/ / [Networking] Apa Itu TCPDumps?

[Networking] Apa Itu TCPDumps?

Edit

 [Networking] Apa Itu TCPDumps?-yunastechno.blogspot.com

Tcpdump adalah program kecil di linux yang berfungsi mengcapture, membaca atau mendumping paket yang sedang ditransmisikan melalui jalur TCP. Program ini adalah salah satu program untuk penyadapan data(sniffer).

TCPdump diciptakan untuk menolong programmer ataupun administrator dalam menganalisa dan troubleshooting aplikasi networking.Selain itu tools ini juga sering digunakan para cracker , karena TCPdump bisa mengcapture atau mensniff semua paket yang diterima oleh network interface, Dengan kata lain TCPdump bisa digunakan untuk bertahan dan juga bisa digunakan untuk menyerang.

TCPDump dapat mengetahui port yang aktif dlm suatu jaringan,jenis trafik paket yang lewat, dan sebagainya. Tools ini efektif untuk mencari informasi semisal port yang digunakan virus/worm untuk menyebar dan menyerang jaringan. Jadi semisal ada computer client yang kita curigai terjangkit trojan atau malware, kita bisa gali informasi tentang arus paket yang keluar masuk dengan program ini. setidaknya dengan mengetahui portnya kita bisa lakukan pemblokiran terhadap port tersebut agar dampaknya tidak merugikan komputer client lainnya.

Untuk menggunakan tools ini dapat didownload di distro-distro linux atau di situs www.tcpdump.org. Kemudian instal di terminal dan ketikkan “$ sudo apt-get install tcpdump “.

Setelah TCPdump terinstall, maka selanjutnya ketikkan di terminal :

polsri@polsri: ῀$ sudo tcpdump-i eth1$

Maka akan mendapatkan output seperti di bawah :

tcpdump: verbose output suppressed, use –v or –vv for full protocol decode

listening on eth1, link-type EN10MB (Ethernet), capture size 65536 bytes

08:49:24.897624 ARP, Request who-has 10.17.0.252 tell 10.17.0.254, length 46

08:49:24.898405 IP 10.17.0.191.44957 > 10.10.1.1.domain: 49768+ PTR? 252.0.17.10.in-addr.arpa. (42)

08:49:24.898620 IP 10.10.1.1.domain > 10.17.0.191.44957: 49768 NXDomain* 0/0/0 (42)

08:49:24.898779 IP 10.17.0.191.51118 > 10.10.1.1.domain: 53814+ PTR? 254.0.17.10.in-addr.arpa. (42)

08:49:24.898967 IP 10.10.1.1.domain > 10.17.0.191.51118: 53814 NXDomain* 0/0/0 (42)

08:49:24.904085 IP 10.17.0.191.38496 > 10.10.1.1.domain: 10470+ PTR? 1.1.10.10.in-addr.arpa. (42)

08:49:24.904265 IP 10.10.1.1.domain > 10.17.0.191.38496: 10470 NXDomain* 0/0/0 (42)

08:49:24.904372 IP 10.17.0.191.55574 > 10.10.1.1.domain: 28773+ PTR? 191.0.17.10.in-addr.arpa. (42)

08:49:24.904551 IP 10.10.1.1.domain > 10.17.0.191.55574: 28773 NXDomain* 0/0/0 (42)

^X08:49:26.430661 STP 802.1w, Rapid STP, Flags [Learn, Forward, Agreement], bridge-id 80000.00:18:6e:8c:66:e0.8006, length 47

^C (ketik ini untuk menghentikan proses)

10 packets captured

10 packets received by filter

0 packets dropped by kernel

Sebagai contoh, digunakan network yang terdiri dari tiga komputer yang dihubungkan menggunakan hub. Komputer pertama, menggunakan Windows™ 98  dengan IP address 192.0.0.1, sedang melakukan koneksi melalui telnet ke komputer  kedua yang menggunakan Slackware 8.0 dengan IP address 192.168.0.2 dan host ketiga komputer Redhat 7.1 dengan IP address 192.168.0.3 yang menggunakan utility TCPdump. Alasan untuk membedakan Operating System yang digunakan adalah untuk menunjukkan bahwa TCP/IP dapat berkomunikasi dengan baik pada dua platform yang berbeda. 
Untuk menjalankan TCPdump, ketik perintah tcpdump di console anda pada host 192.168.0.3 sebagai root. Output yang diperlihatkan di bawah ini adalah output yang bergulir non-stop, terus berganti baris tanpa henti hingga anda menekan Ctrl+C.
 
# tcpdump
tcpdump: listening on eth0
05:22:27.216338 burner.ssh > prime.1035:
P3797249897:3797249949(52) ack 2183278948 win 8576 (DF) [tos 0x10] 
Contoh output yang berulang diatas menyatakan bahwa salah satu komputer sedang menjalankan ssh client untuk koneksi ke server ssh di Redhat 7.1 (192.168.0.3) yang mengakibatkan trafik pada network (untuk menghasilkan output seperti diatas anda harus menjalankan ssh server pada Redhat 7.1 dan menggunakan ssh client untuk melakukankoneksi ke server dengan Slackware 8.0 (ini hanya contoh sementara). 
Memang banyak sekali output yang dikeluarkan oleh TCPdump. Lalu apakah maksud dari output-output tersebut? Output pada TCPdump menampilkan informasi-informasi tentang PDU yang diambil dari frame yang dibaca/dicapture. Keterangan berikut dapat menjelaskan arti output pada contoh diatas (tcpdump -nn host 192.168.0.2 and port 23): 
Field Contents Keterangan
19:20:00.804501  : Deskripsi waktu
192.168.2.10.1221  :  Alamat IP asal dengan nomor port 1221
192.168.2.165.23  : Alamat IP tujuan dengan nomor port 23
S flag/Bendera
2565655403 Nomor urutan data /data sequence number
win 16384 Window size
Sebenarnya masih banyak data field yang ditampilkan pada output, yang tidak disebutkan pada keterangan diatas. Manual pages dari TCPdump mempunyai penjelasan yang cukup tentang output yang ditampilkan. Pemahaman yang baik tentang operasi dan konstruksi dari sebuah protokol sangat dibutuhkan untuk melakukan analisa data. Utility ini juga mempunyai kemampuan untuk menganalisa PDU yang memulai dan mengakhiri suatu koneksi TCP/IP. TCP mempunyai mekanisme khusus untuk membuka dan menutup suatu koneksi. Untuk menjamin bahwa startup dan shutdown koneksi benar-benar terjadi, TCP menggunakan metode dimana ada tiga pesan yang ditukar, metode ini sering juga disebut three-way-handshake.
Share on Google Plus

About Unknown

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.
    Blogger Comment
    Facebook Comment

0 komentar :

Posting Komentar

Langganan: Posting Komentar ( Atom )