Abstrak
ARP(Address Resolution Protocol) adalah protokol yang digunakan untuk menerjemah alamat IP
menjadi alamat MAC pada Local Area Network. Sebuah host akan mengirimkan ARP request secara
broadcast untuk mendapatkan alamat MAC host tujuan. Ketika host menerima alamat ARP request yang
ditujukan kepadanya, host penerima akan mengirimkan paket ARP reply secara unicast kepada host
pengirim. Protokol ARP merupakan protokol yang bersifat stateless yang menyebabkan protokol ARP
memiliki celah keamanan. Celah keamanan tersebut dapat menyebabkan serangan ARP Spoofing.
Serangan ARP Spoofing adalah serangan yang mengirimkan paket ARP palsu atau paket ARP yang
sudah di modifikasi untuk meracuni ARP cache table korban. Serangan ARP Spoofing merupakan
serangan yang berbahaya karena dapat mendukung terjadinya serangan jaringan komputer lainnya
seperti Denial of Service, Man in the middle attack, host impersonating dan lain-lain. Pada penelitian
ini dilakukan deteksi serangan ARP Spoofing dengan menganalisis lalu lintas paket ARP. Paket ARP
akan diperiksa oleh sebuah detektor host dan melakukan pemeriksaan informasi header paket, jumlah
paket, alamat source dan destination paket, duplikasi alamat MAC, serta pada ARP reply akan dilakukan
pemeriksaan apakah sebelumnya terdapat ARP request yang menanyakan ARP reply tersebut. Hasil
analisis dari paket ARP spoofing yang di deteksi akan disimpan di dalam log file. Hasil akurasi dari
penelitian ini adalah 89.64% dan waktu rata-rata deteksi paket adalah 0.4 detik.
Kata kunci: LAN, ARP, ARP Spoofing, ARP Cache table
Abstract
ARP(Address Resolution Protocol) is a protocol to translate an IP address into MAC address. ARP is
used when a host wants to communicate with another hosts whose MAC address is unknown, it
broadcast an ARP request packet for the hardware address associated with the IP address of a
destination. The host with corresponding protocol address sends a unicast reply to the sender. Protocol
ARP is a stateless protocol which caused ARP protocol has a vulnerability. ARP vulnerability support
a network attack called ARP Spoofing attack or ARP cache poisoned attack. ARP Spoofing attack
perform cache poisoning by sending spoofed ARP packet. ARP spoofing is capable of executing the
other attack such as DOS attack, Man in the middle attack, host impersonating, etc. This research was
conducted to detect ARP Spoofing attack using based on ARP packet traffic. ARP packet traffic will be
checked by detector host. Detector host checks the header of packet, amount of packet, MAC duplication
and ARP request of ARP reply packet. The information of ARP spoofing packet will be written on log
file. The classification rate was 89.64% and the average time to detect the attack is 0.4 second.
Keywords: LAN,ARP,ARP Spoofing, ARP Cache Table
Pada local area network terdapat protokol melakukan inspeksi antara header Ethernet dan
yang bernama ARP(Address Resolution ARP, mendeteksi pengiriman paket ARP yang
Protocol). Protokol ARP berfungsi untuk berlebihan, dan dapat mendeteksi pasangan
menerjemahkan alamat IP menjadi alamat MAC alamat IP dan MAC yang tidak benar (Trabelsi
(Agrawal, et al., t.thn.). Paket ARP request & Wassim, 2010)
dikirimkan secara broadcast yang berisi alamat Oleh karena itu pada penelitian ini penulis
IP host tujuan. Host tujuan akan mengirimkan mengusulkan metode analisis lalu lintas secara
paket ARP reply secara unicast ke host pengirim aktif pada paket ARP untuk mendeteksi
ketika host tujuan menerima paket ARP request serangan ARP Spoofing. Dimana pada metode
tersebut. Host pengirim akan menyimpan alamat ini akan menggunakan satu host yang disebut
IP dan MAC host tujuan ke dalam ARP Cache detektor host. Detektor host akan melakukan
table. ARP Cache Table memiliki batas waktu sniffing dan menginspeksi paket-paket ARP
penyimpanan. Batas waktu tersebut berbeda pada lalu lintas jaringan tersebut. Detektor host
pada setiap sistem operasi. akan melakukan inspeksi header ethernet dan
Protokol ARP bersifat stateless dimana ARP paket tersebut, melakukan perhitungan
setiap ARP reply yang masuk tidak diperiksa jumlah paket ARP untuk mendeteksi paket ARP
kebenarannya dan alamat IP-MAC dari paket yang berlebihan, mendeteksi pasangan alamat IP
ARP reply tersebut langsung disimpan ke dalam dan MAC yang benar dengan melakukan
ARP Cache table. ARP tidak menyediakan fitur pemeriksaan alamat MAC source sedang
untuk mengecek apakah ARP Reply yang digunakan oleh lebih daripada 1 alamat IP.
diterima, dikirimkan paket ARP request Begitu juga detektor host akan menggunakan
sebelumnya (Shukla & Yadav, 2015). Sehingga metode statefull ARP dimana setiap paket ARP
protokol ARP yang bersifat stateless dan tidak reply yang masuk akan diperiksa apakah di
ada otentikasi menyebabkan ARP rentan request sebelumnya atau tidak.
terhadap beberapa serangan jaringan komputer
(Nenovski & Mitrevski, 2015). 2. KAJIAN PUSTAKA
Protokol ARP rentan terhadap serangan Pada penelitian yang dilakukan oleh
yang disebut sebagai ARP Spoofing atau ARP (Trabelsi & Wassim, 2010) berjudul “On
Poisoning yang disebabkan oleh celah keamanan Investigation ARP Spoofing Security Solution”
pada protokol ARP. Oleh karena itu proses melakukan evaluasi terhadap solusi untuk
deteksi sebuah serangan merupakan hal penting mendeteksi dan mencegah serangan ARP
untuk melindungi sebuah host sebelum Spoofing yang telah ada. Penelitian ini
melakukan proses pencegahan serangan melakukan spesifikasi tentang paket ARP
(Rahman & Kamal, 2014). (Jinhua & Kejian, normal dan ARP abnormal. Contoh paket ARP
2013) mengusulkan deteksi serangan ARP request abnormal apabila alamat IP destination
Spoofing secara aktif menggunakan ICMP echo broadcast atau alamat MAC destination unicast.
request dan ICMP echo reply paket. Namun Paket ARP reply abnormal adalah paket yang
metode ini mengonsumsi Resource yang besar alamat IP dan MAC destination broadcast. Pada
pada jaringan (Meghana, et al., 2017). Cisco penelitian ini menyebutkan bahwa sistem
switch juga menggunakan metode Dynamic ARP pendeteksi ARP Spoofing yang baik adalah
Inspection untuk melakukan pengamanan pada pendeteksi yang dapat memeriksa paket ARP
switch, namun biaya yang dibutuhkan sangat reply, menghitung paket-paket ARP yang
besar untuk mengimplementasikan metode ini diterima sebuah host, serta dapat memeriksa
(Srinath, et al., 2015). Begitu juga sistem paket ARP abnormal seperti yang disebutkan di
pendeteksi ARP Spoofing yang baik adalah atas.
sistem yang tidak mengubah protokol ARP, Penelitian mengenai ARP Spoofing juga
tidak membutuhkan instalasi tambahan pada dilakukan oleh (Rupal, et al., 2016) tentang
setiap host yang terhubung ke jaringan, dampak yang disebabkan oleh serangan ARP
menggunakan network resources yang kecil, Spoofing, solusi yang sudah ada untuk mencegah
serta mampu mendeteksi semua tipe-tipe serangan ARP Spoofing dan kriteria yang
serangan ARP dan tidak memperlambat proses dibutuhkan untuk mencegah serangan ARP
pengiriman paket ARP (Meghana, et al., 2017). Spoofing. Penelitian ini menyebutkan bahwa
Untuk mendeteksi serangan ARP Spoofing, untuk membuat suatu pendeteksi serangan ARP
Trabelsi & Wassim melakukan penelitian bahwa Spoofing, dibutuhkan beberapa kriteria sebagai
sistem pendeksi serangan ARP spoofing harus
spoofing
- Paket ARP reply palsu dikirimkan tergantung dari jumlah paket dan jumlah
sebanyak 50 paket per detik serangan yang harus di analisis oleh detektor
Adapun hasil dari skenario A_03 yang host pada waktu yang sama. Hasil dari analisis
ditampilkan pada log file terdapat pada gambar detektor host akan dimasukkan ke dalam log file.
8 Log file hanya berisi informasi dari serangan-
serangan ARP Spoofing.
7. DAFTAR PUSTAKA
Gambar 8 Hasil Keluaran Pengujian A_03
AbdelSalam, A. M., El-Sisi, A. B. & K, V. R.,
4. Skenario A_04 2015. Mitigating ARP Spoofing Attacks in
Adapun skenario yang digunakan untuk Software-Defined Network. Egypt,
menjalankan pengujian A_04 adalah : ICCTA 2015.
- Serangan ARP spoofing dijalankan Agrawal, N., Pradeepkumar, B. & Tapaswi, S.,
dengan mengirimkan paket ARP request t.thn. Preventing ARP Spoofing in WLAN
palsu yang berisi MAC yang tidak valid using SHA-512. s.l., IEEE International
- Paket ARP reply palsu dikirimkan Coference on Computational Intelligence
sebanyak 100 paket perdetik and Computing Research.
Hasil yang ditampilkan pada log file setelah Behboodian, N. & Razak, S. A., 2011.
skenario tersebut dijalankan terdapat pada ARP Poisoning Attack Detection and
gambar 9 Protection in WLAN via Client Web
Browser. International Conferene on
Emerging Trends in Computer and Image
Processing, p. 20.
Gambar 9 Hasil Keluaran Skenario A_04 Jinhua, G. & Kejian, X., 2013. ARP
Spoofing Detection Algorithm Using
5. Skenario A_05 ICMP Protocol. Coimbate, INDIA,
Adapun skenario yang dilakukan untuk International Conference on Computer
pengujian A_04 adalah: Communication and Informatics.
- Dilakukan serangan ARP Spoofing Jinhua, G. & Kejian, X., 2013. ARP Spoofing
menggunakan ARP reply palsu Detection Algorithm Using ICMP
- Detektor host dijalankan namun serangan Protocol. Coimbatore, International
ARP Spoofing sudah dijalankan sebelum Conference on Computer and Informatic .
detektor host dijalankan.
Hasil yang ditampilkan pada log file setelah Meghana, J. S., Subashri, D. & Vimal, K., 2017.
skenario tersebut dijalankan terdapat pada A Survey on ARP Cache Poisoning and
gambar 10 techniques for detection and mitigation.
Chennai,INDIA, International
Conference on Signal Processing,
Communications and Networking.
Gambar 10 Hasil Keluaran Skenario A_05
Nenovski, B. & Mitrevski, P., 2015. Real-World
6. KESIMPULAN ARP Attack and PAcket Sniffing,
Detection and Prevention on Windows
Berdasarkan hasil perancangan,
and Android Devices. s.l., The 12th
implementasi dan pengujian deteksi ARP
International Conference for Informatics
Spoofing yang dilakukan dengan menganalisis
and Information Technology.
paket ARP yang masuk dapat dilakukan. Untuk
melakukan deteksi serangan ARP Spoofing Rahman, F. M. A. & Kamal, P., 2014. A Holistic
menggunakan 1 detektor host yang melakukan Approach to ARP Poisoning and
analisis lalu lintas paket ARP pada jaringan lokal Countermasures by Using Practical
tersebut. Adapun waktu yang dibutuhkan untuk Examples and Paradigm. International
mendeteksi serangan ARP Spoofing adalah 0.4 Journal of Advancements in Technology.
detik. Hasil tersebut didapatkan pada saat Rupal, R., Satasiya, D. & Kumar, H., 2016. A
pengujian skenario. Akurasi dari metode ini comprehensive survey of ARP Poisioning
dalah 89.46%. Namun nilai akurasi relatif, Remedies. Pune, National Conference on