Abstrak - Suatu serangan ke dalam Server jaringan perusahaan lain yang tidak bergerak di bidang tersebut.
komputer dapat terjadi kapan saja. Baik pada saat Kecenderung pengguna internet ini di sebabkan oleh dengan
administrator sedang kerja atupun tidak. Dengan demikian adanya internet akan didapatkan dengan kemudahan dalam hal
dibutuhkan sistem pertahanan didalam server itu sendiri yang komunikasi dan transfer data. Kenyataan ini kita bisa lihat
bisa menganalisa langsung apakah setiap paket yang masuk pada bidang perbankan system komunikasi data sangat
tersebut adalah data yang diharapkan ataupun data yang tidak
berguna membantu perusahaan tersebut untuk melayani parah
diharapkan. Kalau paket tersebut merupakan data yang tidak
diharapkan, diusahakan agar komputer bisa mengambil nasabahnya, juga dalam bidang marketing suatu barang hasil
tindakan yaitu dengan medeteksi IP dan memblokir IP target. industri suatu perusahaan. Kemudahan dan kepraktisan
Pemodelan suatu sistem yang digunakan untuk merupakan kunci dari mengapa dipilihnya internet ini.
mengatasi flooding data pada suatu jaringan. Sistem didesain Tetapi di samping keuntungan yang banyak,internet
dengan jalan membuat suatu sistem penditeksi yang aktif yang juga banyak menyimpan banyak kekurangan yang sangat
bisa mendifinisikan setiap data yang masuk kedalam server, mengkhawatirkan bagi para penggunanya. Salah satu yang
apakah data yang datang itu merupakan sebuah data flood atau sangat menjadi kendala adalah dalam bidang keamanan.
data yang diperlukan oleh user. Pemodelan dibuat dengan Banyak kasus yang menbuktikan bahwa perusahaan yang
menggunakan bahasa pemrograman Snort, dan IDS (Istrusion
tersambung dengan internet sering kali mendatatkan gangguan
Detection System) dan dalam lingkungan jaringan komputer
berbasis ip address. baik dalam data yang dimiliki maupun peralatannya. Kerugian
yang di derita akan hal ini biasa dibilang tidak kecil. Kasus
Kata Kunci : BASE (Basic Analisis and Security System), pencurian atau manipulasi data perusahaan saja dapat
Flooding Data, IDS (ISTRUSION DETECTION SYSTEM), mencapai kerugian sampai miliaran Rupiah bahkan sampai
Snort. jutaan dollar US. Belum lagi kerusakan peralatan yang di
gunakan oleh perusahan tersebut, yang bisa dibilang tidak
Abstract - An attack into Server of Computer network murah.
earn happened any time. Whether at the time of administrator is Dalam faktor keamanan ini biasanya perusahaan
working or not. Thereby be required by a defender system in server mendapatkan administrator untuk bekerja. Tetapi fungsi
of itself which the analysis can be direct whether every the administrator tentunya akan terbatas waktunya,pada saat jam
incoming packet is expected data and or the data which is not kerja. Meskipun di jam kerja pun kadang kala karena terlalu
expected. If the packet represent data which is not expected to be, banyaknya aliran data yang diterima oleh server adalah data
afforded in order to the computer can bring an action against that yang di harapakan atau data yang tidak diharapkan.
is by detection and blockit the source of IP address of the origin Sedangkan suatu serangan ke system keaamanan yang bisa
packet. terjadi kapan saja. Baik pada saat administrator sedang
Modelling of an used system to overcome flooding data at bekerja ataupun tengga malam dimana tidak ada yang
one particular network. Design of the system by way of making an menjaga server tersebut. Dengan demikian di butuhkan
active detection which can check every incoming data into server, system pertahanan didalam server itu sendiri yang bisa
whether that incoming data represent a data of flood or data that is menganalisa langusng apakah setiap paket yang masuk
needed by user.Modelling made by using Ianguage of Snort, and tersebut adalah data yang diharapkan atupun data yang tidak
IDS (ISTRUSION DETECTION SYSTEM in environment of diharapakan. Kalau paket tersebut merupakan data yang tidak
computer network base on ip address. diharapkan,diusahakan agar komputer bisa mengambil
tindakan untuk mengantisipasi agar serangan yang terjadi
Keyword : BASE (Basic Analisis and Security System), Flooding tidak menimbulkan kerugian yang besar. Akan lebih baik
Data, IDS (ISTRUSION DETECTION SYSTEM), kalau server bisa mengantisipasi langsung,sehingga kerugian
Snort. bisa mendekati nol atau tidak ada sama sekali.
memerlukan penerjemah/interpreter atau satu bahasa yang kemacetan, atau sisi penerima yang dituju sedang mati),
dimengerti kedua bela fihak. Dalam dunia computer dan protokol IP hanya akan memberikan pemberitahuan pada sisi
telekomunikasi interpreter identik dengan protocol. Untuk itu kirim kalau telah terjadi pemasalahan pengiriman data
maka badan dunia yang menangani masalah standarisasi ISO ketujuan melalui protokol ICMP. Sedangkan Connectionless
(Open System Interconnection). Membuat aturan baku yang berarti tidak melakukan pertukaran kontrol informasi
dikenal dengan nama model referensi OSI (Open System (handshake) untuk membentuk koneksi sebelum mengirimkan
Interconnection). Dengan demikian diharapakan semua data.
vendor perangkat telekomunikasi haruslah berpedoman Datagram delivery service berarti setiap datagram
dengan model referensi ini dalam mengembangkan yang dikirim tidak tergantung pada datagram lainya.
protokolnya. Model referensi OSI (Open System Akibatnya jalur yang ditempuh oleh masing-masing datagram
Interconnection) terdiri dari 7 lapisan, mulai dari lapisan fisik IP ketujuan bisa berbeda satu sama lainya. Dengan demikian
sampai aplikasi. Model referensi tidak hanya berguna untuk kedatangan datagram pun bisa jadi tidak berurutan. Metode ini
produk-produk LAN (Local Area Network) saja tetapi dalam dipakai untuk menjamin sampainya datagram ke tujuannya
membangun jaringan internet sekalipun sangat diperlukan. walaupun salah satu jalur menuju ke tujuan mengalami
Hubungan antara model referensi OSI (Open System masalah.
Interconnection) dengan protokol internet pada tabel I dan Ada juga lapisan Internet yang bertangung jawab untuk
tabel II. mengirimkan data melalui jaringan. Protokol lapisan Internet
yang utama adalah Internet Protokol (IP). IP merupakan
B. Internet Protocol (IP) protokol Internet yang mempunyai fungsi sebagai berikut:
IP (internet protocol) merupakan protokol yang paling Pengalamatan, Frakmentasi datagram pada antar jaringan, dan
penting yang harus berada pada layer Internet TCP/IP. Semua Pengiriman datagram antar jaringan.
protokol TCP/IP yang berasal dari layer mengirmkan data Diantara fungsi tersebut yang paling berkepentingn
melalui protokol IP ini. Seluruh data dilewatkan, dioalah oleh dengan administrator jaringan adalah fungsi pengalamatan. IP
protokol IP dan dikirimkan sebagai datagram IP untuk sampai mempunyai pola pengalamatan yang unik yang membutuhkan
ke sisi penerima. Dalam melakukanpengiriman data, protokol waktu untuk membiasakanya.
IP ini bersifat unrealible connectionless, dan datagram
delivery service. Format Alamat IP
Unrealible berarti protokol IP yang tidak menjamin Pada terminology TCP / IP, suatu jaringan terdiri dari
datagram yang dikirim pasti sampai ke tujuan. Protokol IP sekelompok host yang dapat berkomunikasi secara langsung
hanya melakukan cara terbaik untuk menyampaikan datagram tanpa router. Semua host TCP / IP yang menempati jaringan
yang dikirim ke tujuan. Jika pada perjalanan datagram yang sama harus diberi netid yang sama. Host yang
tersebut terjadi hal-hal tidak dinginkan (putusnya jalur, mempunyai netid harus berkomunikasi melalui router.
Suatu TCP / IP Internetwork adalah sebuah jaringan
TABEL I MODEL OSI (OPEN SYSTEM INTERCONNECTION) dari beberapa jaringan, dan dapat menggabungkan banyak
jaringan yang dihubungkan oleh router. Setiap jaringan pada
internetwork harus diberi netid yang unik.
TABEL II LAPISAN TCP/IP
E-Journal Teknik Elektro dan Komputer (2015), ISSN : 2301-8402 10
III. ANALISA DAN PERANCANGAN SISTEM tidak berfungsi akan mengakibatkan tidak berfungsinya suatu
Analisis sistem didefinisikan sebagai pengurayan dari sistem yang ssudah didesain sebelumnya.
suatu sistem informasi yang utuh ke dalam bagian-bagian Kelemahan Software. Salah satu kelemahan software aplikasi
komponennya, dengan maksud untuk mengidentifikasi dan yang digunakan tidak berlaku di flatfom linux.
mengevaluasi permaslahan, kesempatan, hambatan yang Kelemahan Sistem Jaringan . Ada banyak definisi sistem
terjadi dan kebetuhan yang diharapkan sehingga dapat jaringan begituh lemah terhadap ancaman dari
diusahakan. luar,diantaranya karena jaringan tidak di lengkapi dengan
Pada bab ini dibahas tentang bagaimana proses yang akses kontrol yang kuat dan pertahan seperti menggunakan
digunakan untuk merancang dan mensimulasikan sistem Firewall dan sebagainya.
pengamanan server yang akan dibuat. Pembahasan yang akan Berikutnya yakni Memahami kinerja sistem yang ada.
dilakukan meliputi spesifikasi dan mekasisme kerja program Mempelajari secara terperinci bagaimana sistem yang ada
yang diinginkan. Setelah itu berlanjut ke pembahasan beroperasi, menganalisa permasalahan, kelemahan dan
mengenai alat bantu yang akan digunakan. Setelah masing- kebutuhan pemakai sistem untuk dapat memberikan
masing alat bantu itu dijabarkan, pembahasan menyentuh hal- rekomendasi dan pemecahannya.
hal lebih spesifik dari sistem, yaitu bagaimana data diambil Baru kemudian menganalisa sistem. Dalam tahapan ini
dan bagaimana pengolahan data-data tersebut. Kemudian akan yang dilakukan adalah mentrasformasikan dua masukan
dijabarkan secara lebih jelas mengenai desain sistem secara utama diatas kedalam spesifikasi sistem yang diataur. Ada tiga
keseluruhan. Proses implementasi dijelaskan melalui kelompok utama penyebab terjadinya flooding data pada
algoritma dari program-program yang akan dibuat. jaringan yang menyebabkan sistem terjadi hang bahkan bisa
Langkah-langkah yang dilalui dalam analisis sistem menjadi rusak. Diantaranya adalah: File yang dikirim secara
perancangan pencegahan flooding data yaitu dengan broadcast mengandung Virus, Sistem keamanan jaringan
melakukan. lemah, dan Fasilitas jaringan unavailable.
Untuk mengidentifikasi terjadinya flooding digunakan
suatu konsep 4W+1H yaitu : What, Why, Where, When dan A. Spesifikasi Sistem
How. Dimana konsep ini digunakan untuk mengumpulkan Sebelum melakukan proses pembuatan sistem, terlebih
suatu informasi agar dapat memperoleh data yang utuh kenapa dahulu ditentukan spesifikasi sistem. Spesifikasi sistem akan
terjadi flooding data pada suatu jaringan. Berikut merupakan menjadi titik tolak sekaligus menjadi acuan untuk pembuatan
penjelasan dari konsep 4W+1H: sistem dan juga menentukan kapabilitas dan kemampuan apa
What : Apa yang dimaksud dengan Flooding Data Pengiriman saja yang harus bisa dipenuhi sistem yang dimaksud.
data yang berlebihan baik dari besar paket maupun jumlah Sistem yang dibangun memiliki spesifikasi sebagi
paket ke dalam suatu jaringan dan umumnya merupakan data berikut: Sistem beroperasi pada platform Linux Ubuntu 12.04,
yang tidak berguna. Sistem yang digunakan harus bisa mengambil data-data dari
Why: Kenapa terjadi Flooding Data. Karena keterbatasan jaringan, Semua data yang dikumpulkan disimpan dalam
ketahan sistem dalam menangani traffic data yang besar database, Resource yang digunakan harus seminimal
Where : Dimana terjadinya flooding data Pada sebuah sistem mungkin, serta Sistem harus bersifat multiuser dan
jaringan yang tidak dapat terkontrol ketika paket data masuk multitasking. Dikembangkan dengan alat Bantu yang mudah
secara kontinu dan besar. dan/atau gratis.
When: Kapan terjadinya flooding data Ketika sistem tidak
bisa menditeksi paket data flooding dan bisa melakukan B. Sistem Operasi Dan Alat Bantu Yang Digunakan
pengeblokan paket data yang dianggap flooding pada sebuah Setelah spesifikasi dari sistem dan mekanisme kerja
sistem jaringan. sistem telah dapat dijabarkan maka proses selanjutnya adalah
How: Bagaimana pencegahan agar dapat tidak terjadinya memilih sistem operasi dan tool yang akan digunakan untuk
flooding data. Yaitu merancang dan membangun suatu sistem membangun sistem tersebut. Alat Bantu tersebut merupakan
yang mampu menditeksi terjadinya flooding data. paket aplikasi dan bahasa pemograman yang memiliki
Langkah berikutnya agar dapat didefinisikan kemampuan sesuai dengan kebutuhan untuk membangun
permasalahan yang ada sehingga masalah tersebut bisa sistem ini.
dipecahkan, masalah yang terjadi kenapa terjadinya flooding Beberapa hal yang menjadi dasar pemikiran untuk
pada jaringan adalah karena : memilih tool adalah: Alat bantu harus murah atau sedapatnya
Human Error. Sesuatu yang telah dilakukan, yang tidak gratis, agar sesuai dengan tujuan semula yaitu membuat
diharpakan oleh pelaku, tidak diinginkan oleh sesuatu aturan sistem yang semurah mungkin, Alat Bantu yang digunakan
yang ditetapkan atau oleh pengamat luar atau yang membuat sedapat mungkin adalah alat Bantu yang biasa digunakan
sistem tidak berjalan atau melampui batasnya. (Sunder and dalam platform Linux Ubuntu dan akan lebih baik lagi bila
Moray 1991). merupakan tool default pada platform itu, dan Alat Bantu
Kelemahan Hardware. Hardware tidak dapat bekerja harus memiliki dokumentasi yang lengkap dan juga harus
berdasarkan perintah yang telah ditentukan atau disebut bersifat open source.
untruction set atau perintah yang dimengerti oleh hardware Berikut ini akan membahas mengenai sistem operasi
tersebut untuk melakukan berbagai kegiatan yang ditentukan dan alat Bantu yang akan digunakan. Pembahasan meliputi
oleh si pemberi perintah, karena apabila sistem hardware deskripsi umum, kegunaan dan keunggulan sistem tersebut.
E-Journal Teknik Elektro dan Komputer (2015), ISSN : 2301-8402 13
Gambar 1. Topologi IDS ( Intrusin Detectoin System) Gambar 2. Diagram Alir Sistem
E-Journal Teknik Elektro dan Komputer (2015), ISSN : 2301-8402 15
Input dari program adalah data jaringan yang masuk Pengolahan Data Internet Control Message Protocol (ICMP)
kemudian akan di proses apakah data yang ada tersebut Pengolahan data-data paket yang menggunakan
melakukan flooding atau tidak. Jika data yang datang adalah ICMP, untuk mengantisipasi flood data yang disebabkan oleh
flooding maka komputer akan mencari apakah data paket yang menggunakan protokol ICMP. Dari bab
merupakan permintaan user atau tidak. Jika terbukti tidak sebelumnya diketahui bahwa kebanyakan flood yang
maka secara otomatis akan memblok ip dan port darimana disebabkan oleh paket yang menggunakan protokol ICMP
data itu berasal dan kalau ya berarti data akan ditujukan adalah PING Flood. Pada kondisi normalnya penggunaan
kepada tujuanya. protokol ICMP untuk suatu kegiatan PING adalah paket
dalam ukuran yang kecil, Tentunya Tetapi dalam kondisi lain
J. Desain Pengambilan Data hal ini sangatlah mengganggu, misalnya pada jam-jam sibuk.
Pengambilan data yang kita gunakan adalah Akan mengakibatkan lambatnya alur keluar masuknya data.
pengambilan data pada Basic Analysis And Security Engine Dengan asumsi tersebut tentunya pengiriman paket ICMP
(BASE). BASE menbaca log yang ditulis pada snort pada dengan skala besar akan sangat lah mengganggu. Untuk itu
database secara otomatis.BASE akan menampilkan sebagai diberi batasan bahwa paket ICMP yang masuk adalah kurang
alaram dan list log dengan antar muka yang mudah dipahami dari 100 byte. Sedangkan paket ICMP besar tidak
dan dapat dilihat oleh administrator. diperbolehkan masuk, atau bisa dianggap sebagai flood ICMP.
Pada gambar 3, data yang akan masuk ataupun yang Begitu pula perlu juga dibatasi bahwa paket ICMP dari luar
akan keluar dibelokan terlebih dahulu untuk diambil datanya hanya diperbolehkan 5 buah paket dalam setiap detiknya.
sebelum dilanjutkan ke tujuan sebenarnya. Dalam pembelokan
ini tidak berarti bahwa data paket ditahan dahulu untuk diteliti Pengolahan Data User Datagram Protocol (UDP)
melainkan data hanya dating maupun keluar di capture Seperti halnya protokol ICMP pengiriman paket
headernya. melalui UDP juga merupakan jenis pengiriman paket berupa
datagram. Yang pada skala normalnya juga merupakan paket
Pengolahan Data Transmission Control Protocol (TCP) data yang berukuran kecil. Penggunaan protokol ini pun juga
Flood yang disebabkan oleh TCP mungkin lebih termasuk jarang digunakan untuk hubungan antar host,
jelas karena jenis flood yang digunakan adalah SYN TCP mengingat sifatnya yang tidak baik keamanannya. Sehingga
flood. Yaitu pengiriman paket TCP SYN untuk request koneksi apabila ada hubungan UDP dengan kontinuitas yang tinggi
hubungan host-to-host menggunakan protokol TCP SYN atau besar paket UDP nya besar bisa dianggap sebagai suatu
sebagai perantaranya. Meskipun demikian flood yang flooding.
diakibatkan oleh TCP SYN adalah fatal bagi koneksi.
Mengingat paket TCP SYN adalah paket yang besar K. Proses Penginstalan
membutuhkan bandwithnya. Dengan demikian untuk Proses Penginstalan Snort-Mysql
mendefinisikan suatu paket TCP apakah suatu paket yang Buka terminal untuk penginstalan snort-mysql dan
dianggap flood adalah dengan melihat berapa kali munculnya kemudian ketik perintah yang berikut. ~$ sudo apt-get install
paket TCP SYN dalam jumlah waktu 10 detik. Apabila snort-mysql. seperti terlihat pada gambar 4. untuk
ternyata melebihi batasan maka bisa di kategorikan dalam melanjutkanya tekan Y.
flood TCP SYN.
Paket TCP SYN biasanya sudah di atur bekerja di #apt-get install snort_mysql
port tertentu, Apabila kemudian diketahui bahwa ada paket
TCP SYN yang menggunakan port-port yang tidak di
definisikan, atau tidak melalui port yang diperbolehkan maka
bisa dianggap sebagai intruder. Paket intruder ini pun juga
harus di cegah keberadaaanya karena biasanya paket-paket
tersebut membawa file-file berbahaya bagi server, misalnya
virus.
Setelah itu untuk melanjutkanya kita harus gambar 14 dijalankan dengan paket capture mode, bisa dibaca
mengkonfigurasi snort-mysql. Lalu tekan OK. Lihat pada sebagai berikut. :
gambar 5. Kemudian kita harus mengatur range IP untuk 11/01-20:02:17.971604 : Tangal dan waktu paket di capture.
network local.stelah itu OK untuk melanjutkan. Setelah itu 8.8.8.8 : Source Address.
pada alamat range network local kita kosongkan, kemudian 192.162.1.1 : Destination Address.
OK untuk melanjutkanya. Setelah itu lanjutkan kembali ICMP : Paket yang dikirim menggunakan Message Protocol.
config snort-mysql, lalu pilih OK untuk mengkonfirmasi TTL : 47 : Nilai time to live atau TTL pada IP header adalah
selanjutnya. Selanjutnya kita pilih NO pada data penyimpan 47.
aktifitas jaringan karena pada paket konfig database yang TOS : 0x0 : jenis servis dan nilai TOS
sebelunya kita telah kosongkan. ID : 0 : ID paket
Selanjutnya (gambar 6) merupakan petunjuk instalsi IPLEN : 20 : Panjang IP header.
database pada snort. Setelah proses konfirmasi selesai maka DGMLEN : 84 : IP payload dihitung dalam jumlah byte
penginstalan snort telah selesai dan kita cek apakah proses Seq : 113 : ICMP sequence number.
instalsi telah berhasil. Masukan perintah # sudo snort –V. ..TT3.. : Satu ICMP flags yang aktif.
(gambar 7). Setelah selesai diinstal sekarang kita cek apakah Setelah snort dinon-aktifkan maka akan telihat statistik
telah running atau masih ada yang error. Terlihat pada dari capture paket (gambar 15). Pada data tersebut paket
gambar 8 bahwa Itelah running dan siap dijalankan pada . TCP,UDP, ICMP yang di capture oleh IDS dengan jumlah
Untuk proses pengecekan kita buka terminal dan masuk paket TCP : 77, UDP : 69 dan ICMP : 152.
admin user. # sudo /etc/init.d/snort restar.
Setelah paket snort telah terinstal, maka kemudian Peroses penginstalan Base (Basic Analisis and Security
proses selanjutnya adalah pembuatan database snort (gambar Engine)
9). dan Perintahnya adalah Ini merupakan proses terakhir dalam penginstalan
# sudo mysql –u root –p dalam menjalankan snort IDS. Untuk penginstalan Base kita
Enter password: “password_db” ambil versi yang terakhir Base 1.4.5.
Kemudian selanjutnya mengeksekusi tabel pada file Paket-paket yang diperlukan adalah sebagai berikut :
create_mysql kedalam database snort, (gambar 10). PHP. Bahasa scrip yang digunakan adalah PHP 5.04 versi
Selanjutnya untuk melihat apakah tabel suskes di buat scrip. Konfigurasi PHP untuk keperluan IDS atau (Intrusion
(gambar 11). kemudian kita masukan perintah berikut: Detection System).
# mysql –u root –p “password_db” Jpgraph. Jpgraph merupakan suatu objek orientasi untuk
# mysq> show database; membuat library graph untuk alaram IDS.
# mysql> use snort; Apache 2.0. Apache merupakan web server yang digunakan
#mysql> show tables;. sebagai perantara web interface supaya bisa menggunakan
Selanjutnya mengatur file konfiguarsi snort.conf yang Basic Analysis Security Engine (BASE).
ada didalam direktori /etc/snort (gambar 12). Mysql. Fungsi dari Mysql digunakan untuk mengkoneksikan
Snort mempunyai aneka macam format untuk output script PHP dengan database Mysq ke database Basic Analysis
file log, tapi tidak semua file log bisa ditampilkan sekaligus. Security Engine (BASE).
Hal ini tergantung konfigurasi dan komponen yang Adodb. Adodb merupakan database abstration library yang
digunakan. Pada umumnya snort mempunyai dua output merupakan tambahan liblary untuk PHP yang berfungsi untuk
format : menghubungkan database dengan (Intrusion Detction System.)
ASCII (American Standard Code for Information Interchange) IDS
logging : pada dasarnya snort menyimpan data traffic jaringan Oinkmaster. Oinkmaster seperti antivirus yang memerlukan
komputer dalam bentuk file ASCII. Ini merupakan default apdate, rule snort juga perlu diupdate. Update dilakukan
dari setting snort. untuk memperoleh rule terbaru sehingga nantinya dapat
Logging ke database : Log ke database membutuhkan memperoleh sebuah rule yang baru dan mampu mengetahui
komponen tambahan yang akan dibahas pada bab jenis-jenis serangan baru.
implementasi dan hasil.
Ada tiga kombinasi yang dimiliki snort mempunyai Proses Pada Testing BASE (Basic Analisis and Security
output yang berbeda satu sama lain. Pada kasus snifer mode, Engine)
snort jilankan pada command prompt/terminal dengan Testing terhadap Base merupakan testing terakhir
menggunakan perintah sebagai berikut : untuk mengoperasikan Intrusion Detection System (BASE).
#snort –v untuk melihat header TCP/IP paket yang lewat. pada jaringan komputer. Langka-langka yang dilakukan
#snort –d untuk melihat isi paket. adalah sebagai berikut :
#snort –e untuk melihat header link layar paket seperti eternet Testing yang dilakukan mengunakan browser
header. http://localhost/base/base-1.4.5/setup/php.
Setelah semua sudah terinstal, selanjutnya kita lakukan Step pertama pengaturan path ke adodb (gambar 16). Step ke
pengecekan pada snort apakah snort sudah bisa running. dua (gambar 17) pengaturan database pada Base, kemudian
Dengan perintah # sudo snort –dev (gambar 13). Aksi snort klik continue utuk ke step berikut. Step ke tiga (gambar 18)
saat merekam paket lalu lintas jaringan (Signature) pada merupakan pengaturan admin pada database Base, kemudian
E-Journal Teknik Elektro dan Komputer (2015), ISSN : 2301-8402 19
Gambar 27. Alarm pada Home Page Gambar 29. Alarm protokol UDP
Gambar 28. Alarm protokol TCP Gambar 30. Alarm protokol ICMP
192.168.1.10 –l 10000 –n 10000 –t. Serangan ini melibatkan Selanjutnya untuk pengujian telah disisipkan lokal rule pada
satu komputer / koneksi internet untuk (membanjiri) sebuah Snort yang digunakan untuk menditeksi adanya suatu
server dengan paket ICMP/TCP/UDP,tujuan dari serangan ini serangan ping of death Atttack. Dan bisa dilihat dalam bentuk
adalah untuk membuat bandwith server menjadi overload, GUI pada database BASE (gambar 27).
sehingga server tidak bisa lagi menangani trafik yang masuk Rule snort sebagaimana sebagaimana, akan
dan server akhirnya down (gambar 25). membandingkan setiap paket data dari jaringan luar yang
Pada proses pengujian ini, client yang bertindak mengalir masuk ke server dengan protokol ICMP. Parameter
sebagai penyerang mengirimkan paket SYN ke dalam port- perbandingan yang digunakan mengacu pada ukuran file,
port yang sedang berada dalam server target. Pada kondisi yang ditandai adanya opsi dsize pada baris rule. Apabila
normal, paket SYN yang dikirmkan berisi alamat sumber yang ukuran ICMP berukuran lebih besar dari 1500 byte, maka
menunyukan data-data aktual. Tetapi pada serangan SYN snort IDS akan menganggap paket ICMP tersebut sebuah
attack, paket-paket tersebut memiliki alamat sumber yang serangan dan memberikan peringatan melalui web BASE.
tidak menunjukan data aktual. Ketika server menerima paket Pesan peringatan yang ditampilkan pada halaman web BASE
SYN tersebut, server merespon dengan sebuah paket SYN/ACK adalah ”Ping Of Death Simulation”
sesuai dengan SYN paket yang dia terima dan kemudian akan Untuk melihat adanya alaram yang terbaru bisa dipilih
menunggu paket ACK sebagai balsan untuk melengkapi most recent alaram. BASE akan menampilkan yang terbaru,
proses tersebut. Karena alamat sumber dalam paket SYN yang dibagi menjadi beberapa kategori menampilkan semua
dikirmkan oleh penyerang tidaklah valid, maka paket ACK protokol, menampilkan hanya protokol TCP,UCP,ICP. Hasil
tidak akan pernah terkirim ke target, dan port yang menjadi dari pencarian alarm menurut port (gambar 28, gambar 29 dan
target serangan akan menunggu hingga waktu pembuatan gambar 30). pada gambar 28 bahwa adanya alaram terbaru
koneksi telah habis atau time-out. Selanjutnya untuk melalu protokol TCP, pada tanggal 5 november 2014, jam
pengujian telah disiapkan lokal rule pada snort yang 17.43. adalah paket flooding.
digunakan untuk menditeksi adanya suatu penyeranagan SYN. Kemudian juga terjadi alarm terbaru melalui protokol UDP,
Attack. Rule snort akan membandingkan setiap paket pada tanggal yang sama juga tanggal 5 november 2014, jam
data dari jaringan luar yang mengalir masuk ke server dengan 17:32 (gambar 29).Selanjutnya terjadi alarm terbaru melalui
protokol TCP. Maka ketika ada paket data yang sesuai dengan protokol ICMP, pada tangal yang sama juga tanggal 5
rule snort tersebut akan mengangapnya sebagai sebuah november 2014, jam 18:24 (gambar 30).
serangan dan memberikan peringatan memalui web BASE. Dari hasil pencarian alarm dapat dibaca sebagai berikut
Pesan peringatan yang ditampilkan halaman web BASE adalah : ID # (3-5) adalah nomor identifikasi yang unik untuk alarm
”Syn Flooding Simalotion”. yang dideteksi oleh snort. Semua informasi tentang alarm
D. Pengujian Ping Of Death disimpan pada ID di database. Pada dasarnya untuk melihat
Pengujian simulasi Ping of Death dilakukan dengan informasi lebih mendetail untuk alaram terdapat pada ID,
melakukan ping yang ada menyertakan paket data sebesar (gambar 33).
10000 byte terhadap komputer server dari komputer client Timestamp: waktu dan jam terjadi suatu serangan di
atau si penyerang. Sebuah ping berukuran 64 byte, perintah sini pada tanggal 5 november 2014. Sourcre address :
yang diberikan pada terminal adalah ping 192.168.1.10 –l 192.162.1.15 tapi DNS dari IP tersebut tidak bisa dideteksi
10000 –n 10000 -t (gambar 26).
E-Journal Teknik Elektro dan Komputer (2015), ISSN : 2301-8402 21
Gambar 32. Informasi IP Address Target Gambar 33. Informasi Untuk Alarm
Gambar 34. Running Sno Gambar 35. Hasil Sniffing Paket Pada Jaringan
sebagaimana tampilan FQDN: (Unable To Resolve Address). DGMLEN : 1500 mf : IP payload dihitung dalam jumlah byte
(gambar 31). ..ijklmno.. : Satu ICMP flags yang aktif.
Destination address: Tujuan dari IP 192.162.1.15 Setelah snort dinon-aktifkan maka akan telihat statistik dari
melakukan Simple Network Management Protocol (SNMP) capture paket. Pada data tersebut paket TCP,UDP,ICMP yang
broadcast trap terhadap broadcast IP korban 192.162.1.10 di capture oleh IDS denganjumlah paket TCP : 564, UDP :
(gambar 32). 472 dan ICMP : 7. ARP : 556.
E. Output Paket Intrusion Ditection Mode
Contoh hasil snifing paket dijaringan mengunakan F. Pendeteksi Flooding
perinta # snort –dev pemilihan dari interface yang digunakan Pendeteksi ini dapat dilakukan dengan cara
(gambar 34). menjalankan Snort IDS, sehingga serangan dapat terdeteksi,
Pada gambar 35 snort dijalankan dengan paket capture maka disaat bitu pula serangan yang masuk dapat dicegah.
mode, contoh diatas bisa dibaca sebagai berikut. : Kemudian dari BASE bisa mengabil data dan memberitahukan
11/05-18:42:02.719946 : Tanggal dan waktu paket di capture. alamat IP si penyerang.
192.162.1.15 : Source Address.
192.162.1.10 : Destination Address. G. Kemampuan Sistem Dalam Mengambil Data
ICMP : Paket yang dikirim menggunakan Message Protocol. Sistem mempunyai kemampuan melihat semua paket
TTL : 128 : Nilai time to live atau TTL pada IP header adalah yang datang dalam bentuk apapun. Meskipun demikian sistem
47. hanya mengambil paket-paket dari tiga protokol utama yang
TOS : 0x0 : jenis servis dan nilai TOS biasa digunakan untuk mentransfer data. Protokol itu adalah
ID : 26125 : ID paket TCP/SYN ATTACK, UPD dan ICMP/PING OF DEATH
IPLEN : 20 : Panjang IP header. ATTACK. Hal ini disebabkan karena flood yang biasa terjadi
E-Journal Teknik Elektro dan Komputer (2015), ISSN : 2301-8402 22
I. Hasil Pengujian
Snort berhasil mendeteksi intruksi flooding dan
mecatatnya dalam ke dalam alarm dan log ke dalam database.
BASE merima alarm tersebut dan menyajikanya ke dalam
bentuk GUI. Kemudian firewall berhasil melakukan dropping
paket dan memblocking IP penyerang.