New Posts


Network Analyzer with Wireshark
by opt1lc

Wednesday, 30 March 2011

Network analyzer atau biasa kita sebut juga monitoring jaringan adalah sebuah kegiatan yang bertujuan menganalisis “apa saja” yang terjadi di dalam sebuah jaringan. saya garis bawahi 2 buah kata yaitu “analisis” dan “apa saja”.


Pertama analisis, yah jelas kita menganalisis bukan hanya melihat sebuah protokol lalu melakukan tracing keyword “passsword” atau “username” di dalam paket bersangkutan tanpa mau tau maksud dari source/destination ip atau protokol-protokol apa saya yang sedang berjalan di jaringan tersebut.


Kedua, yaitu kata “apa saja” ketika kita menganalisis tentu kita juga harus melihat “kenormalan” paket-paket yang lalu-lalang di sebuah jaringan itu. contoh ketika seseorang melakukan flooding ack, syn, DOS atau banyak orang melakukan DDOS atau DRDOS (you know what i mean).


Selanjutnya mengenai aplikasi yang dapat kita gunakan untuk melakukan paket sniffing (analisis paket) ada begitu banyak diantaranya ada wireshark (*nix, microsoft), etheral, ettercap dan masih banyak lagi. cara pemakaiannya? ah.. saya rasa lebih baik menyarankan membaca manualnya atau mencoba sendiri. karena yang terpenting adalah ketika kita melakukan analisis paket dan memahami isi paket tersebut. bukan sebatas hapal klik ini dan klik itu :p
Mari kita lihat beberapa percobaan sederhana yang saya lakukan di dalam mesin (ubuntu) yang saya gunakan dengan aplikasi wireshark. perhatikan identifikasi mesin (mulai dari IP, DNS, MAC, dll) dan pahami hubungan dengan screenshoot wireshark.

opt1lc@blackbox:~$ ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:25:b3:47:91:a6
inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
inet6 addr: fe80::225:b3ff:fe47:91a6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:22512 errors:0 dropped:0 overruns:0 frame:0
TX packets:25101 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:13742312 (13.7 MB)  TX bytes:4403342 (4.4 MB)
Interrupt:17

opt1lc@blackbox:~$ cat /etc/resolv.conf
# Generated by NetworkManager
nameserver 8.8.8.8
nameserver 8.8.8.4

opt1lc@blackbox:~$ nslookup
> www.google.com
Server:        8.8.8.8
Address:    8.8.8.8#53

Non-authoritative answer:
www.google.com    canonical name = www.l.google.com.
Name:    www.l.google.com
Address: 74.125.235.49
Name:    www.l.google.com
Address: 74.125.235.52
Name:    www.l.google.com
Address: 74.125.235.50
Name:    www.l.google.com
Address: 74.125.235.51
Name:    www.l.google.com
Address: 74.125.235.48

Analisis sederhana, IP address yang digunakan : 192.168.1.2 – DNS yang digunakan adalah milik google : 8.8.8.8 dan 8.8.8.4 – MAC laptop 00:25:b3:47:91:a6


pemetaan DNS google


proses 3 way handshake dari 192.168.1.2 ke 74.125.235.51 (google.com)

 

Dari 3 screenshoot diatas kita bisa menganalisis guna 3 protokol dari sekian banyak protokol yang ada. contoh pemetaan DNS google yang saya gunakan, proses 3 way handshake di protokol TCP dengan proses request dari ip sumber ke tujuan (kirim ack, syn, dsb) saya rasa banyak refrensi yang bisa anda temukan tentang 3 way handshake ini dan akhirnya protokol akses web HTTP, lihat tulisan GET / HTTP/1.1 request (php) client – server (simple method). saya rasa cukup sekian penjelasaan sederhana dan membingungkan dari saya. semoga bermanfaat