TOOLS SNIFFING

Berikut adalah tools Sniffing atau software yang digunakan untuk melihat paket TCP/IP yang lewat dalam
suatu jaringan:

1. Wireshark

Wireshark/Ethereal merupakan salah satu dari sekian banyak tools Network Analyzer yang
banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya dan juga
merupakan tools andalan Vaksinis (teknisi Vaksincom). Wireshark banyak disukai karena
interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis.

Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan

yang kita “intip”. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan
mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti Windows, Linux,
Macintosh, dll.

Pada awal kemunculan dan perkembangan Conficker, tools ini merupakan “pelopor” tools yang
digunakan oleh beberapa vendor security untuk menganalisa paket-paket data/informasi dalam
jaringan dari serangan Conficker. Anda dapat mendownload wireshark pada alamat
http://www.wireshark.org/download.html.

Pada saat instalasi, perhatikan untuk mengaktifkan dan menginstall plugin MATE (Meta
Analysis Tracing Engine), karena secara default belum diaktifkan. Plugin ini dapat berfungsi
untuk memfilter seluruh paket-paket data dari berbagai protocol yang lewat dalam jaringan.
Selain itu dalam proses instalasi juga disertakan WinPcap. Lakukan instalasi WinPcap, WinPcap
merupakan driver yang digunakan untuk membaca dan mem-filter lalu lintas paket
data/informasi yang lewat.

Untuk penggunaannya cukup mudah, pada saat anda menjalankan Wireshark, pilih saja tab
Capture kemudian pilih list Interfaces. Pada pilihan capture interfaces, pilih yang sesuai dengan
jaringan LAN/Ethernet card anda kemudian klik tombol start. Wireshark juga memiliki
kemampuan untuk melakukan scan komputer antar segmen.

Untuk deteksi Conficker, lakukan filter dengan protocol NBNS (NetBIOS Name Service)
kemudian perhatikan info yang diberikan, umumnya NBNS akan membaca hostname komputer
tetapi jika NBNS membaca selain hostname komputer dalam hal ini adalah domain-domain yang
dituju oleh Conficker, maka source IP tersebut merupakan komputer yang terinfeksi dan
berusaha untuk menyebarkan dan mengupdate dirinya.
2. Nmap

Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif
menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap
kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif
pada port yang lebih spesifik.

Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning
jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada
semua jenis OS, baik mode console maupun grafis. Hebatnya lagi, tidak seperti Wireshark,
Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh
Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih
memiliki celah keamanan yang dapat dieksploitasi oleh Conficker.

Selain itu, Nmap juga memiliki satu keunggulan yang mungkin membuat administrator jaringan
besar jatuh cinta, ia dapat melakukan scanning komputer antar segmen.

Terhadap kemunculan dan perkembangan Conficker, Nmap dengan bantuan source code dari
Tillman Werner dan Felix Leder dari The Honeynet Project, telah merilis versi baru dengan
tambahan fitur deteksi terhadap komputer yang terinfeksi Conficker. Anda dapat mendownload
versi terbaru pada alamat http://nmap.org/download.html.

Proses instalasi Nmap cukup mudah, sama halnya seperti wireshark, Nmap juga melakukan
instalasi terhadap WinPcap (jika belum terinstall). Jika sudah terinstall WinPcap, biasanya akan
terjadi error dan proses instalasi WinPcap sebaiknya di lewatkan saja.

Untuk penggunaannya, baik mode console maupun GUI, kita tetap menggunakan perintah
command. Penggunaan command untuk mendeteksi Conficker ada 2 cara :
Scan jaringan dengan membaca port 139 & 445 (lebih cepat) :

nmap -p 139,445 -T4 –script p2p-conficker,smb-os-discovery,smb-check-vulns –script-

args checkconficker=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1…..)
Scan jaringan dengan membaca seluruh port yang digunakan Conficker (agak lambat) :
nmap -p – -T4 –script p2p-conficker,smb-os-discovery,smb-check-vulns –script-args
checkall=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1….)

3. Retina Network Security Scanner (Conficker Worm)

Walaupun agak terlambat dan diluncurkan menjelang 1 April 2009, sebagai salah satu vendor
keamanan komputer, eEye Digital Security juga ikut meluncurkan tools khusus dan gratis untuk
mendeteksi keberadaan Conficker dalam jaringan. Tools ini didesain untuk mendeteksi
keberadaan Conficker dan sekaligus mendeteksi vulnerability windows tersebut dari celah
keamanan Windows Server Service (patch MS08-067). Anda dapat mendownload tools ini pada
alamat http://www.eeye.com/html/downloads/other/ConfickerScanner.html.
Proses instalasi sangat mudah dan cepat, anda cukup menjalankan file instalasi yang dilanjutkan
perintah-perintah selanjutnya hingga selesai.

Bagi pengguna umum, tools Retina dari Eeye relatif lebih mudah dibandingkan Wireshark dan
Nmap, saat anda menjalankan tools ini anda dapat langsung memilih target yang diinginkan baik
single IP maupun dengan range IP. Jika sudah, anda dapat langsung klik tombol scan.

Jika sudah selesai akan muncul box pesan tanda selesai. Hasil dari scan tersebut terdapat 4
kategori yaitu :

Not Tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)
Infected (komputer terdeteksi terinfeksi Conficker)
Patched (komputer bersih dan sudah di patch MS08-067)
Vulnerable (komputer bersih tetapi belum di patch, rawan terinfeksi Conficker)

Sayangnya tools ini hanya membaca port 139 dan 445, sehingga sangat sulit jika komputer yang
terinfeksi tidak mengaktifkan port tersebut (File and Printer Sharing). Selain itu, Retina tidak
dapat melakukan scanning antar segmen dan juga tidak memantau port 1024 – 10.000 yang di
eksploitasi oleh Conficker.

4. SCS (Simple Conficker Scanner)

Tools simple dan canggih buatan Tillman Werner dan Felix Leder dari The Honeynet Project,
yang pada saat awal diluncurkan banyak digunakan oleh Vaksincom untuk mendeteksi IP – IP
ISP Indonesia yang terinfeksi Conficker ini menjadi rujukan beberapa vendor untuk membuat
tools sejenis.

Mereka membuat tools conficker network scanner dari bahasa Python yang kemudian beserta
source code-nya dipublish secara bebas. Tercatat beberapa vendor seperti Nmap, eEye dan
Foundstone menggunakan source code yang kemudian di compile dan dijadikan plugin tools
masing-masing vendor untuk digunakan mendeteksi conficker.

Tools ini dapat didownload pada alamat

http://www.4shared.com/get/95921961/d7727fab/scs.html .

SCS tidak perlu diinstall, anda hanya perlu akstrak pada folder/drive yang anda tentukan saja.
Tetapi untuk menjalankan SCS anda perlu meng-install Nmap. Hal ini dikarenakan SCS
membutuhkan driver paket monitoring data.

Untuk penggunaannya, SCS menggunakan mode console atau command prompt. Pada mode
command prompt, pindah pada folder scs kemudian ketik perintah berikut :

“scs [IP_Awal] [IP Akhir]” , contoh : C:\scs>scs 192.168.1.1 192.168.1.255

Sama seperti Retina, SCS hanya membaca port 139 dan 445 saja.
5. Conficker Detection Tool (MCDT)

Melalui salah satu divisi-nya yaitu Foundstone, McAfee ikut merilis salah satu tools network
untuk mendeteksi keberadaan conficker. Tools yang juga menggunakan source dari Tillman
Werner dan Felix Leder dari The Honeynet Project, merupakan pengembangan dari team
Foundstone yang didesain untuk mendeteksi keberadaan komputer yang terinfeksi conficker, dan
telah dipublish secara gratis. Anda dapat mendownload pada alamat
http://www.mcafee.com/us/enterprise/confickertest.html .

Tools ini tidak perlu diinstall, anda hanya perlu ekstrak pada direktori / drive yang anda tentukan
saja.

Untuk penggunaannya pun cukup mudah, saat anda menjalankan tools ini anda dapat langsung
memilih range target yang diinginkan. Bahkan anda dapat melakukan scanning jika terdapat
beberapa segmen pada jaringan komputer anda, hal ini yang tidak terdapat pada Retina.

Tetapi sayangnya tools ini tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang
di eksploitasi Conficker seperti Nmap dan Retina. Berbeda dengan Retina, tools ini memiliki 3
kategori hasil scan yaitu :

INFECTED (komputer terinfeksi conficker)

Not infected (komputer bersih atau tidak terinfeksi)
Not tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)

Sama seperti halnya Retina dan SCS, tool ini hanya membaca port 139 dan 445 (File Printer
Sharing) dan tidak melakukan pemantauan atas port 1024 – 10.000 yang di eksploitasi oleh
Conficker.

Hasil Perbandingan…..

Dari beberapa tools tersebut, kami me-review dan membuat tabel perbandingan-nya sebagai
berikut (klik untuk memperbesar):

Dari hasil pengujian yang dilakukan oleh lab Vaksincom, terlihat bahwa tidak ada tools yang
sempurna. Masing-masing tools memiliki kelebihan dan kekurangannya masing-masing.

Nmap walaupun memiliki fitur yang paling lengkap tetapi memiliki kelemahan pada sisi
penggunaan yang masih menggunakan command dan kecepatan scan yang lambat dibanding
tools yang lain. Sementara MCDT merupakan tools yang sangat simple tanpa instalasi serta
proses scan cukup cepat memilki kelemahan tidak dapat berfungsi dengan baik jika port 445
ditutup/disable (File and Printer Sharing di non aktifkan) dan tidak melakukan pemeriksaan pada
celah keamanan MS08-067 yang dieksploitasi oleh Conficker.

Penulis, Adi Saputra dan Alfons Tanujaya, adalah analis antivirus untuk Vaksincom.

http://ndhobos.blogspot.com