Langsung ke konten utama

PENGGUNAAN WIRESHARK

  •  Setelah kita menginstall aplikasi Wireshark,buka kotak pencarian pada lambang Windows,kemudian ketik "Wireshark".Untuk membuka aplikasi tersebut,kalian bisa memilih diantara kedua pilihan yaitu "Open" ataupun "Run As Administrator"


  • Secara otomatis Wireshark mendeteksi semua jaringan antarmuka. Pada bagian ini, memungkinkan untuk melakukan filter pada jaringan antarmuka yang tidak diperlukan. Selanjutnya pilih jaringan antarmuka yang ingin dipindai dan dianalisis dengan melakukan double klik, misalnya bagian “Ethernet”.
  • Wireshark akan segera mulai untuk menangkap paket,sistem akan terus menangkap paket hingga diberhentikan.
  • Berikut ini merupakan penjelasan dari beberapa protocol yang terdeteksi oleh paket prefix jaringan.
1. TCP


Apa itu TCP TCP singkatan dari Transmission Control Protocol. TCP adalah salah satu protokol utama dalam suite Protokol TCP/IP yang digunakan untuk mentransfer data melalui jaringan komputer. Protokol TCP merupakan bagian dari Layer Transport (Transport Layer) pada 7 lapisan OSI Layer yang mendukung efisiensi dan jaminan komunikasi data pada jaringan. TCP adalah protokol yang handal dan terkoneksi, yang berarti bahwa itu memastikan pengiriman data yang dapat diandalkan dan mengelola koneksi antara pengirim dan penerima. TCP beroperasi pada lapisan transport model referensi OSI Layer (Open Systems Interconnection) dan digunakan secara luas dalam komunikasi data di Internet. Protokol ini bekerja di atas lapisan IP (Internet Protocol) dan menyediakan koneksi yang andal dan terurut melalui jaringan yang mungkin tidak dapat diandalkan.

7 Fitur Pada TCP
Protokol TCP memiliki tujuh fitur utama yang menjalankan fungsi dan perannya masing-masing antara lain:

Connection Oriented
Connection Oriented adalah fitur pada TCP untuk melakukan permintaan koneksi dan menggunakannya dalam transfer data

Point-to-Point Communication
Point-to-Point Communication adalah fitur pada TCP untuk melakukan koneksi pada dua titik

Reliability
Realiability adalah fitur pada TCP untuk menjamin pengiriman data dapat terkirim secara sempurna tanpa adanya hilang atau data double
Full-Duplex Connection
Full-duplex connection adalah fitur pada TCP untuk memperbolehkan baik pengirim maupun penerima dapat mengirim dan menerima data secara bersamaan melalui koneksi yang sama.
Stream Interface
Stream Interface adalah fitur pada TCP untuk memperbolehkan aplikasi mengirimkan koneksi berkesinambungan tanpa harus terlalu memikirkan detail teknis dari proses pengiriman dan penerimaan data di tingkat protokol.

Reliable Startup
Reliable Startup adalah fitur pada TCP untuk melakukan persetujuan terkait kedua aplikasi untuk melakukan koneksi baru

Graceful Shutdown
Graceful Shutdown adalah fitur pada TCP untuk dapat membuka aplikasi, mengirim data dan menutup koneksi serta menjamin pengiriman data sebelum koneksi terputus
Fungsi TCP 
TCP (Transmission Control Protocol) memiliki beberapa fungsi utama dalam komunikasi data melalui jaringan komputer. Berikut adalah beberapa fungsi utama TCP: 

Pemecahan dan Penggabungan Data
TCP memecah data yang akan dikirim menjadi segmen-segmen yang lebih kecil sebelum dikirimkan melalui jaringan. Ini memungkinkan pengiriman data yang lebih efisien dan fleksibel. Di sisi penerima, TCP akan menggabungkan segmen-segmen tersebut kembali menjadi data yang utuh sebelum diserahkan ke lapisan aplikasi. 

Koneksi Terkoneksi
TCP mendirikan koneksi terkoneksi antara pengirim dan penerima sebelum transfer data dimulai. Proses ini melibatkan “tiga tangan saling sapa” (three-way handshake), di mana pengirim dan penerima saling bertukar pesan untuk membentuk koneksi yang stabil. Koneksi terkoneksi memastikan pengiriman data yang andal dan terurut. 

Pengiriman Data yang Andal
TCP menggunakan mekanisme pengiriman dengan tanda terima (acknowledgment) untuk memastikan pengiriman data yang andal. Setelah sejumlah data dikirim, pengirim akan menerima tanda terima dari penerima sebagai konfirmasi bahwa data telah diterima dengan sukses. Jika tanda terima tidak diterima dalam batas waktu tertentu, TCP akan mengirim ulang data yang hilang. 

Pengaturan Aliran
TCP mengelola aliran data antara pengirim dan penerima untuk menghindari penumpukan data yang dapat mengakibatkan kehilangan atau penghancuran data. TCP menggunakan mekanisme jendela geser (sliding window) untuk mengontrol jumlah data yang dikirim oleh pengirim sebelum menerima tanda terima dari penerima. Ini memungkinkan pengirim dan penerima untuk beroperasi pada kecepatan yang berbeda-beda sesuai dengan kemampuan jaringan dan kemampuan pemrosesan mereka. 

Deteksi dan Pemulihan Kesalahan
TCP dilengkapi dengan mekanisme deteksi dan pemulihan kesalahan. Jika terjadi kesalahan dalam pengiriman data, TCP akan mendeteksi kesalahan tersebut dan meminta pengirim untuk mengirim ulang data yang rusak atau hilang. TCP juga dapat mengelola pengiriman ulang secara otomatis jika diperlukan. 

Multiplexing dan Demultiplexing
TCP dapat menggabungkan (multiplex) data dari beberapa aplikasi yang berbeda ke dalam satu koneksi dan memastikan data tersebut diteruskan (demultiplex) ke aplikasi yang tepat pada penerima. Dengan demikian, TCP memungkinkan pengiriman data yang efisien dan terkoordinasi antara berbagai aplikasi yang berjalan pada host yang sama. 

Melalui fungsi-fungsi ini, TCP memastikan pengiriman data yang andal, terurut, dan efisien di jaringan komputer. Protokol ini menjadi dasar untuk komunikasi yang handal dan dapat diandalkan di Internet. 

Kelebihan dan Kekurangan TCP
Berikut ini merupakan beberapa kelebihan dan kekurangan yang dimiliki protokol TCP

Kelebihan TCP
Protokol TCP memiliki beberapa kelebihan antara lain

Keandalan
TCP menyediakan pengiriman data yang andal dan terjamin. Protokol ini menggunakan mekanisme tanda terima (acknowledgment) dan pengiriman ulang data yang hilang atau rusak. Jika ada kesalahan dalam pengiriman data, TCP akan mendeteksi dan meminta pengirim untuk mengirim ulang data yang hilang, sehingga memastikan bahwa data yang dikirimkan tiba dengan integritas yang terjaga. 

Terurut
TCP memastikan pengiriman data yang terurut. Setiap segmen data diberi nomor urutan (sequence number) untuk memastikan bahwa segmen-segmen tersebut diterima dan diurutkan dengan benar di sisi penerima. Ini penting dalam menjaga integritas data dan memastikan data diproses dalam urutan yang benar oleh aplikasi penerima. 

Pengaturan Aliran
TCP menggunakan mekanisme pengaturan aliran (flow control) untuk mengendalikan laju pengiriman data antara pengirim dan penerima. Hal ini memastikan bahwa penerima tidak terlalu dibanjiri dengan data yang melebihi kapasitasnya untuk memprosesnya, sehingga mencegah terjadinya penumpukan dan kehilangan data. Pengaturan aliran TCP memungkinkan pengiriman data yang seimbang dan efisien. 

Kekurangan TCP
Protokol TCP memiliki beberapa kekurangan antara lain

Overhead
TCP memerlukan overhead yang relatif tinggi dibandingkan dengan protokol transport lainnya. Hal ini disebabkan oleh adanya mekanisme pengiriman yang andal, pengaturan aliran, pengurutan, dan pengiriman ulang data yang hilang. Overhead ini dapat mengurangi efisiensi dan kinerja jaringan, terutama dalam lingkungan jaringan dengan kapasitas terbatas atau keterbatasan bandwidth. 

Kompleksitas
TCP memiliki kompleksitas yang relatif tinggi dibandingkan dengan protokol transport lainnya. Hal ini disebabkan oleh fitur-fitur yang kompleks seperti pengiriman yang andal, pengurutan data, dan pengaturan aliran. Implementasi dan konfigurasi TCP dapat menjadi lebih rumit dibandingkan dengan protokol transport yang lebih sederhana, seperti UDP (User Datagram Protocol). 

Kecepatan
Meskipun TCP merupakan protokol yang andal, mekanisme pengiriman yang andal dan pengaturan aliran dapat mempengaruhi kecepatan transfer data. Algoritma pengiriman ulang yang kompleks dan pengaturan aliran dapat memperkenalkan penundaan dan latensi tambahan dalam pengiriman data. Hal ini bisa menjadi masalah dalam aplikasi yang membutuhkan transfer data yang sangat cepat, seperti streaming media atau permainan online real-time. 

Jenis Jenis TCP 
Terdapat beberapa variasi dan pengembangan yang berkaitan dengan TCP yang dapat disebut sebagai “jenis” atau “variasi” dalam konteks tertentu. Berikut adalah beberapa contoh variasi yang berkaitan dengan TCP: 

TCP/IP
TCP digunakan sebagai bagian dari suite Protokol TCP/IP yang meliputi protokol lain seperti IP (Internet Protocol), UDP (User Datagram Protocol), dan lain-lain. TCP/IP adalah standar de facto untuk komunikasi data di Internet. 

TCP Congestion Control
TCP Congestion Control adalah mekanisme yang mengatur laju pengiriman data TCP berdasarkan kondisi jaringan yang dapat mempengaruhi kinerja dan keadilan jaringan. Beberapa variasi algoritma pengendalian kemacetan telah dikembangkan, seperti TCP Reno, TCP Vegas, dan TCP New Reno, yang memiliki pendekatan yang sedikit berbeda dalam mengelola pengiriman data saat kondisi jaringan bervariasi. 

TCP Fast Open (TFO)
TCP Fast Open adalah mekanisme yang memungkinkan pengiriman data dalam satu kali perjalanan (one RTT) pada awal koneksi TCP, tanpa harus menunggu tiga tangan saling sapa (three-way handshake) yang biasanya terjadi. TFO dapat meningkatkan kinerja dan mengurangi latensi pada koneksi TCP yang sering terjadi, seperti pada browsing web. 

TCP Keep-Alive
TCP Keep-Alive adalah fitur yang memungkinkan pemeliharaan koneksi TCP yang aktif bahkan ketika tidak ada data yang sedang ditransfer. Fitur ini digunakan untuk mendeteksi jika koneksi telah terputus dan mengambil tindakan yang sesuai. 

Meskipun ada variasi dan pengembangan terkait dengan TCP, mereka tidak dianggap sebagai “jenis” TCP, tetapi lebih sebagai perubahan dan pengembangan pada protokol TCP yang ada. Protokol dasar TCP tetap sama di seluruh implementasinya untuk memastikan kompatibilitas dan interoperabilitas antara sistem yang berbeda.

2.SSDP


SSDP menggunakan metode HTTP NOTIFY untuk mengumumkan pembentukan atau penarikan informasi layanan (keberadaan) ke grup multicast. Klien yang ingin menemukan layanan yang tersedia di jaringan menggunakan metode M-SEARCH . Tanggapan terhadap permintaan pencarian tersebut dikirim melalui pengalamatan unicast ke alamat asal dan nomor port permintaan multicast.

Implementasi SSDP IPv6 Microsoft di Windows Media Player dan Server menggunakan alamat cakupan link-local. Microsoft menggunakan nomor port 2869 untuk pemberitahuan acara dan langganan acara. Namun, implementasi awal SSDP juga menggunakan port 5000 untuk layanan ini.

Serangan DDoS 
Pada tahun 2014 ditemukan bahwa SSDP digunakan dalam serangan DDoS yang dikenal sebagai serangan refleksi SSDP dengan amplifikasi . Banyak perangkat, termasuk beberapa router perumahan, memiliki kerentanan dalam perangkat lunak UPnP yang memungkinkan penyerang mendapatkan balasan dari nomor port 1900 ke alamat tujuan pilihan mereka. Dengan botnet di ribuan perangkat, penyerang dapat menghasilkan kecepatan paket yang cukup dan menggunakan bandwidth untuk menjenuhkan tautan, sehingga menyebabkan penolakan layanan.Perusahaan jaringan Cloudflare menggambarkan serangan ini sebagai "Protokol DDoS yang Sangat Sederhana".

Kerentanan Firefox 
Firefox untuk Android sebelum versi 79 tidak memvalidasi dengan benar skema URL yang diterima di SSDP dan rentan terhadap eksekusi kode jarak jauh. Penyerang di jaringan yang sama dapat membuat server berbahaya yang berpura-pura menjadi perangkat yang mendukung transmisi, namun alih-alih membuat file konfigurasi, server tersebut akan mengembalikan URL intent://. Firefox akan meluncurkan maksud tersebut (jika didukung oleh perangkat) dan dengan demikian akan mengeksekusi kode arbitrer. Ini bukan bug pada SSDP, hanya validasi tidak tepat yang dilakukan oleh layanan casting Firefox.

3.MNDP

Protokol MNDP (MikroTik Neighbor Discovery Protocol) adalah protokol yang digunakan oleh perangkat MikroTik untuk menemukan tetangga dalam jaringan mereka. Ini memungkinkan perangkat MikroTik untuk secara otomatis menemukan perangkat lain dalam jaringan yang menggunakan protokol yang sama.

Berikut adalah penjelasan lebih rinci tentang definisi, fungsi, dan cara kerja protokol MNDP:

  • Definisi:
   Protokol MNDP adalah protokol yang digunakan oleh perangkat MikroTik untuk menemukan dan berkomunikasi dengan perangkat MikroTik lainnya dalam jaringan yang sama. Ini memfasilitasi konfigurasi otomatis dan manajemen jaringan yang lebih mudah dalam lingkungan yang menggunakan perangkat MikroTik.

  • Fungsi:
   - Penemuan Tetangga: Protokol MNDP memungkinkan perangkat MikroTik untuk menemukan tetangga dalam jaringan yang menggunakan protokol yang sama.
   - Identifikasi: Dengan menggunakan MNDP, perangkat dapat mengidentifikasi perangkat MikroTik lainnya dalam jaringan.
   - Manajemen Jaringan: MNDP membantu dalam manajemen jaringan dengan memungkinkan perangkat untuk berkomunikasi satu sama lain, memfasilitasi konfigurasi dan pemecahan masalah.

  • Cara Kerja:
   - Pengumuman: Setiap perangkat MikroTik secara periodik mengumumkan kehadiran dan informasi dasar tentang dirinya sendiri ke jaringan menggunakan paket MNDP.
   - Penerimaan dan Penyimpanan Informasi: Perangkat lain dalam jaringan menerima pengumuman ini dan menyimpan informasi tentang perangkat yang diumumkan.
   - Komunikasi: Ketika perangkat MikroTik memerlukan komunikasi dengan perangkat lain dalam jaringan, mereka dapat menggunakan informasi yang diperoleh melalui MNDP untuk mengarahkan lalu lintas ke perangkat yang tepat.

Protokol MNDP membantu menyederhanakan manajemen jaringan dalam lingkungan yang menggunakan perangkat MikroTik dengan memungkinkan perangkat untuk secara otomatis menemukan dan berkomunikasi satu sama lain. Ini membantu administrator jaringan untuk mengelola dan memantau jaringan dengan lebih efisien.

4.MDNS
Keterangan
Protokol Multicast Domain Name System (mDNS), adalah layanan tanpa konfigurasi dan multi-platform yang dirancang untuk menyelesaikan nama host menjadi alamat IP dalam jaringan kecil yang tidak memiliki server DNS lokal. mDNS mendengarkan pada port 5353/UDP.

Masalah
Server DNS Multicast yang Dapat Diakses Secara Terbuka yang salah dikonfigurasi dan merespons permintaan unicast dari sumber di luar jaringan area lokal, dapat disalahgunakan untuk serangan Refleksi/Amplifikasi Penolakan Layanan Terdistribusi (DDoS) terhadap pihak ketiga. Informasi yang dikembalikan dalam respons mDNS terhadap kueri unicast juga dapat mengungkapkan informasi yang berpotensi sensitif dari perangkat di jaringan.

Latar Belakang DNS Multicast
Protokol Sistem Nama Domain (DNS) dirancang untuk melakukan penemuan layanan dan menyelesaikan nama alfabet menjadi alamat IP di Internet, sedangkan protokol mDNS dirancang untuk melakukan fungsi serupa di jaringan area lokal. Ada sejumlah perbedaan menarik antara kedua protokol tersebut. DNS mendengarkan pada port 53/UDP sementara mDNS mendengarkan pada port 5353/UDP. DNS terutama menggunakan komunikasi point-to-point (unicast) dengan setiap permintaan DNS dikirim ke alamat IP tertentu sementara mDNS menggunakan komunikasi point-to-multipoint (multicast) dengan permintaan mDNS dikirim ke setiap perangkat di jaringan area lokal dengan cadangan alamat IPv4 multicast mDNS 224.0.0.251. mDNS dapat menghasilkan lalu lintas dalam jumlah besar di jaringan area lokal. Label domain ".lokal". dicadangkan untuk nama host di jaringan area lokal di mana resolusi nama dapat diselesaikan melalui mDNS. Domain tingkat atas dalam sistem penamaan domain Internet dengan ekstensi domain .ie, .com, atau .org tidak dapat diselesaikan dengan mDNS.

Multicast DNS berevolusi dari Internet Engineering Task Force (IETF) yang bekerja pada jaringan konfigurasi nol (Zeroconf). Multicast DNS dirancang untuk jaringan kecil tempat semua perangkat bertukar informasi satu sama lain melalui alamat IP mereka. Multicast adalah bentuk komunikasi unik yang memungkinkan terciptanya koneksi point-to-multipoint di jaringan IPv4 yang memungkinkan sebuah node menjangkau semua node yang berkepentingan secara bersamaan. Node yang memiliki nama host yang sedang dicari, merespons seluruh jaringan juga melalui multicast. Semua node yang berpartisipasi diberi tahu tentang koneksi antara nama host dan alamat IPv4, dan memperbarui cache mDNS masing-masing. Kueri multicast mDNS tidak diizinkan secara default untuk melewati router, namun kueri unicast mDNS bisa.

mDNS menggunakan User Data Protocol (UDP) sebagai protokol transportasi dasarnya yang memungkinkan komunikasi unicast.

Daemon mDNS tersedia untuk Microsoft Windows, Apple Inc. OS X dan sistem operasi Linux.

Konfigurasi Nol
Zero Configuration Networking (Zeroconf) dan pengalamatan tautan-lokal otomatis adalah spesifikasi Internet Engineering Task Force (IETF) yang memungkinkan perangkat di jaringan IPv4 mengonfigurasi dirinya sendiri secara otomatis dan ditemukan tanpa intervensi manual. Zeroconf, melalui serangkaian teknologi, dapat menetapkan alamat IPv4 dan nama host alternatif ke perangkat, jika diperlukan. Setelah ditetapkan, Zeroconf memungkinkan pengguna dan aplikasi dengan mudah menemukan layanan yang ditawarkannya. Jika tidak ada server Dynamic Host Configuration Protocol (DHCP) di jaringan dan jika perangkat tidak memiliki alamat IPv4, Zeroconf menggunakan pengalamatan link-local untuk membuatnya. Di RFC3927, IETF telah mencadangkan blok alamat IPv4 169.254.0.0/16 untuk pengalamatan link-lokal. Sebuah host dapat secara otomatis mengkonfigurasi antarmuka dengan alamat link-lokal IPv4 dari blok alamat 169.254.0.0/16 yang valid untuk komunikasi dengan perangkat lain yang terhubung pada link fisik yang sama. Setelah alamat dipilih, Address Resolusi Protocol (ARP) digunakan untuk memastikan bahwa alamat IPv4 tidak digunakan di jaringan. Jika ditemukan tidak digunakan, alamat IPv4 ditetapkan ke perangkat, jika tidak, alamat IPv4 lain dipilih, dan proses ARP diulangi.

Nama host DNS multicast
IETF di RFC6762, telah menetapkan bahwa domain tingkat atas DNS ".local." adalah domain khusus dengan semantik khusus, yaitu setiap nama yang sepenuhnya memenuhi syarat yang diakhiri dengan ".local". bersifat link-local, dan nama dalam domain ini hanya bermakna pada link tempat asalnya. Permintaan DNS apa pun untuk nama yang diakhiri dengan label ".local." harus dikirim ke alamat multicast link-lokal IPv4 224.0.0.251.

Contoh Serangan Refleksi Penolakan Layanan Terdistribusi (DDoS) mDNS yang Diperkuat
Sejak serangan DoS pertama yang didokumentasikan diluncurkan pada tanggal 7 Februari 2000 oleh seorang hacker berusia 15 tahun, serangan DoS telah berkembang dan menjadi lebih canggih. Serangan DoS dapat dibagi menjadi serangan langsung dan refleksi. Serangan langsung melibatkan lalu lintas yang dikirim langsung ke korban dari beberapa infrastruktur yang dikendalikan oleh aktor jahat. Dalam serangan refleksi, server pihak ketiga secara tidak sengaja digunakan untuk mencerminkan lalu lintas serangan terhadap korban. Serangan Refleksi Penolakan Layanan Terdistribusi (DDoS) mDNS yang Diperkuat terdiri dari sejumlah komponen terpisah dan memanfaatkan fitur tertentu.

Serangan Penolakan Layanan (DoS).

Serangan penolakan layanan (DoS) terjadi ketika pengguna yang sah tidak dapat mengakses sistem informasi, perangkat, atau sumber daya jaringan lainnya karena tindakan aktor jahat, yang menyebabkan sistem dibanjiri lalu lintas yang tidak diminta, yang menghabiskan banyak waktu. bandwidth yang tersedia, menciptakan kemacetan jaringan dan menghabiskan atau menghabiskan sumber daya jaringan.

Protokol Datagram Pengguna (UDP)

Multicast DNS menggunakan User Datagram Protocol (UDP) sebagai protokol transportasi yang mendasarinya, UDP adalah protokol connectionless yang menggunakan datagram yang tertanam dalam paket Internet Protocol (IP) untuk komunikasi tanpa perlu membuat sesi antara sumber dan tujuan sebelum transmisi dapat dilakukan. tempat. UDP tidak memvalidasi alamat Internet Protocol (IP) sumber.

Pemalsuan Protokol Internet (IP).

Internet Protocol (IP) menyediakan abstraksi terpadu dan sederhana untuk komunikasi melalui Internet. Ini mengidentifikasi host berdasarkan alamat IP mereka, memungkinkan pertukaran data antar jaringan. Kesederhanaan Protokol Internet telah terbukti sangat kuat namun memiliki sejumlah keterbatasan, seperti kurangnya keaslian tingkat paket. Router hanya melakukan pencarian alamat tujuan paket masuk, keaslian alamat IP sumber paket tidak divalidasi pada jalur antara pengirim dan penerima. IP Spoofing adalah pembuatan paket Protokol Internet (IP) dan memodifikasinya, mengganti alamat sumber aslinya dengan alamat sumber palsu. Dengan menyamar sebagai pembawa acara yang berbeda, aktor jahat dapat menyembunyikan identitas dan lokasi aslinya. Kemampuan untuk memalsukan alamat IP sumber suatu paket memungkinkan terjadinya sejumlah ancaman keamanan siber, mulai dari peniruan identitas host jarak jauh hingga serangan DoS.

Pengintaian.

Aktor jahat akan memindai dan menyelidiki Internet untuk mencari server DNS Multicast yang terhubung ke Internet, yang telah salah dikonfigurasi dan merespons permintaan unicast dari sumber di luar jaringan area lokalnya. Setelah server mDNS yang rentan teridentifikasi, pelaku jahat akan berusaha mengeksploitasinya, dan menggunakannya sebagai reflektor dalam serangan Refleksi DDoS yang Diperkuat terhadap korban yang tidak menaruh curiga.

Cerminan.

Dalam serangan refleksi, server pihak ketiga yang terhubung ke Internet yang menyediakan layanan dan dapat diakses secara terbuka, secara tidak sengaja digunakan untuk mencerminkan lalu lintas serangan terhadap korban, melalui penggunaan IP Spoofing. Refleksi juga berfungsi untuk mengaburkan sumber lalu lintas serangan dan menyembunyikan identitas pelaku kejahatan.

Amplifikasi.

Banyak protokol yang memungkinkan refleksi juga menambahkan amplifikasi, sehingga jumlah lalu lintas serangan yang dikirim ke korban menjadi berkali-kali lipat lebih besar daripada yang dikirim ke reflektor pada awalnya. Ada beberapa protokol dengan kerentanan yang memungkinkannya digunakan sebagai aksesori amplifikasi, misalnya DNS, SNMPv2, dan mDNS. Perangkat DNS multicast mengiklankan informasi tentang layanan jaringan yang mereka sediakan. Didefinisikan di RFC6763, kueri enumerasi layanan yang akan mengembalikan semua jenis layanan yang diiklankan di jaringan. Payload respons mDNS terbesar yang tercatat dalam serangan DoS berisi 428 byte data, yang merespons kueri berukuran 45 byte, dengan faktor amplifikasi sebesar 9,51.

Didistribusikan.

Perbedaan penting antara Serangan Denial-of-Service (DoS) dan Serangan Distributed Denial-of-Service (DDoS) adalah bahwa alih-alih menggunakan satu sistem komputer untuk menyerang korban, beberapa sistem komputer akan digunakan untuk menyerang korban.

Botnet.

Aktor jahat semakin banyak menggunakan perantara untuk melancarkan serangan DoS terhadap korban. Serangan DoS kini diluncurkan melalui Botnet. Botnet adalah kumpulan komputer dan perangkat yang terhubung ke internet, tersebar secara geografis, yang, karena kerentanan keamanan atau kelemahan perangkat, telah disusupi dan dibajak oleh aktor jahat, yang dikenal sebagai Pengontrol Botnet, yang melakukan kontrol terhadap komputer dan perangkat tersebut melalui penggunaan perintah dan perangkat lunak kontrol. Pengontrol Botnet dapat, melalui server perintah-dan-kontrol (C&C), menginstruksikan komputer dan perangkat individual, yang dikenal sebagai 'bot' atau 'zombie', untuk mengirimkan lalu lintas serangan ke korban. Pengontrol Botnet akan menawarkan botnetnya sebagai layanan serangan DDoS berdasarkan permintaan, yang dikenal sebagai "Booters" atau sebagai "layanan booter". Aktor jahat dapat menyewa layanan "Booters" atau "Layanan Booter" untuk waktu tertentu, dengan biaya tertentu, untuk meluncurkan serangan DDoS terhadap target pilihannya.

Verifikasi
Untuk menentukan apakah suatu host mempunyai layanan yang dapat diakses secara terbuka di Internet, program atau alat utilitas sederhana yang disertakan dengan distribusi Linux/Ubuntu standar dapat digunakan. Pengujian tidak boleh dijalankan pada host itu sendiri atau dari jaringan lokal melainkan dari node berbeda di Internet.

Penggerek Informasi Domain (gali)
Untuk mengonfirmasi apakah server mDNS dapat diakses secara terbuka dari internet, alat Penggerek Informasi Domain (dig) dapat digunakan untuk menginterogasi server mDNS. Anda dapat mengirim permintaan mDNS untuk nama domain arbitrer ke alamat IP server mDNS:-

Dalam contoh berikut, gantikan xxx.xxx.xxx.xxx. dengan alamat IP server mDNS.

$ menggali +pendek -p 5353 -t ptr _services._dns-sd._udp.local @ xxx.xxx.xxx.xxx

Layanan mDNS yang dapat diakses secara terbuka akan memberikan respons yang mirip dengan contoh di bawah ini:

Gali 9.10.31-P4-Ubuntu <<>> TARGET @ xxx.xxx.xxx.xxx
_workstation._tcp.local.
_udisks-ssh._tcp.local.:
Jika tidak, waktu permintaan akan habis:

;; waktu koneksi berakhir; tidak ada server yang dapat dijangkau.

Larutan
Jika layanan mDNS tidak diperlukan, nonaktifkan layanan mDNS di perangkat yang mengizinkannya atau blokir lalu lintas mDNS masuk dan keluar pada port 5353/UDP.

Jika layanan mDNS diperlukan, batasi akses layanan mDNS ke alamat IP resmi atau spesifik.

5.SSDP


Simple Service Discovery Protocol ( SSDP ) adalah protokol jaringan berdasarkan rangkaian protokol Internet untuk periklanan dan penemuan layanan jaringan serta informasi keberadaan. Ia menyelesaikan hal ini tanpa bantuan mekanisme konfigurasi berbasis server, seperti Dynamic Host Configuration Protocol (DHCP) atau Domain Name System (DNS), dan tanpa konfigurasi statis khusus dari host jaringan. SSDP adalah dasar dari protokol penemuan Universal Plug and Play (UPnP) dan ditujukan untuk digunakan di lingkungan perumahan atau kantor kecil. Hal ini secara resmi dijelaskan dalam Draf Internet IETF oleh Microsoft dan Hewlett-Packard pada tahun 1999. Meskipun proposal IETF telah berakhir (April 2000),SSDP dimasukkan ke dalam tumpukan protokol UPnP, dan penjelasan implementasi akhirnya termasuk dalam dokumen standar UPnP.

Transportasi dan pengalamatan protokol 
SSDP adalah protokol berbasis teks berdasarkan HTTPU , yang menggunakan UDP sebagai protokol transport yang mendasarinya. Layanan diumumkan oleh sistem hosting dengan pengalamatan multicast ke alamat multicast IP yang ditunjuk secara khusus di nomor port UDP 1900. Dalam IPv4 , alamat multicast adalah 239.255.255.250 [5] dan SSDP melalui IPv6 menggunakan kumpulan alamat ff0x::c untuk semua rentang cakupan ditunjukkan oleh x .

Hal ini menghasilkan alamat multicast praktis yang terkenal untuk SSDP:

239.255.255.250 (alamat situs-lokal IPv4)
ff02::c (tautan IPv6-lokal)
ff05::c (situs IPv6-lokal)
Selain itu, aplikasi dapat menggunakan alamat multicast khusus sumber yang berasal dari awalan perutean IPv6 lokal, dengan ID grup c (desimal 12).

SSDP menggunakan metode HTTP NOTIFY untuk mengumumkan pembentukan atau penarikan informasi layanan (keberadaan) ke grup multicast. Klien yang ingin menemukan layanan yang tersedia di jaringan menggunakan metode M-SEARCH . Tanggapan terhadap permintaan pencarian tersebut dikirim melalui pengalamatan unicast ke alamat asal dan nomor port permintaan multicast.

Implementasi SSDP IPv6 Microsoft di Windows Media Player dan Server menggunakan alamat cakupan link-local. Microsoft menggunakan nomor port 2869 untuk pemberitahuan acara dan langganan acara. Namun, implementasi awal SSDP juga menggunakan port 5000 untuk layanan ini.

Serangan DDoS 
Pada tahun 2014 ditemukan bahwa SSDP digunakan dalam serangan DDoS yang dikenal sebagai serangan refleksi SSDP dengan amplifikasi . Banyak perangkat, termasuk beberapa router perumahan, memiliki kerentanan dalam perangkat lunak UPnP yang memungkinkan penyerang mendapatkan balasan dari nomor port 1900 ke alamat tujuan pilihan mereka. Dengan botnet di ribuan perangkat, penyerang dapat menghasilkan kecepatan paket yang cukup dan menggunakan bandwidth untuk menjenuhkan tautan, sehingga menyebabkan penolakan layanan.Perusahaan jaringan Cloudflare menggambarkan serangan ini sebagai "Protokol DDoS yang Sangat Sederhana".

Kerentanan Firefox 
Firefox untuk Android sebelum versi 79 tidak memvalidasi dengan benar skema URL yang diterima di SSDP dan rentan terhadap eksekusi kode jarak jauh. Penyerang di jaringan yang sama dapat membuat server berbahaya yang berpura-pura menjadi perangkat yang mendukung transmisi, namun alih-alih membuat file konfigurasi, server tersebut akan mengembalikan URL intent://. Firefox akan meluncurkan maksud tersebut (jika didukung oleh perangkat) dan dengan demikian akan mengeksekusi kode arbitrer. Ini bukan bug pada SSDP, hanya validasi tidak tepat yang dilakukan oleh layanan casting Firefox.




Berikutnya,jika ingin menyimpan hasil scan paket untuk prefix jaringan pada perangkat kita,pada pojok kiri di bagian atas terdapat menu file,klik menu tersebut kemudian pilih "save as".Aturlah posisi file hasil scan tersebut kalian akan simpan di folder  mana,beri nama pada "file name",dan untuk type file nya tidak perlu diubah,biarkan pada settingan default nya.



jika sudah kalian simpan file nya,ketika kalian buka kembali aplikasi wireshark maka tampilan awal pada dashboard nya tidak lagi menampilkan kata "capture" melainkan "Open" dengan disertai nama file yang sudah kita buat tadi.

FIN.


Komentar

Posting Komentar

Postingan populer dari blog ini

LAPORAN PORT SECURITY

 PORT SECURITY CISCO PACKET TRACER PENGERTIAN PORT SECURITY Port Security adalah sebuah  cara membuat keamanan dalam jaringan yang terdapat pada sebuah perangkat Switch . Switch yang digunakan adalah switch yang managable yah, switch yang bisa kita atur dan bukan switch biasa (unmanagable). Fungsi Port Security Switch Port yang terdapat pada switch dapat kita atur untuk bisa memaksimalkan perannya sebagai keamanan  jaringan. Setiap perangkat yang terhubung melalui port pada switch akan dilakukan verifikasi atau pemeriksaan. Bila MAC address device atau perangkatnya itu terdaftar di switch, maka perangkat tersebut diperbolehkan untuk mendapatkan layanan yang terdapat dalam jaringan. Namun sebaliknya, bila tidak terdaftar maka akan menerima konsekwensi yang akan kita berikan. Cara Kerja Port Security Switch. Setiap device atau perangkat yang kita miliki, sebaiknya betul-betul dapat di identifikasi oleh switch, dan melalui port security ini setiap perangkat akan dicek MAC Ad...
Posting Komentar
Baca selengkapnya

BLOKIR SITUS PADA FIREWALL MIKROTIK DENGAN LAYER 7 PROTOCOL

Firewall adalah suatu sistem keamanan yang dirancang untuk melindungi jaringan komputer dari akses yang tidak sah, mencegah penyebaran malware, dan mengontrol lalu lintas data yang masuk dan keluar. Ini dapat berupa perangkat keras atau perangkat lunak yang mengatur dan memonitor komunikasi antara jaringan internal dan eksternal, memfilter data berdasarkan aturan keamanan yang telah ditetapkan. Fungsi memblokir situs dengan firewall MikroTik adalah untuk mengendalikan akses ke situs-situs tertentu berdasarkan kebijakan keamanan atau kebutuhan bisnis. Dengan memanfaatkan fitur firewall, administrator jaringan dapat menetapkan aturan yang mencegah pengguna dari mengakses situs-situs tertentu yang dianggap tidak diinginkan atau berpotensi membahayakan. Contoh penggunaannya dapat melibatkan pembatasan akses ke situs-situs berbahaya, berkonten dewasa, atau untuk mengoptimalkan penggunaan bandwidth dengan memblokir akses ke situs streaming tertentu. Ini membantu meningkatkan keamanan jaringa...
Posting Komentar
Baca selengkapnya

HOW TO INSTALL WIRESHARK 4.2.4 VERSION

Wireshark versi 4.2.4  Pengertian Wireshark merupakan perangkat lunak analisis jaringan yang dapat memungkinkan pengguna untuk dapat merekam serta menganalisis lalu lintas jaringan secara real-time. Wireshark digunakan guna memecahkan masalah jaringan, identifikasi gangguan, optimalisasi kinerja jaringan, serta pemecahan masalah keamanan. Cara kerjanya yakni: 1. Pertama, wireshark merekam data baik itu paket jaringan ataupun frame ethernet yang dikirim lewat jaringan. 2. Keedua, wireshark menganalisis data yang telah direkam serta menampilkan informasi mengenai tiap paket yang dikirim melalui jaringan, baik itu protokol yang digunakan, alamat sumber dan tujuan, isi paket, dan lainnya. 3. Terakhir, berdasarkan informasi yang ditampilkan oleh wireshark maka pengguna dapat mengambil tindakan yang tepat, misalnya pemecahan masalah jaringan, optimalisasi kinerja jaringan, maupun identifikasi masalah keamanan. Fungsi Fungsi wireshark adalah sebagai berikut: Memecahkan Masalah Jaringan W...
Posting Komentar
Baca selengkapnya