1.Footprinting – Intelejen Awal Hacking
Teknik paling awal sekali yang harus dilakukan oleh seorang hacker sebelum serangan di lakukan adalah melakukan proses footprinting, atau dalam bahasa keren-nya intelejen awal tentang segala sesuatu yang berkaitan dengan target yang dituju. Dengan cara ini seorang penyerang akan memperoleh profile / postur keamanan yang lengkap dari organisasi / jaringan yang akan di serang.
Pada dasarnya ada empat (4) langkah utama yang biasanya dilakukan untuk melakukan intelejen awal untuk melihat scope & situasi target sasaran. Langkah ini dikenal sebagai footprinting, yaitu:
Langkah 1 : Menentukan Scope Aktifitas / Serangan.
Langkah 2 : Network Enumeration.
Langkah 3 : Interogasi DNS (domain name).
Langkah 4 : Mengintai Jaringan.
Langkah 1:
Menentukan Scope Aktifitas / Serangan
Pada tahapan 1 ini, kita perlu memperoleh sebanyak mungkin informasi yang berkaitan dengan lokasi, anak-anak perusahaan, berita merger / akusisi, nomor telepon, kontak person & e-mail address mereka, masalah privasi & kebijakan keamanan yang di terapkan, link ke berbagai situs Web lain yang berhubungan. Cara yang biasa dipakai ada cukup banyak, misalnya, menggunakan wget (Linux) atau Teleport Pro & mengcopy / me-mirror seluruh Web untuk di analisis. Lihat di dekat kode-kode “<”, “!” , “-“ di file HTML untuk informasi yang anda butuhkan. Coba monitoring berbagai mailing list & lihat posting yang berasal dari @target-anda.com.
Bagi sistem administrator yang ingin melawan hal ini, ada baiknya membaca-baca RFC 2196 Site Security Handbook yang bisa di download dari
http://www.ietf.org/rfc/rfc2196.txt.
Langkah 2:
Network Enumeration.
Network enumeration dilakukan untuk melihat domain yang digunakan oleh sebuah organisasi. Seni mencari informasi tsb cukup seru, terutama untuk mengetahui domain yang digunakan oleh sebuah perusahaan, contoh-nya Telkom – mereka menggunakan telkom.net.id, telkom.co.id, telkom.go.id, telkom.net hmm bagaimana mengetahui sekian banyak domain & Point of Contact (PoC)-nya? Biasanya kita menggunakan software whois untuk membuka berbagai informasi yang berkaitan dengan registrar, organisasi, domain, network & point of contact. Software whois biasanya ada di Linux. Bahaya latent, jika registrar domain tidak berhati-hati bisa jadi terjadi pencurian domain (domain hijack) dengan cara menyaru sebagai point of contact dan memindahkan domain tsb ke tangan orang lain.
Langkah 3:
Interogasi DNS (domain name).
Setelah kita mengetahui domain yang berkaitan dengan organisasi sasaran, selanjutnya kita perlu mencek hubungan alamat IP (IP address) & domain / hostname yang digunakan. Cara paling sederhana adalah melakukan interogasi Domain Name System (DNS). Beberapa software yang biasanya digunakan untuk melakukan interogasi DNS tersedia secara mudah di Linux, seperti nslookup, dig, host yang dapat secara sepesifik menginterogasi Name Server (NS), Mail Exchanger (MX), Host Info (HINFO) maupun semua informasi yang ada dengan parameter ANY.
Proses yang paling cepat untuk memperoleh semua informasi yang dibutuhkan adalah dengan menggunakan zone transfer di DNS. Jika operator DNS-nya tidak pandai, kita dapat melakukan zone transfer DNS dengan mudah menggunakan perintah “host –l –v –t any target-domain.com”.
Bagi para system administrator, ada baiknya berhati-hati dengan adanya kemungkinan penyerang yang akan menginterogasi DNS anda. Setting zone transfer ke secondary server / query DNS harus dibatasi & dijaga melalui xfernets directive di named (BIND 8.0). Jika ada baiknya di firewall semua hubungan inbound TCP pada port 53; hanya hubungan UDP port 53 yang diijinkan.
Langkah 4:
Mengintai Jaringan.
Setelah mengetahui daftar alamat IP (IP address) dari berbagai host yang ada di target anda. Langkah selanjutnya adalah memetakan topologi jaringan, baik yang menuju ke target sasaran maupun konfigurasi internal jaringan target. Biasanya kita mengunakan software seperti traceroute (Linux / UNIX) atau tracert (Windows) untuk melakukan pemetaan jaringan. Yang paling seru adalah bagaimana melakukan traceroute untuk menembus pertahanan firewall; kadang dapat di tembus dengan mengirimkan paket traceroute pada port UDP 53 (DNS query), misalnya melalui perintah traceroute –S –p53.
Bagi system administrator, teknik Intrusion Detection menjadi penting untuk dikuasai untuk menjaga adanya penyerang yang masuk dan melakukan pemetaan jaringan internal kita. Salah satu program Intrusion Detection yang gratis & baik adalah
http://www.snort.org yang dibuat oleh Marty Roesch.
S 2.SCANNING
Scanning merupakan kegiatan yang bertujuan untuk mencari celah jalur penyusupan yang lebih spesifik lagi. Ada 3 macam tipe dari scanning, yaitu port scanning, network scanning dan vulnerability scanning. Contoh yang akan didapatkan dari scanning adalah spesifik IP Address, arsitektur sistem, sistem operasi dan layanan yang sedang berjalan. Dari celah yang diketahui tersebut dapat dieksploitasi sehingga dapat menjadi pintu masuk kedalam suatu sistem yang akan diakses.
Cara paling sederhana untuk melihat status suatu layanan pada server target diinternet adalah menggunakan software port scanner seperti NMAP. Dari setiap port yang terbuka, maka akan berbeda pula jalur yang akan dilalui untuk masuk kedalam sistem, dengan mengetahui jenis port yang terbuka maka dari informasi tersebuk akan dilakukan kegiatan untuk dapat masuk kedalam sistem yang akan diserang.
Dalam langkah ini hacker mendapatkan berbagai informasi-informasi yang dibutuhkan untuk melakukan penetrasi kedalam suatu sistem. Ada beberapa cara dalam melakukan kegiatan ini, yaitu menggunakan metode man in the middle attack, sniffing, atau brute force attack
Berikut beberapa port service :
3.GAINING ACCESS
Gaining access juga dapat dikatakan fase penetrasi, dimana dalam fase ini hacker mengekploitasi kelemahan dari sistem yang sudah diketahui setelah melakukan kegiatan reconnaissance dan scanning. Hacker berusaha untuk mendapatkan hak akses, sebagai contoh : hacker berusaha masuk untuk mendapatkan hak akses sebagai administrator padahal hacker tersebut bukanlah administrator pada sistem tersebut.
Pengeksploitasian kelemahan dari suatu sistem dapan dilakukan melalui LAN dan internet, contohnya adalah buffer overflow, denial of service, password cracking, session hijacking. Pada langkah ini maka hacker sudah memperoleh hak akses tingkat sistem operasi, aplikasi, dan jaringan.
4.MAINTAINING ACCESS
Pada tahap maintaining access, hacker mencoba untuk menahan hak akses kepemilikan suatu sistem yang diserang. Hacker juga dapat memperkuat sistem tersebut agar tidak dapat diserang oleh hacker lainnya, dan membuat akses ekslusif untuk mempertahankan hak akses dengan menggunakan Trojans, backdoors, atau rootkits sehingga hacker dapat masuk kembali ke sistem target dengan mudah. Hacker dapat memanipulasi, upload, download dan memanipulasi data dalam sistem tersebut.
5.COVERING TRACKS
Tahap ini adalah tahap yang paling sulit untuk dilakukan dan merupakan fase yang sering dilupakan oleh hacker pada umumnya, ketika hacker meninggalkan jejak di log file (firewall, IDS, Sistem Operasi, dan aplikasi lainnya). Hacker pada umumnya lupa untuk membersihkan jejak. File-file log yang tertinggal di sistem yang mereka serang ini dapat di analisa dengan teknik-teknik forensik. Bahkan file log yang sudah dihapus oleh hacker dapat di retrieve sehingga bisa menjadi bukti ketika kasus tersebut akan dibawa ke insitusi terkait dengan kejahatan di dunia cyber.
6.Enumeration.
Telah intensif terhadap sasaran, yang mencari user account absah, network resource and share, dan aplikasi untuk mendapatkan mana yang proteksinya lemah.
Mengenal Internet Port Number
Service pada Internet diakses melaui port-port tertentu. Pada setiap IP address dapat diaktifkan port dengan nomor 0 sampai 65535 (didapat dari 2 pangkat 16). Port ini bersifat logis (bukan fisik seperti halnya serial port atau parallel port pada komputer anda), tapi seperti juga port fisik, digunakan untuk mengakses servis-servis tertentu
pada Internet.
Port yang lazim digunakan adalah:
Port 21 FTP (File Transfer Protocol)
Port 22 SSH (Secure Shell)
Port 23 Telnet
Port 25 SMTP (Simple Mail Transfer Protocol)
Port 80 HTTP (Hypertext Transfer Protocol)
Port 110 POP3 (post office protocol, version 3)
Port 119 NNTP (Network News Transfer Protocol)
Port 139 NetBIOS session service
Port 143 IMAP (Internet Message Access Protocol)
Port 194 IRC (Internet Relay Chat Protocol)
Bila kita mengakses suatu servis di Internet, maka portport di atas yang digunakan, tergantung pada jenis servicenya.
Bila kita berselancar (browsing), maka kita mengakses port 80 pada situs yang kita akses. Bila kita mengambil email, maka digunakan port 110. Mengirim email menggunakan port 25.Web email menggunakan port 143. Membaca newsgroup lewat ISP anda menggunakan port 119. Chatting menggunakan port 194, dan lain sebagainya.
Adapun pada komputer kita sendiri sebagai yang mengakses service, seharusnya tidak banyak port yang terbuka. Pada umumnya hanya port 25, 110, dan 139 yang terbuka (diaumsikan menggunakan Windows 9x/ME yang membuka port 139). Khusus untuk port 139 perlu mendapat perhatian khusus, sebab dapat merupakan celah untuk masuknya penyerang ke komputer Windows 9x/ME anda.
Apabila ada lagi port-port lain yang terbuka, anda perlu waspada. Misalnya bila yang terbuka port 21. Apakah anda pernah menginstalasi program FTP server dan sekarang
sedang berjalan? Juga bila port 23 terbuka, apakah anda menjalankan service Telnet? Kedua port ini tidak lazim terbuka pada komputer yang hanya dipakai mengakses
Internet (bukan memberi service pada komputer lain). Untuk mengetahui mana port-port yang terbuka, gunakan scanner seperti SuperScan atau UltraScan dan scan IP
lokal anda (127.0.0.1) seperti contoh di bawah ini:
pada Internet.
Port yang lazim digunakan adalah:
Port 21 FTP (File Transfer Protocol)
Port 22 SSH (Secure Shell)
Port 23 Telnet
Port 25 SMTP (Simple Mail Transfer Protocol)
Port 80 HTTP (Hypertext Transfer Protocol)
Port 110 POP3 (post office protocol, version 3)
Port 119 NNTP (Network News Transfer Protocol)
Port 139 NetBIOS session service
Port 143 IMAP (Internet Message Access Protocol)
Port 194 IRC (Internet Relay Chat Protocol)
Bila kita mengakses suatu servis di Internet, maka portport di atas yang digunakan, tergantung pada jenis servicenya.
Bila kita berselancar (browsing), maka kita mengakses port 80 pada situs yang kita akses. Bila kita mengambil email, maka digunakan port 110. Mengirim email menggunakan port 25.Web email menggunakan port 143. Membaca newsgroup lewat ISP anda menggunakan port 119. Chatting menggunakan port 194, dan lain sebagainya.
Adapun pada komputer kita sendiri sebagai yang mengakses service, seharusnya tidak banyak port yang terbuka. Pada umumnya hanya port 25, 110, dan 139 yang terbuka (diaumsikan menggunakan Windows 9x/ME yang membuka port 139). Khusus untuk port 139 perlu mendapat perhatian khusus, sebab dapat merupakan celah untuk masuknya penyerang ke komputer Windows 9x/ME anda.
Apabila ada lagi port-port lain yang terbuka, anda perlu waspada. Misalnya bila yang terbuka port 21. Apakah anda pernah menginstalasi program FTP server dan sekarang
sedang berjalan? Juga bila port 23 terbuka, apakah anda menjalankan service Telnet? Kedua port ini tidak lazim terbuka pada komputer yang hanya dipakai mengakses
Internet (bukan memberi service pada komputer lain). Untuk mengetahui mana port-port yang terbuka, gunakan scanner seperti SuperScan atau UltraScan dan scan IP
lokal anda (127.0.0.1) seperti contoh di bawah ini:
khusus untuk Mengenal Internet Port Number dapat di klick di
http://www.thebanditboy.blogsome.com
