Cara Kerja Malware

Anda mengunjungi halaman Web yang terinfeksi (di situs orang lain, bukan situs
Anda sendiri) yang banyak virus ke komputer pribadi Anda.

Memeriksa virus komputer Anda untuk melihat apakah Anda menggunakan program
FTP umum, dan apakah Anda telah mengatakan program-program tersebut untuk
menyimpan username dan password Anda.

Mengirimkan nama pengguna dan sandi ke server yang dikendalikan oleh hacker.

Para hacker membuat koneksi FTP otomatis ke server kami dan mendownload file
HTML atau PHP yang mereka temukan.

Mereka memodifikasi file-file untuk menambahkan kode HTML (suatu iframe tag)
yang menyebar virus, kemudian meng-upload file yang berubah kembali ke server
kami.

Situs Anda mulai menyebarkan virus ke korban baru.

Dalam beberapa hari, situs Anda akan ditandai sebagai Situs ini mungkin berbahaya
bagi komputer Anda di Google, menyebabkan jumlah pengunjung menurun secara
dramatis.

Kejadian diatas tidak pernah anda sadari dan ketika google melakukan crawler ke websites
anda akan menemukan script walware dari websites anda yang terinfeksi. Akibatnya google
akan memblokir sites anda sehingga pengunjung akan disuguhi tampilan warning. Selain itu
Firefox yang menggunakan API dari stopbadware.org juga akan ikut-ikutan memblokir sites
anda. Google dan Firefox menggunakan teknologi dari stopbadware.org untuk mengantisipasi
malware.

Cara Mengatasi
Untuk menghilangkan Malware dapat dilakukan langkah-langkah penting berikut :
1. Membersihkan Komputer anda dengan antivirus terbaru (wajib)
2. Membersihkan Websites anda dari malware. Disini perlu diingat yang pernah
dilakukan terakhir kali sebelum terdeteksi malware seperti upload file terakhir,
posting artikel terakhir.
3. Melakukan updates di Google webmaster tools.
Ikuti langkah berikut di google webmaster tools.

1. Masuk ke http://google.com/accounts dan login dengan user password anda di google

2. Klik Webmaster tools.
3. Bila sites anda belum terdaftarkan, tambahkan dari tombol add a sites
4. Dilanjutkan verify this sites
5. Pilih Upload an HTML file di Verification method
6. Klik Download this HTML verification file dan simpan di komputer anda
7. Upload file tersebut ke halaman utama websites anda.
8. Terakhir klik verify setelah sukses melakukan upload
Langkah selanjutnya setelah terverify :
1. Klik nama domain anda di daftar domain list Webmaster tools.
2. Klik Labs di menu sebelah kiri
3. Klik Malware details
4. Ikuti petunjuk untuk menghapus malware di sites anda dari halaman yang terinfeksi.

APA ITU MALWARE?

Perlu diketahui malware adalah singkatan dari "Malicous Software" (Bisa diartikan
"Perangkat mencurigakan").Malware diciptakan dengan maksud tertentu oleh pembuat untuk
kelemahan dari sebuah perangkat(baik berupa software ,hardware,ataupun yang lain).Alhasil
malware bisa merusak sebuah perangkat atau sistem yang telah dimasuki oleh malware
tersebut
INFEKSI MALWARE
Masuknya malware ke dalam komputer disebut " Infeksi ", atau ada juga disebut " attack ".
Pasti kita telah sering mendengar kata kata tersebut.Berikut adalah salah satu cara bagaimana
malware melakukan "infeksi" Masuk melalui jaringan komputer (network). Masuk melalui
pertukaran data (data exchange). Masuk melalui pertukaran penyimpan data (storage
exchange). Masuk melalui lampiran (attachment) email. Tentu masih banyak lagi cara
terjadinya infeksi malware ke dalam sistem komputer.
DAMPAK APA SAJA YANG DIAKIBATKAN MALWARE
Dampak yang diberikan oleh setiap malware tergantung jenisnya dari malware tersebut
Malware bisa saja hanya berdampak hanya sekedar "lelucon" Misal : Apabila Malware
tersebut telah masuk maka ia bisa saja menambah sebuah peringatan yang tidak penting pada

laptop atau PC mu namun bisa ia mengganti nama seluruh filemu menjadi nama yang aneh
aneh. Namun Malware juga berdampak parah seperti merusak sistem yang ada.Untuk
mengetahui dampaknya lebih lanjut baca yang dibawah ini
MITOS SALAH SEPUTAR MALWARE
Sampai saat ini masa saja orang yang menganggap Worm maupun Trojan adalah Virus,
sehingga sering disebut "virus Worm atau virus Trojan". Sebenarnya Virus, Worm dan Trojan
masing-masing adalah nama dari diri mereka sendiri(Ibaratnya seperti mereka adalah orang
yang mirip secara struktur tapi berbeda dari sifatnya)dan Ketiganya memiliki perbedaan amat
besar, baik dalam struktur program, cara kerja, termasuk akibat nya pada komputer.
JENIS MALWARE
Berikut adalah jenis malware yang perlu kamu ketahui :
1. Virus Komputer adalah jenis malware yang menyerang file eksekusi (.exe)(Jadi
"malware" itu bisa diibaratkan dalang nyavirus) yang akan menyerang dan
menggandakan diri ketika file exe yang terinfeksi di jalankan. Virus komputer
menyebar dengan cara menyisipkan program dirinya pada program atau dokumen
yang ada dalam komputer.
2. Worm adalah sebuah program komputer yang dapat menggandakan dirinya bedanya
ia melakukan secara sendiri dalam sistem komputer tanpa perlu ada pemicu (Tidak
seperti virus wrm jauh lebih berbahaya).Namun Sebuah worm dapat menggandakan
dirinya dengan memanfaatkan jaringan (LAN/WAN/Internet) tanpa perlu campur
tangan dari user itu sendiri.Worm memanfaatkan celah keamanaan yang memang
terbuka atau lebih dikenal dengan sebutan vulnerability.
3. Spyware sesuai namnya spyware adalah program yang bertindak sebagai mata-mata
untuk mengetahui aktivitas komputer(Seperti Password,Aplikasi,Dll) yang telah
dimasuki lalu memberikan informasi tersebut pada pihak lain.
4. Adware adalah iklan yang dimasukan secara tersembunyi oleh pembuat program,
biasanya apabila kamu mecoba membuka sesuatu (Biasanya browser ) Maka akan
muncul sebuah iklan yang akan menghambat anda melakukan aktivitas tersebut
5. Trojan atau trojan hourse adalah program yang diam-diam masuk ke komputer kita,
kemudian memfasilitasi program lain misalnya virus, sypware, adware. keylogger dan
malware lainnya untuk masuk, merusak sytem, memungkinkan orang lain meremote
komputer dan mencuri informasi seperti password atau nomor kartu kredit kita
6. Keylogger adalah sebuah program yang dapat memantau penekanan tombol pada
keyboard, anda sekalin pasti sudah sering mendengar software keylogger cara kerja
malware ini hampir sama.Sehingga orang lain dapat mengetahui password dan
informasi apapun yang kita ketik.

7. Rootkit adalah program yang menyusup kedalam system komputer, bersembunyi

dengan menyamar sebagai bagian dari system (misalnya menempel pada patch,
keygen, crack dan game), kemudian mengambil alih, memantau kerja sistem yang
disusupinya. Rootkit dapat mencuri data yang lalu-lalang di jaringan, melakukan
keylogging, mencuri cookies akun bank dan lain-lain.
8. Phishing adalah suatu bentuk penipuan untuk memperoleh informasi pribadi seperti
userID, password, ATM, kartu kredit dan sebagainya melalui e-mail atau website
palsu yang tampak asli.

SNORT
Snort adalah NIDS yang bekerja dengan menggunakan signature detection, berfungsi juga
sebagai sniffer dan packet logger. Snort pertama kali di buat dan dikembangkan oleh Marti
Roesh, lalu menjadi sebuah opensource project. Versi komersial dari snort dibuat oleh
Sourcefire (www.sourcefire.com).Snortmemiliki karakteristik, sebagai berikut:
1. Berukuran kecil Source code dan rules untuk rilis 2.1.1 hanya 2256k.
2. Portable untuk banyak OS Telah diporting ke Linux, Windows, OSX, Solaris, BSD,dll.
3. Cepat Snort mampu mendeteksi serangan pada network 100Mbps.
4. Mudah dikonfigurasi Snort sangat mudah dikonfigurasi sesuai dengan kebutuhan
network kita. Bahkan kita juga dapat membuat rule sendiri untuk mendeteksi adanya
serangan baru.
5.
Free Kita tidak perlu membayar sepeser pun untuk menggunakan snort. Snort bersifat
open source dan menggunakan lisensi GPL.
A. Komponen Snort.
Snort merupakan packet sniffing yang sangat ringan. Snifing interface yang digunakan
berbasis libpcap (pada Unix tersedia dengan tcpdump, www.tcpdump.org). Pembuat snort
sangat fokus pada engine yang digunakan untuk mendeteksi serangan dan memanfaatkan
tools tcpdump untuk mengambil paket network. Salah satu keunggulan snort adalah bahwa
snort memiliki plugin sistem yang sangat fleksibel untuk dimodifikasi.
Snort memiliki beberapa komponen yang tiap komponennya mempunyai tugas masingmasing. Pada saat ada paket network yang melewati Ethernet di tempat snort dipasang, maka
ada beberapa hal yang dilalui:
Packet capture library (libpcap).
Packet capture library akan memisahkan paket data yang melalui ethernet card untuk
selanjutnya digunakan oleh snort.
Packet decoder.
Packet decoder mengambil data di layer 2 yang dikirim dari packet capture library(proses
1). Pertama ia akan memisahkan Data link (seperti ethernet, TokenRing, 802.11) kemudian
protokol IP, dan selanjutnya paket TCP dan UDP. Setelah pemisahan data selesai, snort telah
mempunyai informasi protokol yang dapat diproses lebih lanjut.

Preprocessor.
Selanjutnya dilakukan analisis (preprocessor) atau manipulasi terhadap paket sebelum
dikirim ke detection engine. Manipulasi paket dapat berupa ditandai, dikelompokan atau
malah dihentikan.
Detection Engine.
Inilah jantung dari snort. Paket yang datang dari packet decoder akan ditest dan dibandingkan
dengan rule yang telah ditetapkan sebelumnya. Rule berisi tanda-tanda (signature) yang
termasuk serangan.
Output.
Output yang dihasilkan berupa report dan alert. Ada banyak variasi output yang dihasilkan
snort, seperti teks (ASCII), XML, syslog, tcpdump, binary format, atau Database (MySQL,
MsSQL, PostgreSQL, dsb).
B. Memilih lokasi Snort.
Hal terakhir yang harus kita ketahui, sekaligus menjadi faktor yang menentukan keefektifan
dari snort adalah lokasi. Ini sangat penting terlebih jika jaringan yang kita kelola berukuran
besar. Oleh karena itu, sebelum memulai menginstal snort, tentukan terlebih dahulu apa yang
akan kita lindungi, apakah:
1.

Single server

2.

Sekelompok server

3.

Semua subnet

Setelah kita selesai menentukan apa yang akan dimonitor, maka kita bisa leluasa menentukan
dimana akan meletakan snort. Jadi untuk menempatkan snort tergantung kepada apa yang
akan kita monitor.
Network biasanya menggunakan firewall untuk memisahkan server publik ke dalam DeMilitarized Zone (DMZ) dan jaringan lokal ke dalam internal NAT network. Hal-hal yang
penting untuk diketahui, adalah:
1.
DMZ adalah daerah untuk menempatkan server publik yang sering diakses melalui
internat. Server seperti email, web, atau ftp bisa kita letakan di sini secara berkelompok.
Biasanya zone di daerah ini banyak mengalami lalu lintas data dari internet.
2.
NAT (Network Address Translation) adalah cara untuk menyembunyikan beberapa
komputer yang menggunakan IP private di belakang IP publik. Dengan menggunakan NAT,
komputer internal di jaringan tetap bisa menggunakan internet meskipun menggunakan IP
private. Tetapi sebaliknya, pengguna internet tidak bisa mengenali workstation yang ada di
dalam NAT.
Mengapa kita perlu memisahkan kedua jaringan ini? Jika di suatu perusahaan hanya
menggunakan internet untuk jaringan komunikasi internal seperti mengirim email atau
browsing mungkin tidak menjadi masalah. Tetapi jika perusahaan juga membutuhkan server
web atau email sendiri untuk menjalankan bisnisnya, maka berhati-hatilah, karena kita telah

mempublikasikan kepada dunia tentang web site perusahaan kita. Artinya semua orang di
dunia juga bisa bermain-main dan mengerjai server kita.
Oleh karena itu, jika server yang terletak di DMZ misalnya berhasil ditembus olehcracker,
maka kerusakan dapat diminimalkan karena mereka tidak dapat keluar dari DMZ ke jaringan
internal. Jadi setiap kita menempatkan server publik, di situ juga harus dipasang snort. Jika
jaringan kita menggunakan DMZ, maka setidaknyadilakukan hal-hal sebagai berikut:
1.
Buat satu port di switch DMZ sebagai monitoring port.
2.
Tambahkan perintah di file konfigurasi snort (snort.conf) untuk memonitor subnet
tersebut.
CARA KERJA

Salah satu aplikasi Linux yang dapat dipakai untuk meningkatkan keamanan komputer adalah
Snort. Secara garis besar, Snort adalah sebuah program yang memiliki tiga fungsi atau tiga
modus operasi. Snort dapat dipakai dalam packet sniffer mode sehingga bekerja sebagai
sniffer sama seperti Wireshark. Sama seperti Wireshark, Snort juga dapat menyimpan setiap
packet yang di-capture ke dalam media penyimpan di moduspacket logger mode. Akan
tetapi berbeda dengan Wireshark, Snort dapat dipakai sebagai komponen NIDS dengan
menjalankannya pada Network Intrusion Detection System (NIDS) mode. Pada modus
yang terakhir ini, Snort akan menganalisa packet berdasarkan rule yang ada untuk mengenali
adanya upaya serangan hacker.

Untuk memulai menggunakan Snort, download requirement serta source Snort, kemudian
build & install. Bagi yang memakai distro Ubuntu, libdnet di distro tersebut adalah library
yang berbeda dengan yang dibutuhkan Snort. Di Ubuntu, libdnet adalah DECNet libraries,
sementara yang dibutuhkan oleh Snort diganti namanya menjadi libdumpnet. Sebaiknya
download source dari Google Code, kemudian install ke lokasi /usr, bukan/usr/local.
Caranya adalah dengan menambahkan argumen -prefix=/usr pada saat memanggil
scriptconfigure.
Berikut adalah contoh menjalankan Snort sebagai packet sniffer:
$ sudo snort -v
Running in packet dump mode
--== Initializing Snort ==-Initializing Output Plugins!
pcap DAQ configured to passive.
Acquiring network traffic from "eth0".
Decoding Ethernet
--== Initialization Complete ==-,,_ -*> Snort! <*o" )~ Version 2.9.0.5 (Build 135)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2011 Sourcefire, Inc., et al.
Using libpcap version 1.1.1
Using PCRE version: 8.12 2011-01-15
Commencing packet processing (pid=31839)
06/05-12:07:03.524481 192.168.1.200:45263 -> 192.168.1.5:53
UDP TTL:64 TOS:0x0 ID:63753 IpLen:20 DgmLen:73 DF
Len: 45
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
=+=+=+=+
06/05-12:07:03.582863 192.168.1.5:53 -> 192.168.1.200:45263
UDP TTL:255 TOS:0x0 ID:4887 IpLen:20 DgmLen:186 DF
Len: 158
...
==================================================================
=============
Run time for packet processing was 27.619079 seconds
Snort processed 19 packets.
Snort ran for 0 days 0 hours 0 minutes 27 seconds
Pkts/sec:
0
==================================================================
=============
Packet I/O Totals:
Received:
19
Analyzed:
19 (100.000%)

Dropped:
0 ( 0.000%)
Filtered:
0 ( 0.000%)
Outstanding:
0 ( 0.000%)
Injected:
0
==================================================================
=============
...
Untuk mencatat rekaman packet ke dalam file teks, Snort bisa dijalankan dengan memberikan
perintah seperti:
snort -dev -l ./log
Perintah di atas akan menulis rekaman packet ke dalam direktori log (direktori ini harus
sudah dibuat sebelumnya).
Dan untuk modus NIDS, tambahan argumen -c yang merujuk ke file konfigurasi Snort,
seperti berikut ini:
snort -d -l ./log -c snort.conf
Pada perintah di atas, file konfigurasinya bernama snort.conf.
Untuk menjalankan Snort sebagai daemon (background process yang terus berjalan),
tambahkan argumen -D seperti pada contoh ini:
snort -d -l /var/log/snort.log -c /etc/snort.conf -D
Bicara soal file konfigurasi, berikut adalah contoh isi file konfigurasi:
var LOG_IP 100.10.12.13
alert tcp $LOG_IP any -> any any (msg: "Akses Dari Dia"; sid:1;)
File konfigurasi di atas menyebabkan Snort menghasilkan alert dalam file
bernama alert setiap kali IP 100.10.12.13 melakukan akses TCP, dengan pesan berupa
Akses Dari Dia. Tentu saja ini adalah contoh konfigurasi sederhana yang tidak banyak
berguna, akan tetapi cukup untuk menunjukkan syntax file konfigurasi Snort yang lumayan
rumit. Contoh di atas mengandung sebuah variabel IP bernama LOG_IP. Variabel tersebut
dapat digunakan dengan menulis $LOG_IP yang akan disubstitusi dengan nilai yang
sesungguhnya.
Argumen yang biasanya diberikan saat memanggil Snort juga dapat dituliskan ke file
konfigurasi sehingga tidak perlu diberikan secara manual pada saat menjalankan Snort,
seperti pada contoh berikut:
#sama dengan argumen -D
config daemon

#sama dengan argumen -d

config dump_payload

#sama dengan argumen -l

config logdir: /var/log/snort

var LOG_IP 192.168.1.2

alert tcp $LOG_IP any -> any any (msg: "Akses Dari Dia"; sid:1;)
Gunakan preprocessor untuk memakai processor yang sudah disediakan oleh Snort. Sebagai
contoh, untuk mendeteksi terjadinya port scanning, tambahkan konfigurasi berikut:
preprocessor stream5_global:\
track_tcp yes, track_udp yes, track_icmp yes

preprocessor stream5_tcp:\
policy first

preprocessor stream5_udp

preprocessor stream5_icmp

preprocessor sfportscan:\

proto { all } \
scan_type { all } \
sense_level { high }
Konfigurasi di atas akan memakai preprocessor sfPortScan dari Source Fire. Syarat untuk
memakai sfPortScan adalah menggunakan preprocessor Stream5. Sekarang, bila seseorang
melakukan port scanning (yang merupakan tahap awal dalam serangan), misalnya dengan
menggunakan tool Nmap:
$ nmap -A -v 192.168.1.22
Maka, Snort akan menghasilkan alert seperti berikut ini:
[**] [122:1:0] (portscan) TCP Portscan [**]
[Priority: 3]
06/06-03:34:13.052153 192.168.1.49 -> 192.168.1.22
PROTO:255 TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:158 DF
Alert tersebut menunjukkan bahwa seseorang dari IP 192.168.1.49 melakukan port scanning
untuk komputer dengan IP 192.168.1.22.

SNORT
1.

Definisi snort
Snort merupakan sebuah aplikasi ataupun software yang bersifat opensource

GNU General Public License [GNU89], sehingga boleh digunakan dengan bebas secara
gratis, dan kode sumber (source code) untuk Snort juga bisa didapatkan dan dimodifikasi
sendiri .
Snort dikembangkan oleh Marty Roesch, bisa dilihat pada (www.sourcefire.com).
Awalnya dikembangkan di akhir 1998-an sebagai sniffer dengan konsistensi output.
Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati
aktivitas dalam suatu jaringan komputer. Snort dapat digunakan sebagai suatu Network

Intrusion Detection System (NIDS) yang berskala ringan (lightweight), dan software ini
menggunakan sistem peraturan-peraturan (rules system) yang relatif mudah dipelajari untuk
melakukan deteksi dan pencatatan (logging) terhadap berbagai macam serangan terhadap
jaringan komputer.

Snort sendiri merupakan software yang masih berbasis command-line, sehingga

cukup merepotkan bagi pengguna yang sudah terbiasa dalam lingkungan Graphical User
Interface (GUI). Oleh karena itu, ada beberapa software pihak ketiga yang memberikan GUI
untuk Snort, misalnya IDScenter untuk Microsoft Windows, dan Acid yang berbasis PHP
sehingga bisa diakses melalui web browser.
Dengan membuat berbagai rules untuk mendeteksi ciri-ciri khas (signature) dari
berbagai macam serangan, maka Snort dapat mendeteksi dan melakukan logging terhadap
serangan-serangan tersebut. Software ini bersifat opensource berdasarkan GNU General
Public License [GNU89], sehingga boleh digunakan dengan bebas secara gratis, dan kode
sumber (source code) untuk Snort juga bisa didapatkan dan dimodifikasi sendiri bila perlu.
Snort pada awalnya dibuat untuk sistem operasi (operating system) berdasarkan Unix, tetapi
versi Windows juga sudah dibuat sehingga sekarang ini Snort bersifat cross-platform.
Snort dapat juga dijalankan di background sebagai sebuah daemon.
2.

Fitur Snort

Karena Snort bersifat opensource, maka penggunaannya betul-betul gratis.

Oleh karena itu, Snort merupakan pilihan yang sangat baik sebagai NIDS ringan yang costeffective dalam suatu organisasi yang kecil . Dari sisi harga, jelas tidak ada NIDS lain yang
mampu mengalahkan Snort.
Penggunaan Snotr sangat bebas sehingga dapat diterapkan dalam lingkungan
apa saja. Kode sumbernya pun bisa didapatkan sehingga Snort boleh secara bebas
dimodifikasi sendiri sesuai keperluan.
Snort memiliki bahasa pembuatan rules yang relatif mudah dipelajari dan
fleksibel. Ini berarti bahwa pengguna dapat dengan mudah dan cepat membuat berbagai
rules baru untuk mendeteksi tipe-tipe serangan yang baru. Selain itu, berbagai rules khusus
dapat dibuat untuk segala macam situasi.

 Snort sudah memiliki sebuah database untuk berbagai macam rules, dan
database ini secara aktif terus dikembangkan oleh komunitas Snort sehingga tipe-tipe
serangan yang baru dapat dideteksi dan dicatat.
Jika organisasi membutuhkan dukungan teknis untuk Snort yang profesional,
maka ada beberapa pihak komersial yang menawarkan dukungan untuk Snort, misalnya
SiliconDefense.Com.
Snort merupakan software yang ringkas dan padat, sehingga tidak memakan
banyak resources tetapi cukup canggih dan fleksibel untuk digunakan sebagai salah satu
bagian dari NIDS yang terpadu (Integrated NIDS). Selain itu, karena Snort bersifat
lightweight, maka penerapannya juga mudah dan cepat.
Snort dapat melakukan logging langsung ke sistem database, misalnya ke
MySQL, PostGRE SQL, dan MS SQL.
Snort sebagai NIDS dapat menyembunyikan dirinya dalam jaringan komputer
sehingga keberadaannya tidak bisa terdeteksi oleh komputer mana pun. Ini disebut sebagai
stealth mode.

3.

Mode Pengoperasian

Sniffer Mode
Snort bertindak sebagai software sniffer yang dapat melihat semua paket yang
lewat dalam jaringan komputer di mana Snort diletakkan. Fungsi snort dalam sniffer mode ini
sama seperti yang ada di software Iris. Dalam mode ini, berbagai paket hanya ditampilkan di
layar monitor secara real time.
Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh
perintah-nya terdapat di bawah ini:
#snort v
#snort vd
#snort vde
#snort v d e
dengan menambahkan beberapa switch v, -d, -e akan menghasilkan beberapa keluaran
yang berbeda, yaitu
-v, untuk melihat header TCP/IP paket yang lewat.

-d, untuk melihat isi paket.

-e, untuk melihat header link layer paket seperti ethernet header.
Packet Logger Mode
Dalam mode ini, selain melihat semua paket yang lewat dalam jaringan komputer,
Snort juga dapat mencatat atau melakukan logging terhadap berbagai paket tersebut ke
disk. Dengan kata lain, Snort membuat copy dari paket-paket yang lewat dan menyimpan
copy tersebut di disk sehingga pengguna Snort dapat melakukan analisis terhadap lalu lintas
jaringan atau untuk keperluan lainnya.
Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang
ada adalah
./snort dev l ./log
./snort dev l ./log h 192.168.0.0/24
./snort dev l ./log b

Perintah yang paling penting untuk me-log paket yang lewat adalah -l ./log yang
menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah
tambahan dapat digunakan seperti h 192.168.0.0/24 yang menunjukan bahwa yang di
catat hanya packet dari host mana saja, dan b yang memberitahukan agar file yang di log
dalam format binary, bukan ASCII.
Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di
tambahkan perintah r nama file log-nya, seperti,
./snort dv r packet.log
./snort dvr packet.log icmp
Network Intrusion Detection Mode
Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup
(intrusion detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi
penyusup adaah dengan menambahkan perintah ke snort untuk membaca file konfigurasi
c nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi sebagian besar telah
di set secara baik dalam contoh snort.conf yang dibawa oleh source snort.
Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan
pendeteksian penyusup, seperti

./snort dev l ./log h 192.168.0.0/24 c snort.conf

./snort d h 192.168.0.0/24 l ./log c snort.conf
Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging
paket yang lewat dapat menggunakan perintah l nama-file-logging, atau membiarkan snort
menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa
catatan / logging paket yang ada sesuai dengan isi perintah snort.conf. Ada beberapa
tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien.
Mekanisme pemberitahuan alert di Linux dapat di set dengan perintah A sebagai
berikut,
-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full, mode alert dengan informasi lengkap.
-A unsock, mode alert ke unix socket.
-A none, mematikan mode alert.
Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch s,
seperti tampak pada beberapa contoh di bawah ini.
./snort c snort.conf l ./log s h 192.168.0.0/24
./snort c snort.conf s h 192.168.0.0/24
Untuk mengirimkan alert binary ke workstation windows, dapat digunakan perintah
di bawah ini,
./snort c snort.conf b M WORKSTATIONS
Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat
menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort d h 192.168.0.0/24 c /root/snort/snort.conf A full s D
Atau
/usr/local/bin/snort d c /root/snort/snort.conf A full s D
dimana D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja
dibelakang layar).

4.

Contoh instalisasi snort

Untuk menginstall Snort, sangatlah mudah. Cukup dengan satu baris perintah berikut, Snort
sudah dapat terpasang dalam komputer kesayangan temen - temen.
root@defegacious:/# apt-get install snort

Syaratnya, komputer teman-teman harus sudah terkonek dengan repository, baik yang
online maupun lokal. Sangat mudah bukan proses instalasinya, tinggal nunggu lalu selesai.

Untuk mengubah konfigurasi rules Snort yang sudah default bisa melalui,

root@defegacious:/# nano /etc/snort/snort.conf

Rules adalah konfigurasi pada Snort yang nantinya digunakan untuk medeteksi adanya
berbagai macam serangan. Nah, rulesnya ini sangat banyak dan beragam. Lain kali saya
akan membahasa beberapa, untuk yang ini sampai disini dulu. hihiihhii

Sedangkan untuk mengecek Snort berfungsi atau tidak, bisa menggunakan perintah berikut

root@defegacious:/# snort -v

Sebagai contoh, Snort ini saya jalankan pada Maverick. Lalu ketika ada seseorang yang
mencoba men-scan laptop saya, maka Snort akan langsung memberikan peringatan seperti
skrinsut dibawah ini,

Wireshark
Wireshark merupakan salah satu dari sekian banyak tool Network Analyzer yang
banyak digunakan oleh Network administrator untuk menganalisa kinerja
jaringannya terrmasuk protokol didalamnya. Wireshark banyak disukai karena
interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan
grafis.
Wireshark mampu menangkap paket-paket data atau informasi yang
berseliweran dalam jaringan. Semua jenis paket informasi dalam berbagai format
protokol pun akan dengan mudah ditangkap dan dianalisa. Karenanya tak jarang
tool ini juga dapat dipakai untuk sniffing (memperoleh informasi penting spt
password email atau account lain) dengan menangkap paket-paket yang
berseliweran di dalam jaringan dan menganalisanya.
Wireshark dipakai oleh network administrator untuk menganalisa kinerja
jaringannya. Wireshark mampu menangkap paket-paket data atau informasi
yang berjalan dalam jaringan yang terlihat dan semua jenis informasi ini dapat
dengan mudah dianalisa yaitu dengan memakai sniffing , dengan sniffing
diperoleh informasi penting seperti password email account lain.
Wireshark merupakan software untuk melakukan analisa lalu-lintas jaringan
komputer, yang memiliki fungsi-fungsi yang amat berguna bagi profesional
jaringan, administrator jaringan, peneliti, hingga pengembang piranti lunak
jaringan.
Wireshark dapat membaca data secara langsung dari Ethernet, Token-Ring, FDDI,
serial (PPP dan SLIP), 802.11 wireless LAN, dan koneksi ATM.
Program ini juga sering digunakan oleh chatters untuk mengetahui ip korban
maupun para chatter lainnya lewat typingan room.
Tool wireshark dapat menganalisa transmisi paket data dalam jaringan, proses
koneksi dan transmisi data antar komputer.
Selama kita bisa mendapatkan paket langsung dari jaringan, dengan tools
seperti wireshark, maka kita juga bisa memanfaatkan wireshark untuk
menyadap pembicaraan Voice over IP.

Wireshark merupakan salah satu tools atau aplikasi Network Analyzer atau
Penganalisa Jaringan. Penganalisaan Kinerja Jaringan itu dapat melingkupi
berbagai hal, mulai dari proses menangkap paket-paket data atau informasi
yang berlalu-lalang dalam jaringan, sampai pada digunakan pula untuk
sniffing (memperoleh informasi penting seperti password email, dll). Wireshark
sendiri merupakan free tools untuk Network Analyzer yang ada saat ini. Dan
tampilan dari wireshark ini sendiri terbilang sangat bersahabat dengan user
karena menggunakan tampilan grafis atau GUI (Graphical User Interface).

Kegunaan Wireshark

Menganalisa jaringan.

Menangkap paket data atau informasi yang berkeliaran da;am jaringan

yang terlihat.

Penganalisaan informasi yang didapat dilakukan denga sniffing, dengan

begitu dapat diperoleh informasi penting seperti password, dll.

Membaca data secara langsung dari Ethernet, Token-Ring, FDDI, serial

(PPP dan SLIP), 802.11 wireless LAN, dan koneksi ATM.

Dapat mengetahui IP seseorang melalui typingan room.

Menganalisa transmisi paket data dalam jaringan, proses koneksi, dan

transmisi data antar komputer. , dll..

Cara Kerja Wireshark

Wireshark dapat menangkap paket-paket data dalam jaringan yang silih
berganti. Semua paket informasi dapat dengan mudah kita dapatkan dan
analisa. Contoh :
Pertama kita perlu menentukan informasi apa yang ingin kita dapatkan dari
jaringan kita. Dalam gambar di atas, Saya memasukkan perintah untuk
memfilter paket yang melewati IP Address PC Saya: host 10.122.1.4 :

Saat itu dijalankan aplikasi Winamp yang memainkan file .mp3 dari komputer
lain dalam jaringan dengan IP 10.122.1.215 (streaming), kemudian aplikasi
Pidgin (jenis Chat client, saat itu Saya memakai protokol Yahoo MessengerYMSG), serta browsing dengan Mozilla Firefox. Seperti yang bisa Anda lihat,
semua paket data/informasi yang melalui interface LAN/Ethernet Card PC
akan ditangkap dan ditampilkan dalam layar utama Wireshark. Sumber dan
Tujuan Pengiriman Paket, Protokol yang dipakai, serta waktu yang dibutuhkan
untuk transfer juga ada. Lebih jauh lagi, di bagian bawah layar utama (tidak
terlihat dalam gambar di atas) juga terdapat penjelasan lebih detil apa isi
paket-paket di atas.

Wireshark merupakan sebuah software sniffer freeware yang dapat didownload dengan mudah
di www.wireshark.org. Walaupun termasuk kategori software gratis, software yang sebelumnya
dinamakan Ethereal memiliki banyak fitur powerful yang tidak kalah dengan software sejenis.
Program sniffer adalah program yang dapat digunakan apabila kita ingin mengintip/mengendus/sniff
sebuah jaringan, baik Ethernet maupun non-ethernet. Hanya saja, sehari-hari rasanya kita lebih sering
berkutat dengan jaringan Ethernet.
Mengapa kita perlu mengintip/mengendus jaringan ? Salah satu alasan kuat yang sering ditemui oleh
penulis adalah paket tidak pernah berbohong. Yang dimaksud di sini, pada saat customer
mengatakan bahwa jaringan nya pelan, atau jaringan nya tidak responsive, atau jaringan nya kadang
cepat kadang tidak bisa connect, dsb., maka cara paling mudah adalah mengendus jaringan dengan
langsung melihat isi-isi paket yang lewat di jaringan tersebut. Pernah ada satu kasus yang penulis
temukan, pada saat customer mengeluh network nya bermasalah (dan mereka langsung menyalahkan
switchnya), setelah paket diintip, kejadian sebenarnya adalah, ada satu mesin gateway, yang apabila
mesin tersebut mendengar adanya paket request, maka mesin tersebut selalu menjawab untuk drop
paket tersebut, sehingga jaringan seolah-olah tidak connect. Dari sini bisa kita pelajari, bahwa
jaringan yang tidak lancar, bisa disebabkan oleh banyak sekali faktor yang harus diselidiki lebih
lanjut.
Dahulu kala, semasa jaringan masih menggunakan hub, para pemakai jaringan amat mudah
mengintip isi percakapan dari para pemakai jaringan lainnya, karena teknologi hub memang masih
bersifat shared. Shared yang dimaksud di sini adalah, walaupun komputer A hanya berbicara dengan
komputer B, percakapan mereka dapat didengar oleh komputer C yang dicolokkan ke hub yang sama
dengan A dan B. Masih teringat jelas saat bekerja di sebuah perusahaan yang memakai hub, dan di

pagi hari penulis dapat meng-crack semua user password pada saat login ke NT Domain(yang
memang tidak secure, atau bisa dicrack dengan dictionary attack) memakai software l0pthcrack.
Untunglah, dengan adanya switch, hal tersebut di atas tidak mungkin terjadi ( walaupun masih
mungkin dilakukan dengan teknik-teknik seperti ARP poisoning dsb. ), karena teknologi switch
membuat jalur virtual untuk komunikasi antar pemakainya. Lalu, apabila memang ingin meng-sniff
jaringan di lingkungan switch, bagaimana caranya ?
Salah satu cara yang bisa dilakukan adalah melakukan proses port mirroring dari switch tersebut ke
salah satu port di mana kita memasang software sniffer kita. Cuma saja, biasanya hanya product
switch yang manage-able yang bisa melakukan hal ini. Jika switch kita memakai unmanaged, maka
prosesnya akan lebih rumit

Gambar di atas dapat dijadikan contoh kebanyakan jaringan yang ada, di mana biasanya network
administrator menginginkan memonitor koneksi jaringan ke Internet. Maka yang dilakukan adalah
melakukan port mirroring pada link yang merah, dengan target mirror port adalah port tempat di
mana wireshark dipasang. Tetapi, tentu saja untuk melakukan hal tersebut, network administrator
harus mengkonfigurasi switch. ( Hampir sebagian besar switch yang ada di Allied Telesis, tempat
penulis bekerja sudah mendukung port mirroring )
Bagaimana apabila tidak bisa mengotak-atik switch, atau switch tidak mendukung mirroring ? Salah
satu jalan keluarnya adalah memasang hub. Memang sayangnya, tidak mudah mendapatkan hub di
saat-saat sekarang, karena di pasaran kebanyakan sudah tidak diproduksi lagi. Kelemahan lain dari
penggunaan hub adalah jenis koneksi nya half duplex, bukan full duplex seperti pada switch.

Ada juga solusi lain, seperti menggunakan network tap. Hanya saja, tidak banyak perusahaan yang
mau membeli network tap untuk keperluan monitoring sesaat.
Wireshark dapat diinstall di berbagai operating system, seperti Windows (32 bit atau 64 bit), OS X ,
Ubuntu,dsb. Penulis sendiri banyak memakai Wireshark pada Windows, dan pada saat proses
instalasi, juga akan diinstal aplikasi WinPCap, yang merupakan driver-driver khusus yang akan
dipakai pada Wireshark. Apabila kita tidak menginstall WinPCap, maka Wireshark tidak akan bisa
berfungsi untuk capture packet melalui jaringan.