Tugas keamanan sistem informasi membahas serangan ARP poisoning dan deteksinya. ARP poisoning memanipulasi entri ARP cache agar lalu lintas jaringan dapat diarahkan ke host penyerang untuk menangkap paketnya. Deteksi dilakukan dengan memverifikasi kesesuaian IP dan MAC, menganalisis jawaban ARP, dan mendeteksi frame data mencurigakan.
1. TUGAS KEAMANAN SISTEM INFORMASI
ARP POISONING / SPOOFING
Nama : JAMES PHILIP MONTOLALU
NIM : 13021106048
KELAS : B
1. Bagaimana cara arp poisoning/spoofing bisa melakukan penyerangan ?
ARP spoofing merupakan salah satu serangan yang memanfaatkan kelemahan protokol ARP.
ARP spoofing dapat dilakukan karena ketika ARP buffer pengiriman sebuah informasi MAC
address setelah broadcast, ARP tidak melakukan otentikasi. Mekanisme memperbarui cache
langsung itulah yang menjadi sumber kelemahan protokol ARP[3]. Serangan ini berusaha
mengganti MAC address yang sebenarnya dengan MAC address penyerang sehingga paket- paket
data yang dikirimkan kepada omputer korban maka akan melalui komputer penyerang. Dengan
alur seperti itu maka penyerang dapat melakukkan sniffing terhadap paket-paket yang sebenarnya
hanya di kirimkan pada komputer korban. ARP spoofing merupakan awal serangan , biasanya
serangan ini diteruskan dengan bergagai jenis serangan yang lain seperti session hijacking, MITM
dan lain lain.
Syn flood merupakan salah satu serangan jenis DOS (Denial of service). Serangan syn flood
adalah komputer penyerang akan membanjiri komputer korban dengan paket syn dalam jumlah
banyak yang bertujuan untuk menyibukkan jaringan komputer korban dan akhirnya crash
maupung hang. Paket-paket syn yang di kirimkan merupakan paket syn yang tidak lengkap
dan inilah yang membuat komputer korban overhead. Saat melakukan syn flood kita bisa juga
melakukan ip spoofing yang berarti ip address penyerang bisa di samarkan. Untuk penanganan syn
flood bisa dengan menambahkan firewall, menggunakan IDS dan data dari log system, tutup /
close ip address sources dan destinations.
Persiapan Arp Spoofing Dan Syn Flood
Dalam percobaan melakukan serangan arp spoofing dan syn flood maka kita harus menyiapkan
beberapa aplikasi yang berfungsi sebagai alat bantu kita untuk melakukan serangan. Dan tidak
lupa untuk menyiapkan 2 komputer yang nantinya akan menjadi komputer korban dan komputer
penyerang.
Persiapan Arp Spoofing
Pada percobaan ini, aplikasi untuk melakukan arp spoofing adalah arpspoof pada lingkungan
linux turunan distro debian. Berikut cara melakukan percobaab arp spoofing :
1. Siapkan 2 komputer yaitu komputer A (korban) dan komputer B (penyerang).
2. Sambungkan dalam satu jaringan yang sama, kemudian lihat ip address dari komputer A.
3. Install arp spoof dan wireshark
2. Persiapan Syn Flood
Persiapan untuk melakukan syn flood kurang lebih sama dengan persiapan untuk melakukan arp
spoofing. Tapi bedanya hanyalah aplikasi yang di gunakan untuk melakukan syn flood. Pada
percobaan ini menggunakan hping3 untuk melakukan serangan syn flood. Berikut cara instal
hping3 pada linux distro debian :
1. Buka terminal atau CTRL+ALT+T
2. Kemudian ketiikan perintah sudo apt-get install hping3
3. Tunggu proses hingga selesai.
4. Untuk mengetahui fitur-fitur dari hping3 bisa dilihat dokumentasi dengan cara ketik man hping3
atau hping3 –help di terminal.
Arp spoofing
Setelah melakukan persiapan sebelumnya maka sekarang kita dapat mempraktekan
cara melakukan arp spoofing. Di asumsikan bahwa aplikasi arp spoof dan wireshark
sudah berjalan baik pada komputer A maupun komputer B. Berikut alur percobaan arp spoofing.
1. Setelah mengetahui ip address korban maka ketikkan perintah berikut di terminal.
sudo arpspoof -i wlan0 -t 192.168.1.1 192.168.1.11
keterangan : sudo adalah kita masuk menjadi root (super user).
-i adalah interface yang kita gunakan, perintah di atas menggunakan wlan0 (wireless).
-t adalah target yang akan di arp spoofing.
2. Jika arp spoofing sudah di lakukan kita dapat melakukan sniffing terhadap paket-paket yang
merupakan paket data untuk komputer korban.
Syn Flood
Untuk melakukan syn flood kita menggunakan hping3 yang sudah di instal sebelumnya. Berikut
cara melakukan syn flood.
1. Buka terminal.
2. Ketikkan perintah hping3 -S 192.168.1.4 -p 80 -a 192.168.1.4 -s 80 -- flood –k
keterangan : -s adalah jenis paket syn yang akan dikirimkan
-p adalah protokol yang digunakan
-a adalah melakukan ip spoofing
-s adalah base port dari pengirim
--flood adalah jenis pengiriman yang bersifat banyak atau
membanjiri
-k adalah tetap menggunakan base port pengirim
3. 2. Bagaimana cara deteksi serangan arp poisoning/spoofing?
ARP spoffing merupakan ancaman yang cukup serius dalam keamanan jaringan terutama karena
lalu lintas jaringan dari suatu host dapat dibelokkan ke host lain yang melakukan serangan untuk
didapatkan paket jaringannya. ARP spoofing dapat dideteksi dengan melakukan pengecekan
antara IP address dan MAC address yang terdapat di dalam ARP buffer apakah sesuai dengan yang
seharusnya atau tidak. Beberapa metode yang dapat digunakan untuk mendeteksi adanya ARP
spoofing di dalam jaringan, antara lain:
1. Metode Echo time
Biasanya ketika sebuah host yang terkena serangan dan mendapatkan ARP palsu akan didapatkan
informasinya oleh penyerang. Agar supaya host yang diserang dapat terus dipalsukan nilai ARP
buffernya, maka penyerang harus terus menerus memberikan informasi yang berisi informasi ARP
palsu kepada host yang diserang. Dengan demikian maka nilai Echo time dari suatu host yang
melakukan serangan pada jaringan akan menjadi meningkat dibandingkan dengan Echo time
ketika jaringan normal, karena host tersebut cukup sibuk untuk terus-menerus mengirimkan
informasi ‘sampah’ kepada host yang diserangnya.
2. Melakukan pencocokan IP address
Ketika sebuah host menerima ARP request, maka dia akan melakukan pengecekan terhadap IP
address di dalam frame yang direquest dan IP address dari host tersebut. Jika nilainya adalah sama,
maka kemungkinan ada host lain dalam jaringan yang melakukan spoofing. Host juga dapat
mengirimkan paket request untuk mengecek IP address ini secara berkala, jika ternyata IP address
yang diterima adalah frame response dari IP address host maka kemungkinan juga ada host lain
yang melakukan spoofing.
3. Melakukan analisa terhadap ARP answer
Menurut mekanisme dari ARP spoofing, penyerang yang ingin melakukan pemalsuan ARP harus
mengirim suatu report text dari ARP palsu secara periodik dan terus menerus. System dapat
dikonfigurasi untuk melakukan wiretap terhadap report text ini dalam jaringan, jika system
mendeteksi banyak frame tanpa adanya ARP answer, maka dapat disimpulkan bahwa terlah terjadi
pemalsuan ARP.
4. Mendeteksi frame data
Meskipun paket respon ARP yang terkena spoofing tidak meninggalkan alamat dari penyerang,
tetapi frame ARP respon mengandung informasi dari alamat penyerang. Pada kondisi normal,
MAC address sumber dan MAC address tujuan di dalam head 19 dari frame seharusnya sesuai
dengan ARP message di dalam frame paket data. Jika tidak sama maka kemungkinan terjadi
spoofing.
5. Pemeriksaan dengan software
Dengan menggunakan software utility untuk melakukan pengecekan kesesuaian antara IP address
dan MAC