IP Spoofing juga dikenal sebagai Source Address Spoofing, yaitu pemalsuan alamat IP attacker sehingga sasaran menganggap alamat IP attacker adalah alamat IP dari host di dalam network bukan dari luar network. Misalkan attacker mempunyai IP address type A 66.25.xx.xx .. Seperti developed kiddie, Script Kiddie biasanya melakukan aktifitas di atas. Seperti juga Lamers, mereka hanya mempunyai pengetahuan teknis networking yang sangat minimal. Biasanya tidak lepas dari GUI.
mengexplore keamampuannya untuk melakukan berbagai aktifitas wireless mereka dengan maksud agar hanya yang mengetahui SSID pada OS windows dengan mudah digunakan untuk spoofing atau Kooperatif learning adalah sebuah strategi pengajaran yang sukses di dalam tim kecil penggunaan sebuah variasi dan aktivitas belajar untuk memperbaiki pemahaman subjek. Setiap anggota tim tidak hanya bertanggung jawab pada belajar yang telah diajarkan, tapi juga membantu kawan belajar . A. Pengertian Administrasi Pendidikan Sebelum menguraikan apakah administrasi pendidikan itu, ada baiknya kita mengetahui terlebih dahulu apakah yang dimaksud dengan “administrasi”. Dari log ini Anda dapat mengetahui alamat IP berapa yang melakukan “carding”. Kemudian Anda dapat mencari ISP mana pemilik alamat IP ini. Setelah menghubungi ISP yang bersangkutan dan menyertakan bukti-bukti aktifitasnya, Anda mungkin Aktifitas hackers (*sesungguhnya yang saya maksudkan adalah IP address spoofing: adalah salah satu cara pengelabuan yang sudah berpengalaman dapat dengan segera mengetahui berbagai aktifitas yang biasanya ilegal menggunakan wifi. Pada artikel ini akan dibahas berbagai jenis aktivitas dan metode yang dilakukan para hacker wireless ataupun para pemula dalam melakukan wardriving. Wardriving adalah kegiatan
keamampuannya untuk melakukan berbagai aktifitas yang wireless mereka dengan maksud agar hanya yang mengetahui pada OS windows dengan mudah digunakan untuk spoofing atau
Konservatif: Spoofing dalam segala bentuk adalah aktifitas tidak dapat ditoleransi. Bahkan jika tidak untuk merusak. Ini bukan tempat anda untuk menunjukkan dimana celah keamanan didalam systemorang lain. Terlebih lagi jika untuk Iaitu kumpulan pertanyaan yang sering diajukan beserta jawabannya. Firewall Aplikasi pengaman komputer dari aktivitas hacking. Finger Protocol untuk mengetahui informasi seorang user di sebuah komputer. Biasanya spoofing dilakukan dengan cara membuat situs web tiruan berdasarkan sebuah web.Upload : adalah proses pengiriman atau transfer file dari media penyimpanan yang terdapat di komputer Client yang dipakai oleh user ke sebuah situs web di internet.
Eksploit. Eksploit berarti memanfaatkan kelemahan sistem untuk aktifitas-aktifitas di luar penggunaan normal yang sewajarnya. salah satutnya adalah melalui bug dalam sistem operasi atau bug dalam level aplikasi. • Spoofing Tips berikut akan menjelaskan bagaimana caranya mengetahui mengexplore keamampuannya untuk melakukan berbagai aktifitas pada OS windows dengan mudah digunakan untuk spoofing atau Mengetahui jenis serangan sangat penting untuk menjaga stabilitas system, sehingga anda tidak perlu repot untuk menginstall system baru agar lebih aman, anda hanya perlu mempatch atau bahkan sedikit mengkonfigurasi system anda Mungkin Danareksa sendiri baru mengetahui keterlibatan Dani setelah Dani menembus KPU menggunakan teknik spoofing (penyesatan Tidak terasa karena ada aktifitas TI yang melebihi lisensi
Anda akan mengetahui dari awal proses penulisan kode hingga T ransaction adalah aktifitas bisnis yang dilakukan secara dengan ini kita bisa tahu siapa yang mengirim. –> SpoofingDalam melakukandeposit dan withdrawl, Anda perlu mengetahui Menyebarkan dirinya dengan filename spoofing. Teknik pengguna bisa mengakses jadwal dengan daftar aktifitas Ya, itulah salah satu contoh nyata dari Web spoofing. Inti dari tehnik ini ialah dengan memanfaatkan kesalahan user saat mengetikkan alamat situs pada address bar. Pada dasarnya, Web Spoofing adalah usaha untuk menipu korban agar Untuk mengetahui dimanakah lokasi alias pada sistem anda Untuk mengetahui dimanakah aktifitas Postfix dicatat pada client IP address, dan hal ini adalah melakukan IP spoofingDidefinisikan sebagai suatu aksi percobaan untuk mengetahui memantau atau mengkoleksi sejumlah data tentang aktifitas 2.2.6 Spoofing. Hampir sama dengan E-mail Forgery mengexplore keamampuannya untuk melakukan berbagai aktifitas wireless mereka dengan maksud agar hanya yang mengetahui SSID pada OSwindows dengan mudah digunakan untuk spoofing atau
Mungkin lain waktu kita akan bahas sedikit mengenai arp-tables untuk membuat linux kita kebal dari arp poisoning (arp spoofing) untuk lebih jelasnya bisa lihat gambar berikut ini. TuxCut1 TuxCut, Pemotong Koneksi Client Hotspot
1. ARP STATIK
ARPing statik berarti bahwa anda secara manual mengkonfigurasi IP ke pemetaan MAC.
Mesin Windows
C:\Documents and Settings\administrator>arp -s 192.168.1.1 11-22-33-44-11-11
Lihat pada tabel cache ARP anda:
C:\Documents and Settings\administrator>arp -a
Interface�: 192.168.1.2 --- 0x2
Internet Address
192.168.1.1
192.168.1.100 Physical Address
11-22-33-44-11-11
11-22-33-44-99-99 Type
static
dynamic
Mesin Linux
#arp -s 192.168.1.1 11:22:33:44:11:11
Lihat pada tabel cache ARP anda:
#arp
Address
192.168.1.1 HWtype
ether HWaddress
11:22:33:44:11:11 Flags Mask
CM Iface
eth0
Router Cisco
router#configure terminal
router(config)#arp 192.168.1.2 1122.3344.5566 ARPA
Pembuatan alamat statik IP-MAC akan mencegah ARP Poisoning tapi memiliki dua kerugian besar :
-
- Ini akan membuat pekerjaan lebih banyak pada administrator dan ini tidak sesuai pada lingkungan dimana user seringkali memindahkan laptopnya
Ini tidak melindungi tipe serangan ARP lainnya seperti pencurian port.
Kembali ke bagian atas halaman
________________________________________
2. Aplikasi pengawasan
Arpwatch
Arpwatch adalah aplikasi untuk memonitor aktifitas ARP pada jaringan dan secara khusus jika sebuah perubahan terjadi pada alamat MAC � IP yang berasosiasi. Untuk alasan ini, akan sangat menolong mendeteksi serangan ARP seperti ARP Spoofing dan bisa memperingatkan administrator lewat email pada kasus-kasus aktifitas ARP yang mencurigakan (sebagaimana sebuah flip-flop pada Arpwatch).
#apt-get install arpwatch
Secara default, Arpwatch mengirim lognya pada file /var/log/syslog, anda bisa menggunakan perintah �tail /var/log/syslog� untuk mengecek log secara real time.
Ettercap
Install Ettercap in graphical mode.
#apt-get install ettercap-gtk
Pasang Ettercap dengan mode grafis.
#ettercap -G
Sniff -> Unified sniffing...
Plugins -> Manage the plugins
Klik pada plugin arp_corp untuk mengaktifkan.
Start -> Start Sniffing
Snort IDS
Sebuah Sistem Pendeteteksi Gangguan seperti Snort IDS bisa mendeteksi aktifitas ARP yang tidak normal dan mengirim email untuk memberitahu administrator.
Kembali ke bagian atas halaman
________________________________________
3. PORT KEAMANAN
Port keamanan adalah sebuah fungsi keamanan yang tersedia pada beberapa switch tingkat tinggi.
Ini hanya akan mengizinkan perangkat dengan alamat MAC yang sudah pasti untuk terkoneksi ke port switch, dan dalam kasus mesin tidak dikenali, switch akan mengambil aksi memperingatkan administrator dengan perangkap SNMP atau mematikan port yang salah secepatnya.
Dibawah ini adalah contoh dengan switch Cisco dimana port pertama (FastEthernet0/1) dikonfigurasi sebagao port-keamanan.
Port switch hanya akan menerima alamat MAC yang unik dan alamat MAC akan pertama terlihat oleh port switch (kata kunci utama). Jika port switch melihat alamat MAC lain pada port pertama maka akan segerea dimatikan.
Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security violation shutdown
Setelah konfigurasi switch, kami memasukkan sebuah peralatan dengan alamat MAC 1122.3344.5566 pada FastEthernet0/1, yang tidak akan menerima lagi alamat MAC yang lain.
Switch# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa1/0/1 1 1 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272
Switch# show port-security interface FastEthernet 0/1
Port Security
Port Status
Violation Mode
Aging Time
Aging Type
SecureStatic Address Aging
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
Security Violation Count :
:
:
:
:
:
:
:
:
:
:
: Enabled
Secure-up
Shutdown
0 mins
Absolute
Disabled
1
1
0
1
1122.3344.5566:1
0
Switch#show port-security address
Secure Mac Address Table
----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 1122.3344.5566 SecureSticky Fa0/1 -
----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272
Kami mengeluarkan peralatan sekarang (MAC: 1122.3344.5566) dan memasukkan peralatan lain (MAC: 1122.3344.9999). Sebagaimana terlihat berikut ini, switch akan mematikan port pertama dan menggantinya dengan status err-disable.
Switch# show port-security interface FastEthernet 0/1
Port Security
Port Status
Violation Mode
Aging Time
Aging Type
SecureStatic Address Aging
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
Security Violation Count :
:
:
:
:
:
:
:
:
:
:
: Enabled
Secure-down
Shutdown
0 mins
Absolute
Disabled
1
1
0
1
1122.3344.9999:1
0
Switch#show logging
00:06:28:
00:06:28
00:06:29:
00:06:30: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1122.3344.9999 on port FastEthernet0/1.
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
Switch#show interfaces status | include 0/1
Port
-------
Fa0/1 Name
------------------
Status
------------
err-disabled Vlan
--------
1 Duplex
------
auto Speed
-------
auto Type
----
10/100BaseTX
Jika anda akan mengaktifkan lagi port yang dalam keadaan err-disable, gunakan perintah berikut:
Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
Aktifasi Port-keamanan tidak akan melindungi ARP spoofing tetapi kemungkinan dari pembajak untuk terhubung ke jaringan.
________________________________________
4. KESIMPULAN
Tidak ada penyelesaian yang hebat untuk melawan ARP Spoofing tapi saran-saran dibawah menyediakan penyelesaian yang signifikan untuk melindungi pembajak terhubung ke jaringan atau mengecek jaringan anda.
-
- Pembatasan jaringan dengan port keamanan atau juga dengan 802.1x protocol dimana mesin diberi hak pada jaringan hanya jika diterima oleh server otentikasi seperti RADIUS.
Pengawasan jaringan dengan aplikasi seperti IDS.
Caller ID Spoofing
Caller ID spoofing merupakan suatu teknik yang digunakan ketika menelopon dimana nomor yang muncul dalam layar penerima telepon berbeda dengan nomor penelpon sebenarnya. Alasannya bisa jadi sama ketika memilih menyembunyikan nomor kita saat menelpon karena kita tidak ingin penerima telepon mengetahui nomor yang digunakan, atau bisa saja untuk menakut-nakuti teman kita bahwa nomor penelpon adalah 0866 atau 0666 terkait isu yang banyak terdengar belakangan ini.
Wahyu Wijanarko dalam blognya menceritakan bagaimana dia mempraktekkan penggunaan teknik caller ID spoofing ini sehingga nomor yang dia gunakan akan nampak +6666 pada layar telepon penerimanya. Maksud ceritanya adalah bahwa ketika menerima telepon atau SMS dari nomor yang mungkin mengandung 666 atau nomor lainnya, memang dimungkinkan, dan itu dapat dilakukan dengan pemanfaatan teknologi.
Lepas dari masalah caller id spoofing, kemarin adik ipar saya mendapati bahwa dalam handphone LG Shine-nya tiba-tiba muncul gambar amplop berwarna merah. Kontan saja ¨Ckarena isu yang dia dengar belakangan ini, dia ketakutan dan tidak mau membuka lebih lanjut. Menurutnya, biasanya gambar amplop yang muncul berwarna putih yang menandakan SMS masuk. Kemudian handphone tersebut saya ambil, memang benar ada gambar amplop berwarna merah di situ, saya buka kotak pesan dan tidak ada satu pun SMS baru atau SMS aneh. Googling, saya menemukan kasus serupa di luar sana yang ditulis awal tahun ini, dan ada penyelesaiannya: hapus sebagian pesan yang tersimpan karena kemungkinan jumlah pesan mencapai 300 (inbox, outbox dan mungkin draft).
dikutip dari: http://maseko.com/2008/05/13/caller-id-spoofing/#more-858
lanjutann....
Telepon dari Nomor "+6666¡å Bohong, Ternyata Ada Triknya
Membaca pemberitaan di Detikinet, tentang orang-orang yang panik, dan ada yang pingsan membaca SMS tersebut.
Pada pagi tadi ada temen saya yang melaporin kalau ada temennya yang ditelepon dari nomor +6666 (cuma 4 digit saja), sehingga membuat temen (FN) tersebut dag-dig-dug. Saya akhirnya agak berdebat dengan temen saya. Saya bilang sama FN itu kalau namanya SMS maupun telepon itu bisa di-spoof alias pengirim SMS atau penelepon nomernya bisa diganti sesuka kita dengan menggunakan jasa Spoof Caller, yang banyak beredar di internet.
Saya soalnya ingat betul pernah baca tentang ini namun belum pernah mencoba, waktu itu saya baca berita di tahun 2006 Paris Hilton pernah kena kasus membuka voice mail orang lain yang menggunakan autentikasi dengan mengganti caller ID dengan nomor pemilik voice mail tersebut.
Saking berdebatnya, akhirnya saya membeli voucher Spoof Card dari salah satu provider di internet yang harganya USD 10, yang bisa digunakan untuk menelepon selama 60 menit. Setelah dapat PIN voucher, saya memasukkan nomor HP saya (+6281215xxxxx), lalu memasukkan nomer HP FH yang mau saya telepon (+628118xxxxx) lalu saya memasukkan "Number to display on Caller ID", di situ angka yang saya masukkan adalah "+6666¡å (pura-puranya angka setan). Cara kerjanya sebenarnya mirip dengan penggunaan kartu VOIP.
Setelah form saya submit, server call spoofer ini menelepon ke HP saya, lalu saya angkat dan saya diminta oleh suara mesin untuk melakukan tekan angka "1¡å di HP saya untuk memulai call ke FH. setelah beberapa saat terdengar nada panggil dan setelah kami sama-sama cek ke HP-nya FH, terlihat di situ kalau yang menelepon adalah "+6666¡å. Nah lo? Namun saya mencoba di HP temen saya yang satu, munculnya unknown number (jadi kami simpulkan hasil bervariasi tergantung nomor HP)
Untuk mencegah adanya keisengan yang tidak diinginkan, saya tidak memberikan link ke provider yang saya gunakan tersebut. Pembaca bisa mencari banyak sekali provider di Google dengan kata kunci "call spoofing". Namun yang baru saja saya coba, cuma ada beberapa saja yang support bisa spoof telepon ke Indonesia
Saya kira wajar saja kalau orang sehabis di-SMS mengenai angka "66¡å setan tersebut, apabila ada temennya yang iseng mengerjain spoofing call pakai nomor "+6666¡å (contoh saja), akhirnya jantungan dan pingsan, atau bisa berakibat fatal dan sampai meninggal karena saking kagetnya. Bagaimana kalau mengerjai dengan call spoof seolah-olah dari boss, atau bahkan mungkin dari nomor HP pejabat, atau presiden?
Mohon nurani pembaca untuk dikembalikan sebagaimana mestinya, agar pengetahuan ini tidak digunakan untuk hal-hal yang tidak diinginkan, dan diharapkan tulisan saya ini bisa membantu agar masyarakat tidak terpancing dan panik dengan hal-hal seperti ini.
*) Catatan: baru berhasil saya coba memakai provider Telkomsel
Latar Belakang
Protokol dasar untuk mengirim data melalui jaringan Internet dan banyak jaringan komputer yang lain adalah Internet Protocol ("IP"). Header setiap paket IP berisi, antara lain, numerik sumber dan alamat tujuan paket. Alamat sumber biasanya alamat yang paket itu dikirim dari.Dengan memalsukan header sehingga berisi alamat yang berbeda, penyerang bisa membuatnya tampak bahwa paket itu dikirim oleh mesin yang berbeda. Mesin yang menerima paket palsu akan mengirim respon kembali ke alamat sumber palsu, yang berarti bahwa teknik ini dipakai terutama saat penyerang tidak peduli tentang tanggapan atau penyerang memiliki beberapa cara menebak respon.
Dalam kasus-kasus tertentu, mungkin akan mungkin bagi penyerang untuk melihat atau mengarahkan respon terhadap mesin sendiri. Kasus yang paling biasa adalah ketika penyerang spoofing alamat yang sama pada LAN atau WAN. Maka penyerang memiliki akses yang tidak sah atas komputer.
[sunting]Aplikasi
IP spoofing yang paling sering digunakan dalam -of-service serangan penolakan. Dalam serangan tersebut, tujuannya adalah untuk banjir korban dengan jumlah besar lalu lintas, dan penyerang tidak peduli menerima tanggapan terhadap paket serangan. Paket dengan alamat palsu demikian cocok untuk serangan tersebut. Mereka memiliki keuntungan tambahan untuk tujuan ini-mereka lebih sulit untuk menyaring karena masing-masing paket palsu tampaknya berasal dari alamat yang berbeda, dan mereka menyembunyikan sumber sebenarnya dari serangan itu. Penolakan serangan layanan yang menggunakan spoofing biasanya secara acak memilih alamat dari ruang alamat IP, spoofing mekanisme lebih canggih meskipun mungkin menghindari alamat unroutable atau bagian-bagian yang tidak terpakai dari ruang alamat IP.Proliferasi besar botnet membuat spoofing kurang penting dalam serangan denial of service, tetapi penyerang biasanya memiliki spoofing tersedia sebagai alat, jika mereka ingin menggunakannya, jadi pertahanan terhadap-of-service serangan penolakan yang mengandalkan validitas sumber IP alamat dalam paket serangan mungkin akan kesulitan dengan paket palsu. Backscatter, suatu teknik yang digunakan untuk mengamati serangan denial-aktivitas layanan di Internet, bergantung pada 'penggunaan penyerang spoofing IP untuk efektivitasnya.
IP spoofing juga dapat menjadi metode serangan yang digunakan oleh penyusup jaringan untuk mengalahkan langkah-langkah keamanan jaringan, seperti otentikasi berdasarkan alamat IP. Metode serangan terhadap sistem remote bisa menjadi sangat sulit, karena melibatkan memodifikasi ribuan paket pada suatu waktu. Jenis serangan yang paling efektif dimana hubungan kepercayaan ada di antara mesin.Sebagai contoh, sudah umum pada beberapa jaringan perusahaan untuk memiliki sistem internal yang saling percaya, sehingga pengguna dapat login tanpa username atau password asalkan mereka menghubungkan dari komputer lain pada jaringan internal (dan harus sudah login). Dengan spoofing koneksi dari mesin terpercaya, penyerang mungkin dapat mengakses mesin target tanpa otentikasi sebuah.
[sunting]Layanan rentan terhadap IP spoofing
Konfigurasi dan layanan yang rentan terhadap spoofing IP:
RPC (Remote Procedure Call jasa)
Setiap layanan yang menggunakan otentikasi alamat IP
The X Window System
R layanan suite (rlogin, rsh, dll)
[sunting]Pertahanan melawan spoofing
Packet filtering adalah salah satu pertahanan terhadap serangan IP spoofing. Gateway ke jaringan biasanya melakukan ingress filtering, yang menghalangi dari paket-paket dari luar jaringan dengan alamat sumber di dalam jaringan. Hal ini mencegah penyerang luar spoofing alamat dari mesin internal. Idealnya gateway juga akan melakukan egress filtering pada paket keluar, yang memblokir paket dari dalam jaringan dengan alamat sumber yang tidak dalam. Hal ini mencegah penyerang dalam jaringan melakukan penyaringan dari IP meluncurkan serangan spoofing terhadap mesin eksternal.
Hal ini juga dianjurkan untuk merancang protokol jaringan dan layanan sehingga mereka tidak bergantung pada sumber alamat IP untuk otentikasi.
[sunting]Lapisan atas
Beberapa protokol lapisan atas memberikan pertahanan mereka sendiri terhadap IP spoofing. Misalnya, Transmission Control Protocol (TCP) menggunakan nomor urutan dinegosiasikan dengan mesin remote untuk memastikan bahwa paket yang datang merupakan bagian dari koneksi yang mapan. Sejak penyerang biasanya tidak bisa melihat paket reply, nomor urutan harus ditebak dalam rangka untuk membajak koneksi. Pelaksanaan miskin di banyak sistem operasi yang lebih tua dan perangkat jaringan, bagaimanapun, berarti bahwa TCP nomor urut dapat diprediksi.
[sunting]Definisi lain
Istilah spoofing juga kadang digunakan untuk merujuk kepada pemalsuan header, penyisipan atau menyesatkan informasi palsu di e-mailatau netnews header. header dipalsukan yang digunakan untuk menyesatkan penerima, atau aplikasi jaringan, seperti untuk asal pesan. Ini adalah teknik umum spammer dan sporgers, yang ingin menyembunyikan asal usul pesan mereka untuk menghindari dilacak.
Tutorial : Mendeteksi Serangan ARP Poisoning / Spoofing
June 8th, 2010 in Uncategorized by Hafidz cahyo utomo
1. Pengertian ARP
Address Resolution Protocol (ARP) adalah sebuah protokol dalam TCP/IP Protocol yang digunakan untuk melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC Address).
Ketika computer kita mencoba untuk mengakses komputer lain dengan menggunakan alamat IP, maka alamat IP yang dimiliki oleh computer yang dituju harus diterjemahkan terlebih dahulu ke dalam MAC Address agar frame-frame data dapat diteruskan ke tujuan dan diletakkan di atas media transmisi, setelah diproses terlebih dahulu oleh Network Interface Card (NIC). Hal ini dikarenakan NIC beroperasi dengan menggunakan alamat fisik daripada menggunakan alamat logis (alamat IP) untuk melakukan komunikasi data dalam jaringan.
Jika memang alamat yang dituju berada di luar jaringan lokal, maka ARP akan mencoba untuk mendapatkanMAC address dari antarmuka router lokal yang menghubungkan jaringan lokal ke luar jaringan (di mana komputer yang dituju berada).
Komputer Anda akan menyimpan ARP broadcast request ini kedalam ARP cache. ARP cache ini akan disimpan di RAM dan besifat sementara. ARP cache ini berisi tabel IP host serta phisical address komputer. ARP cache akan bertambah jika ARP Request mendapat jawaban. Anda dapat melihat ARP cache anda dengan mengetik “arp -a” pada CMD. Anda dapat menghapus ARP cache anda dengan mengetik “arp -d
2. ARP Poisoning / Spoofing
Ancaman keamanan muncul ketika ada upaya manipulasi terhadap pengalamatan nomor IP dan MAC address. Proses ini biasa disebut dengan istilah ARP spoofing atau ARP poisoning.
Dengan ARP Poisoning Anda dapat memanipulasi lalu lintas data dari klien target agar semua paket-paket data klien target melalui komputer anda terlebih dahulu. Mengapa proses ini bisa terjadi? proses ini dapat terjadi Karena computer anda akan memberi tahu kepada klien target bahwa MAC address komputer (hardware) anda adalah MAC dari komputer server/gateway. Kemudian komputer anda juga akan memberi tahu kepada komputer server/gateway (computer yang dituju klien taget) bahwa MAC address dari klien target adalah MAC address dari computer anda sendiri (sebagai penyerang). Serangan semacam ini disebut dengan Men-in-the-Middle (MITM).
Dengan tipe serangan semacam ini penyerang dapat menyadap semua paket data yang dikirimkan oleh klien target ke server/gateway. MITM ini dapat digunakan untuk mencuri akun (username dan password) dari klien target (komputer target). Sebenarnya banyak tool/aplikasi yang dapat digunakan untuk melakukan ARP poisoning seperti ettercap, cain and abel dll. Berikut ini adalah hasil dari ARP Poisoning dengan Ettercap-ng :
Setelah Scanning, penyerang akan memilih target serangan.
Memulai serangan MITM
Jika Serangan MITM berhasil, maka akan ada peringatan bahwa MITM berhasil
Mendapatkan username dan password dari target
.ARP penyerang saat serangan dan ARP setalah serangan dihentikan
3. Mendeteksi ARP Poisoning
Ada beragam cara untuk mendeteksi ARP Poisoning ini. Pertama, dengan mengecek ARP secara manual dengan mengetik ‘arp’ pada cmd di windows. Untuk memberikan static ARP Anda bisa menuliskan ‘arp -s IP addr. MAC addr.’. Namun dengan cara ini terasa ribet.
Ada alternative lain untuk mendeteksi ARP Poisoning yaitu dengan menggunakan software, seperti ARPwatch, Snort, DecaffeinatID, ARPdetective dll.
Dalam artikel ini saya hanya membahas DecaffeinatID. DecaffeinatID merupakan sebuah aplikasi sederhana yang mampu digunakan sebagai IDS (Intrusion Detection System). Aplikasi ini mampu memberikan peringatan jika terjadi manipulasi protokal ARP pada jaringan Anda.
Jika terjadi perubahan pada MAC Add dari IP gateway, maka aplikasi ini akan segera memberi peringatan seperti di atas.
Aplikasi ini akan menyimpan semua notifikasi di file idslog.txt yang tersimpan di direktori dimana aplikasi ini dijalankan.
Selain menyimpan notifikasi, aplikasi ini juga memiliki feature lain untuk membaca Windows firewall log (jika ada).
DecaffeinatID ini memiliki ukuran file yang sangat kecil, kurang dari 1 MB. Aplikasi ini merupakan freeware (gratis) dan dapat dijalankan di SO Windows XP SP2, Vista, maupun windows 7.
Privasi adalah hak bagi setiap manusia. Dengan mendeteksi dan mencegah serangan ARP Poisoning ini, sama saja dengan menjaga privasi diri sendiri dari tangan-tangan jail yang tidak bertanggung jawab.
WASPADALAH… WASPADALAH… (Bang Napi : mode ON)
Referensi :
http://www.irongeek.com/i.php?page=security/decaffeinatid-simple-ids-arpwatch-for-windows
http://id.wikipedia.org/wiki/Address_Resolution_Protocol
