Packet sniffer adalah suatu divais, baik perangkat lunak maupun perangkat keras yang digunakan untuk memperoleh informasi yang melewati jaringan komputer yang menggunakan protokol apa saja (Ethernet, TCP/IP,IPX atau yang lain). Kegunaan dari packet sniffer adalah membuat NIC (Network Interface Card), dalam hal ini ethernet dalam mode promiscuous sehingga dapat menangkap semua trafik di dalam jaringan. Mode promiscuous adalah mode di mana semua workstation pada jaringan komputer “mendengar” semua trafik, tidak hanya trafik yang dialamatkan kepada workstation itu sendiri. Jadi workstation pada mode promiscuous dapat “mendengarkan” trafik dalam jaringan yang dialamatkan kepada workstation lain.
Trafik jaringan ini (dengan tidak bergantung kepada protokol yang digunakan) terdiri dari paket-paket (dapat berupa datagram IP atau paket-paket ethernet) yang dipertukarkan oleh komputer-komputer pada tingkat yang sangat rendah dari sistem operasi antarmuka jaringan. Trafik ini kemungkinan mengandung data yang sangat penting, dan sniffer didesain untuk menangkap data tersebut untuk keperluan lebih lanjut.
Sebuah sniffer dapat berupa kombinasi perangkat lunak dan perangkat keras, dan biasanya memang sniffer berupa kombinasi dari perangkat lunak dan perangkat keras. Perangkat lunak yang digunakan dapat berupa sebuah perangkat lunak yang digunakan untuk analisis jaringan secara umum dengan pilihan-pilihan debugging yang sangat lengkap, atau dapat berupa sniffer yang sebenarnya. Sebuah sniffer harus diletakkan di dalam blok jaringan yang sama dengan jaringan yang menjadi sasaran. Dengan beberapa pengecualian, sniffer tersebut dapat diletakkan di mana saja di dalam jaringan sasaran.
Salah satu sniffer yang legendaris adalah wireshark yang dapat di operasikan untuk Linux & Windows dan dapat di ambil secara bebas / gratis di Internet.
Sniffer juga dapat diletakkan di sepanjang kabel jaringan, tidak di dalam sebuah workstation. Hal ini dimungkinkan, meskipun kurang lazim dilakukan. Suatu tool yang didesain untuk analisa trafik jaringan dapat disambungkan ke kabel jaringan. Tool ini biasanya mahal dan tidak sembarang orang mampu menggunakannya dari segi biaya. Salah satu contoh produk packet sniffer adalah cable sniffer, yang dibuat oleh Macally, digunakan untuk diagnosa masalah sepanjang kabel jaringan. Cable sniffer ini dapat digunakan untuk sniffing masalah kabel pada jaringan AppleTalk. Informasi lebih lanjut mengenai produk ini ada pada http://www.macally.com
Kedudukan sniffer pada keamanan jaringan komputer penting karena :
Trafik jaringan ini (dengan tidak bergantung kepada protokol yang digunakan) terdiri dari paket-paket (dapat berupa datagram IP atau paket-paket ethernet) yang dipertukarkan oleh komputer-komputer pada tingkat yang sangat rendah dari sistem operasi antarmuka jaringan. Trafik ini kemungkinan mengandung data yang sangat penting, dan sniffer didesain untuk menangkap data tersebut untuk keperluan lebih lanjut.
Sebuah sniffer dapat berupa kombinasi perangkat lunak dan perangkat keras, dan biasanya memang sniffer berupa kombinasi dari perangkat lunak dan perangkat keras. Perangkat lunak yang digunakan dapat berupa sebuah perangkat lunak yang digunakan untuk analisis jaringan secara umum dengan pilihan-pilihan debugging yang sangat lengkap, atau dapat berupa sniffer yang sebenarnya. Sebuah sniffer harus diletakkan di dalam blok jaringan yang sama dengan jaringan yang menjadi sasaran. Dengan beberapa pengecualian, sniffer tersebut dapat diletakkan di mana saja di dalam jaringan sasaran.
Salah satu sniffer yang legendaris adalah wireshark yang dapat di operasikan untuk Linux & Windows dan dapat di ambil secara bebas / gratis di Internet.
Sniffer juga dapat diletakkan di sepanjang kabel jaringan, tidak di dalam sebuah workstation. Hal ini dimungkinkan, meskipun kurang lazim dilakukan. Suatu tool yang didesain untuk analisa trafik jaringan dapat disambungkan ke kabel jaringan. Tool ini biasanya mahal dan tidak sembarang orang mampu menggunakannya dari segi biaya. Salah satu contoh produk packet sniffer adalah cable sniffer, yang dibuat oleh Macally, digunakan untuk diagnosa masalah sepanjang kabel jaringan. Cable sniffer ini dapat digunakan untuk sniffing masalah kabel pada jaringan AppleTalk. Informasi lebih lanjut mengenai produk ini ada pada http://www.macally.com
Kedudukan sniffer pada keamanan jaringan komputer penting karena :
- Sniffer dapat menyadap password
- Sniffer dapat menyadap informasi rahasia
- Sniffer dapat digunakan untuk membongkar keamanan di dalam suatu jaringan.
Bila sniffer digunakan untuk keperluan penyusupan atau penyadapan, maka biasanya sniffer diletakkan tepat didekat suatu komputer atau jaringan yang menerima banyak password. Hal ini biasa terjadi bila komputer yang dijadikan target adalah gateway dari suatu jaringan atau jalur yang digunakan data untuk keluar/masuk dari jaringan lain di luar jaringan lokal. Bila jaringan lokal tersebut terhubung ke internet, cracker akan menyadap prosedur authentikasi antara jaringan lokal dan jaringan lain.
Keberadaan sniffer di dalam jaringan sulit untuk dideteksi. Sniffer adalah suatu program aplikasi yang sangat pasif dan tidak membangkitkan apa-apa, dengan kata lain tidak meniggalkan jejak pada sistem.
Salah satu cara untuk mendeteksi sniffer adalah mencari proses yang sedang dijalankan oleh sistem. Meskipun cara ini tidak handal untuk mendeteksi snifer, namun setidaknya dapat mengurangi resiko. Perintah yang digunakan berbeda pada masing-masing platform. Pada DOS atau Windows 95 mungkin akan timbul masalah. Namun bila menggunakan platform UNIX atau Windows NT, secara mudah kita dapat melihat daftar proses yang sedang dijalankan oleh sistem. Pada UNIX, jalankan perintah berikut ini :
# ps –aux
atau :
# ps –augx
Perintah di atas akan menghasilkan daftar semua proses, siapa yang menjalankan proses tersebut, persentase useran CPU untuk menjalankan proses tersebut , serta persentase useran memory, dan lain-lain. Output dari perintah tersebut berbentuk tabel standar pada STDOUT. Bila ada sebuah proses tak dikenal berjalan, maka proses tersebut patut dicurigai (kecuali ps atau file-file biner lain terkena trojan).
Cara lain untuk mendeteksi sniffer adalah mencari sniffer-sniffer yang sering digunakan, dan kemudian mempelajari sifatnya. Kemungkinan besar cracker akan menggunakan sniffer versi freeware. Ada kemungkinan cracker membuat sendiri sniffer tersebut. Program-program sniffer yang sering digunakan antara lain :
Gobbler (oleh : Tirza Van Rijn)
http://www.cse.rmit.edu.au/~rdssc/courses/ds738/watt/other/gobbler.zip
http://cosmos.ipc.chiba-u.ac.jp/~simizu/ftp.ipc.chiba-u.ac.jp/.0/network/noctools/sniffer/gobbler.zip
ftp://ftp.mzt.hr/pub/tools/pc/sniffers/gobbler/gobbler.zip
ftp://ftp.tordata.se/www/hokum/gobbler.zip
ETHLOAD (oleh :Vyncke, Vyncke, Blondiau, Ghys, Timmermans, Hotterbeex, Khronis, and Keunen)
ftp://oak.oakland.edu/SimTel/msdos/lan/ethld104.zip
http://www.med.ucalgary.ca:70/1/ftp/dos/regular
ftp://ftp.vuw.ac.nz/simtel/msdos/lan/ethld104.zip
http://www.apricot.co.uk/ftp/bbs/atsbbs/allfiles.htm
Netman (Schulze, Benko, and Farrell)
http://www.cs.curtin.edu.au/~netman/
Esniff.c (oleh : The Posse)
ftp.infonexus.com
http://pokey.nswc.navy.mil/Docs/Progs/ensnif.txt
http://www.catch22.com/Twilight.NET/phuncnet/hacking/proggies/sniffers/
Sunsniff (pembuat tidak diketahui)
www.catch22.com/Twilight.NET/phuncnet/hacking/proggies/sniffers/
http://mygale.mygale.org/08/datskewl/elite/
http://hacked-inhabitants.com/warez/SUNSNIFF.C
linux_sniffer.c (pembuat tidak diketahui)
www.catch22.com/Twilight.NET/phuncnet/hacking/proggies/sniffers/
http://mygale.mygale.org/08/datskewl/elite/
http://www.hacked-inhabitants.com/warez/
Niwit.c (pembuat tidak diketahui)
www.catch22.com/Twilight.NET/phuncnet/hacking/proggies/sniffers/nitwit.c
Setelah program-program snifer di atas dipelajari sifatnya, maka tentu akan dapat dideteksi. Namun ada kemungkinan cracker membuat sendiri program yang digunakan sebagai sniffer. Pada kasus seperti ini , masalah yang timbul tentu akan lebih kompleks.
Cara yang umum dan masuk akal untuk menangkal serangan packet sniffer adalah menggunakan jaringan dengan topologi yang aman, yang memenuhi syarat berikut :
Blok jaringan hanya mempercayai blok jaringan yang lain untuk mendapatkan akses untuk suatu alasan yang mendesak.
Blok jaringan harus didesain menurut hubungan saling mempercayai antara staf dan tidak didesain menurut kebutuhan perangkat keras.
Pokok masalah dari syarat-syarat di atas adalah sebuah blok jaringan hanya terdiri dari terminal-terminal yang harus dipercayai satu sama lain. Secara tipikal hal ini berarti teriminal-terminal tersebut berada pada satu ruangan yang sama atau minimal berada di dalam kantor yang sama. Sebagai contoh kasus, tinjau sebuah ruang staf teknologi informasi yang berada pada suatu bagian tertentu yang sudah ditentukan pada bangunan kantor.
Tiap komputer terhubung melalui kabel ke suatu hub. Lebih lanjut, hub tersebut terhubung melalui kabel ke sebuah switch. Yang harus diperhatikan di sini adalah packet sniffer hanya dapat melakukan packet sniffing di dalam segmen jaringan tersebut, jadi memperkecil ruang gerak aktifitas sniffing. Teknik ini sering disebut dengan segmentasi atau kompartementalisasi.
Pada teknik segmentasi, biaya yang dikeluarkan untuk membangun jaringan akan lebih mahal. Misalkan sebuah perusahaan memiliki 25 departemen, berarti dibutuhkan 25 hub, 25 switch dan sebuah router untuk menghubungkan semuanya. Namun jumlah segmen yang digunakan tergantung pada rasa khawatir akan keamanan jaringan. Semakin paranoid , maka akan semakin banyak jumla segmen yang dibutuhkan agar ruang gerak pemasang packet sniffer makin terbatas, dan akan lebih mudah untuk melacak siapa pemasang packet sniffer tersebut. Anggap tiap segmen jaringan mempunyai sistem administrasi jaringan yang cukup bagus, maka bila sebuah packet sniffer ditemukan pada suatu segmen jaringan kemungkinan besar pemasang packet sniffer tersebut orang yang punya akses di segmen jaringan tersebut, yang tentu saja jumlahnya terbatas.
Masalah sebenarnya adalah kepercayaan. Terminal-terminal di dalam jaringan harus mempercayai satu sama lain untuk saling mentransmisikan informasi . Tugas seorang administrator sistem diantaranya menentukan hubungan saling mempercayai sesedikit mungkin. Dengan cara ini, akan terbentuk kerangka kerja untuk mendeteksi bila sebuah packet sniffer terpasang di dalam jaringan, dan siapa orang yang mungkin memasang packet sniffer tersebut.
Keberadaan sniffer di dalam jaringan sulit untuk dideteksi. Sniffer adalah suatu program aplikasi yang sangat pasif dan tidak membangkitkan apa-apa, dengan kata lain tidak meniggalkan jejak pada sistem.
Salah satu cara untuk mendeteksi sniffer adalah mencari proses yang sedang dijalankan oleh sistem. Meskipun cara ini tidak handal untuk mendeteksi snifer, namun setidaknya dapat mengurangi resiko. Perintah yang digunakan berbeda pada masing-masing platform. Pada DOS atau Windows 95 mungkin akan timbul masalah. Namun bila menggunakan platform UNIX atau Windows NT, secara mudah kita dapat melihat daftar proses yang sedang dijalankan oleh sistem. Pada UNIX, jalankan perintah berikut ini :
# ps –aux
atau :
# ps –augx
Perintah di atas akan menghasilkan daftar semua proses, siapa yang menjalankan proses tersebut, persentase useran CPU untuk menjalankan proses tersebut , serta persentase useran memory, dan lain-lain. Output dari perintah tersebut berbentuk tabel standar pada STDOUT. Bila ada sebuah proses tak dikenal berjalan, maka proses tersebut patut dicurigai (kecuali ps atau file-file biner lain terkena trojan).
Cara lain untuk mendeteksi sniffer adalah mencari sniffer-sniffer yang sering digunakan, dan kemudian mempelajari sifatnya. Kemungkinan besar cracker akan menggunakan sniffer versi freeware. Ada kemungkinan cracker membuat sendiri sniffer tersebut. Program-program sniffer yang sering digunakan antara lain :
Gobbler (oleh : Tirza Van Rijn)
http://www.cse.rmit.edu.au/~rdssc/courses/ds738/watt/other/gobbler.zip
http://cosmos.ipc.chiba-u.ac.jp/~simizu/ftp.ipc.chiba-u.ac.jp/.0/network/noctools/sniffer/gobbler.zip
ftp://ftp.mzt.hr/pub/tools/pc/sniffers/gobbler/gobbler.zip
ftp://ftp.tordata.se/www/hokum/gobbler.zip
ETHLOAD (oleh :Vyncke, Vyncke, Blondiau, Ghys, Timmermans, Hotterbeex, Khronis, and Keunen)
ftp://oak.oakland.edu/SimTel/msdos/lan/ethld104.zip
http://www.med.ucalgary.ca:70/1/ftp/dos/regular
ftp://ftp.vuw.ac.nz/simtel/msdos/lan/ethld104.zip
http://www.apricot.co.uk/ftp/bbs/atsbbs/allfiles.htm
Netman (Schulze, Benko, and Farrell)
http://www.cs.curtin.edu.au/~netman/
Esniff.c (oleh : The Posse)
ftp.infonexus.com
http://pokey.nswc.navy.mil/Docs/Progs/ensnif.txt
http://www.catch22.com/Twilight.NET/phuncnet/hacking/proggies/sniffers/
Sunsniff (pembuat tidak diketahui)
www.catch22.com/Twilight.NET/phuncnet/hacking/proggies/sniffers/
http://mygale.mygale.org/08/datskewl/elite/
http://hacked-inhabitants.com/warez/SUNSNIFF.C
linux_sniffer.c (pembuat tidak diketahui)
www.catch22.com/Twilight.NET/phuncnet/hacking/proggies/sniffers/
http://mygale.mygale.org/08/datskewl/elite/
http://www.hacked-inhabitants.com/warez/
Niwit.c (pembuat tidak diketahui)
www.catch22.com/Twilight.NET/phuncnet/hacking/proggies/sniffers/nitwit.c
Setelah program-program snifer di atas dipelajari sifatnya, maka tentu akan dapat dideteksi. Namun ada kemungkinan cracker membuat sendiri program yang digunakan sebagai sniffer. Pada kasus seperti ini , masalah yang timbul tentu akan lebih kompleks.
Cara yang umum dan masuk akal untuk menangkal serangan packet sniffer adalah menggunakan jaringan dengan topologi yang aman, yang memenuhi syarat berikut :
Blok jaringan hanya mempercayai blok jaringan yang lain untuk mendapatkan akses untuk suatu alasan yang mendesak.
Blok jaringan harus didesain menurut hubungan saling mempercayai antara staf dan tidak didesain menurut kebutuhan perangkat keras.
Pokok masalah dari syarat-syarat di atas adalah sebuah blok jaringan hanya terdiri dari terminal-terminal yang harus dipercayai satu sama lain. Secara tipikal hal ini berarti teriminal-terminal tersebut berada pada satu ruangan yang sama atau minimal berada di dalam kantor yang sama. Sebagai contoh kasus, tinjau sebuah ruang staf teknologi informasi yang berada pada suatu bagian tertentu yang sudah ditentukan pada bangunan kantor.
Tiap komputer terhubung melalui kabel ke suatu hub. Lebih lanjut, hub tersebut terhubung melalui kabel ke sebuah switch. Yang harus diperhatikan di sini adalah packet sniffer hanya dapat melakukan packet sniffing di dalam segmen jaringan tersebut, jadi memperkecil ruang gerak aktifitas sniffing. Teknik ini sering disebut dengan segmentasi atau kompartementalisasi.
Pada teknik segmentasi, biaya yang dikeluarkan untuk membangun jaringan akan lebih mahal. Misalkan sebuah perusahaan memiliki 25 departemen, berarti dibutuhkan 25 hub, 25 switch dan sebuah router untuk menghubungkan semuanya. Namun jumlah segmen yang digunakan tergantung pada rasa khawatir akan keamanan jaringan. Semakin paranoid , maka akan semakin banyak jumla segmen yang dibutuhkan agar ruang gerak pemasang packet sniffer makin terbatas, dan akan lebih mudah untuk melacak siapa pemasang packet sniffer tersebut. Anggap tiap segmen jaringan mempunyai sistem administrasi jaringan yang cukup bagus, maka bila sebuah packet sniffer ditemukan pada suatu segmen jaringan kemungkinan besar pemasang packet sniffer tersebut orang yang punya akses di segmen jaringan tersebut, yang tentu saja jumlahnya terbatas.
Masalah sebenarnya adalah kepercayaan. Terminal-terminal di dalam jaringan harus mempercayai satu sama lain untuk saling mentransmisikan informasi . Tugas seorang administrator sistem diantaranya menentukan hubungan saling mempercayai sesedikit mungkin. Dengan cara ini, akan terbentuk kerangka kerja untuk mendeteksi bila sebuah packet sniffer terpasang di dalam jaringan, dan siapa orang yang mungkin memasang packet sniffer tersebut.
