Computer Security

Workshop

Module 1 –
Footprinting / Packet Sniffing
 Footprinting
Definisi: pengumpulan informasi tentang potensi
sistem atau jaringana.k.a. fingerprinting
Dari sudut pandang penyerang
 Mengidentifikasi sistem yang dipergunakan target
 Identifikasi jenis serangan yang mungkin bermanfaat
pada sistem target
Dari sudut pengaman
 Mengetahui tools yang di gunakan
 Mungkin dapat mengetahui apakah sistem sedang
footprinted, akan lebih siap untuk kemungkinan
serangan
 Analisis Kerentanan: tahu apa informasi yang Anda
memberikan diri, apa kelemahan Anda
 Information to Gather
System (Local or Remote)
 IP Address, Name and Domain
 System Operasi
Type (Windows, Linux, Solaris, Mac)
Version (98/NT/2000/2003/XP/Vista/7, Redhat, Fedora,
SuSe, Ubuntu, OS X)
 Usernames (dan passwordnya)
 Struktur filenya
 Open Ports (layanan apa / program yang berjalan
pada sistem)
 Information to Gather (2)
Networks / Enterprises
 System informasi untuk semua hosts
 Network topology
Gateways
Firewalls
Overall topology
 Informasi lalu lintas jaringan
 Specialized servers
Web, Database, FTP, Email, etc.
 Defender Perspective
Mengidentifikasi informasi yang Anda
memberikan
Mengidentifikasi kelemahan dalam
sistem / jaringan
Tahu kapan sistem / jaringan sedang
diselidiki
Identifikasi sumber probe
Mengembangkan kesadaran tentang
ancaman
Bangun audit trail kegiatan
 Tools - Linux
Beberapa utilitas dasar Linux - utilitas tingkat
yang lebih rendah
 Local System
hostname
ifconfig
who, last
 Remote Systems
ping
traceroute
nslookup, dig
whois
arp, netstat (also local system)
 Other tools
lsof
 Tools – Linux (2)
Other utilities
 wireshark (packet sniffing)
 nmap (port scanning) - more later

 Ubuntu Linux
Buka System / Administration / Network Tools -
mendapatkan antarmuka untuk koleksi alat: ping,
netstat, traceroute, port scan, nslookup, jari, whois
 Tools - Windows
Windows
 Sam Spade (dikumpulkan alat jaringan)
 Wireshark (packet sniffer)
 Command line tools
ipconfig
 Banyak yang lainnya,,
 hostname
Tentukan nama host dari sistem saat ini
Penggunaan: hostname
 Misalnya hostname
localhost.localdomain // default
 Misalnya hostname

mobile.cs.uwec.edu
 ifconfig
Konfigurasi jaringan antarmuka
Menceritakan saat ini nomor IP untuk sistem host
Penggunaan : ifconfig
 Misalnya ifconfig // perintah : menampilkan

status
eth0 Link encap: Ethernet
HWaddr 00:0C:29:CD:F6:D3
inet addr: 192.168.172.128 . . .
lo Link encap: Local
Loopback
inet addr: 127.0.0.1 . . .
 who
alat dasar untuk menunjukkan pengguna
pada sistem saat ini
Berguna untuk mengidentifikasi aktivitas
yang tidak biasa (misalnya aktivitas
dengan account yang baru dibuat atau
rekening tidak aktif)
Usage: who
 E.g. who
root tty1 Jan 9 12:46
paul tty2 Jan 9 12:52
 last
Tampilkan terakhir dan pemakai sistem
 Default: since last cycling of file
 -N: last N lines
Berguna untuk mengidentifikasi aktivitas yang tidak
biasa dalam beberapa masa lalu
Usage: last [-n]
 E.g. last -3
wagnerpj pts/1 137.28.253.254 Sat Feb 5 15:40 still logged in
flinstf pts/0 137.28.191.74 Sat Feb 5 15:38 still logged in
rubbleb pts/0 c48.someu.edu Sat Feb 5 14:38 - 15:25 (00:46)
 ping
Potensi Penggunaan
 Apakah sistem online?
Melalui tanggapan
 Mengumpulkan informasi nama
Melalui DNS
 Tentatif Mengidentifikasi sistem operasi
Berdasarkan TTL (paket Time To Live) pada setiap baris paket
TTL = jumlah hop memungkinkan untuk mendapatkan ke sistem
64 adalah Linux default, 128 adalah Windows default (namun dapat
berubah!)
Catatan
 Menggunakan paket ICMP
 Sering diblokir pada banyak host; lebih bermanfaat dalam
jaringan
 Menggunakan: ping system
Misalnya ping ftp.redhat.com
Misalnya ping localhost
 traceroute
Potensi Penggunaan
 Menentukan lokasi fisik mesin
 Kumpulkan jaringan informasi (gateway, sistem
internal lainnya)
 Cari sistem itu menjatuhkan paket Anda - bukti
firewall
Catatan
 Bisa menggunakan paket UDP atau ICMP
 Hasil sering dibatasi oleh firewall
 Beberapa traceroute utilitas GUI berbasis tersedia
 Penggunaan: Sistem traceroute
Misalnya traceroute cs.umn.edu du
 traceroute example - blocked
[wagnerpj@data ~]$ traceroute cs.umn.edu
traceroute to cs.umn.edu (128.101.34.202), 30 hops max,
38 byte packets
1 137.28.109.2 (137.28.109.2) 0.247 ms 0.220 ms 0.208
ms
2 v101.networking.cns.uwec.edu (137.28.9.1) 0.245 ms
0.229 ms 0.220 ms
3 uweauclairehub2-ge50.core.wiscnet.net (216.56.90.1)
1.315 ms 1.194 ms 1.343 ms
4 ***
<ctrl-c>
[wagnerpj@data ~]$
 traceroute example - success
H:\>tracert www.google.com

Tracing route to www.google.akadns.net [64.233.167.99] over a maximum of 30 hops:

 
1    <1 ms    <1 ms    <1 ms  v61.networking.cns.uwec.edu [137.28.61.1]
2     4 ms     6 ms     3 ms  UWEauClaireHub2-ge50.core.wiscnet.net [216.56.90.1]
3     2 ms     1 ms     2 ms  r-uweauclaire-isp-gig2-0.wiscnet.net [140.189.8.141]
4    17 ms    17 ms    17 ms  chi-edge-08.inet.qwest.net [65.113.85.5]
5    18 ms    16 ms    18 ms  chi-core-02.inet.qwest.net [205.171.20.113]
6    17 ms    18 ms    19 ms  cer-core-01.inet.qwest.net [205.171.205.34]
7    18 ms    19 ms    21 ms  chp-brdr-01.inet.qwest.net [205.171.139.146]
8    18 ms    17 ms    18 ms  P11-0.CHICR2.Chicago.opentransit.net [193.251.129.113]
9    15 ms    16 ms    16 ms  Google-EU-Customers-2.GW.opentransit.net
[193.251.249.30]
10    16 ms    16 ms    18 ms  216.239.46.10
11    21 ms    19 ms    17 ms  64.233.175.30
12    18 ms    16 ms    16 ms  64.233.167.99
 
Trace complete.
Visual Traceroute Example
 whois
Potensi Penggunaan
 Pertanyaan nicname / whois server untuk
informasi pendaftaran Internet
 Dapat mengumpulkan kontak, nama,
informasi geografis, server, ... - berguna untuk
serangan social engineering
Catatan
 Penggunaan: domain whois
misalnya whois netcom.com
 whois example - basic
Domain Name: UWEC.EDU

Registrant:
University of Wisconsin - Eau Claire
105 Garfield Avenue
Eau Claire, WI 54702-4004
UNITED STATES

Contacts:

Administrative Contact:
Computing and Networking Services
105 Garfield Ave
Eau Claire, WI 54701
UNITED STATES
(715) 836-5711
networking@uwec.edu

Name Servers:
TOMATO.UWEC.EDU 137.28.1.17
LETTUCE.UWEC.EDU 137.28.1.18
BACON.UWEC.EDU 137.28.5.194
 whois example - wildcards
whois uw%.edu
Your search has matched multiple domains.

Below are the domains you matched (up to 100). For

specific
information on one of these domains, please search on that
domain.
UW.EDU
UWA.EDU
UWB.EDU
UWC.EDU
UWEC.EDU
UWEST.EDU
UWEX.EDU
….
 nslookup
Potensi Penggunaan
 nama server internet Query
 Mencari nama untuk alamat IP, dan
sebaliknya
Catatan
 Sekarang deprecated - umumnya
menggunakan menggali
 Kadang-kadang berguna ketika menggali
gagal
Usage
 nslookup xxxxxxx / / nama atau IP address.
Misalnya nslookup data.cs.uwec.edu
Misalnya menggali data.cs.uwec.edu
 dig
Potensi Penggunaan
 Domain Name Service (DNS) lookup utilitas
 Mengasosiasikan nama dengan alamat IP
dan sebaliknya
Catatan
 Banyak pilihan perintah
 Penggunaan umum: <somehost> menggali
Misalnya menggali data.cs.uwec.edu
Misalnya menggali 137.28.109.33
 arp
Trek alamat, interface diakses oleh sistem
Kemungkinan menggunakan
 Cari sistem yang sistem anda baru-baru ini
berbicara dengan
Catatan
 arp // menampilkan nama
 arp –n // menampilkan alamat numerik
 netstat
Menunjukkan koneksi, informasi routing, statistik
Kemungkinan menggunakan
 menemukan sistem yang sistem anda baru-baru ini
berbicara dengan, mencari port yang baru digunakan
Catatan
 Many flags
netstat // membuka soket, dll
netstat –s // ringkasan statistik
netstat – r // tabel routing
netstat – p // program
netstat – l // mendengarkan soket
 lsof
Daftar membuka file di sistem anda
Berguna untuk melihat proses apa yang
bekerja dengan apa file, mungkin
mengidentifikasi gangguan
Penggunaan: lsof
 Windows Tools
Sam Spade
 "Pisau tentara swiss" dari footprinting
 Merupakan sebagian besar alat-alat Linux
 Plus fungsi lain
Penggunaan
 Mulai aplikasi
 Isi nama atau alamat IP
 Pilih pilihan yang dikehendaki dalam menu
 Packet Sniffers
Definisi: Hardware atau perangkat lunak
yang dapat menampilkan jaringan
informasi lalu lintas paket
Penggunaan
 Analisis lalu lintas jaringan
Contoh paket sniffer
 tcpdump (command line, Linux)
 wireshark (GUI interface, Linux, Windows –
open source)
 Dll.
 Limitations – Packet Sniffing
Definisi: Hardware atau perangkat lunak yang
dapat menampilkan jaringan informasi lalu lintas
paket
 Penggunaan Packet sniffer hanya menangkap

apa yang mereka dapat melihat

 Pengguna melekat pada hub - dapat melihat

segalanya
 Pengguna melekat pada switch - hanya

melihat lalu lintas sendiri

Harus mampu menempatkan kartu antarmuka
jaringan (NIC) dalam mode "promiscuous" untuk
dapat memproses semua lalu lintas, bukan hanya
lalu lintas untuk / dari dirinya sendiri
 OSI Network Protocol
Layer 7 – Application (incl. app.
content)
Layer 6 – Presentation
Layer 5 – Session
Layer 4 – Transport (incl. protocol, port)
Layer 3 – Network (incl. source, dest)
Layer 2 – Data Link
Layer 1 – Physical
 wireshark
Created as tool to examine network
problems in 1997
Various contributors added pieces;
released 1998
Name change (2007): ethereal ->
wireshark
Works with other packet filter formats
Information
 http://www.wireshark.org
Demonstration
 Using wireshark
Ubuntu – Applications / Internet / Wireshark (as root)
 Enter your administrative account pw: user
 Capture/Interfaces/eth0:, Start
Capture window shows accumulated totals for different
types of packets
Stop – packets now displayed
Top window – packet summary
 Can sort by column – source, destination, protocol are useful
Middle window – packet breakdown
 Click on + icons for detail at each packet level
Bottom window – packet content
 Wireshark capture analysis
Can save a session to a capture file
Can reopen file later for further analysis
Open capture file
 Ubuntu: /home/user/Support/MOBILEcapture.cap
 W2K3: C:\Support\MOBILEcapture.cap
Identify and follow different TCP streams
 Select TCP packet, Analyze/Follow TCP Stream
 MOBILEcapture.cap has http, https, ftp, ssh streams
Any interesting information out there?
 HINT: follow stream on an ftp packet
 Related Tool
Hunt
 TCP sniffer
 Watch and reset connections
 Hijack sessions
 Spoof MAC address
 Spoof DNS name
 Related Tool
EtherPEG – image capture on network
 http://www.etherpeg.com
 Summary
Basic tools can generate much
information
Remember principle of accumulating
information
 Attacker will build on smaller pieces to get
bigger pieces
Message to defenders: don’t give away
any information if you can avoid it