Sniffer FAQ 

Apa yang dimaksud dengan sniffer dan bagaimana cara kerjanya

Dalam berkomunikasi dalam suatu jaringan, komputer menggunakan saluran yangs sama untuk melakukan komunikasi satu sama dengan yang lain, dengan pemakaian bersama ini berarti bahwa komputer dapat menangkap informasi yang seharusnya ditujukan untuk komputer lain. Kegiatan untuk mengambil informasi yang melalui suatu jaringan disebut dengan sniffing.

Salah protokol komunikasi jaringan komputer yang paling populer adalah ethernet. Protokol ethernet bekerja dengan cara mengirim paket informasi ke seluruh host pada jaringan yang sama. Header dari masing-masing paket mengandung alamat komputer tujuan. Hanya mesin dengan alamat tersebut yang akan menerima paket tersebut. Tetapi suatu mesin yang menggunakan modus promiscuous dapat menerima semua paket tanpa memperhatikan alamat tersebut.

Pada aplikasi seperti FTP,Telnet, dan POP3, password dilewatkan melalui jaringan secara clear-text (tanpa enkripsi), sehingga menjadi sasaran empuk bagi pemakai sniffer untuk mendapatkan UserId dan Password.

Dimana program sniffing dapat diperoleh

Sniffing adalah salah satu metode yang paling banyak digunakan para hacker untuk melakukan penyerangan dengan mencuri UserId dan password pada suatu jaringan.Suatu program sniffer berukuran kecil dengan nama Esniff.c dirancang untuk Sunos, akan mencatat 300 byte pertama dari semua session telnet, ftp dan rlogin. Program ini disebarkan di Phrack, yaitu salah satu majalah underground tentang hacking yang paling banyak dibaca.

Sebenarnya program sniffer juga digunakan untuk mendiagnosa masalah pada jaringan. Network General memproduksi sejumlah produk. Salah satu yang paling penting adalah Expert Sniffer, yang mana tidak hanya melakukan sniffing, tetapi juga memiliki sistem pakar yang berkemampuan tinggi, serta mendiagnosa masalah pada jaringan anda.

Dewasa ini telah program-program sniffing yang berjalan diatas sistem operasi Windows, anda dapat mencarinya di http://neworder.box.sk

Bagaimana mendeteksi suatu sniffer sedang berjalan.

Untuk mendeteksi suatu peralatan sniffing membutuhkan pemeriksaan secara fisik pada seluruh koneksi ethernet anda dengan cara berjalan berkeliling dan memeriksa koneksi ethernet tersebut satu per-satu.

Untuk SunOs, NetBSD, dan kemungkinan turunan dari sistem BSD Unix , ada suatu perintah

"ifconfig -a"

yang akan memberitahukan anda tentang semua interface yang mana diantaranya berada dalam modus promiscuous. DEC OSF/1 dan IRIX dan mungkin OS lainnya membutuhkan peralatan tambahan. Suatu cara untuk mendapatkan interface apa saja berada dalam sistem, anda dapat menjalankan:

# netstat -r
Routing tables

Internet:
Destination Gateway Flags Refs Use Interface
default iss.net UG 1 24949 le0
localhost localhost UH 2 83 lo0

Kemudian anda dapat mencoba setiap interface dengan melakukan perintah berikut:

#ifconfig le0
le0: flags=8863
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1

Ada suatu program yang disebut dengan cpm yang terdapat pada ftp.cert.org:/pub/tools/cpm yang mana hanya bekerja pada Sunos dan dapat memeriksa interface berada pada flag promiscuous.

Pada Ultrix dapat mendeteksi seseorang yang menjalankan suatu sniffer dengan perintah pfstat dan pfconfig.

pfconfig memungkinkan anda untuk menentukan siapa saja yang dapat menjalankan suatu sniffer
pfstat menampilkan pada anda jika interface tertentu berada dalam promiscuous mode.

Perintah ini hanya bekerja jika sniffing diaktifkan dengan kaitannya pada kernel, secara default sniffer tidak terkait dalam kernel. Pada banyak sistem seperti Irix, Solaris, SCO, dll, tidak memiliki flag indikasi yang mana menunjukkan apakah mereka berada dalam modus promiscuous atau tidak, sehingga seorang penyusup dapat melakukan sniffing terhadap keseluruhan jaringan anda dan tidak ada cara untuk mendeteksinya.

Mengakhiri serangan oleh sniffing

Menggunakan active hubs yang hanya akan mengirim paket ke sistem dimana paket tersebut dituju, mengakibatkan sniffing menjadi tidak berguna.

1. Enkripsi

Melakukan enkripsi antar koneksi sehingga penyusup mendapatkan informasi dalam keadaan terenkripsi.

2. Kerberos

Kerberos adalah paket yang dapat melakukan enkripsi terhadap informasi account yang keluar ke jaringan. Masalahnya adalah semua informasi account ditangani pada suatu host dan jika mesin tersebut down, maka seluruh jaringan akan terpengaruh. Kerberos datang dengan suatu stream-encrypting rlogind, dan stream-encrypting telnetd yang dapat diperoleh. Hal ini berfungsi mencegah penyusup untuk mencatat apa yang anda lakukan setelah login.

Tentang Kerberos FAQ berada pada ftp di rtfm.mit.edu in
/pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11

3. Teknologi One time password

S/key dan teknologi one time password membuat kegiatan sniffing terhadap informasi account menjadi tidak berguna. Pada konsepnya S/key sistem remote menyimpan password yang tidak pernah dikirim melalui saluran dan ketika anda melakukan koneksi, anda akan mendapatkan suatu challenge. Anda mengambil informasi challenge tersebut, dan dengan menggunakan suatu algoritma  password beserta challenge diproses menjadi suatu respon, respon yang dihasilkan harus sama dengan respon yang berada pada sistem remote. Dengan metode ini password tidak pernah dikirim melalui jaringan, dan tidak ada challenge yang akan digunakan untuk kedua kalinya. Tidak seperti SecureID ataupun SNK, dengan S/key anda tidak berbagi rahasia dengan host tersebut. S/key tersedia pada  ftp:thumper.bellcore.com:/pub/nmh/skey

Teknologi one time password lainnya adalah sistem kartu yang mana setiap pemakai mendapatkan suatu kartu yang mana menghasilkan nomor yang memperbolehkan akses ke account mereka. Tanpa kartu tersebut, adalah tidak mungkin menebak nomor tersebut.

OneTime Pass (OTP):
Program ini menyediakan kode one-time pass yang tak terbatas pada seorang pemakai dengan basis pemakaian yang tidak membutuhkan protokol cryptographic ataupun peralatan hardware. Pemakai mendapatkan suatu daftar dari kode pass yang dapat digunakan, dan akan dihapus satu setiap satu dipakai. System mencatat pemakaian, menghapus setiap passcode dari daftar yang ada ketika telah dipakai. Datang dengan ukuran sangat kecil dan pemeriksa password yang cepat dan password dan  sistem pass phrase generation.

ArKey:
Ini adalah sistem Argued Key  yang sebenarnya yang mana secara mutual melakukan autentikasi pemakai dan sistem satu sama lainnya dengan pengetahuan umum mereka. Tidak membutuhkan hardware khusus. Datang dengan ukuran sangat kecil dan pemeriksa password yang cepat dan password dan  sistem pass phrase generation.

4. Interface Non-promiscuous

Anda dapat meyakinkan bahwa kebanyakan produk mesin IBM DOS compatible memiliki interface yang mana tidak akan memperbolehkan sniffing. Berikut ini adalah daftar dari kartu yang tidak mendukung modus promiscuous:

Mencoba interface dari modus  promiscuous dengan menggunakan Gobbler. Jika anda menemukan suatu interface dapat melakukan modus promiscuous dan terdaftar dibawah ini, silahkan e-mail ke
cklaus@iss.net dan akan menghapusnya secepat mungkin.

IBM Token-Ring Network PC Adapter
IBM Token-Ring Network PC Adapter II (short card)
IBM Token-Ring Network PC Adapter II (long card)
IBM Token-Ring Network 16/4 Adapter
IBM Token-Ring Network PC Adapter/A
IBM Token-Ring Network 16/4 Adapter/A
IBM Token-Ring Network 16/4 Busmaster Server Adapter/A

Kartu berikut di rumor kan tidak dapat masuk ke modus promiscuous, tetapi kebenaran dari rumor tersebut diragukan.

Microdyne (Excelan) EXOS 205
Microdyne (Excelan) EXOS 205T
Microdyne (Excelan) EXOS 205T/16
Hewlett-Packard 27250A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27245A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27247A EtherTwist PC LAN Adapter Card/16
Hewlett-Packard 27248A EtherTwist EISA PC LAN Adapter Card/32
HP 27247B EtherTwist Adapter Card/16 TP Plus
HP 27252A EtherTwist Adapter Card/16 TP Plus
HP J2405A EtherTwist PC LAN Adapter NC/16 TP

Adapter yang didasarkan pada chipset TROPIC umumnya tidak mendukung modus promiscuous. Chipset TROPIC digunakan dalam adapter IBM's Token Ring seperti adapter 16/4. Pemasok lainnya (terutama 3Com) juga menyediakan adapter berbasis TROPIC.
Adapter berbasis TROPIC dapat menerima  EPROMs khusus, demikian sehingga akan dapat masuk  ke modus promiscuous. Bagaimanapun, ketika dalam modus  promiscuous, adapter ini akan melepaskan suatu frame "Trace Tool Present".

References:

-