‌‌‌‌ ‌‌‌‌ ‌‌‌‌: Sniffing Using Ettercap

Di post ini saya mo demo’in tentang sebuah tool yang cukup maknyoos untuk melakukan packet sniffing pada perangkat switch. Oh ya ini kategori ilmu buaahayaa. Hem, supaya para pembaca yang awam pun bisa menikmati posting saya yang penuh dengan ilmu2 yang bermanfaat ini, saya jelaskan satu2 dan perlahan-lahan

1. Apa itu Packet?

Packet adalah kumpulan informasi yang kita kirimkan kepada perangkat (komputer, server, printer dsb) yang terletak pada jaringan intranet maupun internet. Bayangkan saja packet itu seperti suara anda ketika berbicara dengan orang lain. Ketika anda berbincang dengan orang lain, suara anda juga bisa didengar orang lain bukan? Lalu gimana jika ada seseorang menguping pembicaraan anda yang penting dan bersifat private, nggak seneng tho. Nah permasalahan inilah yang nanti saya bahas di posting ini.

2. Apa itu Switch?

Nah untuk berbincang – bincang dengan temen anda, pasti ada medium yang mengantarkan suara2 anda supaya bisa didenger kan? Kalo di dunia nyata kita tahu medium penghantarnya udara. Nah kalo di jaringan ada banyak medium penghantarnya, contoh: switch, hub, router dsb. Untuk kali ini kita kosentrasi ma switch aja dulu. Gimana sih cara switch menghantarkan paket2 di jaringan? Nah, cara berkomunikasi perangkat tu ada 4 macam (kalo saya nggak salah sih : multicast, broadcast, anycast dan unicast.

Pada switch cara berkomunikasinya adalah multicast dan unicast, intinya paket yang anda kirim dijamin nggak bakal salah sasaran, hanya orang yang berhak aja yang bisa dapat paket2 anda. So, kalo anda lagi ngegosip, orang lain nggak bakal denger apa yang anda omongin. Lalu bagaimana switch mengetahui bahwa paket yang dikirim itu tepat sasaran, caranya dengan mengirimkan paket ARP (Address Resolution Protocol) . Switch akan mencatatat alamat mac address (alamat fisik pada komputer anda) serta alamat IP (alamat nggak fisik ). Alamat fisik diibaratkan alamat rumah anda, alamat yang nggak brubah-ubah, sedangkan non fisik bisa aja no hp anak2 SMA yang hobi gonta ganti nomor, tapi nggak mungkin kan mreka gonta-ganti alamat rumah (kecuali ciblek or ayam kampus tentunya). Jadi meski anda gonta-ganti IP, switch nggak akan salah kirim paket.

3. Apa itu MITM (men in the middle attack)?

MITM

MITM adalah jenis serangan dengan berpura – pura menjadi user yang sah. Pada switch caranya dengan memalsukan dan memflood ARP response (ARP spoofing). Jadi ketika switch menanyakan alamat fisik setiap alamat IP, maka penyerang akan mengirimkan mac address alamat penyerang kepada switch untuk setiap alamat IP yang ditanyakan oleh swith. Jadi ketika switch tanya “Hoii, alamat mac address IP 10.14.10.2 apa?” maka penyerang akan membalasnya dengan alamat fisiknya, dan ini dilakukan untuk setiap IP komputer2 korban. Akhirnya setiap paket oleh switch akan dikirimkan oleh komputer penyerang (intinya, komputer penyerang tahu setiap paket yang serharusnya dia nggak tahu). Supaya korban nggak curiga kalo paketnya dah dicolong, maka penyerang akan memforward paket yg terlebih dahulu sudah dibaca oleh penyerang. Jadi si korban nggak akan curiga kalo tiba2 paketnya hilang. Komputer penyerang seolah – olah akan menjadi jembatan (bridge) antara komputer sah dengan komputer yang lain.

Cukup ngemeng2nya, sung demonya (di linux box):

1. suryo@daskom-admin:~$sudo ettercap -G -n 255.255.255.0 (akan muncul GUI ettercap seperti dibawah)