Add to collection(s) Add to saved
  1. Rekayasa & Teknologi
  2. Perancangan web

BAB 4 HASIL PENELITIAN 4.1 Hasil Penelitian

advertisement 
 BAB 4
HASIL PENELITIAN
Pada bab ini akan dijelaskan mengenai deskripsi data yang telah diterima oleh
kedua honeypot yaitu Dionaea dan Glastopf dan analisa data. Data tersebut diperoleh
setelah kedua honeypot tersebut berjalan selama 7 hari pada tanggal 16 November 2011
– 22 November 2011. Kedua honeypot tersebut menggunakan ip publik sehingga traffic
yang masuk ke dalam honeypot berasal dari seluruh dunia dan traffic yang masuk ke
dalam Dionaea belum tentu sama dengan traffic yang masuk ke Glastopf. Data tersebut
diambil dengan melihat data yang muncul pada tampilan web interface dari honeypot
tersebut yaitu Carniwwwhore dan GlasIF.
4.1 Hasil Penelitian
Berikut adalah hasil penelitian yang diperoleh dari kedua honeypot:
4.1.1 Dionaea
Dionaea adalah low-interaction honeypot yang fungsi utamanya mendapat copy
dari malware. Dionaea menarik serangan dengan cara menyediakan bug yang biasa
dicari oleh para penyerang untuk dapat menyusupkan malware. Dionaea menggunakan
Carniwwwhore sebagai web interface sehingga serangan yang diterima Dionaea dapat
dilihat dengan mudah.
4.1.1.1 Tampilan web interface Dionaea
Berikut adalah beberapa tampilan dari Carniwwwhore:
38 39 Gambar 4.1 Overview Carniwwwhore
Gambar 4.1 adalah gambar tampilan utama Carniwwwhore (web interface
Dionaea). Pada gambar di atas dapat dilihat jumlah serangan/malware yang diterima
selama 7 hari. Pada sumbu x dapat dilihat tanggal harinya dan pada sumbu y dapat
dilihat jumlah serangan yang didapat. Di sebelah kiri ada menu Dionaea untuk melihat
lebih detail tentang serangan yang didapat Dionaea.
40 Gambar 4.2 Tampilan jumlah serangan per hari Dionaea
Pada gambar 4.2 dapat dilihat jumlah serangan per hari. Di sebelah kiri terdapat
menu seperti protocols (melihat protokol yang digunakan), transports (tcp/udp), attacks
(melihat serangan lebih detail), hosts (melihat ip penyerang), dan ports (port yang
digunakan).
41 Gambar 4.3 Tampilan serangan Dionaea
Gambar 4.3 adalah tampilan menu attacks pada Dionaea. Pada menu ini dapat
dilihat detail serangan yang dilakukan seperti waktu, ip penyerang, protokol dan port
yang digunakan.
4.1.1.2 Data Dionaea
Setelah Dionaea dijalankan selama 7 hari pada tanggal 16 November 2011 – 22
November 2011, diperoleh data serangan yang dikelompokan berdasarkan waktu,
negara penyerang, dan port yang diserang.
42 •
Serangan berdasarkan waktu
Gambar 4.4 Grafik jumlah penyerang terhadap waktu
Pada tabel di atas dapat dilihat serangan terhadap waktu selama 7 hari. Dalam 1
hari dibagi menjadi 3 waktu yaitu pagi (pukul 04:00-12:00 WIB), siang (pukul 12:0020:00 WIB), dan malam (pukul 20:00-4:00 WIB). Dari segi waktu selama 7 hari dalam
WIB, dapat dilihat serangan paling banyak terjadi pada malam hari lalu siang hari dan
yang paling sedikit pada pagi hari. Hal ini disebabkan karena banyak attacker yang
menjalankan serangannya dengan menggunakan bot berasal dari Negara yang beda
waktunya jauh dengan Indonesia sehingga di negeri penyerang masih siang hari
sedangkan di Indonesia sudah malam hari. Seperti diketahui bahwa pada siang hari
aktifitas manusia paling banyak terjadi.
•
Serangan berdasarkan negara penyerang
43 Selain jumlah serangan yang diterima oleh Dionaea, kita juga dapat melihat ip
penyerang. Jika ip penyerang tersebut dikelompokan berdasarkan negara asal ip tersebut
maka didapat negara yang paling sering melakukan serangan pada diagram dibawah ini.
Gambar 4.5 Diagram negara yang sering menyerang
Dari data negara yang paling banyak melakukan serangan, terdapat negara
dengan 5 urutan teratas yaitu Rusia (28%), Brasil (14%), Taiwan (12%), Jepang (8%),
dan Jerman (4%).
Negara seperti Rusia (GMT+3), Jerman (GMT+1), jarak waktunya jauh
dibanding Indonesia sehingga jumlah serangan paling banyak terjadi pada malam hari
(pukul 20:00-04:00 WIB) yaitu 150.629 (Rusia) dan 20.650 (Jerman). Hal ini
dikarenakan pada saat waktu malam hari (sesuai pengelompokan kita) maka di waktu
Rusia dan Jerman berada pada waktu manusia mulai beraktifitas (siang hari) sehingga
44 kapasitas serangan lebih besar pada waktu ini. Pada Brasil (GMT-3) yang memiliki beda
waktu sangat jauh dari Indonesia menunjukkan serangan paling banyak pada pagi hari
yaitu 65.321 serangan karena pada pukul 4:00 WIB maka di waktu di Brasil adalah
menjelang malam sehingga serangan masih tinggi terjadi. Perbedaan waktu yang sangat
jauh inilah yang membuat serangan dari negara Brasil juga banyak terjadi pada malam
hari yaitu 52.854 serangan. Pada Taiwan (GMT+8) dan Jepang (GMT+9) yang beda
waktunya sedikit dengan Indonesia maka serangan paling banyak terjadi pada siang hari
yaitu 61.613 (Taiwan) dan 33.694 (Jepang). •
Serangan berdasarkan port yang diserang
Dionaea membuka semua services yang ada sehingga data yang didapat sangat
banyak. Kita juga dapat mengetahui nomor port yang diserang. Berikut adalah diagram
yang menggambarkan port yang sering diserang dalam seminggu:
Gambar 4.6 Diagram port yang banyak diserang
45 Dari gambar di atas dapat dilihat port 445 sering diserang (1.048.300 serangan)
karena port ini digunakan untuk file sharing seperti printer sharing. Hal ini yang
menyebabkan port ini paling rentan untuk dimasukkan worm. World Wide Web (www)
merupakan bagian dari Internet yang paling populer, sehingga serangan kedua paling
banyak pada port 80 yaitu 7915 serangan. Serangan ketiga paling banyak pada port 1433
yang digunakan oleh MSSQL. Seperti yang diketahui mssql adalah database yang cukup
rentan untuk diserang seperti serangan buffer overflow sehingga jika seorang attacker
mengirim terlalu banyak data, kemungkinan terjadi “overflow” pada ukuran tertentu dan
akan menulis data disekitar area buffer komputer. Buffer Overflow ini mungkin saja
malicious user menjalankan perintah kewenangan pada remote system. Port lainnya
adalah port 5060 dan 5061 yang sering digunakan untuk layanan voice dan media
melalui internet, lalu port 3306 yang digunakan oleh mysql, port 21 untuk transfer data
dan port lainnya.
4.1.2
Glastopf
Glastopf adalah honeypot yang bertujuan untuk menangkap serangan/request
yang ditujukan ke web aplikasi. Glastopf menggunakan fitur google dork list untuk
menarik serangan. Glastopf menggunakan GlasIF sebagai web interface untuk melihat
serangan yang telah diterima.
4.1.2.1 Tampilan web interface Glastopf
Berikut adalah beberapa tampilan dari GlasIF:
46 Gambar 4.7 Dashboard GlasIF
Pada gambar 4.7 dapat dilihat tampilan dashboard dari GlasIF. Pada tampilan nii
dapat dilihat jumlah serangan per hari dan per jam. Selain itu dapat juga dilihat lima ip
yang paling banyak melakukan serangan, lima ip yang terakhir menyerang, dan lima file
terakhir yang berhasil dimasukkan. Di atas terdapat beberapa menu seperti raw data
47 untuk melihat log serangan, search untuk mencari serangan tertentu, dan admin untuk
mengubah user dan password GlasIF.
Gambar 4.8 Log Glastopf
Gambar 4.8 adalah tampilan menu raw data. Pada gambar ini dapat dilihat log
serangan yang terjadi seperti waktu, ip penyerang dan target, dan request yang
dilakukan.
4.1.2.2 Data Glastopf
Pada data yang diterima Glastopf dapat dilihat host penyerang dan request yang
dilakukan. Berikut adalah tabel data serangan yang diterima oleh Glastopf setelah
dijalankan selama 7 hari pada tanggal 16 November 2011 – 22 November 2011:
Attacker
Destination
Time
Request
Negara
xxx.43.187.5
203.xxx.119.40
16/11/20
/phpmyadmin/
Indonesia
11
48 109.xxx.213.
proxyjudge2.xxx
17/11/20
http://proxyjudge2.xxx.net/faste
134
.net
11
nv
61.250.80.xx
203.xxx.119.40
17/11/20
/user/soapCaller.bs
x
xxx.14.129.1
11
www.weibo.com
00
188.xxx.163.
203.xxx.119.40
203.xxx.119.40
203.xxx.119.40
203.xxx.119.40
9
173.xxx.101.
http://www.weibo.com/
China
/appConf.htm
Turkey
/phpmyadmin/
Indonesia
18/11/20
/w00tw00t.at.blackhats.romania
Rusia
11
n.anti-sec:)
18/11/20
/phpMyAdmin/scrixxx/setup.ph
11
p
19/11/20
/appConf.htm
18/11/20
18/11/20
11
9
194.63.xxx.7
203.xxx.119.40
59
11
xxx.132.116.
www.google.co
21/11/20
23
m
11
203.xxx.229.
203.xxx.119.40
187
203.xxx.229.
203.xxx.119.40
187
128.xxx.29.1
203.xxx.119.40
99
128.xxx.29.1
Korea
11
74
194.63.xxx.7
Republic of
11
130
180.244.xxx.
17/11/20
Jerman
203.xxx.119.40
Rusia
United
States
http://www.google.com/
Ukraine
22/11/20
/w00tw00t.at.blackhats.romania
Hongkong
11
n.anti-sec:)
22/11/20
/phpMyAdmin/scrixxx/setup.ph
11
p
22/11/20
/phpMyAdmin/scrixxx/setup.ph
11
p
22/11/20
/pma/scrixxx/setup.php
Hongkong
Australia
Australia
49 99
11
128.xxx.29.1
203.xxx.119.40
99
128.xxx.29.1
203.xxx.119.40
99
22/11/20
/w00tw00t.at.blackhats.romania
11
n.anti-sec:)
22/11/20
/myadmin/scrixxx/setup.php
Australia
Australia
11
Tabel 4.1 Tabel Serangan Glastopf
Pada Glastopf, yang hanya membuka port 80 dapat dilihat asal ip yang
menyerang dan request yang dilakukan. Glastopf dapat menarik serangan dengan
menambahkan path atau file yang vulnerable yang sering dicari oleh penyerang di
database Glastopf. Path atau file tersebut dapat kita lihat pada http://www.exploitdb.com/ dan menambahkan pada tabel path dalam database sehingga saat penyerang
mencari file tersebut maka mereka akan menemukan dan menyerang Glastopf kita. Kita
dapat mengidentifikasi data yang diterima Glastopf sebagai serangan jika penyerang
menyisipkan file tertentu, meminta dan mengakses file yang tidak diperbolehkan untuk
publik, dan me-request path yang kita tambahkan di database. Dari data di atas, dapat
dilihat request yang dilakukan biasa mencari vulnerabilities di phpmyadmin dan
webserver seperti /phpMyAdmin/scripts/setup.php dari Hongkong, Rusia, dan Australia
dan request /w00tw00t.at.blackhats.romanian.anti-sec:) yang biasa dilakukan oleh Rusia
dan Hongkong. Serangan lainnya adalah request /user/soapCaller.bs dari Korea. Request
ini dilakukan oleh tools yaitu Morfeus F***ing Scanner yaitu scanner yang mencari bug
yang terdapat dalam php atau web aplikasi lainnya. soapCaller.bs adalah halaman yang
sangat rentan untuk diserang.
50 4.2 Perbandingan dan pencegahan
Dari data yang didapat dari kedua honeypot di atas, dapat dilihat bahwa Dionaea
dapat mengumpulkan malware yang banyak pada port 80 dalam satu minggu sebanyak
7915. Sedangkan pada Glastopf hanya menerima serangan terhadap web aplikasi
sebanyak 16 serangan. Dari data di atas dapat dilihat bahwa kinerja Dionaea lebih
sensitif dalam menangkap serangan yang tersebar di internet.
Dari data di atas dapat dilihat serangan/tingkah laku para attacker yang sering
terjadi yaitu serangan pada port 445 dan mencari bug pada webserver (port 80). Cara
yang paling umum adalah menutup port yang sering diserang pada firewall. Untuk
serangan pada port 445, dapat dicegah dengan salah satu cara yaitu menutup services file
sharing sehingga port tersebut ditutup. Di regedit pada folder berikut :
•
HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Temukan SMBDeviceEnabled Ganti dengan D=Word 00000000. Untuk serangan yang
mengarah pada web aplikasi dapat dilakukan beberapa cara seperti:
•
Memblok ip yang mencurigakan di firewall, salah satu contohnya seperti ip pada
tabel di atas.
•
Menurut Shreeraj Shah (2004), dapat dicegah dengan menginstal Modsecurity
yang merupakan firewall untuk aplikasi web sehingga lebih meningkatkan
keamanan terutama utnuk apache.
Related documents
Pernyataan-Susunan
Pernyataan-Susunan
PERNYATAAN-SUSUNAN-KEPEMILIKAN
PERNYATAAN-SUSUNAN-KEPEMILIKAN
surat-dukungan-tender
surat-dukungan-tender
Pertemuan 14 oke.
Pertemuan 14 oke.
studi kelayakan bisnis
studi kelayakan bisnis
14100601_THO_modul_011
14100601_THO_modul_011
akuntansi pajak investasi jangka panjang
akuntansi pajak investasi jangka panjang
Download
advertisement