Coretan BoWo Coretan BoWo Coretan BoWo: Mengenal Probing Dengan Nmap

Thursday, November 10, 2011

Mengenal Probing Dengan Nmap

Server tugasnya adalah melayani client dengan menyediakan service yang dibutuhkan. Server menyediakan service dengan bermacam-macam kemampuan, baik untuk lokal maupun remote. Server listening pada suatu port dan menunggu incomming connection ke port. Koneksi bisa berupa lokal maupuan remote.


Port sebenarnya suatu alamat pada stack jaringan kernel, sebagai cara dimana transport layer mengelola koneksi dan melakukan pertukaran data antar komputer. Port yang terbuka mempunyai resiko terkait dengan exploit. Perlu dikelola port mana yang perlu dibuka dan yang ditutup untuk mengurangi resiko terhadap exploit.


Ada beberapa utility yang bisa dipakai untuk melakukan diagnosa terhadap sistem service dan port kita. Utility ini melakukan scanning terhadap sistem untuk mencari port mana saja yang terbuka, ada juga sekaligus memberikan laporan kelemahan sistem jika port ini terbuka.


Port Scanner merupakan program yang didesain untuk menemukan layanan (service) apa saja yang dijalankan pada host jaringan. Untuk mendapatkan akses ke host, cracker harus mengetahui titik-titik kelemahan yang ada. Sebagai contoh, apabila cracker sudah mengetahui bahwa host menjalankan proses ftp server, ia dapat menggunakan kelemahan-kelemahan yang ada pada ftp server untuk mendapatkan akses. Dari bagian ini kita dapat mengambil kesimpulan bahwa layanan yang tidak benar-benar diperlukan sebaiknya dihilangkan untuk memperkecil resiko keamanan yang mungkin terjadi.

Netstat

Nenstat merupakan utility yang powerfull untuk menngamati current state pada server, service apa yang listening untuk incomming connection, interface mana yang listening, siapa saja yang terhubung.

Nmap 
Merupakan software scanner yang paling tua yang masih dipakai sampai sekarang. 
 
Scanning NMAP dengan TCP packet

Before Nmap will scan a device, it checks to be sure the device is really on the network. If the scan is to a local device, then Nmap performs a simple ARP to the device to determine if it's alive. If the target station is on a different subnet, then Nmap uses a combination of an ICMP echo request and an out-of-order TCP 
Macam-macam teknik scan :
  • -sS (TCP SYN scan)
Paling populer dan merupakan scan default nmap. SYN scan juga sukar terdeteksi, karena tidak menggunakan 3 way handshake secara lengkap, yang disebut sebagai teknik half open scanning.   SYN scan juga efektif jarena dapat membedakan 3 tate port, yaitu open, filterd ataupun close. SYN scan bekerja dengan mengirimkan paket SYN seakan menunggu respon dari client untuk membuka koneksi. SYN/ACK respon menunjukkan apakah port dalam keadaan listening (open), sementara RST (reset) menunjukkan port dalam keadaan close. Jika client tidak merespon dalam selang waktu tertentu atau client mengirim pesan destination ICMP error, maka port client itu,  maka client port dinyatakan dalam state filtered.
  •  -sN; -sF; -sX (TCP Null, FIN, and Xmas scans)
Salah satu statement RFC menyebutkan bahwa bila suatu paket sepanjang tidak mengandung SYN, RST dan ACK, maka bila korban mengembalikan RST, maka port berarti tertutup dan tidak merespon sama sekali berartiterbuka.  Nmap menggunakan 3 flag berikut : FIN, PSH dan URG. Jika tidak ada respon berarti open|filtered.  Bila ter-filtered akan diperoleh reply ICMP unreachable error (type 3, code 1, 2, 3, 9, 10, or 13).
  • Null scan (-sN)
Tidak mengeset bit manapun pada flag tcp (tcp flag header 0)
  • FIN scan (-sF)
Mengeset hanya bit TCP FIN.
  • Xmas scan (-sX)
Mengeset flag  FIN, PSH, and URG flags, seperti 'pohon natal'
  • -sA (TCP ACK scan)
Scan tipe ini berbeda karena tidak digunakan untuk menentukan apakah port tersebut terbuka tau tertutup. Scan ini hanya menunjukkan apakah state korban terfiltered atau unfiltered. Jika terfiltered, maka port mana yang terfiltered. 

ACK scan bekerja dengan mengirimkan paket TCP dengan flag ACK. Jika unfiltered, korban mengirim RST, yang artinya korban menerima paket ACK, namun, status port bisa open atau close. Bila korban tidak merespon, atau mengirim paket ICMP error (type 3, code 1, 2, 3, 9, 10, or 13). maka korban diberi status filtered.
  • -sT (TCP Connect scan)
Scan tipe ini tergantung dari OS korban, sehingga cukup rskan dipakai. Connect scan mirip dengan SYN scan, dengan full 3 way handshake. Karena itu sering disebut sebagai full connect scanning. Ini artinya bahwa korban akan melakukan logging scanning jenis ini, karena itu scanning jenis ini mudah terdeteksi
  • -sU (UDP  scan)
Pada tipe ini, yang dikirim adalah paket UDP. Bila korban mengirimkan paket ICMP port unreachable, maka artinya port tertutup (close). Jika tidak ada respon, tidak selalu brarti port terbuka (open). Mungkin firewall atau packet filtering router berada didepan korban. 
tanda tangan

Ditulis Oleh : Coretan BoWo ~ Berbagi ilmu

Christian angkouw Terimakasih telah membaca artikel tentang : Mengenal Probing Dengan Nmap . Semoga dapat memberikan hal yang positif bagi anda.

:: Coretan BoWo ::

Note :
~ Berikanlah komentar dengan kata-kata yang baik dan sopan.
~ Dilarang mencantumkan link yang berbau negatif.