Packet Sniffer

Network Intrusion Detection
Penggunaan utilitas network scanning dan packet-
sniffing
Memahasi dasar intrusion detection systems

Scanners dan Sniffers
Cracker dapat melakukan teknik berikut untuk
mendapatkan akses ke Linux System :
Port scanning, dimana paket yang dikirim ke sebuah host to
mendapatkan informasi tentangnya
Packet sniffing, dimana setiap paket pada jaringan yang
mempunyai header dan data akan diintip
Admin jaringan juga menggunakan teknik ini untuk
mengecek kelemahan jaringannya, dan meskipun
penggunaannya terasa illegal, tapi hal ini penting untuk
mengetahui karakter cracker.

Port Scanning
Port scan memungkinkan seseorang untuk
mengidentifikasi sistem operasi jaringan dan beberapa
layanannya, dan pada akhirnya mendapat akses yang
lebih besar.
Port scan biasanya menggunakan TCP protocol dan flag
yang berhubungan untuk mendapatkan informasi
tentang host dan layanan jaringannya.
Beberapa port scanner menggunakan ICMP dan UDP
paket, yang tidak menyediakan banyak informasi seperti
TCP, tetapi dapat menyediakan beberapa informasi
yang tidak ada di TCP.

Port Scanning
Port-scanning yang paling banyak digunakan adalah
nmap (network mapper).
nmap adalah command-line yang menggunakan
berbagai metode scanning.
nmap dapat juga melakukan sebuah ping scan, yang
melaportkan host yang dapat dicapai menggunakan
paket ICMP echo.

Tipe Portscan
Tipe scan :
TCP connect() scan
Stealth SYN scan
Stealth FIN scan
Xmas scan
Null scan
Jangkauan scan :
One-to-one, one-to-many, many-to-one, many-to-many

Packet Sniffing
Packet sniffer memungkinkan untuk menguji semua
trafik baik yang melewati network cable atau wireless.
Ethernet card dapat menggunakan packet sniffing hanya
jika beroperasi dalam mode promiscuous
User harus log in sebagai root untuk menggunakan
mode ini, karena packet sniffer memerlukan akses root.
Jika teknologi enkripsi digunakan seperti SSH, GPG,
maka paket data akan lebih aman.

Packet Sniffing
3 utility Linux yang populer :
IPTraf menampilkan koneksi individual network, dengan protokol
dan data yang lainnya pada masing-masing host. Ini juga
menampilkan statistik protokol, hostname dan alamat IP.
tcpdump memberikan informasi seperti IPTraf, tapi lebih detail.
Ethereal seperti tcpdump dan toolnya dalam bentuk graphical
network analysis

Using Intrusion Detection Software
Intrusion detection adalah proses notifikasi ketika
seseorang ingin masuk ke sebuah sistem.
Kategori dari software ini disebut intrusion detection
systems (IDS)
PortSentry, oleh Psionic, melihat port network ketika
paket melakukan port scan.
Tool yang lebih kompleks dari PortSentry adalah Linux
IDS, atau LIDS, yang dapat merubah Linux kernel


Penggunaan Software Intrusion Detection
Penggunaan yang disarankan untuk tool intrusion
detection :
Gunakan nmap untuk scan system setelah konfigurasi untuk
mengecek security holes.
Selanjutnya, gunakan PortSentry untuk melihat host luar yang
mencoba melakukan port scan ke server.
Gunakan LIDS untuk mengamankan file system anda, sehingga
seseorang yang ingin untuk masuk ke server akan mempunyai
akses yang dibatasi.

Intrusion Detection System IDS
portsentry – mencegah portscan
Jalankan sebagai daemon pada host yang terproteksi, hal ini
akan mendengarkan ke port TCP/UDP dan akan memblok
scanning host dari server yang terkoneksi.
Untuk implementasi : http://sourceforge.net/projects/sentrytools/


Summary
Software port-scanning mengijinkan seseorang untuk
mengetahui tentang titik lemah pada jaringannya.
Port scanners menggunakan berbagai kombinasi dari TCP flag,
UDP paket dan ping paket untuk mendapatkan respon dari host
target tentang servis yang berjalan padanya.
Ketika sebuah host mendeteksi bahwa seseorang
menggunakan port scanner, software seperti PortSentry dapat
mengambil aksi untuk mencegah port scan dan memblok
semua akses oleh host yang melakukan scanning.
Software port-scanning yang paling banyak digunakan adalah
nmap.
Packet sniffer menggunakan mode promiscuous dari NIC untuk
menangkap semua data yang melewati node network, termasuk
semua header dan payload. Ethereal sangat powerful dan
populer sebagai packet sniffer grafis.
Packet sniffing adalah salah satu tipe dari network traffic
analysis; program lain seperti IPTraf membantu admin
menganalisa pole trafik jaringan berdasarkan pada protokol, titik
sumber dan tujuan serta faktor lainnya.
Program tcpdump adalah program analisis trafik jaringan yang
sangat populer, yang meng-capture detil informasi tentang
paket network.
Intrusion detection systems (IDS) adalah bagian penting dari
modern network security dan dia melihat intruder yang mencoba
akses ke server dan memberi anda respon yang sesuai.
PortSentry adalah salah satu software IDS yang mendeteksi
port scan dari program seperti nmap.