Cara Mencegah IP Spoofing

Ada beberapa langkah pencegahan yang dapat kita lakuakan untuk membatasi resiko dari IP spoofing dalam jaringan, antara lain :
Memasang Filter di Router – dengan memanfaatkan ”ingress dan engress filtering” pada router merupakan langkah pertama dalam mempertahankan diri dari spoofing. Kita dapat memanfaatkan ACL(acces control list) untuk memblok alamat IP privat di dalam jaringan untuk downstream. Dilakukan dengan cara mengkonfigurasi router-router agar menahan paket-paket yang datang dengan alamat sumber paket yang tidak legal (illegitimate).
Teknik semacam ini membutuhkan router dengan sumber daya yang cukup untuk memeriksa alamat
sumber setiap paket dan memiliki knowledge yang cukup besar agar dapat membedakan antara alamat yang legal dan yang tidak.
Enkripsi dan Authentifikasi – kita juga dapat mengatasi IP spoofing dengan mengimplementasi kan authentifikasi dan enkripsi data. Kedua fitur ini sudah digunakan pada Ipv6. Selanjutnya kita harus mengeliminasi semua authentikasi berdasarkan host, yang di gunakan pada komputer dengan subnet yang sama.
Pastikan authentifikasi di lakukan pada sebuah jalur yang aman dalam hal ini jalur yang sudah di enkripsi.
1. Gunakan authentifikasi berbasis exchange key antara komputer dalam jaringan, seperti IPsec akan menurunkan resiko jaringan terserang spoofing.
2. Gunakan daftar access control untuk menolak alamat IP privat dalam downsteram interface.
3. Gunakan filter pada aliran inbound dan outbound .
4. Konfigurasi router dan switch dengan sedemikian rupa sehingga dapat menolak paket dari luar network yang mengaku sebagai paket yang berasal dari dalam network.
5. Aktifkan enkripsi session di router sehingga trusted host yang berasal dari luar jaringan anda dapat berkomunikasi dengan aman ke local host anda.

Jenis Serangan IP Spoofing

Ada beberapa variasi dalam serangan yang menggunakan IP spoofing. Walaupun beberapa teknik sudah termasuk teknik lama, beberapa teknik yang lain masih sangat perlu di perhatikan untuk keamanan jaringan saat ini.

Non-Blind Spoofing
Tipe serangan ini biasanya terjadi jika korban berada dalam satu subnet jaringan yang sama. Dengan dalam satu jaringan yang sama kita dapat melakukan sniffing nomor sequence dan acknowledgement, hal in menghilangkan kesulitan dalam menghitung nomor sequence dan acknowledgement. Ancaman terbesar dari teknik Non-Blind Spoofing ini adalah dapat terjadinya session hijacking. Hal ini dapat di lakukan dengan mengexploitasi datastream dari koneksi yang ada, kemudian membentuk kembali koneksi tersebut dengan nomor sequence dan
acknowledgement yang sesuai dengan komputer target. Dengan menggunakan teknik ini kita dapat memotong authentikasi yang dilakukan untuk membentuk koneksi ke komputer target.

Blind Spoofing
Pada Blind Spoofing serangan yang di lakukan akan lebih sulit untuk di laksanakan karena angka sequence dan acknowledgement tidak dapat di snifing karena tidak dalam satu subnet. Untuk memperoleh angka sequence dan acknowledgement beberapa paket di kirimkan ke komputer target untuk melakukan sampling terhadap angka sequence. Dulu komputer secara otomatis
akan membentuk angka yang berurutan. Dan dengan hanya melakukan sampling pada beberapa paket data kita dapat memperkirakan formula yang di gunakan untuk membentuk angka sequence dan acknowledgement.

Contoh proses perkiraan sequence number :

14:18:26.507560 apollo.999 > osiris.514: S 1382726991:1382726991(0)
14:18:26.694691 osiris.514 > apollo.999: S 2021952000:2021952000(0) ack
1382726992
14:18:26.775037 apollo.999 > osiris.514: R 1382726992:1382726992(0)
14:18:27.014050 apollo.998 > osiris.514: S 1382726992:1382726992(0)
14:18:27.174846 osiris.514 > apollo.998: S 2022080000:2022080000(0) ack
1382726993
14:18:27.251840 apollo.998 > osiris.514: R 1382726993:1382726993(0)
14:18:27.544069 apollo.997 > osiris.514: S 1382726993:1382726993(0)
14:18:27.714932 osiris.514 > apollo.997: S 2022208000:2022208000(0) ack
1382726994
14:18:27.794456 apollo.997 > osiris.514: R 1382726994:1382726994(0)
14:18:28.054114 apollo.996 > osiris.514: S 1382726994:1382726994(0)
14:18:28.224935 osiris.514 > apollo.996: S 2022336000:2022336000(0) ack
1382726995
14:18:28.305578 apollo.996 > osiris.514: R 1382726995:1382726995(0)
...
14:18:35.735077 apollo.981 > osiris.514: S 1382727009:1382727009(0)
14:18:35.905684 osiris.514 > apollo.981: S 2024256000:2024256000(0) ack
1382727010
14:18:35.983078 apollo.981 > osiris.514: R 1382727010:1382727010(0)
Dari sequence number di atas dapat di tebak pola dari sequence number nya
ISNi+1 = ISNi + 128000

Man In the Middle Attack
Pada tipe serangan ini sebuah komputer memotong jalur komunikasi dari dua komputer yang terhubung, kemudian mengontrol alur komunikasi dan dapat menghapus dabn membuat informasi yang di kirim dari salah satu komputer yang terhubung tadi tanpa diketahui oleh keduanya. Denga cara ini, kita dapat mengelabuhi target dengan mengirim inforamasi yang seolah olah datangnya
dari komputer yang “dipercaya” oleh target.

Denial of Service Attack
Ip spoofing sering kali di gunakan untuk melakukan denial of service, atau DoS. Dalam hal ini kita hanya ingin menghabiskan bandwidth dan resource, tidak memikirkan tentang penyelesaian handshakes dan transaksi yang di lakukan. Tujuannya untuk membanjiri korban dengan paket sebanyak banyak nya dalam waktu yang singkat.

Konsep Dasar IP Spoofing

Pengertian IP Spoofing
Ip Spoofing adalah sebuah teknik untuk membuat untrusted host terlihat seperti trusted host dalam sebuah jaringan. Hal ini terjadi karena crackers merubah IP address host tersebut sehingga menyerupai trusted host. Dengan kata lain penyusup menipu host dalam jaringan sehingga penyusup tersebut tidak perlu melakukan autentikasi untuk dapat terhubung dengan jaringan lokal.

Sejarah IP Spoofing
Konsep dari IP spoofing sendiri sudah mengemuka di kalangan akademik sejak tahun 1980 an. Pada awalnya hanya merupakan sebuah teori sampai akhirnya Robert Morris menemukan celah keamanan pada protokol TCP yang di kenal dengan “sequence prediction”. Stephen Bellovin juga mengemukakan permasalahan ini lebih mendalam pada sebuah paper yang berjudul “Security
Problems in the TCP/Ip Protocol Suite”. Serangan “Cristmas Day” yang di lakukan di lakukan oleh Kevin Mitnick ke komputer Tsutomu Shimomura juga menggunakan IP Spoofing dan TCP sequence prediction. Teknik spoofing masih merupakan pilihan utama untuk melakukan exploitasi jaringan dan harus benar benar di perhatikan oleh seorang administrator jaringan.

Konsep dan Teknik IP Spoofing
Protokol yang di gunakan pada pengiriman data di internet dan banyak jaringan komputer adalah Internet Protocol(“IP”). Header dari masing masing paket IP terdiri dari datanumerik dan alamat tujuan dari paket yang akan di kirimkan. Alamat sumber di gunakan untuk memberi tahu dari mana sebuah paket itu di kirimkan. Dengan mengubah header IP di bagian “source addres” nya seorang
cracker dapat menipu seakan akan sebuah paket di kirim dari komputer yang lain. Dan komputer tujuan (“destiation addres”) yang menerima paket yang telah di modifikasi tadi akan mengirimkan respon balik ke “source addres” palsu yang telah di modifikasi oleh cracker, dengan demikian konsekuensinya teknik ini digunakan jika cracker tersebut tidak menghiraukan respon dari komputer tujuan, atau sudah mempunyai sebuah metode untuk menebak respon apa yang
akan terjadi.
Pada beberapa kasus, cracker dapat melihat atau me redirect respon dari komputer tujuan ke komputernya sendiri. Kebanyakan kasus IP spoofing terjadi pada jaringan yang sama baik LAN atau WAN.

Teknik Pelaksanaan IP spoofing
Untuk memahami secara lengkap bagaimana serangan IP spoofing di laksanakan, kita harus memahami struktur dari protokol TCP/IP. Pemahaman yang baik mengenai heder dan pertukaran jaringan menjadi bagian penting dalam pelaksanaan IP spoofing.

Internet Protocol – IP
Internet Protocol (IP) adalah protokol jaringan yang bekerja di layer ke tiga(network) dari model OSI. Menggunakan “connectionless model” artinya tidak ada informasi mengenai state transaksi, yang digunakan untuk mengantarkan paket dalam sebuah jaringan. Juga tidak ada metode yang dapat memastikan bahwa paket yang di kirimkan sampai ke tujuan dengan sempurna.

Transmission Control Protocol – TCP
Tidak seperti IP, TCP menggunakan connection-oriented design. Artinya dua komputer yang ingin terhubung dengan TCP harus membuat koneksi terlebih dahulu melalui tiga cara handshake (SYN-SYN/ACK-ACK) – lalu mengupdate progress masing masing melalui sederetan acknowledgements. Dengan komunikasi yang seperti ini dapat memastikan reliability data, karena pengirim menerima sinyal OK dari penerima untuk setiap paket yang di terima.



Sama seperti datagram IP, paket TCP juga dapat di manipulasi dengan menggunakan software. Sumber dan port tujuan biasanya tergantung pada aplikasi network yang di gunakan misalnya HTTP menggunakan port 80. bagian yang paling pentung untuk memahami spoofing adalah sequence
dan acknlowledgement number. Data yang ada di filed ini memastikan paket di sampaikan ke tujuan dan dapat menentukan apakah paket harus di kirim ulang atau tidak. Sequence number adalah angka yang terdapat pada byte pertama pada sebuah paket yang berhubungan dengan stream data. Acknowledgement number adalah angka selanjutnya dari sequence number. Dengan adanya
sequence number dan acknowledgement number ini dapat di pastikan paket yang diterima adalah paket yang benar dan berurutan.

Konsekuensi dari desain TCP/IP
Setelah kita memahami konsep dari TCP/IP sekarang kita dapat memeriksa kelemahan dari desain ini. Seperti yang kit ketahui untuk mengganti source address dengan memanipulasi header IP. Teknik ini digunakan untuk memanipulasi alamat pengirim yang merupakan bagian terpenting dari IP spoofing. Sementara pada TCP kita dapat memprediksikan sequence number yang dapat di gunakan untuk melakukan session hijacking atau mengexploitasi host.

Mencegah NetCut

Koneksi anda putus secara tiba-tiba dan tidak anda saja yang mengalami seperti itu tetapi koneksi teman anda juga mengalami connection lost mungkin itu bisa jadi serangan dari netcut!!,, Secara umum netcut adalah tools yang digunakan untuk memanage bandwith di dalam sebuah jaringan, bisa dibilang untuk mengamankan jaringan. namun akan berbeda jika netcut digunakan oleh orang-orang jail dan serakah yang ingin mendapatkan koneksi luar biasa dengan cara memutuskan koneksi user lain. cara kerja dari program netcut ini adalah melisting jaringan anda dimana akan tampil ip addres, Hostname, dan mac addres user yang sedang online. disinilah para attacker dengan sangat mudah mengattack anda di dalam jaringan. untuk mencegah atau menghindari serangan yang dilancarkan oleh pengguna netcut baik dalam jaringan warnet maupun hotspot caranya adalah sebagai berikut :

1. Check apakah terdapat ARP (Address Resolution Protocol)

- buka cmd (command prompt) pada run
- ketik arp -a, tujuanya adalah untuk meilhat ip router. seharusnya akan tampil 1 ip router, jika terlihat lebih dari satu maka ubah niat anda untuk membuka web-web penting dan protokol yang tidak encrypt seperti FTP dan HTTP login untuk menghindari MITM / Man In The Middle Attack.
- untuk mengidentifikasi arp ip yang muncul ketikan perintah, tracert domain.com

2. Ubah alamat ip Addres

karena netcut melisting ip addres di dalam jaringan, maka kamu harus mengganti alamat ip. saran saya ubah kedekat dengan ip server atau gateway untuk mengelabui si attacker netcut.

3. Matikan layanan workstation.

- Run, kemudian ketik services.msc
- cari layanan workstation
- jika sudah ketemu, klik kanan, properties, klik tombol stop

4. Ganti hostname atau nama komputer anda.

hostname yang tervisible sangat rentan sekali untuk diserang, oleh karena itu disarankan untuk mengganti dengan hostname yang dekat dengan kepentingan jaringan.

5. bisa menggunakan software bantu/Penangkal.

cari software anti NetCut atau Anti Arp, sebelum berselancar untuk pertama kali menghidupkan wifi anda pastikan Anti NetCut atau AntiARP anda telah aktif.

6. serang balik si attacker.

karena si pengguna netcut ini sebagai gateway, banjiri komputer dia dengan ping secara terus menerus dengan mengetikan "ping google.com -t" pada cmd (command prompt) run. cara ini akan membuat komputer pengguna netcut hang.

7. Gerak-gerik pengguna NetCut

Kalau tiba2 koneksi putus secara aneh atau serentak seluruh user tanpa ada warning dari pihak Admin CAFENET coba kamu perhatikan salah satu user yg terlihat santai dan masih tetap online dengan lancar, kemungkinan itu pengguna netcut (diharapkan untuk saling mengingatkan untuk tidak saling merugikan sesama users).


cara diatas merupakan cara yang sederhana untuk menghindari serangan pengguna netcut.

Apa Itu IP Spoofing?

IP Spoofing juga dikenal sebagai Source Address Spoofing, yaitu pemalsuan alamat IP attacker sehingga
sasaran menganggap alamat IP attacker adalah alamat IP dari host di dalam network bukan dari luar
network.

Solusi untuk mencegah IP spoofing adalah
1. Mengamankan packet-packet yang ditransmisikan
dan memasang screening policies.
2. Enkripsi Point-to-point juga dapat mencegah user yang tidak mempunyai hak untuk membaca data/packet.
3. Autentikasi dapat juga digunakan untuk menyaring source yang legal dan bukan source yang sudah di spoof oleh attacker.
4. Dalam pencegahan yang lain,
Admininistrator dapat menggunakan signature untuk paket-paket yang berkomunikasi dalam networknya
sehingga meyakinkan bahwa paket tersebut tidak diubah dalam perjalanan.

DDoS (Distributed Denial of Service) Patterns

DNS aplification attack is one of known DDoS (Distributed Denial of Service) patterns. This attack targets a DNS server which is one of the biggest internet core insfratructure. This attack exploits fact that DNS using UDP as its transport protocol. UDP simplicity allows packet to be so small, thus can be transferred in very short time. However, in turn, security become one of its weak aspect. Having no such authentication procedure as three-way handshake, known in TCP, causes the UDP can not assure the actual host that really send the packet, thus make it vulnerable to such attack. Basically, there are two attacking strategies. The first is to send a massive request simultaneously towards DNS servers. This strategy will overload the server and its network traffic. The second strategy is to exploit DNS server as a bouncer. The attacker will keep sending massive request, however, along with spoofed source IP address. This strategy prevents responses to be sent back to the attacker, however to another host which will be the next victim. The effect will be amplified since the response is much larger than the initial request. In this kind of attack, both the server and the victim, and its network traffic would be down and overloaded. This final project implements a software which detects IP spoofing and prevents any efforts in amplifying the attacking effect. The software will be installed in network gateway acting as a thin layer between clients and the server. The software applies two basic schemes to protect the server from the attack. These schemes are UDP-based, which runs on ordinary DNS protocol, and cookie exchange procedure that introduce an extension in DNS protocol.

Mencegah Netcut

NetCut apa sih? NetCut adalah sebuah program yang dapat memblokir akses internet dari suatu LAN atau wifi. Nampaknya cara kerjanya adalah seperti berikut. NetCut dipasang di komputer Anda sebagai salah satu client di jaringan. Kemudian program tersebut mengescan semua IP(atau Mac Address?) yang terhubung ke jaringan tersebut(entah itu LAN atau WIFI). Kemudian, semua IP/Mac Address lain yang terhubung dengan jaringan tersebut diblok pengiriman paketnya, sehingga hanya komputer client yang dipasangi netcut lah yang mampu receive dan send request paket(baca: pakai internet).

Kalau anda lagi hotspotan di warung makan atau di jaringan wifi tertentu atau lagi di kosan sendiri, trus Anda merasa koneksi lemot? Jangan langsung menyalahkan ISP nya. Sapa tahu kalian kena kutukan netcut gandring. Mungkin ada client dari hotspot tersebut yang iseng dengan menggunakan netcut.

Udah lah gak usah macem-macem pake netcut, udah banyak orang yang mengutuk-ngutuk keris empu gandring ini. Ada yang mau berantem lah, ada yang mau marah-marah lah, ato ada yang esmosi sendiri, seperti saya ini.

Netcut empu gandring ini emang udah di guna-guna sama empunya buat bisa menjahili orang. Tapi buat apa? kita hidup bersosialisasi toh? Apalagi kalau kalian ada di lingkungan kos-kosan(kebanyakan orang yang masuk dalam kehidupan netcut anak kosan, biar bandwith nya lebar). Kalau kalian udah dicap orang yang pakai netcut, siap-siap aja Kalian akan jadi kambing hitam setiap kali ada koneksi putus atau lambat!! Berikut beberapa tips buat mencegah netcut:

• Ganti IP address Anda ketika merasa dijahili(temporary sih :p). Dulu pake IP dinamik, pantes gak dapet-dapet, trus pake statik sempet konek, eh berikut-berikutnya kena juga. netcut deemn!!
• Ganti Mac Address
• Pake Anti NetCut
• Jangan mulai-mulai balas dendam atau kepincut ama netcut, “jangan dekati barang haram pemicu esmosi” .
• Gunakan pendekatan kekeluargaan, apalagi kita anak kos, mari kita adakan musyawarah besar bersama teman-teman kita dengan tajuk: “hentikan penggunaan netcut, hidup damai bersama” cih.. anak-anak yang gak tau diri
• Jika router jaringan LAN disimpan di kamar Anda, Gunakan pendekatan kejam, cabut kabel LAN yang terhubung dengan komputer client yang dicurigai menjadi biang kerok netcut

What Is The Ettercap ?

1. Introduction

Apakah DOS attack sudah mati? SYN Flood mungkin sudah, Ping of Death mungkin sudah. Tapi yang satu ini masih belum. Ya, ettercap DOS attack.

Ettercap adalah sebuah program yang ditujukan sebagai sebuah sniffer, tetapi dalam perkembangannya justru mendapatkan tambahan fitur-fitur ke arah “man in the middle attack”. Paling tidak itulah yang dikatakan oleh man page.

Ettercap juga bisa digunakan untuk melakukan serangan “Denial of Service” terhadap server yang tidak dikonfigurasi dengan benar. Dalam tulisan ini akan dibahas tentang sedikit analisa yang sudah saya lakukan terhadap serang DOS ettercap, dan sedikit solusi untuk menanggulanginya. Sedikit? ya betul. Karena saya sangat menyadari analisa ini masih jauh dibawah standar. Jadi silakan kirim kritik, saran, caci-maki, ke nuragus[dot]linux[at]gmail[dot]com.


2. Memasang ettercap

Untuk Linux distro Debian Etch, memasang ettercap sangat mudah. cukup “apt-get install ettercap” atau gunakan synaptics. Saya lebih suka synaptics. Hehehe…
Atau apabila tidak menggunakan Debian, atau tidak punya repo, ettercap dapat di download di:

http://ettercap.sourceforge.net/download.php
source-code nya juga ada.

3. Penggunaan ettercap

Untuk menyerang dengan DOS attack, kita harus menggunakan plug-in ettercap. Baik compile sendiri ataupun ambil dari repo, plug-in dos-attack sudah tersedia.

4. Menyerang

Untuk melakukan penyerangan, gunakan perintah:

#ettercap -i eth0 -T -M arp // //

Dengan perintah diatas, ettercap akan melakukan “unified sniffing” terhadap semua alamat jaringan lokal. Tergantung netmask kita, ettercap akan me-scan 255 sampai 255^255 komputer.
Kemudian tekan “p” untuk me-load plug-in, dan ketikan dos_attack.
Kemudian masukkan ip-address server target, dan ip address yang tidak terpakai (kita sebut sebagai “fake-ip”).

Cukup segini saja, Bila server tidak memiliki pembatasan apapun, server akan “teler”.

Catatan:
serangan ettercap ini secara default hanya bisa dilakukan di jaringan lokal, alias jaringan dengan satu subnet. Kemungkinan besar ada cara untuk menforward paket-paket serangan keluar, tapi belum dicari dan dicoba ;)

5. Analisa

Begitu dos-attack dimulai, ettercap akan mem-broadcast pesan untuk mengecek apakah “fake-ip” sudah digunakan atau belum. Jika “fake-address belum ada yang memakai, maka ettercap akan men-spoof komputer server dengan mengirimkan sebuah paket yang menyatakan bahwa ip-address “fake-ip” ada di MAC address sekian. Dimana MAC address nya adalah MAC address komputer penyerang.Namun, apabila “fake-address” sudah terpakai, maka ettercap akan menipu server target dengan mengatakan bahwa “fake-ip” ada di MAC address komputer penyerang.

Setelah server target tertipu ARP dan MAC addressnya, langkah selanjutnya oleh ettercap adalah men-scan port TCP yang terbuka pada server target.

Setelah ini baru kemudian ettercap men-flood port pada server target dengan packet SYN. paket dimodifikasi sehingga memiliki IP-Address asal “fake-ip” Jika server target berupaya untuk me-reply packet SYN tersebut, ettercap sudah menyiapkan ARP-reply palsu untuk mencegat balasan dari server target sehingga tidak sampai ke host dengan alamat “fake-ip”

6. Hasil yang diakibatkan

Ada bermacam-macam efek tergantung pada konfigurasi server target dan kondisi service-service yang aktif. Pada server tanpa firewall dengan service apache2, mysql, ssh, samba, X, maka akan hang total. Mouse macet-macet sehingga tidak bisa digunakan. Yodi menyebut kondisi ini dengan istilah “teler”. Minimal, service yang disediakan oleh server akan melambat. Windows XP SP2 dengan apache, mysql, dan php tidak hang tetapi service http mati total.

Catalina(Tomcat) nampaknya memiliki konfigurasi default yang bagus sedemikian hingga ettercap tidak begitu berpengaruh pada layanan.

SUN Java System Application Server, JBOSS, belum dicoba.

7. Cara penanggulangan.

7.1 Dengan mengaktifkan rp_filter pada kernel. Caranya sederhana:


#cat 1 > /proc/sys/net/ipv4/conf/all/rp_filter

atau gunakan script berikut:


for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

untuk memastikan rp_filter aktif pada semua device.

Apa itu rp_filter?
rp_filter adalah sebuah flag(penanda) pada kernel yang bertipe boolean (0 berarti FALSE, 1 berarti TRUE). Ketika rp_filter flah bernilai 1(TRUE), maka setiap paket ARP yang datang ke komputer akan dicek asal-muasal kedatangannya, sebelum paket tersebut diproses lebih lanjut.

7.2 Mengaktifkan firewall dengan iptables.

Buat default policy adalah REJECT dengan command berikut:

#iptables --policy INPUT DROP
#iptables --policy OUTPUT DROP
#iptables --policy FORWARD DROP

Kemudian perbolehkan host lain mengakses service pada port yang diperbolehkan, misalnya port 80:


#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Kedua cara diatas untuk sementara ini sudah berhasil mengatasi serangan ettercap dos_attack. Namun, mungkin kedepannya harus terus dikembangkan proteksi-proteksi yang lebih njlimet tapi fleksibel demi mencapai keamanan server dan kenyamanan pengakses sah server.

8. Kesimpulan
Ettercap adalah sebuah tools yang sangat handal. Yang dibahas pada artikel ini bahkan hanyalah satu plug-in saja dari ettercap. Dengan konfigurasi yang tepat, maka server dapat diamankan dari serangan dos_attack ettercap.