Implementasi dan Evaluasi Honeypot Dionaea

1 Implementasi dan Evaluasi Honeypot
Dionaea dan Glastopf
di ID-SIRTII
Andreas Sunardi
Binus University,Computer Engineering,
[email protected]
Andre Chandra
Binus University,Computer Engineering,
[email protected]
dan
Christian Darmawan
Binus University,Computer Engineering,
[email protected]
Abstrak
Penelitian dengan cara mengelompokan dan menganalisis hasil serangan yang didapat
dari honeypot yang digunakan, yaitu Dionaea dan Glastopf bertujuan untuk mengetahui
kelebihan dan kekurangan honeypot yang satu dengan yang lainnya. Metode penelitian yang
digunakan adalah metode penelurusan pustaka dengan mempelajari teori dan konsep yang
berhubungan dengan honeypot dari sumber acuan umum dan metode eksperimen dengan menguji
langsung honeypot yang telah dibangun dengan menggunakan tools yang direkomendasikan.
Hasil yang didapat dalam seminggu, data Dionaea menunjukan bahwa serangan paling banyak
terjadi pada malam hari (pukul 20.00-4.00 WIB) yaitu 443.709 serangan (41,94% dari total
serangan) dan paling banyak menyerang port 445 sebanyak 1.048.300 serangan (99% dari total
serangan) dan port 80 sebanyak 7915 serangan. Sedangkan hasil dari Glastopf yang hanya
melayani port 80 hanya menerima 16 serangan. Setelah mengelompokan dan menganalisis data
serangan yang diterima kedua honeypot, dapat dilihat bahwa Dionaea menawarkan layanan yang
lebih banyak dan lebih sensitif dalam menangkap serangan(malware) terutama pada port 80
dibandingkan dengan serangan yang diterima Glastopf.
Kata Kunci: Honeypot, Dionaea, Glastopf, serangan
2 1. Pendahuluan
Saat ini teknologi internet mengalami peningkatan cukup pesat, secara kuantitas maupun
kualitas. Internet merupakan jaringan komputer yang
bersifat publik, tetapi tidak semua
informasi dapat diakses secara publik. Tentunya ada informasi-informasi yang bersifat
pribadi/private. Tetapi ada pihak –pihak yang ingin mengakses informasi pribadi /private
seseorang dengan maksud tertentu yang berusaha untuk menembus sistem keamanan seperti
menyebar malware. Pada artikel yang berjudul “Trend Keamanan Internet 2011”, menurut data
statistik dari ID-SIRTI, rata-rata jumlah insiden per hari pada tahun 2010 mencapai 1.1 juta
insiden dan aktivitas ini cenderung akan semakin meningkat. Terutama pada situasi geopolitik
tertentu seperti pemilu. 50% diantara insiden tersebut tergolong high priority alert. Sistem
monitoring traffic ID – SIRTII sendiri terdiri dari 11 sensor yang meliputi hampir 60% traffic
nasional,
sehingga
data
dan
informasi
yang
dihasilkan
dapat
digunakan
untuk
merepresentasikan profil traffic nasional. Beberapa aplikasi atau sistem telah dikembangkan dan
diterapkan untuk mengatasi serangan yang terjadi. Contohnya teknik pengamanan serangan
dengan firewall untuk mencegah serangan, atau pendeteksian pada saat mulai terjadi serangan
dengan IDS (Intrusion Detection Systems). Sesuai namanya, IDS hanya mendeteksi serangan
yang terjadi dan tindakan selanjutnya harus dilakukan oleh administrator. Karena kelemahan ini,
maka dikembangkan IDS yang proaktif yaitu IPS (Intrusion Prevention System) yang bisa
mencegah serangan yang terdeteksi dengan berbagai cara (Scarfone,2007). Namun, IDS/IPS
memiliki kelemahan terhadap intrusi yang bersifat zero-day (intrusi yang belum pernah
diketahui). Untuk membangun sistem keamanan yang lebih baik maka harus diketahui
informasi tentang vulnerabilities yang ada, serangan yang dilakukan, dan motif penyerang. Atas
3 dasar inilah honeypot diperlukan karena honeypot bisa mengumpulkan informasi tentang
penyerang bahkan yang baru tanpa disadari oleh penyerang itu sendiri. Honeypot juga dapat
membalas serangan yang diterima sehingga penyerang merasa berinteraksi dengan sistem
produksi sebenarnya.
2. Metodologi
Ruang lingkup dari penelitian ini berupa menganalisis data yang diperoleh oleh
honeypot dalam hal ini menggunakan Dionaea dan Glastopf dan membandingkannya. Honeypot
yang digunakan tersebut adalah low interaction honeypot sehingga serangan yang diterima biasa
didapat dari bot.
Data serangan yang akan diperoleh oleh Dionaea dan Glastopf antara lain ip sumber dan
ip tujuan, port dan protokol yang digunakan. Pada Glastopf dapat dilihat juga request yang
dilakukan oleh attacker. Serangan yang diterima akan disimpan di log yang akan ditampilkan
melalui web interface.
2.1 Landasan Teori
Honeypot adalah sebuah sistem atau komputer yang dikorbankan untuk menjadi
target serangan dari hacker. Menurut P. Diebold, A. Hess, dan G. Schafer (2005),
honeypot dapat berguna untuk membuang – buang sumber daya penyerang atau
mengalihkan penyerang dari sesuatu yang lebih berharga.Bagi para administrator
jaringan yang menerapkan Honeypot ini, akan memperoleh informasi - informasi dari
kegiatan cracker, mengetahui metode yang ditempuh cracker dalam menginject suatu
sistem sehingga dapat dilakukan pencegahan terhadap jaringan yang dilindungi
sebenarnya. Biasanya penyerang akan melakukan scanning jaringan untuk mencari
komputer yang vulnerable . Penyerang pasti akan menemukan honeypot karena
4 honeypot sengaja dibuat vulnerable untuk menarik serangan sehingga jika penyerang
melakukan koneksi ke honeypot, maka honeypot akan mendeteksi dan mencatatnya. Menurut Lance Spitzner (2002), honeypot dapat diklasifikasikan menjadi 3 kategori
yaitu Low-Interaction Honeypot, Medium-Interaction Honeypot, dan High-Interaction
Honeypot. Perbedaannya dapat dilihat dari instalasi, konfigurasi, deployement, dan
maintenance.
1. LOW INTERACTION HONEYPOT
Low-interaction honeypot didesain untuk mengemulasikan service (layanan) seperti
pada server yang asli. Penyerang hanya mampu memeriksa dan terkoneksi ke satu atau
beberapa port.
Kelebihan low-interaction honeypot yaitu:
y Mudah diinstall, dikonfigurasi, deployed, dan dimaintain
y Mampu mengemulasi suatu layanan seperti http, ftp, telnet, dan lainnya.
y Berfungsi untuk mendeteksi serangan, khususnya pada proses scanning atau
percobaan pembukaan koneksi pada suatu layanan.
Kekurangan low-interaction honeypot :
y Layanan yang diberikan hanya berupa emulasi, sehingga penyerang tidak dapat
berinteraksi secara penuh dengan layanan yang diberikan atau sistem operasinya
secara langsung
y Informasi yang didapatkan dari penyerang sangat sedikit.
y Apabila serangan dilakukan oleh “real person” bukan “automated tools”
mungkin akan segera menyadari bahwa yang sedang dihadapi merupakan mesin
honeypot, karena keterbatasan layanan yang bisa diakses.
2. MEDIUM INTERACTION HONEYPOT
5 Kelebihannya Medium Interaction Honeypot:
•
Memiliki kemampuan yang lebih banyak untuk berinteraksi dengan penyerang
dibandingkan low-interaction honeypot namun tidak sebanyak high-interaction
honeypot.
•
Emulasi layanan dapat ditambahkan berbagai macam fitur tambahan sehingga
penyerang merasa benar-benar sedang berinteraksi dengan layanan yang
sebenarnya.
Kekurangan Medium Interaction Honeypot :
•
Sistem tersebut cukup kompleks.
•
Memerlukan usaha lebih untuk maintain dan deploy sistem tersebut sehingga
akses yang diberikan kepada penyerang benar-benar terjamin tingkat
keamanannya namun tetap dapat memberikan suasana sistem yang nyata bagi
penyerang sehingga penyerang tersebut tidak sadar bahwa aktivitasnya sedang
dimonitor.
3. HIGH INTERACTION HONEYPOT
Pada high-interaction honeypot, penyerang dapat berinteraksi langsung dengan
sistem dan tidak ada batasan yang membatasi interaksi tersebut, sehingga tingkat risiko
yang dihadapi semakin tinggi karena penyerang dapat memiliki akses root. Pada saat
yang sama, kemungkinan pengumpulan informasi semakin meningkat dikarenakan
kemungkinan serangan yang tinggi.
Kelebihannya :
6 •
Penyerang berinteraksi langsung dengan sistem yang nyata termasuk
diantaranya sistem operasi, network, hingga layanan yang diberikan ( web,
ssh service, dan mail service ).
•
Sistem tersebut biasanya terdiri dari berbagai macam implementasi dari
teknologi keamanan yang banyak digunakan untuk melindungi suatu sistem,
seperti firewall, IDS/IPS, dan router.
•
Target serangan berupa sistem operasi sebenarnya yang siap untuk
berinteraksi secara langsung dengan penyerang.
Kekurangannya :
•
Perencanaan dan implementasi sistem sangat rumit dan dibutuhkan banyak
pertimbangan.
•
High-interaction honeypot membutuhkan pengawasan berkala karena bila telah
diambil alih oleh penyerang maka honeypot tersebut dapat menjadi ancaman
bagi jaringan yang ada.
9 Dionaea
Menurut situs http://Dionaea.carnivore.it/ yang diakses tanggal 27-7-2011,
Dionaea adalah sebuah low interaction honeypot yang diciptakan sebagai pengganti
Nepenthes. Dionaea menggunakan python sebagai bahasa scripting, menggunakan libemu
untuk mendeteksi shellcodes, mendukung ipv6 dan tls. Dionaea bertujuan untuk
mendapatkan copy dari malware.
Penyerang
biasanya
berkomunikasi
dengan
beberapa
service
dengan
mengirimkan beberapa paket terlebih dahulu kemudian mengirimkan payload. Dionaea
memiliki kemampuan untuk mendeteksi dan mengevaluasi payload tersebut untuk dapat
7 memperoleh salinan copy dari malware. Untuk melakukannya, Dionaea menggunakan
libemu.Setelah Dionaea memperoleh lokasi file yang diinginkan penyerang/attacker untuk
didownload dari shellcode, Dionaea akan mencoba untuk mendownload file.Setelah
Dionaea mendapat salinan dari worm attacker, Dionaea akan menyimpan file lokal untuk
analisa lebih lanjut, atau mengirimkan file ke beberapa pihak ke-3 untuk analisis lebih
lanjut.
9 Glastopf
Menurut artikel “Know Your Tools: Glastopf,A dynamic, low-interaction web
application honeypot”, Glastopf adalah low interaction web application honeypot yang
memiliki
kemampuan
untuk
mengemulasikan
ribuan
vulnerabilities
untuk
mengumpulkan data dari serangan yang ditujukan ke aplikasi web. Prinsip dasar dari
kerja Glastopf adalah membalas serangan dengan memberikan jawaban sesuai dengan
tujuan penyerang menyerang aplikasi web. Glastopf menyediakan vulnerability emulator
yang membuat Glastopf dapat membalas semua serangan tanpa harus memodifikasi
template aplikasi web.
Cara kerja Glastopf sama seperti cara kerja web server. Seseorang mengirim
request ke web server, lalu request tersebut diproses, mungkin ada beberapa yang
disimpan di database dan kemudian server membalas request tersebut. Jika requestnya
salah maka akan muncul error page.
8 Gambar 2.1 Cara kerja Glastopf umum
(Gambar diambil dari artikel “Know Your Tools: Glastopf,A dynamic, low-interaction web application honeypot”)
Sampai saat ini, Glastopf hanya dapat menangani HEAD,POST, dan GET request.
Glastopf akan membalas HEAD request dengan generic web server header. Jika
mendapat POST request, maka semua data yang dikirim akan disimpan. Jika mendapat
GET request maka Glastopf akan menentukan tipe serangan sesuai dengan pola yang ada.
Setelah itu, Glastopf akan menghasilkan respon tertentu untuk mensimulasikan serangan
yang berhasil.
2.2 Perancangan Sistem
Berikut adalah gambar topologi jaringan ID-SIRTII:
9 Gambar 2.2 Topologi Jaringan ID-SIRTII
Berdasarkan topologi jaringan di atas, Dionaea dan Glastopf diletakkan di lab honeynet
dengan ip publik yang berbeda sehingga dapat menarik serangan dan menyimpan data yang
telah diterima.
PEMASANGAN HONEYPOT:
¾
Dionaea
Untuk menginstall Dionaea diperlukan beberapa modul sebagai pendukung:
•
Curl
Modul curl digunakan untuk metransfer file dari dan ke server. Modul ini digunakan
untuk mendownload file via http dan metransfer file tersebut ke pihak ketiga.
•
Emu
10 Modul emu digunakan untuk medeteksi, profiling dan jika diperlukan menjalankan
shellcode
•
python
Modul python untuk mengontrol beberapa modul yang digunakan Dionaea.
•
Sqlite
Database tempat penyimpanan data yang diterima oleh Dionaea.
•
Prosody
Server untuk menghubungkan Dionaea dan carniwwwhore.
Dionaea dijalankan dengan perintah:
Gambar 2.3 Perintah Dionaea
Setelah itu akan muncul tampilan:
Gambar 2.4 Tampilan Dionaea
11 Data yang diterima Dionaea akan langsung dikirim ke database yang digunakan
carniwwwhore sehingga akan mudah dilihat. Untuk membangun carniwwwhore dibutuhkan
beberapa persayaratan seperti:
•
Postgresql
Database yang digunakan oleh carniwwwhore untuk menampilkan data dari Dionaea
•
Django
Django adalah sebuah web framework berbasis Python yang dikembangkan untuk
membangun berbagai aplikasi web dengan cepat dan mudah. Django telah dilengkapi
dengan web server built-in yang untuk mengaktifkannya menggunakan perintah
‘runserver’. Web server built-in ini bisa kita gunakan untuk percobaan aplikasi yang kita
buat saat tahap pengembangan.
¾ Glastopf
Untuk menginstal Glastopf hanya tinggal mendowload paket dari server yang
sudah disediakan seperti
svn co svn://82.165.193.71:9090/Glastopf/trunk Glastopf
Glastopf memiliki beberapa plugin yang dapat digunakan:
•
Mysql plugin
Plugin ini membuat Glastopf dapat menyimpan segala data yang telah diterima ke dalam
Mysql database. Data yang tersimpan dala Mysql database dapat terlihat di Glastopf web
interface, GlasIF.
•
PostgreSql plugin
Plugin ini memiliki fungsi yang sama seperti Mysql tetapi data yang dikumpulkan
sekarang belum dapat dilihat di GlasIF. Ini untuk pengembangan lebih lanjut.
•
Rawout plugin
12 Plugin ini berfungsi untuk menyatukan semua header dalam 1 hari menjadi 1 file
•
FileUrl plugin
Plugin ini untuk menyimpan semua URL yang mengarah pada file yang menyerang ke
mysql database.
Pemasangan GlasIF sebagai web interface Glastopf hanya membutuhkan lamp server.
Glastopf dijalankan dengan perintah
-
Python2.5 webserver.py
Tampilan Glastopf :
Gambar 2.5 Tampilan Glastopf
2.3 Pengambilan Data
Berikut adalah skenario pengambilan data:
1. Terdapat dua buah virtual mesin di dua mesin yang berbeda yang masing – masing
memiliki IP publik. Virtual mesin tersebut menggunakan OS linux server.
2. Pada salah satu mesin tersebut diinstal Dionaea dan di mesin lain di install Glastopf
kemudian dijalankan dan menunggu hasil.
13 3. Data yang kita ambil dari kedua honeypot adalah data yang telah diterima selama 7
hari pada tanggal 16 November 2011 – 22 November 2011. sehingga dapat dilakukan
perbandingan antara kinerja Glastopf dan Dionaea.
4. Pada Dionaea, data yang diterima disimpan di dalam database sqlite yang akan dkirim
ke carniwwwhore sehingga tampilan log dapat dilihat dengan mudah.
5. Pada Glastopf, data yang diterima juga akan terlihat di log yang dihasilkan yang
disimpan di dalam database dan ditampilkan di GlasIF sebagai web interface.
6. Semua web interface berada di pharm server.
2.4 Evaluasi
•
Dionaea
Setelah Dionaea dijalankan selama 7 hari pada tanggal 16 November 2011 – 22
November 2011, diperoleh data serangan yang dikelompokan berdasarkan waktu,
negara penyerang, dan port yang diserang.
9 Serangan berdasarkan waktu
Gambar 2.6 Grafik jumlah penyerang terhadap waktu
14 Pada tabel di atas dapat dilihat serangan terhadap waktu selama 7 hari. Dalam 1
hari dibagi menjadi 3 waktu yaitu pagi (pukul 04:00-12:00 WIB), siang (pukul 12:0020:00 WIB), dan malam (pukul 20:00-4:00 WIB).Dari data yang dievaluasi dapat dilihat
serangan paling banyak terjadi pada malam hari lalu siang hari dan yang paling sedikit
pada pagi hari. Hal ini disebabkan karena banyak attacker yang menjalankan
serangannya dengan menggunakan bot berasal dari Negara yang beda waktunya jauh
dengan Indonesia sehingga di negeri penyerang masih siang hari sedangkan di Indonesia
sudah malam hari. Seperti diketahui bahwa pada siang hari aktifitas manusia paling
banyak terjadi.
9 Serangan berdasarkan negara penyerang
Selain jumlah serangan yang diterima oleh Dionaea, kita juga dapat melihat ip
penyerang.Diagram dibawah ini adalah negara yang paling sering melakukan serangan.
Gambar 2.7 Diagram negara yang sering menyerang
15 Dari data negara yang paling banyak melakukan serangan, terdapat negara dengan 5
urutan teratas yaitu Rusia (28%), Brasil (14%), Taiwan (12%), Jepang (8%), dan Jerman
(4%).
Negara seperti Rusia (GMT+3), Jerman (GMT+1), jarak waktunya jauh
dibanding Indonesia sehingga jumlah serangan paling banyak terjadi pada malam hari
(pukul 20:00-04:00 WIB) yaitu 150.629 (Rusia) dan 20.650 (Jerman). Hal ini
dikarenakan pada saat waktu malam hari (sesuai pengelompokan kita) maka di waktu
Rusia dan Jerman berada pada waktu manusia mulai beraktifitas (siang hari) sehingga
kapasitas serangan lebih besar pada waktu ini. Pada Brasil (GMT-3) yang memiliki beda
waktu sangat jauh dari Indonesia menunjukkan serangan paling banyak pada pagi hari
yaitu 65.321 serangan karena pada pukul 4:00 WIB maka di waktu di Brasil adalah
menjelang malam sehingga serangan masih tinggi terjadi. Perbedaan waktu yang sangat
jauh inilah yang membuat serangan dari negara Brasil juga banyak terjadi pada malam
hari yaitu 52.854 serangan. Pada Taiwan (GMT+8) dan Jepang (GMT+9) yang beda
waktunya sedikit dengan Indonesia maka serangan paling banyak terjadi pada siang hari
yaitu 61.613 (Taiwan) dan 33.694 (Jepang). 9 Serangan berdasarkan port yang diserang
Dionaea membuka semua services yang ada sehingga data yang didapat sangat
banyak. Kita juga dapat mengetahui nomor port yang diserang. Berikut adalah diagram
yang menggambarkan port yang sering diserang dalam seminggu:
16 Gambar 2.8 Diagram port yang banyak diserang
Dari gambar di atas dapat dilihat port 445 sering diserang (1.048.300 serangan)
karena port ini digunakan untuk file sharing seperti printer sharing. Hal ini yang
menyebabkan port ini paling rentan untuk dimasukkan worm. World Wide Web (www)
merupakan bagian dari Internet yang paling populer, sehingga serangan kedua paling
banyak pada port 80 yaitu 7915 serangan. Serangan ketiga paling banyak pada port 1433
yang digunakan oleh MSSQL. Port lainnya adalah port 5060 dan 5061 yang sering
digunakan untuk layanan voice dan media melalui internet, lalu port 3306 yang
digunakan oleh mysql, port 21 untuk transfer data dan port lainnya.
y Glastopf
Pada Glastopf dapat dilihat host penyerang dan request yang dilakukan. Berikut
adalah tabel data serangan yang diterima oleh Glastopf setelah dijalankan selama 7 hari
pada tanggal 16 November 2011 – 22 November 2011:
17 Attacker
Destination
Time
Request
Negara
xxx.43.187.5
203.xxx.119.40
16/11/2011
/phpmyadmin/
Indonesia
109.xxx.213.134
proxyjudge2.xxx.net 17/11/2011
http://proxyjudge2.xxx.net/fastenv
Jerman
61.250.80.xxx
203.xxx.119.40
/user/soapCaller.bs
Republic
17/11/2011
of Korea
xxx.14.129.100
www.weibo.com
17/11/2011
http://www.weibo.com/
China
188.xxx.163.130
203.xxx.119.40
18/11/2011
/appConf.htm
Turkey
180.244.xxx.74
203.xxx.119.40
18/11/2011
/phpmyadmin/
Indonesia
194.63.xxx.79
203.34.119.40
18/11/2011
/w00tw00t.at.blackhats.romanian.anti- Rusia
sec:)
194.63.xxx.79
203.xxx.119.40
18/11/2011
/phpMyAdmin/scrixxx/setup.php
Rusia
173.xxx.101.59
203.xxx.119.40
19/11/2011
/appConf.htm
United
States
xxx.132.116.23
www.google.com
21/11/2011
http://www.google.com/
Ukraine
203.xxx.229.187
203.xxx.119.40
22/11/2011
/w00tw00t.at.blackhats.romanian.anti- Hongkong
sec:)
203.xxx.229.187
203.xxx.119.40
22/11/2011
/phpMyAdmin/scrixxx/setup.php
Hongkong
128.xxx.29.199
203.xxx.119.40
22/11/2011
/phpMyAdmin/scrixxx/setup.php
Australia
128.xxx.29.199
203.xxx.119.40
22/11/2011
/pma/scrixxx/setup.php
Australia
128.xxx.29.199
203.xxx.119.40
22/11/2011
/w00tw00t.at.blackhats.romanian.anti- Australia
sec:)
128.xxx.29.199
203.xxx.119.40
22/11/2011
/myadmin/scrixxx/setup.php
Tabel 2.1 Tabel Serangan Glastopf
Australia
18 Pada Glastopf, yang hanya membuka port 80 dapat dilihat asal ip yang menyerang dan request
yang dilakukan. Glastopf dapat menarik serangan dengan menambahkan path atau file yang
vulnerable yang sering dicari oleh penyerang di database Glastopf. Path atau file tersebut dapat
kita lihat pada http://www.exploit-db.com/ dan menambahkan pada tabel path dalam database
sehingga saat penyerang mencari file tersebut maka mereka akan menemukan dan menyerang
Glastopf kita. Kita dapat mengidentifikasi data yang diterima Glastopf sebagai serangan jika
penyerang menyisipkan file tertentu, meminta dan mengakses file yang tidak diperbolehkan untuk
publik, dan me-request path yang kita tambahkan di database. Dari data di atas, dapat dilihat
request yang dilakukan biasa mencari vulnerabilities di phpmyadmin dan webserver seperti
/phpMyAdmin/scripts/setup.php
dari
Hongkong,
Rusia,
dan
Australia
dan
request
/w00tw00t.at.blackhats.romanian.anti-sec:) yang biasa dilakukan oleh Rusia dan Hongkong.
Serangan lainnya adalah request /user/soapCaller.bs dari Korea. Request ini dilakukan oleh tools
yaitu Morfeus Scanner yaitu scanner yang mencari bug yang terdapat dalam php atau web aplikasi
lainnya.
3. Kesimpulan
y
Dionaea lebih sensitif dibanding Glastopf terutama di port 80 dengan serangan yang
ditangkap Dionaea sebanyak 7915 dan serangan yang ditangkap Glastopf sebanyak 16.
y
Berdasarkan waktu dalam satu hari, ancaman serangan paling banyak terjadi pada malam
hari (pukul 20:00-4:00 WIB) lalu siang hari (pukul 12:00-20:00 WIB), dan yang paling
sedikit pada pagi hari (pukul 04:00-12:00 WIB).
19 y
Menurut hasil penelitian, lima negara terbanyak yang melakukan serangan
adalah Rusia (28%), Brasil (14%), Taiwan (12%), Jepang (8%), dan Jerman
(4%).
y
Dari hasil penelitian didapat bahwa port 445 (SMB) adalah port yang paling
rawan untuk disusupi malware selain port 80.
y
Serangan yang telah diterima honeypot dari hasil penelitian dapat dicegah
dengan cara seperti menutup port yang sering diserang, memblok ip yang
mencurigakan, atau menggunakan software lain untuk keamanan.
20 DAFTAR PUSTAKA
•
Diebold, P., A. Hess, and G. Schafer.2005.A honeypot architecture
for detecting and analyzing unknown network attacks.14th Kommunikation in
Verteilten Systemen.
•
ID-SIRTII.n.d.Profil ID-SIRTII. Diakses tanggal 20-11-2011.
http://idsirtii.or.id/profil-id-sirtii/
•
Markus.2011. carniwwwhore. Diakses tanggal 25-09-2011.
http://carnivore.it/2010/11/27/carniwwwhore
•
Markus.n.d.Dionaea-Catches Bugs. Diakses tanggal 27-7-2011.
http://Dionaea.carnivore.it/ •
Mattord, Verma.2008. Principles of Information Security. Course Technology.
pp. 290–301.
•
Mulyatna, Edi S. 2005. Pengenalan Protokol Jaringan Wireless Komputer.
Yogyakarta: Andi. •
Pataka.2011. Trend Keamanan Internet 2011. Diakses tanggal 24-12-2011. http://www.pataka.net/2011/01/08/trend-keamanan-internet-2011/
•
Pfleeger, Charles P. and Shari Lawrence Pfleeger.2011. Analyzing Computer
Security: A Threat / Vulnerability / Countermeasure Approach. New Jersey
:Prentice Hall.
•
Rist,Lukas.2010. Know Your Tools: Glastopf,A dynamic, low-interaction web
application honeypot.
21 •
Scarfone, Karen and Peter Mell.2007. Guide to Intrusion Detection and Prevention
Systems (IDPS).Computer Security Resource Center (National Institute of Standards and
Technology).
•
Shah, Shreeraj.2004.Defending Web Services using Mod Security(Apache). NetSquare.
•
Spitzner, Lance.2002.Honeypots: tracking hackers. New York: Addison-Wesley
Professional.
•
Stiawan, Deris.2005.Sistem Keamanan Komputer.Jakarta:PT Elex Media Komputindo.
•
Syafrizal, Melwin.2005.Pengantar Jaringan Komputer.Yogyakarta:Andi.
1 Implementation and Evaluation
Honeypot
Dionaea and Glastopf
in ID-SIRTII
Andreas Sunardi
Binus University,Computer Engineering,
[email protected]
Andre Chandra
Binus University,Computer Engineering,
[email protected]
dan
Christian Darmawan
Binus University,Computer Engineering,
[email protected]
Abstract
Research by means of classifying and analyzing the results obtained from the honeypot
attacks, the Dionaea and Glastopf aims to determine the advantages and disadvantages of a
honeypot with one another. The used method is a literature method by studying the theories
and concepts related to the reference source honeypot of public and direct experimental
method to test the honeypot that has been built using the recommended tools. The results of
the week, data showed that Dionaea most attacks occur at night (20:00 to 4:00 pm GMT)
which is 443 709 attacks (41.94% of total attacks) and a maximum total of 1.0483 million
attacking port 445 attacks (99% of the total attacks) and port 80 as many as 7915 attacks.
While the results of Glastopf serving only port 80 is only getting 16 attacks. After classifying
and analyzing received data by the honeypot attacks, can be seen that Dionaea offer more
services and more sensitive in capturing attacks (malware), especially on port 80 as compared
to attacks received by Glastopf.
Keywords: Honeypot, Dionaea, Glastopf, assault
2 1. Preliminary Words
Nowadays Internet technology has increased quite rapidly, in quantity and quality.
Internet is apublic computer networks, but not contains all publicly accessible information.
Surely there is any information that is personal / private. But there are those who want to access
your personal / private person with a specific intent to attempt to penetrate security systems
such as the spread of malware. In the article entitled "Trend Internet Security 2011", according
to statistics from the ID-SIRTI, the average number of incidents per day in 2010 reached 1.1
million incidents and this activity will likely increase. Especially in certain geopolitical situation
like elections. 50% of the incident was classified as high priority alerts. Traffic monitoring
system ID - SIRTII itself consists of 11 sensors that cover almost 60% of national traffic, so the
generated data and information can be used to represent the national traffic profile. Some
application or system has been developed and implemented to overcome the attack happened.
Examples of security techniques are a firewall that prevent attacks, or detection at the start of
the attack with IDS (Intrusion Detection Systems). As the name implies, IDS only detect attacks
that occurred and the subsequent action must be performed by the administrator. Because of
these weaknesses, then a proactive IDS is developed and it is called IPS (Intrusion Prevention
System) that can prevent a detected attack by a variety of ways (Scarfone, 2007). However, IDS
/ IPS has a weakness against intrusions which are zero-day (intrusion that has never been
known). To build a better security system then needs to know information about the existing
vulnerabilities, attacks carried out, and the motivation of the attacker. Therefore honeypot is
necessary because honeypot can collect information about a new attacker even unnoticed by the
3 attacker itself. Honeypot can also reply the received attacks so the attacker feels interacts with
the actual production system.
2. Methodology
The scope of this study is the form of analyzing the data which is obtained by the
honeypot in this case using the Dionaea and Glastopf and compare them. Honeypot that is used
is a low interaction honeypot which received regular attacks come from the bot. The obtained
attacks data by Dionaea and Glastopf are the source ip and destination ip, port and protocol
that are used. Glastopf can also see the request which made by the attacker.The received attacks
will be stored in the log that is displayed through a web interface
2.1 Theory
A honeypot is a computer system which is sacrificed to become a target of hacker
attacks. According to P. Diebold, A. Hess, and G. Schafer (2005), a honeypot can be
useful to wastes the resources of the attackers or divert attackers from something that
more valueable.For the administrators who implement this honeypot, will obtain the
informations from the activities of a cracker, the method how to inject the system to
allow for the prevention of actual protected network which are pursued by cracker.
Usually the attacker will scan the network to find computers that are vulnerable. The
attacker would find honeypot because honeypot was made vulnerable to attract the
attack so the attacker does connects to honeypot,and then honeypot will detect and
record it. According to Lance Spitzner (2002), a honeypot can be classified into three
categories: Low-Interaction honeypot, Medium-Interaction honeypot, and HighInteraction honeypot. The difference can be seen from the installation, configuration,
deployement, and maintenance.
4 1. LOW INTERACTION HONEYPOT
Low-interaction honeypot designed to emulate the service (service) as the original
server. The attacker is only able to examine and connected to one or more ports.
The advantages of this low interaction honeypot are:
y easy to be installed,configured,deployed,maintained
y can emulate a service like http,ftp,telnet and the others.
y Serves to detect attacks, especially on the process of scanning or opening of the
trial to a service connection.
The disadvantages of this low interaction honeypot are:
y The services provided only in the form of emulation, so the attacker can not
interact fully with the services provided or the operating system directly
y The information that obtained from the attacker is very little.
y If the attack carried out by a "real person" instead of "automated tools" will
probably soon realize that they were facing a honeypot machine, due to limited
service can be accessed.
2. MEDIUM INTERACTION HONEYPOT
The advantages of this medium interaction honeypot are:
•
Have the ability to interact more with the attacker than the low-interaction
honeypot, but not as much as high-interaction honeypot.
•
Emulation service which has various extra features so that the attacker feels was
actually interacting with the actual service.
The disadvantages of this medium interaction honeypot are:
•
The system is quite complex.
5 •
Requires more effort to maintain and deploy these systems so that access which
is given to the attacker is really guaranteed in its level of security while still
providing the atmosphere of a real system for the attacker that the attacker is not
aware that his activities are being monitored.
3. HIGH INTERACTION HONEYPOT
In the high-interaction honeypot, the attacker can interact directly with the system
and there is no restriction that limits the interaction, so that the level of risk faced by is
higher because the attacker may have root access. At the same time, the possibility of
increasing the collection of information is high due to possible attacks.
The advantages :
•
The attacker interacts directly with the real system including the operating
system, network,even the services provided (web, ssh service, and mail
service).
•
The system usually consists of various implementations of security
technology that is widely used to protect a system, such as firewalls, IDS /
IPS, and the router.
•
The target of the attack is actually the operating system which is ready to
interact directly with the attacker
The disadvantages :
•
Planning and implementation of the system is very complicated and it takes a lot
of consideration.
6 •
High-interaction honeypot requires regular monitoring because when it was
taken over by an attacker then the honeypot can be a threat to the existing
network.
9 Dionaea
According to the site that is accessed on 27-7-2011 http://Dionaea.carnivore.it/,
Dionaea is a low interaction honeypot which is created as a replacement for Nepenthes.
Dionaea using python as a scripting language, use libemu to detect shellcodes , support
ipv6 and tls. Dionaea aims to get a copy of the malware. Attackers typically
communicate with some service by sending a few packets in advance and then send the
payload. Dionaea has the ability to detect and evaluate the payload which is to be able to
obtain a copy of the malware. To do this,Dionaea use libemu.After Dionaea obtains the
desired file location of the attacker to be downloaded from the shellcode,Dionaea will
try to download the file.After attacker gets a copy of the worm, Dionaea will store a
local file for further analysis, or send a file to a third party for further analysis.
9 Glastopf
According to the article "Know Your Tools: Glastopf, A dynamic, lowinteraction honeypot web application", Glastopf is a low interaction honeypot web
application that has the ability to emulate thousands of vulnerabilities to collect data from
an attack directed to the web application. The basic principle of Glastopf working is by
giving an answer in accordance with the purpose of the attacker to attack a web
application. Glastopf emulator provides a vulnerability that makes Glastopf can reply to
any
attack
without
having
to
modify
the
template
web
application.
How Glastopf works just like the workings of web server. Someone send a request to a
web server, then the request is processed, there may be some that are stored on the
7 database server and then reply to the request. If the request is wrong it will display the
error page.
Picture 2.1 The common works of Glastopf
(The picture was taken from the article "Know Your Tools: Glastopf, A dynamic, low‐interaction honeypot web application")
Until now, Glastopf can only handle HEAD, POST, and GET request. Glastopf HEAD
request will reply with a generic web server header. If you get a POST request, then all
data sent will be stored. If it gets the GET request will determine the type of Glastopf
attack accordance with the existing pattern. After that, Glastopf will generate a specific
response to simulate a successful attack.
2.2 System Design
This is a picture of ID-SIRTII network topology:
8 Picture 2.2 ID-SIRTII Network Topology
Based on the network topology above, Dionaea and Glastopf placed in the honeynet lab
with a different public ip so that they can attract attacks and store the data that has been
received.
Honeypot Installation:
¾
Dionaea
Dionaea needs several moduls to do the installation:
•
Curl
Curl module is used to transfer files to and from the server. This module is used to
download files via http and transfer the file to a third party.
9 •
Emu
Emu module is used for detecting, profiling, and if necessary run a shellcode
•
Python
Python module to control some of the modules used Dionaea.
•
Sqlite
Database storage of data received by Dionaea.
•
Prosody
Server to connect Dionaea and carniwwwhore.
Dionaea is executed with the command:
Picture 2.3 Dionaea Command
After that wil appear:
Picture 2.4 Dionaea View
The data that has been received by Dionaea will be sent directly to the database that used
carniwwwhore so it will be easily seen. Carniwwwhore needed such a requirement to be built:
10 •
Postgresql
Database used by carniwwwhore to display data from Dionaea
•
Django
Django is a Python-based web framework that was developed to build web applications
quickly and easily. Django comes with a built-in web server is to activate it using the
command 'runserver'. Built-in Web server can use to test applications that we make at
the development stage.
¾ Glastopf
To install Glastopf just download the package of servers that have been provided as
svn co svn://82.165.193.71:9090/Glastopf/trunk Glastopf
Glastopf has several plugins that can be used:
•
Mysql plugin
This plugin makes Glastopf can store any data that has been accepted into a Mysql
database. Data stored in Mysql database can be seen on the web interface Glastopf,
GlasIF.
•
PostgreSql plugin
This plugin has the same function as Mysql but not yet collected data can be viewed at
GlasIF. This is for further development
•
Rawout plugin
This plugin serves to unite all the header in 1 day to 1 file
•
FileUrl plugin
This plugin is to keep all URLs that point to the file that attacked the mysql database.
Installation of a web interface GlasIF Glastopf requires only lamp server.Glastopf run with the
command:
11 -
Python2.5 webserver.py
Glastopf view :
Picture 2.5 Glastopf View
2.3 Data Retrieval
This is the scenario of data retrieval:
1. There are two virtual machines on two different machines that each - each have a
public IP. The virtual machine using OS linux server.
2. On one of these machines installed in Dionaea and other machines are installed
Glastopf then run and wait for the results.
3. The data that we draw from both honeypot is the data that has been received for 7 days
on 16 November 2011-22 November 2011. to allow for comparison between the
performance Glastopf and Dionaea.
4. For Dionaea, the received data is stored in a sqlite database that will be sent to
carniwwwhore so log display can be seen easily.
12 5. For Glastopf, the received data will also be visible in the resulting log is stored in the
database and displayed in GlasIF as a web interface.
6. All the web interface are in the Pharm server.
2.4 Evaluation
•
Dionaea
After Dionaea run for 7 days on 16 November 2011-22 November 2011,
obtained the data that can be sorted by time of the attack, the attacker, and the port is
under attack.
9 The attacks based on time
Picture 2.6 Graphic of the number of attackers based on time
In the graphic above, it can be seen an attack on a period of 7 days. In 1 day
divided into 3 time in examples morning (4:00 to 12:00 o'clock am), afternoon (12:00 to
20:00 o'clock am) and evening (20:00 to 4:00 pm GMT). From the data that being
evaluated can be seen that the most attacks occur at night and during the day and the
least in the morning. This is because many attackers are run using a bot attacks
13 originating from a different country with Indonesia so the attacker is still have much
daytime while in Indonesia it is nighttime. As it is known that during the daytime human
activity is most prevalent.
9 The attacks based on country
In addition to the number of attacks received by Dionaea, we also can see the
attacker ip. Pie Diagram below show the most frequent attacks:
Picture 2.7 The Diagram of Attacker Countries
From the data shows the largest attacks, there are the top 5 countries with the
Russians (28%), Brazil (14%), Taiwan (12%), Japan (8%) and Germany (4%). Countries
such as Russia (GMT +3), Germany (GMT +1), have a long distance away and different
time from Indonesia, so the number of attacks occur most commonly at night (at 20:00
to 04:00 GMT) is 150.629 (Russia) and 20.650 (Germany ). This is because at night time
(according to our classification) then at the time Russia and Germany are at the time
14 humans started activities (daytime) so that the capacity of the larger attack at this time.
On Brazil (GMT-3) which has a very different time away from Indonesia show most
attacks on the morning of the 65.321 attacks since then at 4:00 pm in the evening in
Brazil is still high so that the attack occurred. The time difference is very much is what
makes the attack from many Brazilian states also occur at night is 52.854 attacks. On
Taiwan (GMT +8) and Japan (GMT +9) are slightly different from his time with
Indonesia the most attacks occur during the day that is 61.613 (Taiwan) and 33.694
(Japan).
9 The attacks based on attacked ports
Dionaea opens all the existing services so that the data obtained so much. We also
can find port number that was attacked. Here is a diagram that describes the ports that
are attacked in a week:
Picture 2.8 Port Diagram of Attacked Ports
15 From the picture above can be seen that port 445 often attacked (1.0483 million
attacks) because this port is used for file sharing such as printer sharing. This causes the
port is most vulnerable to the worm entered. World Wide Web (www) is part of the
Internet's most popular, so most of the second attack on port 80 which is 7915 attacks.
The third attack on port 1433 the most widely used by MSSQL. Other ports are ports
5060 and 5061 are often used for voice and media services through the internet, then
port 3306 is used by mysql, port 21 for data transfer and other ports.
y Glastopf
At Glastopf can be seen on the attacker host and request a booking. Here is a
table of data received by Glastopf attack after running for 7 days on 16 November 201122 November 2011:
Attacker
Destination
Time
Request
Negara
xxx.43.187.5
203.xxx.119.40
16/11/2011
/phpmyadmin/
Indonesia
109.xxx.213.134
proxyjudge2.xxx.net
17/11/2011
http://proxyjudge2.xxx.net/fastenv
Jerman
61.250.80.xxx
203.xxx.119.40
17/11/2011
/user/soapCaller.bs
Republic
of Korea
xxx.14.129.100
www.weibo.com
17/11/2011
http://www.weibo.com/
China
188.xxx.163.130
203.xxx.119.40
18/11/2011
/appConf.htm
Turkey
180.244.xxx.74
203.xxx.119.40
18/11/2011
/phpmyadmin/
Indonesia
194.63.xxx.79
203.xxx.119.40
18/11/2011
/w00tw00t.at.blackhats.romanian.anti-
Rusia
sec:)
194.63.xxx.79
203.xxx.119.40
18/11/2011
/phpMyAdmin/scrixxx/setup.php
Rusia
16 173.xxx.101.59
203.xxx.119.40
19/11/2011
/appConf.htm
United
States
xxx.132.116.23
www.google.com
21/11/2011
http://www.google.com/
Ukraine
203.xxx.229.187
203.xxx.119.40
22/11/2011
/w00tw00t.at.blackhats.romanian.anti-
Hongkong
sec:)
203.xxx.229.187
203.xxx.119.40
22/11/2011
/phpMyAdmin/scrixxx/setup.php
Hongkong
128.xxx.29.199
203.xxx.119.40
22/11/2011
/phpMyAdmin/scrixxx/setup.php
Australia
128.xxx.29.199
203.xxx.119.40
22/11/2011
/pma/scrixxx/setup.php
Australia
128.xxx.29.199
203.xxx.119.40
22/11/2011
/w00tw00t.at.blackhats.romanian.anti-
Australia
sec:)
128.xxx.29.199
203.xxx.119.40
22/11/2011
/myadmin/scrixxx/setup.php
Australia
Table 2.1 Table of Glastopf Attacked
At Glastopf, which only open port 80 can be seen from the attacking ip and request was made.
Glastopf may attract attacks by adding a path or a file that are vulnerable and are often sought by
the attacker in the database Glastopf. Path or the file can take a look at http://www.exploit-db.com/
and add the path in a database table so that when an attacker find the file then they will find and
attack our Glastopf. We can identify the Glastopf received data as an attack if the attacker inserts a
specific file, requesting and accessing files that are not allowed to the public, and to request that
the path we add in the database. From the data above, the request can be made to find common
vulnerabilities in phpmyadmin and webserver like / phpMyAdmin / scripts / setup.php from Hong
Kong, Russia, and Australia and request / sec :) w00tw00t.at.blackhats.romanian.anti-a usually
carried out by Russia and Hong Kong. Other attacks are request / user / soapCaller.bs of Korea.
17 This request is done by tools that Morfeus Scanner is a scanner that seek bug found in PHP or
other web applications.
3. Conclusion
y
Dionaea is more sensitive than Glastopf especially on port 80 attacks who was captured by
Dionaea and attack as much as 7915 Glastopf captured as many as 16.
y
Based on the time of the day, the threat of attacks occur most commonly at night (at 20:00
to 4:00 pm) and afternoon (12:00 to 20:00 pm GMT), and the least in the morning (at 04:00
to 12:00 GMT).
y
According to the research, the five states that an attack is most Russians (28%), Brazil
(14%), Taiwan (12%), Japan (8%) and Germany (4%).
y
From the results obtained that the port 445 (SMB) is a port of the most vulnerable to
malware infiltrated other than port 80.
y
Honeypot attacks that have been received from the research results can be prevented by
means such as closing the port that is often under attack, block suspicious IP, or use other
software for security.
18 References
•
Diebold, P., A. Hess, and G. Schafer.2005.A honeypot architecture
for detecting and analyzing unknown network attacks.14th Kommunikation in
Verteilten Systemen.
•
ID-SIRTII.n.d.Profil ID-SIRTII. Diakses tanggal 20-11-2011.
http://idsirtii.or.id/profil-id-sirtii/
•
Markus.2011. carniwwwhore. Diakses tanggal 25-09-2011.
http://carnivore.it/2010/11/27/carniwwwhore
•
Markus.n.d.Dionaea-Catches Bugs. Diakses tanggal 27-7-2011.
http://Dionaea.carnivore.it/ •
Mattord, Verma.2008. Principles of Information Security. Course Technology.
pp. 290–301.
•
Mulyatna, Edi S. 2005. Pengenalan Protokol Jaringan Wireless Komputer.
Yogyakarta: Andi. •
Pataka.2011. Trend Keamanan Internet 2011. Diakses tanggal 24-12-2011. http://www.pataka.net/2011/01/08/trend-keamanan-internet-2011/
•
Pfleeger, Charles P. and Shari Lawrence Pfleeger.2011. Analyzing Computer
Security: A Threat / Vulnerability / Countermeasure Approach. New Jersey
:Prentice Hall.
•
Rist,Lukas.2010. Know Your Tools: Glastopf,A dynamic, low-interaction web
application honeypot.
19 •
Scarfone, Karen and Peter Mell.2007. Guide to Intrusion Detection and Prevention
Systems (IDPS).Computer Security Resource Center (National Institute of Standards and
Technology).
•
Shah, Shreeraj.2004.Defending Web Services using Mod Security(Apache). NetSquare.
•
Spitzner, Lance.2002.Honeypots: tracking hackers. New York: Addison-Wesley
Professional.
•
Stiawan, Deris.2005.Sistem Keamanan Komputer.Jakarta:PT Elex Media Komputindo.
•
Syafrizal, Melwin.2005.Pengantar Jaringan Komputer.Yogyakarta:Andi.