expr:class='"loading" + data:blog.mobileClass'>

Selasa, 30 Oktober 2012

Tugas Remedial
Mendesain Keamanan Jaringan


Virus dari Packet Sniffing


Disusun oleh :
Nama    : Melati
Kelas    : XII TKJ 2


Teknik Komputer Jaringan
SMK Muhammadyah 1 Pekanbaru
2012 - 2013

Virus dari Paket Sniffing

1.    Sejarah
Sebelum membahas tentang virus yang datang dari paket sniffing, pertama-tama marilah kita mengenal Apa itu Packet Sniffer dan bagaimana itu bekerja?
Sebuah packet sniffer adalah perangkat yang digunakan oleh administrator jaringan untuk memonitor data yang ditransmisikan melalui jaringan. Packet sniffers digunakan untuk manajemen jaringan dan keamanan jaringan dan mereka juga dapat digunakan oleh pengguna yang tidak sah/hacker untuk mencuri informasi dari jaringan. Hacker sering menggunakan packet sniffers karena packet sniffer  sangat sulit untuk dideteksi dan dapat diinstal di hampir semua lokasi pada jaringan.
Karena paket sniffing dapat digunakan untuk memonitor suatu jaringan,maka yang dipakai untuk dapat dengan leluasa memonitor jaringan tersebut adalah virus. Virus yang dipakai pada paket sniffing adalah virus ARP.
Berdasarkan informasi dari vaksin.com, virus ARP ini sudah masuk dalam jaringan intranet di Indonesia dan merupakan virus yang berasal dari Cina.

2.    Perkembangan
Awalnya virus ARP ini hanya digunakan untuk proteksi komputer saja sama seperti kebanyakan virus lainnya, namun karena memiliki kelebihan yaitu bersifat passif yang membuatnya sulit terdeteksi, akhirnya virus arp ini pun digunakan oleh admin jaringan untuk melakukan perbaikan dalam jaringan.
Akan tetapi lama kelamaan Virus ini memiliki kemampuan memalsukan MAC Address router / proxy sehingga seluruh komputer intranet yang terhubung ke internet melalui proxy akan dikelabui untuk melewati komputer yang terinfeksi virus dan celakanya komputer yang terinfeksi virus ini akan meneruskan akses router ini (transparent proxy) sambil “menitipkan” satu link download yang berisi virus. Praktis pengakses internet dalam jaringan akan mendapatkan kiriman virus setiap kali membuka browser. Sehingga virus dikirimkan ke seluruh komputer dalam jaringan, melalui browser, baik IE, Firefox maupun Opera. Kebanyakan korbannya tidak menyadari. Biasanya korban mulai menyadari kalau masalahnya sudah cukup besar seperti tahu-tahu jaringannya jadi lambat dan setiap kali menyalakan komputer dimana komputer akan otomatis mengaktifkan Yahoo Messenger, MSN Messenger atau aplikasi apapun yang mengaktifkan Javascript browser maka akan mendapatkan pesan error.
Beberapa indikasi untuk mengetahui bahwa komputer telah terinfeksi virus ARP atau belum :
1.    Jaringan intranet menjadi lambat
2.    Yahoo Messenger anda mendapatkan pesan â€Å“An error has occured in the script
3.    Beberapa situs tidak dapat di akses
4.    Jika anda melihat “view source” maka akan manampilkan salah satu dari domain-domain berikut : mx.content-type.cn, ad.5iyy.info, dsb.
5.    Pada server, akan terjadi perubahan MAC Address

1.    Bentuk serangan virus ARP
     Virus arp spoofing menjangkiti komputer dengan sistem operasi Windows dengan cara memalsukan MAC Address router / proxy sehingga seluruh komputer intranet yang terhubung ke internet melalui proxy akan dikelabui untuk melewati komputer yang terinfeksi virus Komputer yang memiliki virus arp dan akan menjadi komputer penyerang. Selanjutnya PC yang menjadi penyerang akan melakukan broadcast arp secara massif keseluruh PC yang berada dalam satu jaringan sehingga seluruh PC dalam jaringan akan terjangkit virus Arp ini. Ketika jaringan sudah terinfeksi dengan alamat Mac gateway baru, semua traffik http akan melalui gateway palsu tersebut, tentu saja gateway baru itu akan menyisipkan script jahat untuk mencuri semua informasi yang lewat.

Langkah-langkah yang lebih jelas mengenai serangan virus Arp adalah sebagai berikut :
1.    PC yang terkena virus akan melakukan broadcast paket arp spoofing “saya adalah gateway”
2.    Setiap PC yang berada dalam satu subnet akan menerima paket arp spoofing dan melakukan update table arp pada PC masing-masing. Sampai tahap ini, arp cache pada PC korban berhasil
3.    PC yang menjadi korban akan mengakses internet (http port 80) melalui mesin gateway baru, kemudian mesin yang terjangkit virus tersebut akan meneruskan paket http ke gateway sebenarnya (mesin yang terjangkit virus menggunakan Net Driver, untuk menangkap traffic jaringan)
4.    Gateway palsu menyisipkan kode jahat untuk respon http yang berasal dari gateway asli. Kemudian mengirimkannya ke PC korban Pada gambar dibawah terlihat virus yang menyisipkan
 link kode jahat 

Dengan data yang telah didapat oleh virus, kemudian virus dapat melakukan scanning jaringan lokal dan mengirimkan paket arp spoofing ke seluruh mesin pada jaringan lokal tersebut. Berikut adalah fungsi yang dijalankan oleh virus pada mesin yang terinfeksi.





Pada kode diatas, virus memanggil file dll iphlpapi.dll untuk mengambil informasi jaringan lokal. Ketika virus berhasil mendapatkan informasi tersebut, kemudian ia akan membuat paket arp spoofing. Berikut detail kode yang dilakukan:



Selanjutnya virus menggunakan WinCap untuk menangkap semua http request dan menyisipkan kode jahat (sniffer) pada http response. Berikut contoh kode jahat yang sampai ke PC korban

Bahaya Untuk PC yang menggunakan Windows, sekilas tidak tampak diserang. Gejala yang timbul biasa internet http terasa sangat lambat dan muncul alamat domain tertentu pada browser. Namun internet tetap jalan meskipun terkesan lambat. Tentu saja, semua informasi yang kita tuliskan, termasuk password, username, dan aktivitas penting lainnya akan direkam dan dikirim oleh virus kedalam database hacker yang sewaktu-waktu dapat dimanfaatkan untuk kepentingan yang tidak bertanggung jawab.

Cara mengatasi virus ARP agar tidak terjangkit

a.    Update firewall dan internet security Windows
b.    Menggunakan Manageable Switch
c.    Melakukan pembersihan secara manual pada seluruh komputer Windows yang terkoneksi jaringan.