OLEH :
MENGGUNAKAN TCPDUMP
A. Tujuan
1. Memahami konsep PDU layer 2 dan 3.
2. Mampu mengoperasikan TCPdump.
3. Mampu menganalisa paket layer 2 dan 3 menggunakan TCPdump.
B. Dasar Teori
Nomor IP diperlukan oleh perangkat lunak untuk mengidentifikasi komputer
pada jaringan, namun nomor identitas yang sebenarnya diatur oleh NIC (Network
Interface Card) atau kartu Jaringan yang juga mempunyai nomor unik.
Pengalamatan di NIC biasa disebut dengan MAC Address. Pengalamatan ini
merupakan bagian dari ethernet. Alamat kartu jaringan ini terdiri atas 48 bit, 24 bit
ID dari pabrik pembuat sedangkan 24 bit sisanya adalah nomor urut/sequence
number. Oleh karena itu setiap kartu jaringan TCP/IP merupakan standar tentang
mekanisme kerja jaringan, sehingga perangkat lunak dan perangkat keras dari
bebagai vendor dapat saling berkomunikasi. Agar dapat bekerja maka TCP/IP
membutuhkan perangkat keras jaringan dalam hal ini adalah Ethernet, meskipun
ethernet bukan bagian dari TCP/IP, TCP/IP hanya berinteraksi untuk menggunakan
fasilitasnya menggerakkan paket. Untuk mengirim data ke komputer lain, maka
software menyusun frame ethernet dalam memori sbb :
Gambar 5.1 Paket Ethernet jadi ini merupakan referensi IP ke MAC addressnya
sehingga data terkirim ke komputer yang benar sesuai phisical addressnya. Berdasarkan
mapping IP dengan phisical addressnya. Bila komputer tahu nomor IP tapi tidak tahu
MACnya. TCP/IP memecahkan masalah ini dengan menggunakan ARP (Address
Resolution Protocol) . Ethernet Payload (Data) src MAC dst MAC src IP dst IP IP Data
Analisa Protokol Layer 2 dan 3 Menggunakan Wireshark-TCPDump.
Misal user host tertentu menjalankan perintah telnet (telnet merupakan perintah
di linux yang dipakai untuk menjalankan mesin tertentu dari mesin lainnya) dengan host
foghorn ($telnet foghorn). Setelah user menjalankan command telnet, maka sistem akan
mengecek ARP cache ada nomor physical address yang dimaksud. Jika informasi ini
tidak ditemukan, maka host akan mengeluarkan suatu ARP khusus meminta paket. ARP
Request dikapsulkan dengan semua informasi yang dibutuhkan kecuali physical address
tujuan karena memang host tidak tahu tujuannya dimana, biasanya ARP tujuan dibuat
FF:FF:FF:FF secara broadcast ke jaringan, karena broadcast maka semua sistem pada
local network akan menguji request tersebut. Paket ARP request/reply mempunyai
format yang sama. Informasi ini bisa ditangkap oleh software sniffer tcpdump atau
wireshark. .
ARP Cache
Dengan menjalankan TCPDump, kita bisa melihat semua traffic yang masuk
atau meninggalkan NIC dan bisa melihat aktifitas jaringan. Dengan TCPDump bisa juga
dipakai untuk menganalisa seumpama terjadi kelambatan aplikasi, kita bisa
menganalisanya mulai dari ini. Analisa Protokol Layer 2 dan 3 Menggunakan
Wireshark-TCPDump
Wireshark
3. Setelah itu lakukan ping pada ip yang tidak terdaftar dalam arp –a tetapi
masih dalam satu jaringan.
7. Lalu jalankan perintah ping ke salah satu computer yang berada dalam satu
jaringan.
a. ifdown eth0
b. ifup eth0
c. ifconfig eth0 –arp up
d. arp –a
e. ping ke salah satu computer yang berada dalam satu jaringan.
11. Untuk melakukan pengintaian kita bisa juga memakai tcpdump. Bukalah
terminal baru dan jalankan tcpdump, biarkan tcpdump berjalan. Cobalah
beberapa variasi command-command tambahan di tcpdump untuk mengintai
paket yang lewat, misal tcpdump –n, tcpdump –n –t, tcpdump -n
–t, tcpdump –n –t –e.
12. Buka kembali terminal baru, dalam kondisi sekarang ialah menjalankan 2
terminal sekaligus. Lakukan langkah berikut pada terminal baru :
a) Jalankan perintah ping pada terminal baru, lalu amati hasilnya pada
terminal yang menjalankan TCPdump.
c) Jalankan perintah ping diluar jaringan yang digunakan. Dalam hal ini
penulis melakukan ping ke google.com. lalu kembali cek lagi dengan
menggunakan perintah arp –a.
- ARP Enable
- ARP Connected
- Tcpdump –n
- Tcpdump –n –t
- Tcpdump –n –t –e
- Ping ke workstation dalam jaringan yang sama serta traffictnya dalam
tcpdump
- Mengecek arp –a
p
ing adalah untuk mencoba apakah komputer yang satu dengan yang
lainnya telah terhubung dalam satu jaringan/belum dengan
megirimkan sejumlah packet data ke komputer lain.
c) Arp
Protokol ARP atau Address Resolution Protocol merupakan sebuah
protokol yang bertanggung jawab mencari tahu Mac Address atau
alamat hardware dari suatu Host yang tergabung dalam sebuah
jaringan LAN dengan memanfaatkan atau berdasarkan IP
Address yang terkonfigurasi pada Host yang bersangkutan. Dalam
OSI layer, protokol ini berkeja antara Layer 2 dan Layer 3. ARP
digunakan untuk memetakan internet protocol alamat IP jaringan ke
alamat hardware yang digunakan oleh protocol data link. Router
dapat mengirimkan data melintasi jalur logic, yang terdiri dari
bermacam data link (LAN/Network), dengan cara membaca dan
memprosesIP address pada paket.
d) Arp –a
B
Berfungsi untuk menurunkan interface yang ada dengan perintah
ifconfig.
g) Ifdown eth0
f
ifdown eth0 digunakan untuk menonaktifkan interface eth0.
m
enaikkan interface yang ada dengan menggunakan perintah ifconfig.
u
untuk menambahkan host dan mengasosiasikan alamat Internet
inet_addr dengan eth_addr alamat fisik. Alamat fisik diberikan
sebagai 6 byte heksadesimal dipisahkan dengan tanda hubung. Entri
adalah permanen. Atau menambahkan sebuah entri secara statis.
j) Cat /etc/ethers
C
CAT merupakan perintah di linux yang dapat digunakan untuk
melihat isi file, membuat isi file dan menggabungkan beberapa teks
file menjadi satu teks file. Cat /etc ethers berfungsi untuk membuka
direktori ethers namun pada percobaan direktori tidak dapat
ditampilkan karena direktori tersebut tidak ada (belum dibuat).
k) Tcpdump
d
digunakan untuk tidak melakukan resolusi nama pada namanya.
m) Tcpdump -n -t
d
digunakan untuk mencetak header link-level dump pada setiap baris.
2. Analisa Arp –a
Seperti yang dijeaskan sebelumnya, command arp –a berfungsi untuk
menampilkan MAC-Address secara lebih spesifik. Hasil yang
ditampilkan arp-a sebelum melakukan ping ke workstation berbeda
yang tidak berada di 3 daftar MAC-Address. Namun setelah
melakukan ping, daftar MAC Address menjadi bertambah hingga 4
MAC Address dikarenakan ada workstation/client/user lain yang
mencoba mengetes koneksi dengan PC yang digunakan.
Sebelum :
Sesudah ping :
tidak ada daftar hostname yang tampil dan Internet tidak dapat
diakses. Saat mencoba ping hostname yang terdaftar hasilnya
menjadi “Network host unreachable”. Hal itu dikarenakan perintah
ini menurunkan interface yang ada.
Koneksi berhasil :
TCPdump google.com :
A. Kesimpulan