Halo. Setelah tidak update berbulan-bulan lamanya kali ini kita akan belajar tentang program penganalisa jaringan yang sangat populer, adalah Wireshark. Program ini banyak disalahgunakan, seringkali sih untuk keperluan hacking. Karena terjadi pembelokan fungsi inilah MeretasDC merasa sangat menarik untuk membahas fungsi dan pengertian Wireshark yang sebenarnya, bagaimana cara menggunakan wireshark dll.
Apa itu Wireshark ?
Wireshark adalah program Network Protocol Analyzer alias penganalisa protokol jaringan yang lengkap. Program ini dapat merakam semua paket yang lewat serta menyeleksi dan menampilkan data tersebut sedetail mungkin, misalnya postingan komentar kamu di blog atau bahkan Username dan Password.
Sebenarnya Wireshark tidak di desain untuk hacker. Fungsi utamanya tidak diperuntukkan untuk hacking. Wireshark utamanya dibuat untuk Administrator Jaringan untuk dapat melacak apa yang terjadi didalam jaringan miliknya atau untuk memastikan jaringannya bekerja dengan baik, serta tidak ada yang melakukan hal hal buruk pada jaringan itu.
Cara Kerja Wireshark.
Bagaimana cara kerja wireshark ? secara garis besar cara kerja wireshark terdiri dari dua tahapan
#1. Merekam semua paket yang melewati interface yang dipilih (Interface adalah perangkat penghubung antar jaringan, bisa melalui wifi atau ethernet / lan card)
#2. Hasil rekaman tadi dapat dianalisa. disini kita dapat memfilter protocol apa yang kita inginkan seperti tcp, http, udp dan sebagainya. Wireshark juga dapat mencatat cookie, post dan request.
#1. Merekam semua paket yang melewati interface yang dipilih (Interface adalah perangkat penghubung antar jaringan, bisa melalui wifi atau ethernet / lan card)
#2. Hasil rekaman tadi dapat dianalisa. disini kita dapat memfilter protocol apa yang kita inginkan seperti tcp, http, udp dan sebagainya. Wireshark juga dapat mencatat cookie, post dan request.
np : akan lebih jelas jika melihat video penggunaan sederhana wireshark yang admin sematkan dibawah ini.
Paket yang terekam oleh wireshark ini adalah paket yang melalui interface kita saja. Itulah sebabnya kalian tidak dapat merekam paket data teman disebelah anda padahal keduanya terkoneksi di jaringan yang sama. Ini sangat sering terjadi karena banyak yang belum mengetahui cara kerja wireshark.
Jika kita menjalankan wireshark sekaligus membuka browser di komputer kita sendiri datanya dapat ditangkap lengkap. Kenapa ? Karena sudah pasti data tersebut melalui interface kita bukan.
Jadi sekali lagi paket yang tersimpan hanya jika melalui interface yang ditentukan saja.
Jadi sekali lagi paket yang tersimpan hanya jika melalui interface yang ditentukan saja.
Strategi Hacker menggunakan Wireshark.
Karena wireshark bekerja dalam kondisi kondisi tertentu yang sudah dijelaskan diatas. Maka, hacker perlu melakukan strategi khusus. yaitu menjalankan man in the middle attack , atau arp spoof, atau membuat honey pot agar data yang diterima target di belokkan arusnya melalui interface mereka terlebih dahulu.
Artikel Man In The Middle Attack menjelaskan bagaimana caranya agar kita berada di tengah tengah dua komputer yang sedang berkomunikasi. MITM juga dapat digunakan untuk Hack Password Wifi.
Ketika hacker membuat akses poin palsu, semua paket yang diterima dan di kirim oleh orang yang terhubung ke akses poin palsu tersebut akan terekam lengkap di wireshark. Jika jebakannya berhasil, hacker tinggal memilih interface yang mereka gunakan untuk membuat akses poin palsu tadi pada aplikasi wireshark.
Berbeda dengan mitmf yang hanya menyimpan data saja, wireshark menyimpan semuanya seperti foto, gambar , video. semuanya. bahaya sekali bukan. tapi tidak juga. kenapa ?
karena untuk mencari data data yang kita inginkan itu seringkali bagaikan mencari jarum dalam tumpukan jerami. karena ada banyak sekali data. dalam hal ini hacker perlu ketelatenan yang tinggi dan lihai menyaring data data (filtering) di wireshark.
karena untuk mencari data data yang kita inginkan itu seringkali bagaikan mencari jarum dalam tumpukan jerami. karena ada banyak sekali data. dalam hal ini hacker perlu ketelatenan yang tinggi dan lihai menyaring data data (filtering) di wireshark.
Wireshark juga dapat digunakan untuk membuka hasil rekaman data dari program lain. misalnya program kali linux airdump.
contoh simulasinya seperti ini. Elliot di film mr robot hanya membawa smartphone (wireshark tidak bisa digunakan di smartphone tersebut karena banyaknya keterbatasan), namun smartphone tersebut dapat menjalankan airdump. Jadi elliot merekamnya melalui smartphone dengan program airdump lalu kemudian hasil rekaman datanya dibawa dan dibuka dirumah menggunakan wireshark. nah, yang seperti itu bisa dilakukan.
Jadi jelas wireshark tidak menganalisa secara realtime, saat merekam sebenarnya kita membuat sebuah file berisi semua data, lalu file tersebutlah yang di analisa.
contoh simulasinya seperti ini. Elliot di film mr robot hanya membawa smartphone (wireshark tidak bisa digunakan di smartphone tersebut karena banyaknya keterbatasan), namun smartphone tersebut dapat menjalankan airdump. Jadi elliot merekamnya melalui smartphone dengan program airdump lalu kemudian hasil rekaman datanya dibawa dan dibuka dirumah menggunakan wireshark. nah, yang seperti itu bisa dilakukan.
Jadi jelas wireshark tidak menganalisa secara realtime, saat merekam sebenarnya kita membuat sebuah file berisi semua data, lalu file tersebutlah yang di analisa.
Instalasi Wireshark.
Wireshark dapat di download di https://www.wireshark.org/download.html
pilih installer paket yang sesuai. Instalasinya pun sangat mudah cuma next next saja, akan ada permintaan ijin untuk menginstall aplikasi winpcap, ijinkan penginstalan, tanpa software tersebut wireshark tidak dapat mengcapture paket dengan leluasa.
pilih installer paket yang sesuai. Instalasinya pun sangat mudah cuma next next saja, akan ada permintaan ijin untuk menginstall aplikasi winpcap, ijinkan penginstalan, tanpa software tersebut wireshark tidak dapat mengcapture paket dengan leluasa.
Cara menggunakan Wireshark – Sniffing Password.
Setelah penginstalan, anda dapat langsung menggunakan wireshark. Halaman awalnya akan nampak seperti gambar dibawah
Semua Interface akan ditampilkan beserta diagram gelombang yang menandakan bahwa ada paket data yang melewati interface tersebut. Klik dua kali pada interface yang akan digunakan untuk mengcapture paket data. Maka aplikasi akan masuk ke tampilan seperti dibawah ini.
Semua detil paket akan ditampilkan, seperti asal muasal ip address, protokol dan sebagainya.
Untuk mengujicoba wireshark, admin meretasdc melakukan login ke halaman web yang tidak terenkripsi (http) lalu melakukan filtering paket http.
kemudian membuka tiap tiap request post dengan mengklik dua kali paket tersebut satu persatu.
formulir isian seperti kolom username dan password akan ditemukan di detail HTML Form Url. Taraa Percobaan sniffing password sukses dilakukan.
Wireshark Filtering.
seperti yang admin bilang, kemampuan kita memfilter informasi sangat diperlukan di wireshark karena akan ada ribuan paket data. Untungnya Kata kunci dalam Filtering wireshark dapat dikombinasikan sehingga dapat menampilkan data yang lebih spesifik. misalnya kita dapat menggunakan gerbang logika or and & not pada filtering wireshark ini.
Filter yang sering dipakai :
http
Hanya paket http yang akan ditampilkan.
ip.addr ==x.x.x.x
Hanya menampilkan ip address yang dimaksud, ganti xxxx menjadi ip address.
ip.addr ==x.x.x.x && ip.addr ==x.x.x.x
Menampilkan ip address dengan logika and, artinya paket ditampilkan hanya jika kondisinya ada dua ip address tersebut di dalam paket.
http.request
Menampilkan paket http dengan status post atau get. mempermudah untuk pencarian password seperti contoh diatas.
tcp contains XXX
Menampilkan paket tcp yang mengandung kata xxx.
!(arp or icmp or dns)
Dibaca not arp or icmp or dns. Artinya paket arp atau icmp atau dns tidak akan ditampilkan.
Kegunaan Wireshark untuk Administrator Jaringan.
Jika sebelumnya kita belajar wireshark dengan cara sniffing password, yang artinya wireshark digunakan di sisi hacker. Maka kali ini akan kita bahas sedikit bagaimana wireshark berguna untuk administrator jaringan bahkan dalam melawan Hacker.
- Loopback jaringan, dalam wirehark dapat anda jumpai jumlah paket yang tidak wajar di karenakan loop jaringan misalnya tiba tiba ada ribuan paket dalam hitungan detik.
- Mendeteksi paket http yang bermasalah (biasanya tidak sampai ke server) dengan melihat paket yang berwarna hitam.
- Malware yang terus menerus mengirimkan data, dalam hal ini kita bisa melihat ip ip yang terasa asing, misalnya saat jam istirahat dan tidak ada yang mengakses komputer tapi ternyata di wireshark terlihat komputer tersebut sedang mengirimkan data ke alamat yang mencurigakan.
- WireShark juga bisa melihat aktivitas seperti Copy File yang sudah di Sharing oleh komputer lain, protocol yang dipakai paket datanya adalah SMB2
- Mendeteksi adanya dhcp server yang tidak di inginkan. padahal di kantor anda jaringannya di setting static namun ternyata ada dhcp server yang aktif. data broadcast dhcp server tersebut akan terlihat di Wireshark.
- Dapat mendeteksi adanya ARP Poisoning dan ARP Spoofing, yang artinya ada yang sedang mengacau table ARP (biasanya ada yang sedang menjalankan Man in The Middle Attack)
Bagaimana caranya mendeteksi ARP Poisoning dan Spoofing (Man in the middle) ?
Pada menu edit – preferences – ARP/RARP, centang pilihan Detect ARP request storm. Maka setiap ada yang mencoba untuk ARP Poisoning akan tampil seperti pada layar. (ada banyak paket broadcast arp)
Selanjutnya pergi ke menu analyze > expert information. jendela baru akan terbuka untuk menampilkan informasi expert.
Pada bagian atas gambar, Wireshark mendeteksi adanya upaya untuk meracuni ARP (kalau tidak ngerti apa itu meracuni ARP sialahkan baca artikel Man In The Middle). Atau apabila sedang ada yang menggunakan Man In The Middle pada jaringan akan terdeteksi seperti gambar dibawah ini.
Wireshark mendeteksi adanya IP Ganda yang mana salah satunya dipakai untuk penyamaran.
Penutup : Wireshark adalah program penganalisa jaringan dengan tampilan GUI yang paling lengkap untuk saat ini. Wireshark bukan alat untuk hacking, namun karena wireshark dapat membaca semuanya maka sering digunakan untuk mengintip data data sensitif yang tidak di enkripsi. Selain semua yang sudah dijelaskan panjang lebar di blog meretasdc ini masih ada banyak lagi yang bisa dilakukan oleh Wireshark lho.
Tidak ada komentar:
Posting Komentar