Di post ini saya mo demo’in tentang
sebuah tool yang cukup maknyoos untuk melakukan packet sniffing pada
perangkat switch. Oh ya ini kategori ilmu buaahayaa. Hem, supaya para
pembaca yang awam pun bisa menikmati posting saya yang penuh dengan
ilmu2 yang bermanfaat ini, saya jelaskan satu2 dan perlahan-lahan
1. Apa itu Packet?
Packet
adalah kumpulan informasi yang kita kirimkan kepada perangkat
(komputer, server, printer dsb) yang terletak pada jaringan intranet
maupun internet. Bayangkan saja packet itu seperti suara anda ketika
berbicara dengan orang lain. Ketika anda berbincang dengan orang lain,
suara anda juga bisa didengar orang lain bukan? Lalu gimana jika ada
seseorang menguping pembicaraan anda yang penting dan bersifat private,
nggak seneng tho. Nah permasalahan inilah yang nanti saya bahas di
posting ini.
2. Apa itu Switch?
Nah
untuk berbincang – bincang dengan temen anda, pasti ada medium yang
mengantarkan suara2 anda supaya bisa didenger kan? Kalo di dunia nyata
kita tahu medium penghantarnya udara. Nah kalo di jaringan ada banyak
medium penghantarnya, contoh: switch, hub, router dsb. Untuk kali ini
kita kosentrasi ma switch aja dulu. Gimana sih cara switch
menghantarkan paket2 di jaringan? Nah, cara berkomunikasi perangkat tu
ada 4 macam (kalo saya nggak salah sih : multicast, broadcast, anycast dan unicast.
Pada
switch cara berkomunikasinya adalah multicast dan unicast, intinya
paket yang anda kirim dijamin nggak bakal salah sasaran, hanya orang
yang berhak aja yang bisa dapat paket2 anda. So, kalo anda lagi
ngegosip, orang lain nggak bakal denger apa yang anda omongin. Lalu
bagaimana switch mengetahui bahwa paket yang dikirim itu tepat sasaran,
caranya dengan mengirimkan paket ARP (Address Resolution Protocol) . Switch akan mencatatat alamat mac address (alamat fisik pada komputer anda) serta alamat IP
(alamat nggak fisik ). Alamat fisik diibaratkan alamat rumah anda,
alamat yang nggak brubah-ubah, sedangkan non fisik bisa aja no hp anak2
SMA yang hobi gonta ganti nomor, tapi nggak mungkin kan mreka
gonta-ganti alamat rumah (kecuali ciblek or ayam kampus tentunya). Jadi
meski anda gonta-ganti IP, switch nggak akan salah kirim paket.
3. Apa itu MITM (men in the middle attack)?
MITM
MITM
adalah jenis serangan dengan berpura – pura menjadi user yang sah.
Pada switch caranya dengan memalsukan dan memflood ARP response (ARP
spoofing). Jadi ketika switch menanyakan alamat fisik setiap alamat IP,
maka penyerang akan mengirimkan mac address alamat penyerang kepada
switch untuk setiap alamat IP yang ditanyakan oleh swith. Jadi ketika
switch tanya “Hoii, alamat mac address IP 10.14.10.2 apa?” maka
penyerang akan membalasnya dengan alamat fisiknya, dan ini dilakukan
untuk setiap IP komputer2 korban. Akhirnya setiap paket oleh switch
akan dikirimkan oleh komputer penyerang (intinya, komputer penyerang
tahu setiap paket yang serharusnya dia nggak tahu). Supaya korban nggak
curiga kalo paketnya dah dicolong, maka penyerang akan memforward
paket yg terlebih dahulu sudah dibaca oleh penyerang. Jadi si korban
nggak akan curiga kalo tiba2 paketnya hilang. Komputer penyerang seolah
– olah akan menjadi jembatan (bridge) antara komputer sah dengan
komputer yang lain.
Cukup ngemeng2nya, sung demonya (di linux box):
1. suryo@daskom-admin:~$sudo ettercap -G -n 255.255.255.0 (akan muncul GUI ettercap seperti dibawah)

ettercap-gui

memilih ethernet
4. Klik MITM pilih arp poisoning, plih sniff remote connections.

sniffing remote connections
6. Tuk melihat koneksi, klik view klik connections.

daftar korban
Dibawah ini hasil dari paket sniffing dengan ettercap, perhatikan ada seorang user yang memasukkan user dan passwordnya.

summberr