Apa itu Sniffing ?

Apa itu serangan Sniffing dan Bagaimana Anda bisa mempertahankannya?

Pengenalan

Pada artikel ini, kita akan membahas apa itu serangan sniffing dan bagaimana Anda dapat menyelamatkan diri atau organisasi dari serangan sniffing. Kami juga akan membahas beberapa alat yang dapat digunakan untuk melakukan sniffing dan memulihkan informasi. Mengendus secara umum mengacu pada penyelidikan sesuatu secara diam-diam untuk menemukan informasi rahasia. Dari perspektif keamanan informasi, mengendus mengacu pada mengetuk lalu lintas atau mengarahkan lalu lintas ke target di mana ia dapat ditangkap, dianalisis dan dipantau. Sniffing biasanya dilakukan untuk menganalisis penggunaan jaringan, mengatasi masalah jaringan, memantau sesi untuk tujuan pengembangan dan pengujian. Karena kami telah memahami apa yang pada dasarnya mengendus, mari beralih untuk mengetahui bagaimana hal itu dapat digunakan untuk melakukan serangan.

Definisikan Serangan Sniffing

Ingat kembali di beberapa film, lembaga hukum, dan penjahat yang digunakan untuk mengganggu saluran telepon untuk mendengar panggilan yang diterima seseorang untuk mendapatkan beberapa informasi. Ini adalah contoh sempurna dari serangan mengendus. Teknologi ini dapat digunakan untuk menguji saluran telepon dan menentukan kualitas panggilan tetapi penjahat menggunakannya untuk tujuan tidak sah mereka sendiri. Dalam dunia internet, sniffing dapat dilakukan menggunakan aplikasi, perangkat perangkat keras baik di tingkat jaringan maupun host. Paket jaringan apa pun yang memiliki informasi dalam teks biasa dapat disadap dan dibaca oleh penyerang. Informasi ini dapat berupa nama pengguna, kata sandi, kode rahasia, perincian perbankan atau informasi apa pun yang bernilai bagi penyerang. Serangan ini hanya setara teknis dari mata-mata fisik.

Motif Sniffing:

• Mendapatkan nama pengguna dan kata sandi
• Mencuri informasi terkait bank / transaksi
• Memata-matai email dan pesan obrolan
• Pencurian identitas

Jenis-jenis Sniffing

Ada dua jenis sniffing-aktif dan pasif. Seperti namanya, aktif melibatkan beberapa aktivitas atau interaksi oleh penyerang untuk mendapatkan informasi. Secara pasif penyerang hanya bersembunyi tidak aktif dan mendapatkan informasi. Mari kita bahas mengendus pasif terlebih dahulu.

Sniffing Pasif:

Jenis mengendus ini terjadi pada hub. Hub adalah perangkat yang menerima lalu lintas di satu port dan kemudian mentransmisikan ulang traffic itu di semua port lain. Tidak memperhitungkan bahwa lalu lintas tidak dimaksudkan untuk tujuan lain. Dalam hal ini, jika perangkat sniffer ditempatkan di hub maka semua lalu lintas jaringan dapat langsung ditangkap oleh sniffer. Sniffer dapat duduk di sana tanpa terdeteksi untuk waktu yang lama dan memata-matai jaringan. Karena hub tidak banyak digunakan akhir-akhir ini, serangan semacam ini akan menjadi trik jadul untuk dilakukan. Hub sedang digantikan oleh sakelar dan di situlah sniffing aktif muncul.

Sniffing Aktif:

Singkatnya, sebuah switch mempelajari tabel CAM yang memiliki alamat mac tujuan. Berdasarkan tabel ini, switch dapat memutuskan paket jaringan apa yang akan dikirim ke mana. Dalam mengendus aktif, sniffer akan membanjiri sakelar dengan permintaan palsu sehingga tabel CAM menjadi penuh. Setelah CAM penuh, sakelar akan bertindak sebagai sakelar dan mengirimkan lalu lintas jaringan ke semua port. Sekarang, ini adalah lalu lintas yang sah yang didistribusikan ke semua port. Dengan cara ini penyerang dapat mengendus lalu lintas dari saklar.

Mari kita bahas beberapa implementasi serangan di jaringan

MAC flooding:

Membanjiri sakelar dengan alamat MAC sehingga tabel CAM diluap dan mengendus dapat dilakukan.

DNS cache poisoning:

Mengubah catatan cache DNS sehingga mengarahkan permintaan ke situs web berbahaya di mana penyerang dapat menangkap lalu lintas. Situs web jahat dapat berupa situs web yang tampak asli yang telah disiapkan oleh penyerang sehingga para korban mempercayai situs web tersebut. Pengguna dapat memasukkan detail login dan langsung mengendusnya.

Evil Twin attack:

Penyerang menggunakan perangkat lunak berbahaya untuk mengubah DNS korban. Penyerang sudah menyiapkan DNS kembar (twin evil), yang akan menanggapi permintaan. Ini dapat dengan mudah digunakan untuk mengendus lalu lintas dan mengalihkannya ke situs web yang diinginkan penyerang.

MAC spoofing:

Penyerang dapat mengumpulkan alamat MAC yang terhubung ke sakelar. Perangkat sniffing diatur dengan alamat MAC yang sama sehingga pesan yang ditujukan untuk mesin asli dikirim ke mesin sniffer karena memiliki set alamat MAC yang sama.

Bagaimana Anda mengidentifikasi Sniffer?

Mengidentifikasi jenis sniffer dapat bergantung pada seberapa canggih serangan itu. Mungkin saja sniffer tidak terdeteksi untuk sejumlah besar waktu bersembunyi di jaringan. Ada beberapa perangkat lunak anti-sniffer yang tersedia di pasaran untuk menangkap para penyusup tetapi mungkin saja sniffer lolos dengan itu menciptakan rasa aman yang salah. Sniffer dapat berupa perangkat lunak yang diinstal ke sistem Anda, perangkat perangkat keras yang terhubung, sniffer pada tingkat DNS atau node jaringan lainnya, dll. Jaringan praktis sangat kompleks sehingga sulit untuk mengidentifikasi sniffer. Karena identifikasi itu sulit, kami akan mendiskusikan cara untuk membuat informasi yang terhirup tidak berguna bagi penyerang.

Protokol rentan terhadap serangan mengendus

Seperti yang kita ketahui bahwa jaringan mengikuti pendekatan berlapis, setiap lapisan memiliki tugas khusus yang ditambahkan lapisan berikutnya. Sampai sekarang kita belum membahas bahwa pada serangan layer sniffing apa yang terjadi. Serangan mengendus bekerja pada berbagai lapisan tergantung pada motif serangan. Sniffer dapat menangkap PDU dari berbagai lapisan tetapi lapisan 3 (Jaringan) dan 7 (Aplikasi) sangat penting. Dari semua protokol, beberapa rentan terhadap serangan mengendus. Protokol versi aman juga tersedia tetapi jika beberapa sistem masih menggunakan versi yang tidak aman maka risiko kebocoran informasi menjadi besar. Mari kita bahas beberapa protokol yang rentan terhadap serangan sniffing.

1) HTTP:

Protokol transfer hiperteks digunakan pada layer 7 dari model OSI. Ini adalah protokol lapisan aplikasi yang mentransmisikan informasi dalam teks biasa. Ini baik-baik saja, ketika ada situs web statis atau situs web yang tidak memerlukan input apa pun dari pengguna. Siapa pun dapat mengatur proxy MITM di antaranya dan mendengarkan semua lalu lintas atau memodifikasi lalu lintas itu untuk keuntungan pribadi. Sekarang ketika kita telah memasuki dunia web 2.O, kita perlu memastikan bahwa interaksi pengguna diamankan. Ini dipastikan dengan menggunakan versi aman HTTP yaitu HTTPS. Menggunakan https, lalu lintas dienkripsi segera setelah meninggalkan lapisan 7.

2) TELNET:

Telnet adalah protokol client-server yang menyediakan fasilitas komunikasi melalui terminal virtual. Telnet tidak mengenkripsi lalu lintas secara default. Siapa pun yang memiliki akses ke sakelar atau hub yang menghubungkan klien dan server dapat mengendus lalu lintas telnet untuk nama pengguna dan kata sandi. SSH digunakan sebagai pengganti telnet tanpa jaminan. SSH menggunakan kriptografi untuk mengenkripsi lalu lintas dan memberikan kerahasiaan dan integritas untuk lalu lintas.

3) FTP:

FTP digunakan untuk mentransfer file antara klien dan server. Untuk otentikasi FTP digunakan nama pengguna teks biasa dan mekanisme kata sandi. Seperti halnya telnet, penyerang dapat mengendus lalu lintas untuk mendapatkan kredensial dan mengakses semua file di server. FTP dapat diamankan dengan dinyanyikan SSL / TLS atau dapat diganti dengan versi yang lebih aman yang disebut SFTP (SSH file transfer protocol).

4) POP:

Itu adalah singkatan dari protokol kantor pos dan digunakan oleh klien email untuk mengunduh email dari server surat. Itu juga menggunakan mekanisme teks biasa untuk komunikasi sehingga juga rentan terhadap serangan mengendus. POP diikuti oleh POP2 dan POP3 yang sedikit lebih aman daripada versi aslinya.

5) SNMP:

Protokol manajemen jaringan sederhana digunakan untuk komunikasi dengan perangkat jaringan terkelola di jaringan. SNMP menggunakan berbagai pesan untuk komunikasi dan string komunitas untuk melakukan otentikasi klien. String komunitas yang berlaku sama seperti kata sandi yang dikirimkan dalam teks yang jelas. SNMP telah digantikan oleh SNMPV2 dan V3, v3 menjadi yang terbaru dan paling aman.

Top Sniffing tools

Wireshark:

Pengambil dan penganalisa paket opensource. Ini mendukung Windows, Linux dll. Dan merupakan alat berbasis GUI (alternatif untuk Tcpdump). Dulu pcap memantau dan menangkap paket-paket dari antarmuka jaringan. Paket-paket dapat disaring berdasarkan IP, protokol dan banyak parameter lainnya. Paket dapat dikelompokkan atau ditandai sebagai dasar relevansi. Setiap paket dapat dipilih dan dibedah sesuai kebutuhan.

dSniff:

Monitor jaringan Microsoft: Seperti namanya, ini digunakan untuk menangkap dan menganalisis jaringan. Ini digunakan untuk pemecahan masalah jaringan. Beberapa fitur perangkat lunak adalah Pengelompokan, kumpulan besar dukungan protokol (300+), mode monitor nirkabel, pemasangan kembali pesan yang terfragmentasi dll.

Debookee:

Ini adalah alat berbayar yang dapat digunakan untuk memantau dan menganalisis jaringan. Itu dapat mencegat dan menganalisis lalu lintas dari perangkat yang ada di subnet itu, terlepas dari jenis perangkat (Laptop, perangkat, TV dll). Menawarkan berbagai modul:

• Network analysis module: memindai perangkat yang terhubung, Mencegah lalu lintas dalam subnet, pemindai port TCP, Analisis jaringan dan pemantauan HTTP, DNS, TCP, protokol DHCP, Menganalisis panggilan VoIP, dll.
• WiFi monitoring module: Detail titik akses dalam jangkauan radio, detail klien nirkabel, statistik wifi dll.
• SSL/TLS decryption module: Dukungan untuk memantau dan menganalisis protokol aman.

Tindakan pencegahan terhadap serangan Sniffing

1. Terhubung ke jaringan tepercaya: Apakah Anda percaya Wi-Fi gratis yang ditawarkan oleh kedai kopi di sebelah? Menghubungkan ke jaringan publik apa pun akan berisiko bahwa lalu lintas mungkin terendus. Penyerang memilih tempat-tempat umum ini yang mengeksploitasi kurangnya pengetahuan pengguna. Jaringan publik disiapkan dan kemudian dapat atau tidak dapat dimonitor untuk gangguan atau bug. Penyerang dapat mengendus jaringan itu atau membuat jaringan baru mereka sendiri dengan nama yang mirip sehingga pengguna bisa tertipu untuk bergabung dengan jaringan itu. Seorang penyerang yang duduk di bandara dapat membuat Wi-Fi dengan nama “Wi-Fi Bandara Gratis” dan pengguna terdekat dapat terhubung ke sana mengirim semua data melalui simpul sniffer penyerang. Kata hati-hati di sini adalah Anda hanya boleh terhubung ke jaringan yang Anda percayai – jaringan rumah, jaringan kantor, dll.
   
2. Enkripsi! Enkripsi! Enkripsi! : Enkripsi semua lalu lintas yang meninggalkan sistem Anda. Ini akan memastikan bahwa bahkan jika lalu lintas sedang diendus, penyerang tidak akan dapat memahaminya. Satu hal yang perlu diperhatikan di sini adalah bahwa keamanan bekerja berdasarkan prinsip pertahanan dalam. Mengenkripsi data tidak berarti sekarang semuanya aman. Penyerang mungkin bisa menangkap banyak data dan menjalankan serangan kripto untuk mendapatkan sesuatu dari itu. Penggunaan protokol aman memastikan bahwa lalu lintas dienkripsi dan memberikan keamanan untuk lalu lintas. Situs web yang menggunakan protokol https lebih aman daripada yang menggunakan HTTP – bagaimana hal itu dicapai? Enkripsi.
   
3. Pemindaian dan pemantauan jaringan: Jaringan harus dipindai untuk segala jenis upaya intrusi atau perangkat jahat yang mungkin diatur dalam mode rentang untuk menangkap lalu lintas. Admin jaringan harus memantau jaringan juga untuk memastikan kebersihan perangkat. Tim IT dapat menggunakan berbagai teknik untuk menentukan keberadaan sniffer dalam jaringan. Pemantauan bandwidth adalah satu, audit perangkat yang diatur ke mode promiscuous dll.

Semoga Anda menikmati membaca artikel ini, jangan ragu untuk mengirimkan pertanyaan Anda di bagian komentar di bawah ini.