Rabu, 30 November 2011

Cara Mendeteksi dan Menyerang Balik Pengguna Netcut



Belakangan ini tool arp poisoning yang bernama netcut makin banyak digunakan di Indonesia.

Hari ini kita akan melihat cara mendeteksi pengguna netcut, melacak keberadaannya dalam jaringan, dan terakhir menyerang balik koneksinya.

Kita akan mulai bagaimana caranya mendeteksi adanya pengguna netcut dalam jaringan yang sedang kita pakai.

Pertama-tama mari kita lihat cara kerja netcut, bagaimana sebetulnya tool ini bisa memotong koneksi jaringan kita.

Dalam situasi normal, beginilah cara kerja komputer kita sewaktu mengirim data ke router.

http://stev2711.files.wordpress.com/2011/04/normal-communication.gif?w=630&h=298

Ada 2 hal yang diperlukan komputer kita untuk berkomunikasi yaitu IP address dan MAC address. Dalam situasi normal, apabila kita sedang berinternet, paket data yang kita kirimkan akan berisi IP address router dan MAC address router.

Apa yang dilakukan netcat untuk mengganggu komunikasi kita / melakukan cut koneksi kita ? Pada contoh di bawah ini komputer C adalah komputer pengguna netcut, netcut akan mengirimkan informasi palsu yang menyatakan bahwa IP address router (192.168.0.2) adalah dirinya (MAC address CC.CC.CC.CC.CC.CC). Serangan tipe ini disebut ARP poisoning (ARP = Address Resolution Protocol - protokol untuk mencari MAC address, ARP poisoning = meracuni proses ARP). Serangan tipe ini sederhana tetapi efektif karena komputer pada dasarnya adalah benda yang lugu (lucu-lucu guoblok !), jadi tanpa curiga komputer kita akan percaya begitu saja tanpa melakukan cek dan recek. Akibatnya adalah, tanpa merasa bersalah komputer kita akan mengubah MAC address router menjadi MAC address si komputer pengguna netcut (Komputer C), akibatnya kita tidak bisa browsing ke internet lagi dan si pengguna netcut ketawa-ketiwi geli.

http://stev2711.files.wordpress.com/2011/04/netcut-in-action.gif?w=630&h=340

Saatnya menangkap si penjahat....gunakan tools sniffer (wireshark adalah favorit saya), perhatikan traffic yang masuk, lakukan filter ARP, maka anda akan melihat ada paket-paket ARP gadungan yang masuk. Apa kriteria paket ARP gadungan ? Nah kita lihat dulu sebentar cara kerja ARP, belajar bentar yah biar gak bisa dibodohin penjahat.

Cara kerja ARP sederhana, pada saat komputer anda ingin mengirimkan paket data maka dia akan bertanya kepada IP address tujuan, "hoiii bro....MAC kamu berapa ?", lalu pertanyaan ini akan dijawab kembali oleh si empunya IP address, "halo bro, MAC saya XX.XX.XX". Sudah selesai deh, sederhana kan. Nah kembali pada pertanyaan awal, bagaimana kita bisa membedakan paket ARP gadungan ? Saya yakin beberapa orang yang kritis pasti sudah dapat jawabannya. Perhatikan prosesnya, proses yang benar adalah kita bertanya, lalu dijawab.... ARP poisoning bekerja dengan cara, tidak ada yang tanya, tapi ada jawabannya.... Jadi so komputer pengguna netcut (komputer C) akan terus-terusan mengirimkan paket jawaban ARP yang berisikan informasi palsu, oleh karena itu teknik ini disebut ARP poisoning.

Nah setelah kita menemukan paket-paket gadungan itu, tinggal di cek deh, datangnya dari komputer mana, nah sekarang kita tahu MAC address si penjahat. Selanjutnya yang perlu kita lakukan adalah melakukan query MAC address si penjahat (banyak website di google yang bisa), maka kita bisa tahu merek laptop yang digunakan apakah apple, toshiba, ibm, dll. Kalau kita sedang di area publik, kita bisa lihat-lihat sekeliling dan mulai menetapkan tersangka.

Best defense is a strong offense (pertahanan terbaik adalah serangan yang kuat), sekarang saatnya pembalasan. Karena kita sudah tahu MAC address si penjahat, maka kita bisa tahu IP addressnya sekarang. Pertanyaannya, bagaimana caranya kita melakukan cut koneksi dia ? Netcut mempunyai fitur proteksi, dimana komputer yang menjalankan netcut akan melakukan blokir terhadap paket-paket ARP sehingga tidak bisa diserang balik oleh ARP poisoning. Santai.... ada banyak jurus yang bisa dipakai.

1. Lakukan ARP poisoning bukan ke komputer dia, tetapi langsung ke router. Kirim paket ARP palsu ke router dan katakan bahwa IP address si penjahat (komputer 3 = 192.168.0.3) adalah MAC address komputer anda, heheheh dia boleh proteksi komputer sendiri, tapi kalau tidak ada paket data yang bisa masuk ke komputernya karena sudah kita belokkan, mau apa ? Dengan cara ini, karena data dari router dialihkan ke komputer kita, maka kita bisa melihat apa yang sedang dikerjakan oleh komputer dia.

2. MAC address ada di layer 2, kalau layer 2 di proteksi, kita serang di layer 3, set IP address secondary anda menjadi IP yang sama dengan si penjahat, kirim ping nonstop dengan parameter -t ke router dengan IP address secondary anda. Maka network akan mendeteksi duplicate IP address terus menerus.

3. Apabila anda kebetulan adalah admin jaringan tersebut, hancurkan layer 1 nya.... lacak si penjahat terhubung melalui port mana, shut down port tersebut, beres toh...

Tidak ada komentar:

Posting Komentar