Nama : Septiana Wulandari
Kelas : III B
Nim : 10615025
Jurusan : Teknik Komputer
Network Tools
Tujuan Pembelajaran
- Mampu menggunakan perangkat lunak penunjang jaringan komputer
- Mahasiswa mampu menggunakan tools yang ada
- Mahasiswa dapat memahami konsep layering
- Mahasiswa memahami perintah dasar konfigurasi jaringan
Dasar Teori
Dalam melakukan tugas-tugas administrasi sistem, administrator sistem mau tidak mau akan banyak berhubungan dengan tools – tools pendukung. Tanpa bantuan tool ini pekerjaan administrasi akan sulit dijalankan.
Network Management
Etherman
Tool yang berbasis GUI yang menampilkan representasi dari komunikasi – komunikasi ethernet secara real time.
Tcp wrapper
Berguna untuk mengontrol siapa saja yang mengakses sistem. Dapat memproteksi usaha pelanggaran terhadap sistem
Xmotd
Dipakai menuliskan atau menampilkan Message of the day, untuk setiap user yang login
Samba
Memungkinkan melakukan sharing file antar so
Swatch
program untuk memonitor log
dig
query server domain
host
memperoleh informasi nama domain
nslookup
tcpdump
mengcapture packet
traceroute
melakukan trace terhadap rute paket IP dari sistem ke sistem tujuan
sniffit
tools memberikan informasi detail ttg semua traffic jaringan
ssl
nmap
A. Internet Protocol
Untuk terhubung pada suatu jaringan diperlukan penomoran dari Internet Protocol yang ada pada
PC tersebut. Teknik penomoran IP ada 2 yaitu manual dan otomatis (DHCP).
Pada suatu jaringan diperlukan IP dan netmask, contoh:
192.168.0.1/255.255.255.0
192.168.0.1 adalah penomoran IP, sedangkan 255.255.255.0 adalah netmask dari jaringan
tersebut. IP memiliki beberapa class yang terbagi menurut jumlah IP tersebut. Class yang
ada antara lain:
A. 10.x.x.x dengan netmask 255.0.0.0
B. 172.16.x.x s/d 172.31.x.x dengan netmask 255.255.0.0
C. 192.168.0.x s/d 192.168.255.x dengan netmask 255.255.255.0
D dan E tidak digunakan, karena diperuntukan untuk penelitian
Penomoran netmask dapat disingkat, misalkan 255.255.255.0 dapat disingkat menjadi /24
B. Setting IP di Linux
a. Perintah “ifconfig”
Dengan menggunakan perintah ifconfig, root dapat mengganti setting IP untuk jaringan.
Contoh :
highway:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:F1:BA:38:43
inet addr:10.252.102.143 Bcast:10.252.102.255
Mask:255.255.255.0
inet6 addr: fe80::20c:f1ff:feba:3843/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7827318 errors:0 dropped:0 overruns:0 frame:0
TX packets:5486496 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2529035045 (2.3 GiB) TX bytes:1421757215 (1.3 GiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:999 errors:0 dropped:0 overruns:0 frame:0
TX packets:999 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:68831 (67.2 KiB) TX bytes:68831 (67.2 KiB)
Untuk mengganti IP dapat dilakukan dengan cara:
# ifconfig eth0 192.168.0.1 netmask 255.255.255.0
b. Dengan menyimpan konfigurasi jaringan
Pada Debian GNU/Linux, file konfigurasi jaringan terdapat pada /etc/network/interfaces,
dapat dilakukan dengan menggunakan editor vim, nano, atau mcedit.
# vim /etc/network/interfaces
pada file tersebut ketikkan syntax berikut:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 10.252.108.143
netmask 255.255.255.0
kemudian jalankan perintah “/etc/init.d/networking restart”
apabila ingin menggunakan DHCP ganti “iface eth0 inet static” menjadi “iface eth0 inet
dhcp”
C. Tools Network
Ada beberapa command pada linux yang dipakai untuk melakukan konfigurasi dan
troubleshooting jaringan :
Layer phisik
1. lspci
Merupakan tools yang berada pada layer 1, dipakai untuk mengecek apakah interface
jaringannya sudah terpasang atau belum. Apabila ditemukan Network controller atau
Ethernel controller, artinya perangkat jaringan sudah siap digunakan.
# lspci
Contoh:
h1ghway:~#lspci
00:00.0 Hostbridge:VIATechnologies,Inc.PT894HostBridge
00:00.1 Hostbridge:VIATechnologies,Inc.PT894HostBridge
00:00.2 Hostbridge:VIATechnologies,Inc.PT894HostBridge
00:00.3 Hostbridge:VIATechnologies,Inc.PT890HostBridge 00:00.4 Hostbridge:VIATechnologies,Inc.PT894HostBridge
00:00.5 PIC:VIATechnologies,Inc.PT894I/OAPICInterruptController
00:00.7 Hostbridge:VIATechnologies,Inc.PT894HostBridge
00:01.0 PCIbridge:VIATechnologies,Inc.VT8237PCIBridge
00:0d.0 Ethernet controller: Intel Corporation 82540EM Gigabit Ethernet Controller (rev 02)
2. mii-tool
Untuk melihat apakah linknya sudah ada atau belum
Contoh :
h1ghway:~#mii-tool
eth0: negotiated 100baseTxFD, link ok
Apabila sudah keluar eth0 artinya perangkat jaringan kita menggunakan eth0. 100base-TXFD artinya kita menggunakan kecepatan 100Mbps dan FD adalah Full-Duplex, dan Link ok
menandakan perangkat kita sudah siap. Apabila hasilnya bukan link ok artinya ada masalah
dengan perangkat kita.
Contoh : (dengan kabel jaringan dilepas!!! )
h1ghway:~#mii-tool
eth0: no link
Apabila tampilan seperti tersebut, artinya terjadi kesalahan dengan perangkat jaringan kita.
3. dmesg | grep eth
Untuk mengecek ethernet card ada apa belum
Layer datalink
1. arp
Merupakan tools yang dipakai untuk melihat alamat NIC dari komputer yang terkoneksi
secara langsung dengan kita.
Layer IP
1. ifconfig
Command yang dipakai untuk melihat interface dan alamat yang diberikan ke interface
tersebut
2. route
Memeriksa tabel routing, menambah dan menghapus tabel routing
3. ping
Memeriksa koneksi dengan protokol ICMP
4. traceroute
Memeriksa tahapan koneksi
5. mtr
Command gabungan ping dan traceroute
Layer Transport
1. Netstat
Untuk mengetahui port berapa saja yang terbuka untuk koneksi pada PC
Pokok Penjelasan :
- Etherman (Etherman)
Etherape adalah turunan dari etherman
Cara Menginstall :
$ sudo apt-get install etherape
Anda juga bisa menambahkan dpkg untuk mengetahui lebih dalam lagi tentang etherape setelah menginstallnya.
$ dpkg -s etherape
Overview
The simplicity of managing your LAN, extended to your WAN.
SureWest delivers EtherMAN service through a metropolitan area network via Ethernet, with data signals from 5 to 100 Megabits per second (Mbps) or 1 Gigabit per second.
EtherMAN allows you to transmit between users at different Ethernet-based service locations.
This seamless integration of your Local Area Network (LAN) across multiple locations eliminates the need to invest in additional equipment and training.
The service is available point-to-point, or point-to-multipoint as a fiber-ring based service where operating facilities and conditions permit.
Features
EtherMAN provides a fast, flexible, scalable solution for your business:
· High-capacity connections to various locations
· Great for business continuity initiatives
· Supports bandwidth-intensive applications
· Storage networking
· Intranet and native LAN links
· Video and large file transfer
· Web hosting
· 100 percent fiber-optic network ensures data speed and reliability
· 24 x 7 x 365 monitoring from our state-of-the-art operations center
· Tiered access provides a flexible, scalable solution
· Wide range of high bandwidth options from one piece of equipment
· Scalable end-to-end connectivity to the Internet and other carriers
· Flexible bandwidth can expand as your needs grow
Supported Applications
EtherMAN supports all these bandwidth intensive applications:
· Concurrent engineering or collaborative computing
· Image processing
· Interactive file sharing
· E-mail
· Internet/intranet/extranet access
· Distance learning
· Video conferencing
· Disaster recovery, business continuation and data storage
PENGERTIAN :
Ikhtisar
Kesederhanaan mengelola LAN Anda, diperpanjang ke WAN Anda.
SureWest memberikan layanan EtherMAN melalui jaringan area metropolitanmelalui Ethernet, dengan sinyal data 5 sampai 100 Megabits per detik (Mbps)atau 1 Gigabit per detik.
EtherMAN memungkinkan Anda untuk mengirim antara pengguna di berbagaiEthernet berbasis lokasi layanan.
Ini integrasi Local Area Network (LAN) di beberapa lokasi menghilangkan kebutuhan untuk berinvestasi dalam peralatan tambahan dan pelatihan.
Layanan ini tersedia Titik-to-point, atau point-to-multipoint sebagai layananberbasis serat cincin dimana fasilitas operasi dan kondisi memungkinkan.
Fitur
EtherMAN menyediakan, cepat, fleksibel, scalable solusi untuk bisnis Anda:
• Kapasitas tinggi koneksi ke berbagai lokasi
• Bagus untuk inisiatif kelangsungan bisnis
• Mendukung aplikasi bandwidth-intensif
• Penyimpanan jaringan
• Intranet dan LAN asli link
• Video dan mentransfer file besar
• Web hosting
• 100 persen jaringan serat optik memastikan kecepatan data dan kehandalan
• 24 x 7 x 365 pemantauan dari negara-of-the-art pusat operasi kami
• akses berjenjang memberikan solusi, fleksibel terukur
• Wide berbagai pilihan bandwidth tinggi dari satu peralatan
• Scalable end-to-end konektivitas ke internet dan operator lainnya
• bandwidth yang fleksibel dapat memperluas sesuai kebutuhan Anda tumbuh
Aplikasi yang didukung
EtherMAN mendukung semua aplikasi bandwidth intensif ini:
• serentak rekayasa atau komputasi kolaboratif
• Pengolahan citra
• berbagi berkas Interaktif
• Internet / intranet / extranet akses
• Jarak pembelajaran
• Video conferencing
• pemulihan bencana, bisnis kelanjutan dan penyimpanan data
We would like to announce the availability of a set of three publicly
available network monitoring and visualisation tools. Two of the tools
provide a real-time picture of network communications, while the other
provides retrospective packet analysis. These tools are designed to allow
network managers to passively monitor a network and diagnose common network
problems as quickly and efficiently as possible.
Ethernet communications. Network data is promiscously received via a system
"network tap" and summarised into useful statistics. These statistics are
displayed in a graphical manner, as to allow both experienced network managers
and newbies an insight as to how a network is being used. Etherman will also
provide protocol summaries, usage statistics and postscript snapshots of
network activity.
Etherman, this tool allows a real-time representation of network communications
to be displayed. Interman employs the same methods of network data
capture as Etherman, except only IP traffic is considered. Since IP is a
network-level protocol, Interman will display multiple networks – both local
and remote. Protocol summaries, usage statistics and postscript snapshots
are also available.
the capture and analysis of an Ethernet packet trace.
(Ultrix 4.2 and above) are avaliable from:
~ftp/pub/netman/[sun4c|dec-mips]/[etherman|interman|packetman].tar.Z
is avaliable as:
They must also be run as root. If you do not like this
policy then please do not waste your time ftping them.
also available at our site in a file called SOURCE_AVAILABILITY.
may experience slow transfer rates. We are also bottlenecked by
a 48K line so please "try again later" if you experience
difficulties.
PENGERTIAN :
available network monitoring and visualisation tools. Two of the tools
provide a real-time picture of network communications, while the other
provides retrospective packet analysis. These tools are designed to allow
network managers to passively monitor a network and diagnose common network
problems as quickly and efficiently as possible.
Ethernet communications. Network data is promiscously received via a system
"network tap" and summarised into useful statistics. These statistics are
displayed in a graphical manner, as to allow both experienced network managers
and newbies an insight as to how a network is being used. Etherman will also
provide protocol summaries, usage statistics and postscript snapshots of
network activity.
Etherman, this tool allows a real-time representation of network communications
to be displayed. Interman employs the same methods of network data
capture as Etherman, except only IP traffic is considered. Since IP is a
network-level protocol, Interman will display multiple networks – both local
and remote. Protocol summaries, usage statistics and postscript snapshots
are also available.
the capture and analysis of an Ethernet packet trace.
(Ultrix 4.2 and above) are avaliable from:
~ftp/pub/netman/[sun4c|dec-mips]/[etherman|interman|packetman].tar.Z
is avaliable as:
They must also be run as root. If you do not like this
policy then please do not waste your time ftping them.
also available at our site in a file called SOURCE_AVAILABILITY.
may experience slow transfer rates. We are also bottlenecked by
a 48K line so please "try again later" if you experience
difficulties.
Mengumumkan Etherman Interman dan dor Packetman Desember-ULTRIX
Kami ingin mengumumkan ketersediaan dari serangkaian tiga publik
jaringan yang tersedia pemantauan dan alat-alat visualisasi. Dua alat memberikan gambaran yang real-time dari jaringan komunikasi, sementara yang lain menyediakan analisis retrospektif paket. Alat ini dirancang untuk memungkinkan manajer jaringan untuk pasif memonitor jaringan dan mendiagnosa jaringan umum masalah secepat dan seefisien mungkin. "Etherman" adalah alat berbasis X11 yang menampilkan representasi real-time
Ethernet komunikasi. Data Jaringan promiscously diterima melalui sistem
"Jaringan tekan" dan diringkas menjadi statistik berguna. Statistik ini
ditampilkan secara grafis, untuk memungkinkan kedua manajer jaringan berpengalaman
dan pemula suatu wawasan tentang bagaimana jaringan yang sedang digunakan.Etherman juga akan
memberikan ringkasan protokol, statistik penggunaan dan snapshot postscript dari
aktivitas jaringan.
"Interman" memfokuskan pada konektivitas IP dalam segmen tunggal. Seperti
Etherman, alat ini memungkinkan representasi real-time jaringan komunikasi
yang akan ditampilkan. Interman menggunakan metode yang sama data jaringan
penangkapan karena Etherman, kecuali hanya lalu lintas IP dianggap. Karena IP adalah
jaringan-tingkat protokol, Interman akan menampilkan beberapa jaringan - baik lokal
dan remote. Ringkasan protokol, statistik penggunaan dan foto postscript
juga tersedia.
"Packetman" adalah penganalisa paket Ethernet retrospektif. Alat ini memungkinkan
penangkapan dan analisis dari sebuah jejak paket Ethernet.
Jika Anda tertarik, binari untuk SUN Sparc (SunOS 4.1.x) dan DEC-mips
(ULTRIX 4.2 dan di atas) tersedia dari:
ftp.cs.curtin.edu.au:
~ Ftp / pub / netman / [sun4c | Desember-mips] / [etherman | interman | packetman]. Tar.Z
Satu set font juga diperlukan:
~ Ftp/pub/netman/hershey- [sun4c | Desember-mips]. Tar.Z
Jika Anda ingin membaca tentang hal itu, kertas yang dipresentasikan pada SANSII '93
tersedia sebagai:
~ Ftp / pub / netman / akhir-draft.ps.Z
PERHATIKAN (BENAR-BENAR PENTING):
1) Program ini bebas avialable dalam bentuk biner saja.
Mereka juga harus dijalankan sebagai root. Jika Anda tidak seperti ini
kebijakan maka jangan buang waktu anda melakukan proses yang sama mereka.
2) Sebuah dokumen yang menguraikan kebijakan tentang sumber memperoleh adalah
juga tersedia di situs kami dalam file yang disebut SOURCE_AVAILABILITY.
3) Kami berada di "akhir" sangat dari internet bagi kebanyakan orang dan Anda
mungkin mengalami kecepatan transfer lambat. Kami juga bottlenecked oleh
garis 48k jadi harap "coba lagi nanti" jika Anda mengalami
kesulitan.
Ethernet komunikasi. Data Jaringan promiscously diterima melalui sistem
"Jaringan tekan" dan diringkas menjadi statistik berguna. Statistik ini
ditampilkan secara grafis, untuk memungkinkan kedua manajer jaringan berpengalaman
dan pemula suatu wawasan tentang bagaimana jaringan yang sedang digunakan.Etherman juga akan
memberikan ringkasan protokol, statistik penggunaan dan snapshot postscript dari
aktivitas jaringan.
"Interman" memfokuskan pada konektivitas IP dalam segmen tunggal. Seperti
Etherman, alat ini memungkinkan representasi real-time jaringan komunikasi
yang akan ditampilkan. Interman menggunakan metode yang sama data jaringan
penangkapan karena Etherman, kecuali hanya lalu lintas IP dianggap. Karena IP adalah
jaringan-tingkat protokol, Interman akan menampilkan beberapa jaringan - baik lokal
dan remote. Ringkasan protokol, statistik penggunaan dan foto postscript
juga tersedia.
"Packetman" adalah penganalisa paket Ethernet retrospektif. Alat ini memungkinkan
penangkapan dan analisis dari sebuah jejak paket Ethernet.
Jika Anda tertarik, binari untuk SUN Sparc (SunOS 4.1.x) dan DEC-mips
(ULTRIX 4.2 dan di atas) tersedia dari:
ftp.cs.curtin.edu.au:
~ Ftp / pub / netman / [sun4c | Desember-mips] / [etherman | interman | packetman]. Tar.Z
Satu set font juga diperlukan:
~ Ftp/pub/netman/hershey- [sun4c | Desember-mips]. Tar.Z
Jika Anda ingin membaca tentang hal itu, kertas yang dipresentasikan pada SANSII '93
tersedia sebagai:
~ Ftp / pub / netman / akhir-draft.ps.Z
PERHATIKAN (BENAR-BENAR PENTING):
1) Program ini bebas avialable dalam bentuk biner saja.
Mereka juga harus dijalankan sebagai root. Jika Anda tidak seperti ini
kebijakan maka jangan buang waktu anda melakukan proses yang sama mereka.
2) Sebuah dokumen yang menguraikan kebijakan tentang sumber memperoleh adalah
juga tersedia di situs kami dalam file yang disebut SOURCE_AVAILABILITY.
3) Kami berada di "akhir" sangat dari internet bagi kebanyakan orang dan Anda
mungkin mengalami kecepatan transfer lambat. Kami juga bottlenecked oleh
garis 48k jadi harap "coba lagi nanti" jika Anda mengalami
kesulitan.
- NMAP (Nmap)
Nmap (Network Mapper) adalah sebuah aplikasi atau tool yang berfungsi untuk melakukan port scanning. Nmap dibuat oleh Gordon Lyon, atau lebih dikenal dengan nama Fyodor Vaskovich. Aplikasi ini digunakan untuk meng-audit jaringan yang ada. Dengan menggunakan tool ini, kita dapat melihat host yang aktif, port yang terbuka, Sistem Operasi yang digunakan, dan feature-feature scanning lainnya. Pada awalnya, Nmap hanya bisa berjalan di sistem operasi Linux, namun dalam perkembangannya sekarang ini, hampir semua sistem operasi bisa menjalankan Nmap.
Penggunaan :
Berdasarkan rilis yang dikeluarkan oleh nmap.org, penggunaan Nmap sesuai dengan apa yag kita butuhkan. Bila kita menggunakan Nmap untuk melihat port yang terbuka, maka perintahnya akan berbeda dengan perintah bila kita ingin menggunakan Nmap untuk melihat host yang aktif. Bentuk dasar dari perintah Nmap adalah :
"nmap <option> <target>"
Untuk optionnya, silakan gunakan perintah :
"nmap --help"
Dan beberapa perintah-perintah lain bisa digunakan, tergantung kondisi, bisa dibaca di http://www.toolshowto.com[1].
The first step is to install Nmap:
into the terminal / console and login as root
into the terminal / console and login as root
$ sudo -i
or
$ su
or
$ su
after logging into root, type the following command to download and install nmap:
$ apt-get install nmap
to download and install nmap
if we're going to start scanning, the command used is:
if we're going to start scanning, the command used is:
$ nmap -v -A scanme.nmap.org
$ nmap -v -sP 192.168.0.0/16 10.0.0.0/8
$ nmap -v -iR 10000 -PN -p 80
$ nmap -v -sP 192.168.0.0/16 10.0.0.0/8
$ nmap -v -iR 10000 -PN -p 80
Atau anda juga dapat menginstall seperti di bawah ini :
wulan@Wulan-axioo:~$ sudo apt-get install nmap
[sudo] password for wulan:
Reading package lists… Done
Building dependency tree
Reading state information… Done
The following packages were automatically installed and are no longer required:
linux-headers-2.6.32-21 linux-headers-2.6.32-21-generic
Use ‘apt-get autoremove’ to remove them.
The following extra packages will be installed:
liblua5.1-0
The following NEW packages will be installed:
liblua5.1-0 nmap
0 upgraded, 2 newly installed, 0 to remove and 29 not upgraded.
Need to get 1,671kB of archives.
After this operation, 6,541kB of additional disk space will be used.
Do you want to continue [Y/n]? y
Get:1 http://id.archive.ubuntu.com/ubuntu/ lucid/main liblua5.1-0 5.1.4-5 [82.2kB]
Get:2 http://id.archive.ubuntu.com/ubuntu/ lucid/main nmap 5.00-3 [1,589kB]
Fetched 1,671kB in 5s (303kB/s)
Selecting previously deselected package liblua5.1-0.
(Reading database … 149317 files and directories currently installed.)
Unpacking liblua5.1-0 (from …/liblua5.1-0_5.1.4-5_i386.deb) …
Selecting previously deselected package nmap.
Unpacking nmap (from …/archives/nmap_5.00-3_i386.deb) …
Processing triggers for man-db …
Setting up liblua5.1-0 (5.1.4-5) …
[sudo] password for wulan:
Reading package lists… Done
Building dependency tree
Reading state information… Done
The following packages were automatically installed and are no longer required:
linux-headers-2.6.32-21 linux-headers-2.6.32-21-generic
Use ‘apt-get autoremove’ to remove them.
The following extra packages will be installed:
liblua5.1-0
The following NEW packages will be installed:
liblua5.1-0 nmap
0 upgraded, 2 newly installed, 0 to remove and 29 not upgraded.
Need to get 1,671kB of archives.
After this operation, 6,541kB of additional disk space will be used.
Do you want to continue [Y/n]? y
Get:1 http://id.archive.ubuntu.com/ubuntu/ lucid/main liblua5.1-0 5.1.4-5 [82.2kB]
Get:2 http://id.archive.ubuntu.com/ubuntu/ lucid/main nmap 5.00-3 [1,589kB]
Fetched 1,671kB in 5s (303kB/s)
Selecting previously deselected package liblua5.1-0.
(Reading database … 149317 files and directories currently installed.)
Unpacking liblua5.1-0 (from …/liblua5.1-0_5.1.4-5_i386.deb) …
Selecting previously deselected package nmap.
Unpacking nmap (from …/archives/nmap_5.00-3_i386.deb) …
Processing triggers for man-db …
Setting up liblua5.1-0 (5.1.4-5) …
Setting up nmap (5.00-3) …
Processing triggers for libc-bin …
ldconfig deferred processing now taking place
ldconfig deferred processing now taking place
to run nmap to scan ip address with range 10.10.28.0 – 10.10.28.254, you just run command :
wulan@Wulan-axioo:~$ nmap -sP 10.10.28.0/24
and the result :
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-30 17:23 WIT
Host 10.10.28.1 is up (0.00025s latency).
Host 10.10.28.3 is up (0.00032s latency).
Host 10.10.28.7 is up (0.000098s latency).
Host 10.10.28.9 is up (0.00022s latency).
Host 10.10.28.21 is up (0.00032s latency).
Host 10.10.28.22 is up (0.00030s latency).
Host 10.10.28.41 is up (0.0012s latency).
Host 10.10.28.42 is up (0.0011s latency).
Host 10.10.28.43 is up (0.0010s latency).
Host 10.10.28.44 is up (0.0010s latency).
Host 10.10.28.45 is up (0.0013s latency).
Host 10.10.28.46 is up (0.0012s latency).
Host 10.10.28.47 is up (0.0016s latency).
Host 10.10.28.48 is up (0.0015s latency).
Host 10.10.28.49 is up (0.0015s latency).
Host 10.10.28.50 is up (0.0015s latency).
Host 10.10.28.51 is up (0.0012s latency).
Host 10.10.28.100 is up (0.012s latency).
Host 10.10.28.105 is up (0.0041s latency).
Host 10.10.28.131 is up (0.0041s latency).
Nmap done: 256 IP addresses (20 hosts up) scanned in 2.36 seconds
Host 10.10.28.1 is up (0.00025s latency).
Host 10.10.28.3 is up (0.00032s latency).
Host 10.10.28.7 is up (0.000098s latency).
Host 10.10.28.9 is up (0.00022s latency).
Host 10.10.28.21 is up (0.00032s latency).
Host 10.10.28.22 is up (0.00030s latency).
Host 10.10.28.41 is up (0.0012s latency).
Host 10.10.28.42 is up (0.0011s latency).
Host 10.10.28.43 is up (0.0010s latency).
Host 10.10.28.44 is up (0.0010s latency).
Host 10.10.28.45 is up (0.0013s latency).
Host 10.10.28.46 is up (0.0012s latency).
Host 10.10.28.47 is up (0.0016s latency).
Host 10.10.28.48 is up (0.0015s latency).
Host 10.10.28.49 is up (0.0015s latency).
Host 10.10.28.50 is up (0.0015s latency).
Host 10.10.28.51 is up (0.0012s latency).
Host 10.10.28.100 is up (0.012s latency).
Host 10.10.28.105 is up (0.0041s latency).
Host 10.10.28.131 is up (0.0041s latency).
Nmap done: 256 IP addresses (20 hosts up) scanned in 2.36 seconds
Port Scanning with range 100-150
wulan@Wulan-axioo:~$ nmap 10.10.28.22 -p100-150
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-30 17:33 WIT
Interesting ports on 10.10.28.22:
Not shown: 49 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
Interesting ports on 10.10.28.22:
Not shown: 49 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
Nmap done: 1 IP address (1 host up) scanned in 1.16 seconds
for Scan Operating System :
wulan@Wulan-axioo:~$ sudo nmap 10.10.28.22 -O
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-30 17:35 WIT
Interesting ports on 10.10.28.22:
Not shown: 988 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3389/tcp open ms-term-serv
5101/tcp open admdog
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49156/tcp open unknown
49157/tcp open unknown
49160/tcp open unknown
MAC Address: 00:04:4B:16:59:89 (Nvidia)
Device type: general purpose
Running: Microsoft Windows Vista|2008|7
OS details: Microsoft Windows Vista SP0 or SP1, Server 2008, or Windows 7 Ultimate (build 7000)
Network Distance: 1 hop
Interesting ports on 10.10.28.22:
Not shown: 988 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3389/tcp open ms-term-serv
5101/tcp open admdog
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49156/tcp open unknown
49157/tcp open unknown
49160/tcp open unknown
MAC Address: 00:04:4B:16:59:89 (Nvidia)
Device type: general purpose
Running: Microsoft Windows Vista|2008|7
OS details: Microsoft Windows Vista SP0 or SP1, Server 2008, or Windows 7 Ultimate (build 7000)
Network Distance: 1 hop
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.39 seconds
Nmap done: 1 IP address (1 host up) scanned in 8.39 seconds
nmap Faster Execution
If you want to make faster scan, use -T4 option on nmap command.
wulan@Wulan-axioo:~$ sudo nmap -A -T4 10.10.28.3
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-30 17:38 WIT
Interesting ports on 10.10.28.3:
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
5009/tcp open airport-admin Apple AirPort admin
10000/tcp open snet-sensor-mgmt?
MAC Address: 00:1F:F3:42:BD:75 (Apple)
Device type: general purpose
Running: NetBSD 4.X
OS details: NetBSD 4.99.4
Network Distance: 1 hop
Interesting ports on 10.10.28.3:
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
5009/tcp open airport-admin Apple AirPort admin
10000/tcp open snet-sensor-mgmt?
MAC Address: 00:1F:F3:42:BD:75 (Apple)
Device type: general purpose
Running: NetBSD 4.X
OS details: NetBSD 4.99.4
Network Distance: 1 hop
- TCPDUMP (Tcpdump)
TCP/IP merupakan standar de facto untuk komunikasi antara dua komputer atau lebih. IP (Internet Protocol) menjalankan fungsinya pada network layer (pengalamatan dan routing) sedangkan TCP (Transmission Control Protocol) menyediakan jalur hubungan end-to-end (transport layer).
TCPdump adalah tools yang berfungsi mengcapture, membaca atau mendumping paket yang sedang ditransmisikan melalui jalur TCP.
TCPdump diciptakan untuk menolong programer ataupun administrator dalam menganalisa dan troubleshooting aplikasi networking. Seperti pisau yang bermata dua (hal ini sering kali disebut-sebut), TCPdump bisa digunakan untuk bertahan dan juga bisa digunakan untuk menyerang.
Utility ini juga seringkali digunakan oleh para cracker untuk melaksanakan perkerjaannya, karena TCPdump bisa mengcapture atau mensniff semua paket yang diterima oleh network interface.
Sama halnya dengan tujuan diciptakannya TCPdump, dalam kesempatan ini kami tidak akan menjelaskan tentang bagaimana cara mengcapture/mensniff semua paket yang diterima oleh network interface, tp kami akan coba membahas bagaimana TCPdump digunakan untuk menganalisa koneksi yang terjadi antara dua sistem
Untuk menginstall iftop, pada terminal atau konsol ketik
$ sudo apt-get install tcpdump
Parameter TCPDUMP
-i Interface à untuk membatasi paket data yang sedang berlangsung. -i interface dapat digunakan untuk memberitahu tcpdump untuk hanya memeriksa paket-paket dari interface tertentu. Misalnya, untuk hanya memeriksa paket pada interface ppp0, gunakan:
# tcpdump -i -ppp0
-n seperti parameter arp -n, tcpdump juga menggunakan -n untuk tidak melakukan resolusi nama pada namanya.
-q q atau quiet mode, memberitahu tcpdump untuk hanya mencetak protokol Layer 4 (tcp, udp, atau ICMP) dan nomor port atau nama.
-t parameter –t menginstruksikan tcpdump untuk tidak mencetak timestamp pada output.
-x parameter –x akan menyebabkan tcpdump untuk mencetak paket dalam heksadesimal.
-w Namafile ketika output tcpdump perlu disimpan, -w dapat digunakan untuk menyimpan file dalam format lipbcap, yang menghemat ruang, serta meletakkan file dalam format yang dapat dibaca oleh banyak analis jaringan lainnya. File yang dibuat oleh tcpdump dapat tumbuh dengan cepat, sehingga ruang hardisk harus diawasi dengan baik saat menyimpan file.
#tcpdump -i ppp0 -w ruwetsajan
Berikut contoh tampilannya:
Tekan Ctrl + C untuk mengakhiri proses penyimpanan.
-r Namafile file yang dibuat oleh opsi –w dapat dibaca kembali oleh tcpdump, dan analisis lebih lanjut dapat dilakukan pada paket.
Berikut contoh tampilan hasil yang disimpan tadi:
#tcpdump -i ppp0 -r ruwetsajan
Cara Membaca Output TCPDUMP
Contoh hasil output :
Disini kita akan bahas garis dasar hasil output dari tcpdump yaitu yang diblok hitam.
Kolom pertama di output tcpdump adalah cap waktu dengan nomor urutan tambahan yang ditambahkan setelah detik. Setelah cap waktu adalah simbol >, yang menandakan arah paket data. < menandakan masuk dan > menandakan keluar. Berikutnya adalah alamat sumber dari paket diikuti dengan port (www). Diikuti dengan tujuan (ubuntu) dan nomor port(39726), diikuti oleh ukuran window (5101), dengan panjang data sebanyak 1388.
TCPdump adalah CLI paket sniffer yg powerfull.
1. Install TCPDUMP
- Utk nginstall :
#apt-get install tcpdump
- Utk liat dependensinya :
#apt-cache depends tcpdump
tcpdump
Depends: libc6
Depends: libpcap0.8
Depends: libssl0.9.8
#apt-cache depends tcpdump
tcpdump
Depends: libc6
Depends: libpcap0.8
Depends: libssl0.9.8
- Utk lihat versi TCPdump yg terinstall :
# apt-cache policy tcpdump
tcpdump:
Installed: 3.9.5-2etch1
Candidate: 3.9.5-2etch1
Version Table:
*** 3.9.5-2etch1 0
500 http://kambing.vlsm.org stable/main Packages
500 http://security.debian.org stable/updates/main Packages
100 /var/lib/dpkg/status
2. Cara pake TCPdump
- Utk nampilin standar TCPdump output :
#tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
15:49:57.950569 IP 116.212.100.13.ssh > 202.159.3.222.1766: P 705743480:705743596(116) ack 1737657567 win 20368
15:49:57.953868 arp who-has ns1.wave.net.id tell 116.212.100.13
15:49:57.953960 arp reply ns1.wave.net.id is-at 00:1b:11:e8:98:ba (oui Unknown)
15:49:57.953977 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: 24955+ PTR? 222.3.159.202.in-addr.arpa. (44)
15:49:58.027214 IP ns1.wave.net.id.domain > 116.212.100.13.1035: 24955 NXDomain 0/1/0 (107)
15:49:58.027798 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: 37723+ PTR? 13.100.212.116.in-addr.arpa. (45)
15:49:58.028068 IP ns1.wave.net.id.domain > 116.212.100.13.1035: 37723 NXDomain* 0/1/0 (105)
15:49:58.028765 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: 28052+ PTR? 10.100.212.116.in-addr.arpa. (45)
15:49:58.029058 IP ns1.wave.net.id.domain > 116.212.100.13.1035: 28052* 1/2/2 (138)
15:49:58.096475 IP 202.159.3.222.1766 > 116.212.100.13.ssh: . ack 0 win 64623
15:49:58.096558 IP 116.212.100.13.ssh > 202.159.3.222.1766: P 116:1548(1432) ack 1 win 20368
15:49:58.096806 IP 116.212.100.13.ssh > 202.159.3.222.1766: P 1548:1760(212) ack 1 win 20368
15:49:58.161419 IP 202.159.3.222.1766 > 116.212.100.13.ssh: P 1:53(52) ack 0 win 64623
# apt-cache policy tcpdump
tcpdump:
Installed: 3.9.5-2etch1
Candidate: 3.9.5-2etch1
Version Table:
*** 3.9.5-2etch1 0
500 http://kambing.vlsm.org stable/main Packages
500 http://security.debian.org stable/updates/main Packages
100 /var/lib/dpkg/status
2. Cara pake TCPdump
- Utk nampilin standar TCPdump output :
#tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
15:49:57.950569 IP 116.212.100.13.ssh > 202.159.3.222.1766: P 705743480:705743596(116) ack 1737657567 win 20368
15:49:57.953868 arp who-has ns1.wave.net.id tell 116.212.100.13
15:49:57.953960 arp reply ns1.wave.net.id is-at 00:1b:11:e8:98:ba (oui Unknown)
15:49:57.953977 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: 24955+ PTR? 222.3.159.202.in-addr.arpa. (44)
15:49:58.027214 IP ns1.wave.net.id.domain > 116.212.100.13.1035: 24955 NXDomain 0/1/0 (107)
15:49:58.027798 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: 37723+ PTR? 13.100.212.116.in-addr.arpa. (45)
15:49:58.028068 IP ns1.wave.net.id.domain > 116.212.100.13.1035: 37723 NXDomain* 0/1/0 (105)
15:49:58.028765 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: 28052+ PTR? 10.100.212.116.in-addr.arpa. (45)
15:49:58.029058 IP ns1.wave.net.id.domain > 116.212.100.13.1035: 28052* 1/2/2 (138)
15:49:58.096475 IP 202.159.3.222.1766 > 116.212.100.13.ssh: . ack 0 win 64623
15:49:58.096558 IP 116.212.100.13.ssh > 202.159.3.222.1766: P 116:1548(1432) ack 1 win 20368
15:49:58.096806 IP 116.212.100.13.ssh > 202.159.3.222.1766: P 1548:1760(212) ack 1 win 20368
15:49:58.161419 IP 202.159.3.222.1766 > 116.212.100.13.ssh: P 1:53(52) ack 0 win 64623
- Network interface yg bisa di capture :
#tcpdump -D
1.eth1
2.any (Pseudo-device that captures on all interfaces)
3.lo
#tcpdump -D
1.eth1
2.any (Pseudo-device that captures on all interfaces)
3.lo
- Untuk menampilkan alamat numerik
#tcpdump -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
15:52:35.038923 IP 116.212.100.13.22 > 202.159.3.222.1766: P 705747000:705747116(116) ack 1737658607 win 20368
15:52:35.135921 IP 202.159.3.222.1766 > 116.212.100.13.22: . ack 0 win 65275
15:52:35.136008 IP 116.212.100.13.22 > 202.159.3.222.1766: P 116:396(280) ack 1 win 20368
15:52:35.136301 IP 116.212.100.13.22 > 202.159.3.222.1766: P 396:512(116) ack 1 win 20368
15:52:35.202463 IP 202.159.3.222.1766 > 116.212.100.13.22: P 1:53(52) ack 116 win 65159
15:52:35.202528 IP 116.212.100.13.22 > 202.159.3.222.1766: P 512:776(264) ack 53 win 20368
#tcpdump -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
15:52:35.038923 IP 116.212.100.13.22 > 202.159.3.222.1766: P 705747000:705747116(116) ack 1737658607 win 20368
15:52:35.135921 IP 202.159.3.222.1766 > 116.212.100.13.22: . ack 0 win 65275
15:52:35.136008 IP 116.212.100.13.22 > 202.159.3.222.1766: P 116:396(280) ack 1 win 20368
15:52:35.136301 IP 116.212.100.13.22 > 202.159.3.222.1766: P 396:512(116) ack 1 win 20368
15:52:35.202463 IP 202.159.3.222.1766 > 116.212.100.13.22: P 1:53(52) ack 116 win 65159
15:52:35.202528 IP 116.212.100.13.22 > 202.159.3.222.1766: P 512:776(264) ack 53 win 20368
- Utk nampilin output yg cpt
#tcpdump -q
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
15:53:26.152224 IP 116.212.100.13.ssh > 202.159.3.222.1766: tcp 116
15:53:26.161792 IP 116.212.100.13.ssh > 202.159.3.222.1766: tcp 116
15:53:26.160278 arp who-has ns1.wave.net.id tell 116.212.100.13
15:53:26.160374 arp reply ns1.wave.net.id is-at 00:1b:11:e8:98:ba (oui Unknown)
15:53:26.160395 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: UDP, length 44
15:53:26.160624 IP ns1.wave.net.id.domain > 116.212.100.13.1035: UDP, length 107
15:53:26.161187 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: UDP, length 45
15:53:26.161413 IP ns1.wave.net.id.domain > 116.212.100.13.1035: UDP, length 105
15:53:26.162190 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: UDP, length 45
15:53:26.162450 IP ns1.wave.net.id.domain > 116.212.100.13.1035: UDP, length 138
15:53:26.211335 IP 202.159.3.222.1766 > 116.212.100.13.ssh: tcp 0
15:53:26.211407 IP 116.212.100.13.ssh > 202.159.3.222.1766: tcp 1272
#tcpdump -q
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
15:53:26.152224 IP 116.212.100.13.ssh > 202.159.3.222.1766: tcp 116
15:53:26.161792 IP 116.212.100.13.ssh > 202.159.3.222.1766: tcp 116
15:53:26.160278 arp who-has ns1.wave.net.id tell 116.212.100.13
15:53:26.160374 arp reply ns1.wave.net.id is-at 00:1b:11:e8:98:ba (oui Unknown)
15:53:26.160395 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: UDP, length 44
15:53:26.160624 IP ns1.wave.net.id.domain > 116.212.100.13.1035: UDP, length 107
15:53:26.161187 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: UDP, length 45
15:53:26.161413 IP ns1.wave.net.id.domain > 116.212.100.13.1035: UDP, length 105
15:53:26.162190 IP 116.212.100.13.1035 > ns1.wave.net.id.domain: UDP, length 45
15:53:26.162450 IP ns1.wave.net.id.domain > 116.212.100.13.1035: UDP, length 138
15:53:26.211335 IP 202.159.3.222.1766 > 116.212.100.13.ssh: tcp 0
15:53:26.211407 IP 116.212.100.13.ssh > 202.159.3.222.1766: tcp 1272
- Capture traffic interface tertentu :
#tcpdump -i eth0
#tcpdump -i eth0
- Capture traffic UDP :
#tcpdump udp
#tcpdump udp
- Capture traffic port TCP 80
#tcpdump port http
#tcpdump port http
- Capture trafik dari filter suatu file :
#tcpdump -F file_name
contoh file :
#vim file_name
port 80
#tcpdump -F file_name
contoh file :
#vim file_name
port 80
- Berhenti capture setelah 20 paket :
#tcpdump -c 20
#tcpdump -c 20
- Nyimpen capture-an ke suatu file :
#tcpdump -w capture.log
#tcpdump -w capture.log
- Lihat capture file :
#tcpdump -r capture.log
reading from file capture.log, link-type EN10MB (Ethernet)
16:06:10.607444 IP 116.212.100.13.ssh > 202.159.3.222.1766: P 705756112:705756164(52) ack 1737661227 win 22512
16:06:10.607463 IP 116.212.100.13.ssh > 202.159.3.222.1766: P 52:168(116) ack 1 win 22512
16:06:10.704568 IP 202.159.3.222.1766 > 116.212.100.13.ssh: . ack 168 win 64431
16:06:12.450891 802.1d config 8000.00:1e:be:4f:93:08.8004 root 8000.00:1e:be:4f:93:08 pathcost 0 age 0 max 20 hello 2 fdelay 15
16:06:12.630703 IP 202.159.3.222.1766 > 116.212.100.13.ssh: P 1:53(52) ack 168 win 64431
#tcpdump -r capture.log
reading from file capture.log, link-type EN10MB (Ethernet)
16:06:10.607444 IP 116.212.100.13.ssh > 202.159.3.222.1766: P 705756112:705756164(52) ack 1737661227 win 22512
16:06:10.607463 IP 116.212.100.13.ssh > 202.159.3.222.1766: P 52:168(116) ack 1 win 22512
16:06:10.704568 IP 202.159.3.222.1766 > 116.212.100.13.ssh: . ack 168 win 64431
16:06:12.450891 802.1d config 8000.00:1e:be:4f:93:08.8004 root 8000.00:1e:be:4f:93:08 pathcost 0 age 0 max 20 hello 2 fdelay 15
16:06:12.630703 IP 202.159.3.222.1766 > 116.212.100.13.ssh: P 1:53(52) ack 168 win 64431
- Utk nampilin paket yg punya “www.zulfanruri.com” sby source/dest address :
#tcpdump host www.zulfanruri.com
#tcpdump host www.zulfanruri.com
- Utk nampilin paket FTP yg berasal dari 192.168.1.100 ke 192.168.1.2 :
#tcpdump src 192.168.1.100 and dst 192.168.1.2 and port ftp
#tcpdump src 192.168.1.100 and dst 192.168.1.2 and port ftp
- Utk nampilin isi paket :
#tcpdump -A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ath0, link-type EN10MB (Ethernet), capture size 96 bytes
20:53:24.872785 IP local.40205 > 192.168.1.2.ftp: S 4155598838:4155598838(0) win 5840
….g………………..
…………
20:53:24.879473 IP local.40205 > 192.168.1.2.ftp: . ack 1228937421 win 183
….g.I@………….
……..
20:53:24.881654 IP local.40205 > 192.168.1.2.ftp: . ack 43 win 183
….g.I@…….8…..
……EN
20:53:26.402046 IP local.40205 > 192.168.1.2.ftp: P 0:10(10) ack 43 win 183
….g.I@……`$…..
…=..ENUSER teddybear
#tcpdump -A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ath0, link-type EN10MB (Ethernet), capture size 96 bytes
20:53:24.872785 IP local.40205 > 192.168.1.2.ftp: S 4155598838:4155598838(0) win 5840
….g………………..
…………
20:53:24.879473 IP local.40205 > 192.168.1.2.ftp: . ack 1228937421 win 183
….g.I@………….
……..
20:53:24.881654 IP local.40205 > 192.168.1.2.ftp: . ack 43 win 183
….g.I@…….8…..
……EN
20:53:26.402046 IP local.40205 > 192.168.1.2.ftp: P 0:10(10) ack 43 win 183
….g.I@……`$…..
…=..ENUSER teddybear
20:53:26.403802 IP local.40205 > 192.168.1.2.ftp: . ack 76 win 183
….h.I@………….
…>..E^
20:53:29.169036 IP local.40205 > 192.168.1.2.ftp: P 10:25(15) ack 76 win 183
….h.I@……#c…..
……E^PASS wakeup
….h.I@………….
…>..E^
20:53:29.169036 IP local.40205 > 192.168.1.2.ftp: P 10:25(15) ack 76 win 183
….h.I@……#c…..
……E^PASS wakeup
20:53:29.171553 IP local.40205 > 192.168.1.2.ftp: . ack 96 win 183
….h.I@.,………..
……Ez
20:53:29.171649 IP local.40205 > 192.168.1.2.ftp: P 25:31(6) ack 96 win 183
….h.I@.,………..
……EzSYST
….h.I@.,………..
……Ez
20:53:29.171649 IP local.40205 > 192.168.1.2.ftp: P 25:31(6) ack 96 win 183
….h.I@.,………..
……EzSYST
20:53:29.211607 IP local.40205 > 192.168.1.2.ftp: . ack 115 win 183
….h.I@.?…..j…..
……Ez
20:53:31.367619 IP local.40205 > 192.168.1.2.ftp: P 31:37(6) ack 115 win 183
….h.I@.?………..
……EzQUIT
….h.I@.?…..j…..
……Ez
20:53:31.367619 IP local.40205 > 192.168.1.2.ftp: P 31:37(6) ack 115 win 183
….h.I@.?………..
……EzQUIT
20:53:31.369316 IP local.40205 > 192.168.1.2.ftp: . ack 155 win 183
….h.I@.g………..
……E.
20:53:31.369759 IP local.40205 > 192.168.1.2.ftp: F 37:37(0) ack 156 win 183
….h.I@.h…..e…..
……E.
….h.I@.g………..
……E.
20:53:31.369759 IP local.40205 > 192.168.1.2.ftp: F 37:37(0) ack 156 win 183
….h.I@.h…..e…..
……E.
Capture paket saat koneksi ftp, passwordnya gampang dilihat krn dikirim berupa clear text ke server.
Utk capture di atas, user/password ftp = teddybear/wakeup
Utk capture di atas, user/password ftp = teddybear/wakeup
- SWATCH (Swatch)
SWATCH, "The Simple WATCHer and filter", is a perl program developed by Todd Atkins that monitors your logs in real time. Swatch monitors your logs for specific triggers, when those triggers are matched swatch notifies you in a pre-determined manner. In our case, we are going to implement swatch to alert us whenever someone is messing with our sendmail.
The program is extremely simple to install. Swatch comes with a useful install script that will copy all the libraries, man pages, and perl files to their respective directories. You might need to compile and install several perl modules, the installation script will let you know. Once done installing, all that is left is creating a configuration file and then launching the program. You can download swatch here.
The configuration file, called swatchrc, is the heart of the swatch program. This text file tells swatch what logs to monitor, what triggers to look for, and what to do if triggered. Swatch works by looking for regular expressions that match the triggers defined in swatchrc. When it finds a match, it executes the notification procedure defined in swatchrc. Swatch monitors the files in real time, using /usr/bin/tail �f.
We will now create a swatchrc file for our sendmail logging we discussed above. The goal is to have sendmail email us whenever someone is messing with our email system. We defined this earlier as anyone attempting unauthorized mail relay or the expn command. The syntax of a swatchrc file is as follows. It consists of four fields, the first two fields are required, the last two fields are optional. The first field is
/pattern/pattern/
where pattern is a regular expression that swatch is looking for. This is our trigger. The second field is
Action,action�
where action is what to do if the pattern is matched. Swatch has various options for actions, including email, paging, or executing any file you select. The third field 'throttle' (which is optional) is a time interval defined as
HH:MM:SS
HH is for hours, MM for minutes, and SS for seconds. This time interval is the amount of time swatch will ignore identical matched patterns that repeat themselves. For example, if you define this period as 5 minutes, swatch will only report one identical matched pattern over that time period, even though it might have matched 20 identical entries.
The fourth field (required if you are using the third field) is a timestamp, defined as
start:length. This defines the location and length of the timestamp in the notification message.
start:length. This defines the location and length of the timestamp in the notification message.
For our sendmail example, we want to create a swatchrc file that looks for patterns matching our two triggers (See Figure A and Figure B). When it matches either of these patterns, we want it to notify via email abuse@ourcompany.com and to include the matched pattern in the email. However, we have to be careful not to be flooded with warnings. For example, if someone attempts to relay off us with 1000 emails a minute, we would be overwhelmed with notifications. So, we will set a time interval of 5 minutes. Regardless of how many identical patterns are matched in a five minute period, we will receive only one warning. Our swatchrc file would look as follows:
watchfor /Relaying denied|expn/
echo=normal
mail=abuse@ourcompany.net,subject=--- Sendmail Alert! ---
throttle 5:00 0:16
echo=normal
mail=abuse@ourcompany.net,subject=--- Sendmail Alert! ---
throttle 5:00 0:16
The first field has "/Relaying denied|expn/". If swatch matches either pattern in the regular expression, it will send an alert. The first pattern "Relaying denied" is found in trigger #1 (Figure A), this log is the result of someone attempting an unauthorized mail relay. The pattern "expn" is found in trigger #2 (Figure B), it is the result of someone attempting to use the expn command. You will find both expressions in the triggers we covered in the first part of the article.
The second filed has "echo=normal,mail=abuse@company.net"
This field states email a warning to abuse@ourcompany.net, and echo the matched log entry.
This field states email a warning to abuse@ourcompany.net, and echo the matched log entry.
The third and fourth field (which are optional), have "5:00 0:16". This states do not repeat any warning for identical patterns matched within 5 minutes. The last field states the location and length of the timestamp.
We now have a properly configured swatchrc file. The last step is starting swatch itself. Swatch can be launched with a variety of options. However, we will launch with the following syntax.
/usr/local/bin/swatch -c /var/log/swatchrc -t /var/log/syslog &
The �c option points to the configuration file, and the �t option monitors the log file in realtime. The "&" runs the swatch in the background. Once launched, swatch forks a child, so swatch will be running as two processes. Be sure to kill both processes in any stop/start scripts you create. That�s it. Your sendmail logs will be automatically filtered. Whenever someone messes with your sendmail system, you will be instantly notified via email, with the matched trigger in the log included (SeeFigures A and Figure B).
Conclusion
Logs are powerful tools, yet they can easily overwhelm us with data. When this happens, we start ignoring this valuable source because we don�t have time to scan through megs of data. Automating the filtering of such logs solves the problem. These automated filters do the work for us, alerting us in real time with the information we need. Hopefully this article has given you ideas on how to automate the filtering of your log files.
Logs are powerful tools, yet they can easily overwhelm us with data. When this happens, we start ignoring this valuable source because we don�t have time to scan through megs of data. Automating the filtering of such logs solves the problem. These automated filters do the work for us, alerting us in real time with the information we need. Hopefully this article has given you ideas on how to automate the filtering of your log files.
Figure A
Trigger for anyone attempting un-authorized mail relay from your sendmail server.
Oct 3 14:48:51 homer sendmail[6704]: OAA06704: ruleset=check_rcpt,arg1=bsmith@domain.com, relay=foo@moo.com [206.54.252.1],reject=550 root@domain.com... Relaying denied
Figure B
Trigger for anyone attempting to utilize the expn command on your sendmail server.
Oct 2 20:28:37 homer sendmail[5453]: NOQUEUE: foo@moo.com[206.54.252.1]: expn root [rejected]
Trigger for anyone attempting to utilize the expn command on your sendmail server.
Oct 2 20:28:37 homer sendmail[5453]: NOQUEUE: foo@moo.com[206.54.252.1]: expn root [rejected]
PENGERTIAN :
SWATCH
"Para pengamat Sederhana dan filter", adalah sebuah program perl yang dikembangkan oleh Todd Atkins yang memonitor log secara real time.Swatch log monitor Anda untuk memicu tertentu, ketika mereka memicu dicocokkan swatch memberitahu Anda secara pra-ditentukan. Dalam kasus kami, kami akan mengimplementasikan carikan untuk mengingatkan kita setiap kali seseorang mengacaukan dengan sendmail kami.
Program ini sangat sederhana untuk menginstal. Swatch dilengkapi dengan script install berguna yang akan menyalin semua perpustakaan, halaman manual, dan file perl untuk direktori masing-masing. Anda mungkin perlu mengkompilasi dan menginstal beberapa modul perl, script instalasi akan memberitahu Anda. Setelah selesai menginstal, semua yang tersisa adalah membuat file konfigurasi dan kemudian meluncurkan program. Anda dapat men-download carikan sini.
File konfigurasi, yang disebut swatchrc, adalah jantung dari program carikan. Ini file teks memberitahu carikan apa yang log untuk memantau, apa yang memicu untuk mencari, dan apa yang harus dilakukan jika dipicu. Swatch bekerja dengan mencari ekspresi reguler yang cocok dengan memicu didefinisikan dalam swatchrc. Ketika ia menemukan pertandingan, itu mengeksekusi prosedur pemberitahuan didefinisikan dalam swatchrc. Swatch memonitor file secara real time, menggunakan / usr / bin / ekor f.
Sekarang kita akan membuat file swatchrc untuk sendmail kami penebangan kita bahas di atas. Tujuannya adalah untuk memiliki email sendmail kita setiap kali seseorang mengacaukan dengan sistem email kami. Kita mendefinisikan ini sebelumnya sebagai relay email siapa pun yang tidak sah atau mencoba perintah expn. Sintaks dari file swatchrc adalah sebagai berikut. Ini terdiri dari empat bidang, dua yang pertama harus diisi, dua terakhir bidang adalah opsional.Bagian pertama adalah
/ Pattern / pattern /
Sekarang kita akan membuat file swatchrc untuk sendmail kami penebangan kita bahas di atas. Tujuannya adalah untuk memiliki email sendmail kita setiap kali seseorang mengacaukan dengan sistem email kami. Kita mendefinisikan ini sebelumnya sebagai relay email siapa pun yang tidak sah atau mencoba perintah expn. Sintaks dari file swatchrc adalah sebagai berikut. Ini terdiri dari empat bidang, dua yang pertama harus diisi, dua terakhir bidang adalah opsional.Bagian pertama adalah
/ Pattern / pattern /
Di mana pola adalah ekspresi reguler yang carikan sedang mencari. Hal ini memicu kami. Bidang kedua adalah
Aksi, tindakan
dimana tindakan adalah apa yang harus dilakukan jika pola ini cocok. Swatch memiliki berbagai pilihan untuk tindakan, termasuk email, paging, atau mengeksekusi file yang Anda pilih. 'Throttle' Bagian ketiga (yang opsional) adalah interval waktu didefinisikan sebagai
HH: MM: SS
HH adalah jam, MM untuk menit, dan SS detik. Ini interval waktu adalah jumlah waktu carikan akan mengabaikan pola cocok identik yang berulang. Sebagai contoh, jika anda menentukan periode ini sebagai 5 menit, carikan hanya akan melaporkan satu pola cocok identik selama periode waktu, meskipun mungkin cocok 20 entri identik.
Kolom keempat (diperlukan jika Anda menggunakan bidang ketiga) adalah timestamp, yang didefinisikan sebagai
mulai: panjang. Ini mendefinisikan lokasi dan panjang timestamp dalam pesan pemberitahuan.
Aksi, tindakan
dimana tindakan adalah apa yang harus dilakukan jika pola ini cocok. Swatch memiliki berbagai pilihan untuk tindakan, termasuk email, paging, atau mengeksekusi file yang Anda pilih. 'Throttle' Bagian ketiga (yang opsional) adalah interval waktu didefinisikan sebagai
HH: MM: SS
HH adalah jam, MM untuk menit, dan SS detik. Ini interval waktu adalah jumlah waktu carikan akan mengabaikan pola cocok identik yang berulang. Sebagai contoh, jika anda menentukan periode ini sebagai 5 menit, carikan hanya akan melaporkan satu pola cocok identik selama periode waktu, meskipun mungkin cocok 20 entri identik.
Kolom keempat (diperlukan jika Anda menggunakan bidang ketiga) adalah timestamp, yang didefinisikan sebagai
mulai: panjang. Ini mendefinisikan lokasi dan panjang timestamp dalam pesan pemberitahuan.
Sebagai contoh sendmail kita, kita ingin membuat sebuah file swatchrc yang mencari pola-pola pencocokan kedua pemicu (Lihat Gambar A dan Gambar B).Ketika pertandingan salah satu dari pola-pola ini, kami ingin memberi tahu lewat email dan abuse@ourcompany.com untuk memasukkan pola cocok dalam email. Namun, kita harus berhati-hati tidak akan dibanjiri dengan peringatan.Sebagai contoh, jika seseorang berusaha untuk relay dari kami dengan 1000 email sebentar, kita akan kewalahan dengan pemberitahuan. Jadi, kami akan menetapkan interval waktu dari 5 menit. Terlepas dari berapa banyak pola yang identik cocok dalam waktu lima menit, kami hanya akan menerima satu peringatan. Swatchrc file yang kita akan terlihat sebagai berikut:
watchfor / menyampaikan menyangkal | expn /
gema = normal
email = abuse@ourcompany.net, subjek =--- Pemberitahuan Sendmail! ---
throttle 05:00 00:16
Field pertama telah "/ menyampaikan menyangkal | expn /". Jika carikan pertandingan baik pola dalam ekspresi reguler, ia akan mengirim peringatan. Pola "menyampaikan ditolak" pertama ditemukan dalam memicu # 1 (Gambar A), log ini adalah hasil dari seseorang yang mencoba relay email yang tidak sah. Pola "expn" ditemukan dalam memicu # 2 (Gambar B), itu adalah hasil dari seseorang yang mencoba menggunakan perintah expn. Anda akan menemukan kedua ekspresi dalam memicu kita bahas di bagian pertama artikel.
Yang kedua telah diajukan "echo = normal, email = abuse@company.net"
Ini menyatakan bidang email peringatan untuk abuse@ourcompany.net, dan echo entri log yang cocok.
Kolom ketiga dan keempat (yang opsional), memiliki "5:00 00:16". Ini negara bagian tidak mengulang pola yang identik peringatan untuk cocok dalam waktu 5 menit. Field terakhir menyatakan lokasi dan panjang timestamp.
Kami sekarang memiliki sebuah file swatchrc dikonfigurasi dengan benar.Langkah terakhir adalah mulai carikan sendiri. Swatch dapat diluncurkan dengan berbagai pilihan. Namun, kami akan memulai dengan sintaks berikut.
/ Usr / local / bin / swatch-c / var / log / swatchrc-t / var / log / syslog &
Poin pilihan c ke file konfigurasi, dan pilihan t memonitor file log secara realtime.The "&" berjalan swatch di latar belakang. Setelah diluncurkan, carikan garpu anak, sehingga akan carikan berjalan sebagai dua proses. Pastikan untuk membunuh kedua proses dalam setiap stop / start script yang Anda buat. Thats it. Log sendmail Anda akan secara otomatis disaring. Setiap kali seseorang mengacaukan dengan sistem sendmail, Anda akan langsung diberitahu melalui email, dengan memicu cocok dalam log disertakan (SeeFigures A dan Gambar B).
Contoh konfigurasi file swatchrc
Kesimpulan
Log adalah alat yang kuat, namun mereka dengan mudah dapat menenggelamkan kita dengan data. Ketika ini terjadi, kita mulai mengabaikan sumber berharga karena kita tidak punya waktu untuk memindai melalui MB data. Mengotomatisasi penyaringan log seperti memecahkan masalah. Filter ini otomatis melakukan pekerjaan untuk kita, mengingatkan kita secara real time dengan informasi yang kita butuhkan. Mudah-mudahan artikel ini telah memberi Anda ide tentang bagaimana untuk mengotomatisasi penyaringan file log Anda.
watchfor / menyampaikan menyangkal | expn /
gema = normal
email = abuse@ourcompany.net, subjek =--- Pemberitahuan Sendmail! ---
throttle 05:00 00:16
Field pertama telah "/ menyampaikan menyangkal | expn /". Jika carikan pertandingan baik pola dalam ekspresi reguler, ia akan mengirim peringatan. Pola "menyampaikan ditolak" pertama ditemukan dalam memicu # 1 (Gambar A), log ini adalah hasil dari seseorang yang mencoba relay email yang tidak sah. Pola "expn" ditemukan dalam memicu # 2 (Gambar B), itu adalah hasil dari seseorang yang mencoba menggunakan perintah expn. Anda akan menemukan kedua ekspresi dalam memicu kita bahas di bagian pertama artikel.
Yang kedua telah diajukan "echo = normal, email = abuse@company.net"
Ini menyatakan bidang email peringatan untuk abuse@ourcompany.net, dan echo entri log yang cocok.
Kolom ketiga dan keempat (yang opsional), memiliki "5:00 00:16". Ini negara bagian tidak mengulang pola yang identik peringatan untuk cocok dalam waktu 5 menit. Field terakhir menyatakan lokasi dan panjang timestamp.
Kami sekarang memiliki sebuah file swatchrc dikonfigurasi dengan benar.Langkah terakhir adalah mulai carikan sendiri. Swatch dapat diluncurkan dengan berbagai pilihan. Namun, kami akan memulai dengan sintaks berikut.
/ Usr / local / bin / swatch-c / var / log / swatchrc-t / var / log / syslog &
Poin pilihan c ke file konfigurasi, dan pilihan t memonitor file log secara realtime.The "&" berjalan swatch di latar belakang. Setelah diluncurkan, carikan garpu anak, sehingga akan carikan berjalan sebagai dua proses. Pastikan untuk membunuh kedua proses dalam setiap stop / start script yang Anda buat. Thats it. Log sendmail Anda akan secara otomatis disaring. Setiap kali seseorang mengacaukan dengan sistem sendmail, Anda akan langsung diberitahu melalui email, dengan memicu cocok dalam log disertakan (SeeFigures A dan Gambar B).
Contoh konfigurasi file swatchrc
Kesimpulan
Log adalah alat yang kuat, namun mereka dengan mudah dapat menenggelamkan kita dengan data. Ketika ini terjadi, kita mulai mengabaikan sumber berharga karena kita tidak punya waktu untuk memindai melalui MB data. Mengotomatisasi penyaringan log seperti memecahkan masalah. Filter ini otomatis melakukan pekerjaan untuk kita, mengingatkan kita secara real time dengan informasi yang kita butuhkan. Mudah-mudahan artikel ini telah memberi Anda ide tentang bagaimana untuk mengotomatisasi penyaringan file log Anda.
Gambar A
Pemicu bagi siapa saja yang berusaha un-resmi relay mail dari server sendmail Anda.
3 Oktober 14:48:51 homer sendmail [6704]: OAA06704: ruleset = check_rcpt, arg1 = bsmith@domain.com, relay = foo@moo.com [206.54.252.1], menolak = 550 root@domain.com .. . Menyampaikan ditolak
Gambar B
Pemicu bagi siapa saja yang berusaha untuk memanfaatkan perintah expn pada server sendmail Anda.
2 Oktober 20:28:37 homer sendmail [5453]: NOQUEUE: foo@moo.com [206.54.252.1]: expn akar [ditolak]
Pemicu bagi siapa saja yang berusaha un-resmi relay mail dari server sendmail Anda.
3 Oktober 14:48:51 homer sendmail [6704]: OAA06704: ruleset = check_rcpt, arg1 = bsmith@domain.com, relay = foo@moo.com [206.54.252.1], menolak = 550 root@domain.com .. . Menyampaikan ditolak
Gambar B
Pemicu bagi siapa saja yang berusaha untuk memanfaatkan perintah expn pada server sendmail Anda.
2 Oktober 20:28:37 homer sendmail [5453]: NOQUEUE: foo@moo.com [206.54.252.1]: expn akar [ditolak]
HOW TO INSTALL SWATCH :
jurbanite> sudo su tocops
[…]
jurbanite> cd /opt/vdops/src/centos-5
jurbanite> tar xvfz /opt/vdops/archive/swatch-3.2.2.tar.gz
[…]
jurbanite> cd swatch-3.2.2
jurbanite> sudo su netops
jurbanite> perl Makefile.PL
Writing Makefile for swatch
jurbanite>
If ‘perl Makefile.PL’ complains about missing Perl modules, install them.
jurbanite> cpan
CPAN: File::HomeDir loaded ok (v0.69)
cpan shell -- CPAN exploration and modules installation (v1.9205)
ReadLine support enabled
cpan[1]> install Date::Calc Date::Parse File::Tail Time::HiRes
[…]
cpan[2]> quit
jurbanite>
jurbanite> make
cp swatch blib/script/swatch
/opt/vdops/bin/perl "-MExtUtils::MY" -e "MY->fixin(shift)" blib/script/swatch
Manifying blib/man1/swatch.1
Manifying blib/man3/Swatch::Threshold.3
Manifying blib/man3/Swatch::Throttle.3
Manifying blib/man3/Swatch::Actions.3
jurbanite> make test
PERL_DL_NONLAZY=1 /opt/vdops/bin/perl "-MExtUtils::Command::MM" "-e" "test_harne
ss(0, 'blib/lib', 'blib/arch')" t/*.t
t/01cpan_modules......ok
All tests successful.
Files=1, Tests=1, 0 wallclock secs ( 0.01 usr 0.01 sys + 0.06 cusr 0.01 csys = 0.09 CPU)
Result: PASS
jurbanite> make install
Writing /opt/vdops/lib/perl5/site_perl/5.8.8/i686-linux-thread-multi/auto/swatch/.packlist
Appending installation info to /opt/vdops/lib/perl5/5.8.8/i686-linux-thread-multi/perllocal.pod
jurbanite>
At this point, the ‘swatch’ Perl script is still sitting in ./swatch-3.2.2; now, you manually copy it
into position:
jurbanite> cp swatch /opt/vdops/script/swatch
jurbanite> chmod 555 /opt/vdops/script/swatch
Also, copy 'silence-swatch' from an existing installation to /opt/vdops/script
InfoTech/Admin/FHCRC 3 2008-11-14
V/Dops How to Install Swatch
cp ˜/silence-swatch /opt/vdops/script
chmod 755 /opt/vdops/script/silence-swatch
chown tocops:netops /opt/vdops/script/silence-swatch
* Instal Swatch[root@/usr/ports]# whereis swatchswatch:/usr/ports/security/swatch[root@/usr/ports/security/swatch]# make install cleanInstall dengan cara ketiga :#sudo apt-get install swatch
Sumber :
wiii...panjang bgtt gan...siippp