi dapat dilakukan beberapa cara seperti:

• Memblok ip yang mencurigakan di firewall, salah satu contohnya seperti ip pada tabel di atas.

• Menurut Shreeraj Shah (2004), dapat dicegah dengan menginstal Modsecurity yang merupakan firewall untuk aplikasi web sehingga lebih meningkatkan keamanan terutama utnuk apache.

Gambar

Gambar 4.1 Overview Carniwwwhore
Gambar 4.2 Tampilan jumlah serangan per hari Dionaea
Gambar 4.3 Tampilan serangan Dionaea
Gambar 4.4 Grafik jumlah penyerang terhadap waktu
+6

Referensi

Unduh sekarang ( PDF - 13 Halaman - 378.21 KB )

Dokumen terkait

Mukha>barah adalah bentuk kerja sama antara pemilik sawah

pekerjaanmenggarap lahan menjadi tanggungjawab pihak pemilik lahan. Begitu juga, akad akad al-mukha>barah tidak sah jika ada ketentuan bahwa semua hasil panennya adalah

APBD I DPKP CK APBD II DAK AM SR X 5 JIWA = JIWA (1)

Dinas Perumahan, Kawasan Permukiman dan Cipta Karya melalui Bidang Permukiman berupaya untuk selalu mereview dan memperbaharui status dari Database infrastruktur,

TEKNIK PEMBUATAN BENANG DAN PEMBUATAN KAIN JILID 2

Pada alat tenun ini benang lusi dalam posisi vertikal dan selalu tegang karena ada pemberat atau beban, sedangkan benang pakan disisipkan dengan suatu alat yang disebut

IDENTIFIKASI JENIS PLANKTON DI PERAIRAN MUARA BADAK, KALIMANTAN TIMUR

Perairan Muara Badak memiliki 24 jenis plankton, dari hasil analisis indeks keanekaragaman, indeks keseragaman dan indeks dominansi menunjukkan bahwa perairan ini

Analisa Musculoskeletal Disorder Pada Karyawan Bagian Produksi Di Bengkel XYZ Dengan Menggunakan Metode RULA

Hasil analisa dengan menggunakan metode RULA adalah untuk sisi kanan dan kiri masih dapat diterima namun, perlu diadakan perubahan karena dapat menimbulkan

KEMUNDURAN DAN KEHANCURAN KERAJAAN MUGHAL

Kebijakan puritanisme oleh sultan Aurangzeb dan pengislaman orang-orang Hindu secara paksa demi menjadikan tanah India sebagai negara Islam, dengan menyerang berbagai praktek

BAB IV PEMBAHASAN DAN GEOLOGI DAERAH PENELITIAN

47 Data sumur yang digunakan berisikan top dari setiap formasi yang berfungsi sebagai marker dan digunakan sebagai petunjuk pada saat interpretasi horizon pada penampang

NON-ACTIVATED VERSION

Dalam teori pendekatan situasional, kepemimpinan yang efektif adalah bagaimana seorang pemimpin dapat mengetahui keadaan baik kemampuan ataupun sifat dari anak buah yang di