Beberapa minggu ini, saya merasa terganggu sekali dengan adanya gejala pada jaringan saya di kos. Kalo ngomongin hipotesa sih punya, tapi karena saya dituntut untuk tidak su'udzon akhirnya saya tetep positif dan memikirkan segala kemungkinan (walaupun sebenernya, "su'udzon" saya tidak saya hilangkan). Beberapa hari setelah tetap berpikir positif, akhirnya saya ngalah dan menyerahkan segalanya pada naluri saya, yang pada saat itu lebih milih "su'udzon" - Ampunilah hambamu Tuhan.... :'( .
Yap, berkat "su'udzon" ini, akhirnya saya memilih untuk menganalisa jaringan saya. Jalan terbaik untuk analisa jaringan ya Wireshark (Wire = Kabel, Shark = Hiu --> Hiu Kabel - Just kid). Wireshark merupakan tool GUI yang cukup handal untuk analisa jaringan (penjelasan lebih detail mengenai Wireshark dapat dilihat di Wikipedia atau pada Wiki Wireshark).
Oke, kita mulai analisanya. Ada beberapa point penting yang perlu saya perhatikan ketika saya mulai menganalisa jaringan saya:
1. Saya menggunakan router ZTE F660 bundling dari Speedy Fiber Optic
2. Tidak ada pengaturan mengenai QoS dan Firewall lanjutan
3. Hak administratornya hanya ada pada saya. Selebihnya, jika ada yang bisa masuk ke halaman admin, mungkin menggunakan bug dari ZTE F660 (atau login telnet) dan ini tidak mungkin karena setelah saya lihat tidak ada satupun konfigurasi yang berubah .
Nah, berdasarkan poin penting diatas, akhirnya saya menyimpulkan bahwa yang pada saat itu terjadi adalah 2 hal, yaitu serangan ARP Spoofing dan serangan ARP Storm. ARP Spoofing merupakan sebuah serangan dimana seorang attacker berupaya mengirim broadcast massal ARP palsu pada jaringan LAN. Nah, ARP palsu ini berisi tentang pernyataan bahwa Mac Address milik pelaku mempunyai IP dari host lain (misalkan IP gateway). Bingung kan? Sama, saya juga (Intinya itu lah - Untuk lebih lanjut silahkan baca-baca saja Wikipedia mengenai ARP spoofing). Nah, karena adanya broadcast itu, akhirnya si komputer "tertipu" dan menyimpan Mac tersebut pada cache (ARP tabel). Sebagai ilustrasi, silahkan perhatikan gambar dibawah ini:
Jika melihat gambar diatas, PC4 merupakan penyerang dan PC1 adalah korban sedangkan gateway adalah R1. Saat PC4 melakukan serangan ARP Poisoning, PC4 akan mengirim reply yang menyatakan bahwa dirinya adalah R1 dengan mengasosiakan IP dari R1 (172.16.1.1) pada Mac address PC4. Singkatnya, PC4 akan mengaku pada PC1 bahwa PC4 adalah R1.
Secara teknis, serangan ini bertujuan agar semua paket data yang melintas melewati komputer penyerang. Dengan begini, penyerang dapat melakukan serangan seperti:
1. DNS Poisoning/Spoofing
2. Sniffing attack
3. Network Cut (Netcut)
4. Network Limit (Hampir sama dengan Netcut)
5. Dan lain-lain
Diliat dari macam serangannya sangatlah berbahaya jika kita melakukan login pada jaringan tersebut. Oleh karena itu, diperlukan langkah dini dalam mendeteksi gejala tersebut. Ada 2 teknik untuk mendeteksi adanya ARP poisoning
Teknik 1 (Mudah)
Untuk mendeteksi adanya ARP poisoning cukup menggunakan perintah
arp -a
Perintah tersebut berfungsi untuk menampilkan tabel ARP cache yang berisi mac address beserta asosiasi IP nya. Indikasi dari ARP poisoning adalah ketika pada tabel ARP cache nya mempunyai lebih dari 1 IP address pada Mac address yang sama. IP pertama biasanya IP gateway, sedangkan IP lainnya biasanya IP asli. Dengan IP tersebut, pelaku bisa ditemukan dengan tool Nmap untuk mencari hostname dari komputer tersebut.
Teknik 2 (Ribet)
Teknik yang kedua menggunakan tool Wireshark. Mungkin memang agak ribet, hanya saja dengan dengan tool ini tidak hanya ARP poisoning yang dapat dideteksi tapi ARP storm juga.
ARP storm merupakan jenis serangan dimana penyerang mengirimkan paket request broadcast secara terus menerus. Dalam kapasitas kecil, ARP memang dibutuhkan. Namun, untuk skala besar ARP justru akan menggangu trafik yang ada. ARP storm dapat mempengaruhi kinerja jaringan, karena trafik jaringan dipenuhi dengan paket broadcast ARP.
Deteksi ARP Spoofing
Langkah 1
Untuk mendeteksi adanya ARP Spoofing, matikan dahulu jaringan yang telah terkena spoofing. Hal ini dimaksudkan agar tidak ada lagi entri ARP pada tabel.
Langkah 2
Buka aplikasi Wireshark dan jalankan dan lakukan capture pada interface yang aktif, misalnya wlan0. Biarkan untuk beberapa (minimal 10 menit agar kemungkinan hasilnya bagus)
Langkah 3
Hentikan capture dan lakukan filtering dengan menggunakan expression
arp.duplicate-address-frame
Langkah 4
Perhatikan hasil yang telah difilter. Akan terlihat highlight berwarna kuning pada deskripsi paket. Hal tersebut menandakan bahwa ada paket yang mempunyai kesalahan atau kejanggalan. Disitu akan dinyatakan
Duplicate IP address detected for 12.12.12.12 (ac:64:62:e0:8d:ae) - also in use by 00:25:d3:18:ae:4d (frame 42)
Artinya IP 12.12.12.12 yang seharusnya ada pada mac address ac:64:62:e0:8d:ae juga ada pada 00:25:d3:18:ae:4d
Deteksi ARP Storm
Cara mendeteksi adanya ARP Storm adalah dengan melakukan langkah yang sama. Hanya saja, gunakan filter ARP secara umum. Pada field filter anda cukup mengisinya dengan
arp
atau
eth.type eq 0x0806
Pada dasarnya, ARP Storm mengirim paket ARP secara request broadcast dengan kurun waktu kurang dari 1 detik dan requestnya tidak dijawab oleh host karena kemungkinan host yang dia minta tidak tersedia.
Contoh dari ARP Strom
Solusi (ARP Spoofing)
ARP Spoofing dapat ditangani dengan cara menghapus mac address palsunya dari tabel ARP cache kemudian menambahkan secara manual mac address dari gateway yang diasosiasikan dengan IP yang benar. Untuk membersihkan entri pada tabel ARP cache adalah
arp -d <ip gateway>
Untuk menambahkan entri pada tabel, anda harus membuat file yang di dalamnya terdapat mac dan IP.
Selanjutnya anda tinggal menambahkan perintah
arp -f <nama file>
Solusi (ARP Storm)
Dalam kasus ini, saya belum bisa menemukan solusi untuk ARP storm. Yang ada saya hanya bisa melongo ketika ada serangan semacam ini.
Kesimpulan
ARP merupakan protokol penting dalam infrastruktur jaringan. ARP akan menerjemahkan mac address ke IP address sehingga paket data dapat dilanjutkan ke layer yang lebih atas (OSI model) untuk diproses lebih lanjut. Oleh karena itu untuk melakukan serangan terhadap jaringan lokal, serangan yang cocok adalah dengan menyerang pada protokol ARP. Ada 2 macam serangan yang dapat terjadi pada ARP yaitu ARP Spoofing attack dan ARP Storm. Ada dua teknik dalam mendeteksi adanya serangan ARP Spoofing. Yang pertama dengan cara mudah, dan yang kedua adalah dengan cara sulit.
Sumber
1. Vidya dan Bhaskaran, 2011. ARP Storm Detection and Prevention Measures
2. http://www.colasoft.com/download/arp_flood_arp_spoofing_arp_poisoning_attack_solution_with_capsa.php
3. Kumar dan Gomez, 2011. Denial of Service Due to Direct and Indirect ARP Storm Attacks in LAN Environment
4. http://essenit.tistory.com/4
5. http://www.ostalks.com/2011/11/04/arp-poisoning-and-detection/
6. https://en.wikipedia.org/wiki/ARP_spoofing
Komentar
Posting Komentar
Terima kasih telah berkunjung.