Sniffers: Dasar-Dasar dan Deteksi
"Jika Anda tahu musuh dan mengenal diri sendiri, Anda tidak perlu takut hasil dari seratus
pertempuran. Jika Anda mengenal diri sendiri tapi bukan musuh, untuk setiap kemenangan yang diperoleh Anda juga akan
menderita kekalahan. Jika kamu tidak tahu akan musuh maupun diri sendiri, Anda akan menyerah dalam
setiap pertempuran. "
Pendahuluan
Sebuah program sniffer atau perangkat yang eavesdrops pada lalu lintas jaringan dengan meraih informasi yang bergerak melalui jaringan. Sniffers pada dasarnya adalah "Data Interception" teknologi. Mereka bekerja karena Ethernet dibangun sekitar prinsip berbagi. Kebanyakan jaringan menggunakan teknologi siaran di mana pesan untuk satu komputer dapat dibaca oleh komputer lain pada jaringan. Dalam prakteknya, semua komputer lain kecuali satu pesan yang dimaksud, akan mengabaikan pesan itu. Namun, komputer dapat dibuat untuk menerima pesan, bahkan jika mereka tidak dimaksudkan untuk mereka. Hal ini dilakukan dengan cara yang Sniffer! Banyak orang menganggap komputer yang terhubung ke sebuah saklar aman dari sniffing. Tidak ada yang bisa lebih jauh dari kebenaran. Komputer yang terhubung ke switch itu sama rentan terhadap sniffing seperti yang terhubung ke sebuah hub. Artikel ini berusaha untuk mengeksplorasi topik sniffers, bagaimana mereka bekerja, mendeteksi dan melindungi aset Anda terhadap penggunaan sembarangan program ini. Akhirnya, menjelang akhir kita akan membicarakan beberapa umum tersedia sniffers.
Bagaimana Seorang Sniffer Bekerja
Sebuah komputer yang terhubung ke LAN memiliki dua alamat. Salah satunya adalah MAC (Media Access Control) alamat yang secara unik mengidentifikasi setiap node dalam sebuah jaringan dan disimpan pada kartu jaringan itu sendiri. Ini adalah alamat MAC yang akan digunakan oleh protokol Ethernet sambil membangun "frame" untuk mentransfer data ke dan dari sebuah mesin. Yang lain adalah alamat IP, yang digunakan oleh aplikasi. Data Link Layer header menggunakan Ethernet dengan alamat MAC komputer tujuan daripada IP Address. Jaringan Layer bertanggung jawab untuk pemetaan alamat IP ke alamat MAC yang diperlukan oleh Data Link Protocol. Ini awalnya mendongak alamat MAC komputer tujuan dalam sebuah tabel, biasanya disebut ARP (Address Resolution Protocol) cache. Jika tidak ada entri yang ditemukan untuk alamat IP, Address Resolution Protocol menyiarkan paket permintaan (permintaan ARP) untuk semua komputer di jaringan. Mesin dengan alamat yang menanggapi mesin sumber dengan alamat MAC. Alamat MAC ini kemudian akan ditambahkan ke mesin sumber ARP Cache. Mesin sumber semua komunikasi dengan komputer tujuan ini kemudian menggunakan alamat MAC.
Ada dua jenis dasar lingkungan Ethernet dan bagaimana sniffers bekerja di kedua kasus ini sedikit different.Shared Ethernet: Dalam sebuah lingkungan Ethernet bersama, semua host yang terhubung ke bus yang sama dan bersaing dengan satu sama lain untuk bandwidth. Dalam lingkungan seperti itu dimaksudkan untuk satu paket mesin diterima oleh semua mesin yang lain. Jadi ketika mesin Venus
Terkenal packet sniffers
• AiroPeek
• dSniff
• Ethereal
• EtherPeek
• ettercap
• Kismet
• Javvin Packet Aalyzer
• NetStumbler
• Network General Sniffer
• Network Instruments Observer
• OmniPeek
• PRTG
• snoop (Solaris)
• tcpdump
• Wireshark (sebelumnya dikenal sebagai Ethereal [1])
• WPE (Winsock paket editor)
Serangan spoofing
Dalam konteks keamanan jaringan, sebuah serangan spoofing adalah suatu situasi di mana satu orang atau program yang berhasil menyamar sebagai lain dengan memalsukan data dan dengan demikian memperoleh keuntungan yang tidak sah.
Man-in-the-tengah serangan dan spoofing protokol internet
Sebuah contoh dari kriptografi adalah manusia-in-the-tengah serangan, di mana seorang penyerang parodi Alice ke Bob percaya dia, dan parodi Bob ke Alice percaya dia, sehingga memperoleh akses ke semua pesan dalam dua arah tanpa kesulitan apapun upaya cryptanalytic .
Penyerang harus memantau paket-paket yang dikirim dari Alice ke Bob dan kemudian menebak nomor urut paket. Kemudian penyerang mengetuk keluar Alice dengan serangan SYN dan menyuntikkan paket sendiri, yang mengklaim memiliki alamat Alice. Alice's firewall dapat membela terhadap beberapa serangan spoof bila telah dikonfigurasi dengan pengetahuan tentang semua alamat IP terhubung ke masing-masing interface. Kemudian dapat mendeteksi paket palsu jika tiba di sebuah antarmuka yang tidak diketahui terhubung ke alamat IP.
Banyak protokol yang dirancang sembarangan tunduk pada serangan spoof, termasuk banyak dari yang digunakan di Internet. Lihat protokol Internet spoofing.
URL spoofing dan phishing
Spoofing jenis lain adalah "spoofing halaman web," juga dikenal sebagai phising. Dalam serangan ini, halaman web yang sah seperti situs bank direproduksi dalam "tampilan dan nuansa" pada server lainnya di bawah kontrol dari penyerang. Tujuannya adalah untuk mengelabui pengguna menganggap bahwa mereka terhubung ke situs terpercaya, misalnya untuk memanen nama pengguna dan serangan passwords.This sering dilakukan dengan bantuan URL spoofing, yang mengeksploitasi browser web bug untuk menampilkan URL yang salah di lokasi browser bar; atau dengan keracunan cache DNS untuk mengarahkan pengguna dari situs yang sah dan yang palsu. Setelah pengguna sela password mereka, serangan-laporan kode kesalahan password, kemudian mengarahkan ulang pengguna ke situs yang sah.
Referer spoofing
Beberapa situs web, terutama pornografi paysites, memungkinkan akses ke materi mereka hanya dari disetujui tertentu (login) halaman. Ini diberlakukan dengan memeriksa Referer header permintaan HTTP. Namun header referer ini dapat diubah (dikenal sebagai "Referer spoofing" atau "Ref-tar spoofing"), yang memungkinkan pengguna untuk mendapatkan akses tanpa izin ke bahan.
Keracunan dari jaringan file sharing
"Spoofing" juga dapat merujuk kepada pemegang hak cipta menempatkan terdistorsi atau versi unlistenable bekerja pada jaringan file sharing, untuk mencegah download dari sumber-sumber ini.
Caller ID spoofing
Dalam jaringan telepon umum, hal ini untuk waktu yang lama mungkin untuk mencari tahu siapa yang menelepon Anda dengan melihat ID Caller informasi yang dikirim dengan panggilan tersebut. Ada teknologi yang mengirimkan informasi ini pada sambungan telepon rumah, pada ponsel dan juga dengan VoIP. Sayangnya, sekarang ada teknologi (khususnya yang berhubungan dengan VoIP) yang memungkinkan penelepon untuk berbohong tentang identitas mereka, dan sekarang nama dan nomor palsu, yang tentu saja dapat digunakan sebagai alat untuk menipu atau merugikan. Karena ada jasa dan gateway yang interkoneksi VoIP dengan jaringan telepon publik lainnya, Caller ID palsu ini dapat ditularkan pada setiap pesawat telepon di planet ini, yang membuat seluruh informasi ID Caller sekarang di samping berguna. Karena sifat geografis didistribusikan Internet, VoIP panggilan dapat dihasilkan di negara lain ke penerima, yang berarti bahwa sangat sulit memiliki kerangka hukum untuk mengendalikan orang-orang yang akan menggunakan Caller ID palsu sebagai bagian dari sebuah penipuan.
Man-in-the-tengah serangan dan spoofing protokol internet
Sebuah contoh dari kriptografi adalah manusia-in-the-tengah serangan, di mana seorang penyerang parodi Alice ke Bob percaya dia, dan parodi Bob ke Alice percaya dia, sehingga memperoleh akses ke semua pesan dalam dua arah tanpa kesulitan apapun upaya cryptanalytic .
Penyerang harus memantau paket-paket yang dikirim dari Alice ke Bob dan kemudian menebak nomor urut paket. Kemudian penyerang mengetuk keluar Alice dengan serangan SYN dan menyuntikkan paket sendiri, yang mengklaim memiliki alamat Alice. Alice's firewall dapat membela terhadap beberapa serangan spoof bila telah dikonfigurasi dengan pengetahuan tentang semua alamat IP terhubung ke masing-masing interface. Kemudian dapat mendeteksi paket palsu jika tiba di sebuah antarmuka yang tidak diketahui terhubung ke alamat IP.
Banyak protokol yang dirancang sembarangan tunduk pada serangan spoof, termasuk banyak dari yang digunakan di Internet. Lihat protokol Internet spoofing.
URL spoofing dan phishing
Spoofing jenis lain adalah "spoofing halaman web," juga dikenal sebagai phising. Dalam serangan ini, halaman web yang sah seperti situs bank direproduksi dalam "tampilan dan nuansa" pada server lainnya di bawah kontrol dari penyerang. Tujuannya adalah untuk mengelabui pengguna menganggap bahwa mereka terhubung ke situs terpercaya, misalnya untuk memanen nama pengguna dan sandi.
Serangan ini sering dilakukan dengan bantuan URL spoofing, yang mengeksploitasi browser web bug untuk menampilkan URL yang salah di lokasi browser bar; atau dengan keracunan cache DNS untuk mengarahkan pengguna dari situs yang sah dan yang palsu . Setelah pengguna sela password mereka, serangan-laporan kode kesalahan password, kemudian mengarahkan ulang pengguna ke situs yang sah.
Referer spoofing
Beberapa situs web, terutama pornografi paysites, memungkinkan akses ke materi mereka hanya dari disetujui tertentu (login) halaman. Ini diberlakukan dengan memeriksa Referer header permintaan HTTP. Namun header referer ini dapat diubah (dikenal sebagai "Referer spoofing" atau "Ref-tar spoofing"), yang memungkinkan pengguna untuk mendapatkan akses tanpa izin ke bahan.
Keracunan dari jaringan file sharing
"Spoofing" juga dapat merujuk kepada pemegang hak cipta menempatkan terdistorsi atau versi unlistenable bekerja pada jaringan file sharing, untuk mencegah download dari sumber-sumber ini.
Caller ID spoofing
Dalam jaringan telepon umum, hal ini untuk waktu yang lama mungkin untuk mencari tahu siapa yang menelepon Anda dengan melihat ID Caller informasi yang dikirim dengan panggilan tersebut. Ada teknologi yang mengirimkan informasi ini pada sambungan telepon rumah, pada ponsel dan juga dengan VoIP. Sayangnya, sekarang ada teknologi (khususnya yang berhubungan dengan VoIP) yang memungkinkan penelepon untuk berbohong tentang identitas mereka, dan sekarang nama dan nomor palsu, yang tentu saja dapat digunakan sebagai alat untuk menipu atau merugikan. Karena ada jasa dan gateway yang interkoneksi VoIP dengan jaringan telepon publik lainnya, Caller ID palsu ini dapat ditularkan pada setiap pesawat telepon di planet ini, yang membuat seluruh informasi ID Caller sekarang di samping berguna. Karena sifat geografis didistribusikan Internet, VoIP panggilan dapat dihasilkan di negara lain ke penerima, yang berarti bahwa sangat sulit memiliki kerangka hukum untuk mengendalikan orang-orang yang akan menggunakan Caller ID palsu sebagai bagian dari sebuah penipuan.
Trojan horse
Contoh sederhana kuda Troya
Sebuah contoh sederhana dari kuda trojan akan menjadi sebuah program bernama "waterfalls.scr" mengklaim sebagai screensaver air terjun bebas yang, ketika berjalan, daripada mulai menghapus semua file pada komputer korban.
Jenis Trojan horse
Trojan horse hampir selalu dirancang untuk melakukan berbagai hal-hal yang berbahaya, tapi bisa berbahaya. Mereka dipecah dalam klasifikasi didasarkan pada bagaimana mereka melanggar sistem dan kerusakan yang ditimbulkannya. Tujuh jenis utama dari Trojan horse adalah:
• Remote Access Trojans
• Mengirim Data Trojan
• Merusak Trojan
• Proxy Trojans
• FTP Trojan
• Trojan disabler perangkat lunak keamanan
• Denial of service attack (DoS) Trojans
• URL Trojan
Beberapa contoh adalah:
• menghapus atau menimpa data pada komputer.
• mengenkripsi file dalam pemerasan cryptoviral serangan.
• merusak file dalam cara halus.
• upload dan download file.
• memungkinkan akses remote ke komputer korban. Hal ini disebut RAT. (alat administrasi remote)
• menyebarkan malware lainnya, seperti virus. Dalam kasus ini kuda Troya disebut 'penetes' atau 'vektor'.
• pengaturan jaringan komputer zombie untuk meluncurkan serangan DDoS atau mengirim spam.
• memata-matai pengguna komputer dan data laporan secara terselubung seperti browsing kebiasaan orang lain (lihat artikel tentang spyware).
• membuat screenshot.
• logging keystrokes untuk mencuri informasi seperti password dan nomor kartu kredit (juga dikenal sebagai keylogger).
• phish untuk bank atau rincian rekening lain, yang dapat digunakan untuk kegiatan kriminal.
• menginstal backdoor pada sistem komputer.
• membuka dan menutup tray CD-ROM.
• panen alamat e-mail dan menggunakannya untuk spam.
• me-restart komputer terinfeksi setiap kali program dimulai.
Sisa bom dan bom logika
"Sisa bom" dan "bom logika" adalah jenis trojan horse.
"Sisa bom" mengaktifkan pada tanggal tertentu dan / atau kali. "Logika bom" mengaktifkan kondisi tertentu dipenuhi oleh komputer.
Tetes
Tetes melakukan dua tugas sekaligus. Sebuah penetes melakukan tugas yang sah, tetapi juga menginstal virus komputer atau cacing komputer pada sebuah sistem atau disk pada saat yang sama.
Pencegahan terhadap Trojan horse
Trojan horse dapat dilindungi terhadap melalui kesadaran pengguna akhir. Trojan Horse virus dapat menyebabkan banyak kerusakan komputer pribadi tetapi lebih kerusakan pada sebuah bisnis, khususnya usaha kecil yang biasanya tidak memiliki kemampuan proteksi virus yang sama sebagai sebuah bisnis besar. Karena Trojan Horse virus tersembunyi, lebih sulit untuk melindungi diri sendiri atau perusahaan Anda dari hal itu, tetapi ada hal-hal yang dapat Anda lakukan.
Kuda Trojan paling sering menyebar melalui e-mail, sama seperti jenis virus umum. Satu-satunya perbedaan yang tentu saja adalah bahwa sebuah Trojan Horse yang tersembunyi. Cara terbaik untuk melindungi diri sendiri dan perusahaan anda dari Trojan Horses adalah sebagai berikut:
1. Jika Anda menerima e-mail dari seseorang yang tidak Anda ketahui atau Anda menerima lampiran yang tidak dikenal, tidak pernah membukanya langsung. Sebagai pengguna e-mail Anda harus mengkonfirmasikan sumber. Beberapa hacker memiliki kemampuan untuk mencuri buku alamat, jadi jika Anda melihat e-mail dari seseorang yang Anda kenal, itu tidak selalu aman.
2. Bila membuat e-mail client, pastikan bahwa Anda memiliki pengaturan sehingga lampiran tidak terbuka secara otomatis. Beberapa klien e-mail datang siap dengan suatu program anti-virus yang scan lampiran apapun sebelum mereka dibuka. Jika klien Anda tidak datang dengan hal ini, akan lebih baik untuk membeli satu atau men-download secara gratis.
3. Pastikan komputer Anda memiliki program anti-virus di atasnya dan memperbaruinya secara teratur. Jika Anda memiliki opsi update otomatis disertakan dalam program anti-virus Anda harus mengaktifkannya; dengan cara itu jika Anda lupa untuk memperbarui perangkat lunak yang anda masih dapat dilindungi dari ancaman
4. Sistem operasi menawarkan patch untuk melindungi pengguna dari ancaman tertentu dan virus, termasuk Trojan Horses. Pengembang perangkat lunak seperti Microsoft menawarkan patch yang dalam arti "tutup lubang" bahwa kuda Trojan atau virus yang lain akan digunakan untuk melewati sistem anda. Jika anda menjaga sistem anda diperbarui dengan tambalan ini, komputer Anda disimpan lebih aman.
5. Hindari menggunakan peer-to-peer atau jaringan berbagi P2P seperti Kazaa, LimeWire, Ares, atau Gnutella karena mereka umumnya tidak terlindung dari virus dan Trojan Horse virus menyebar melalui mereka terutama dengan mudah. Beberapa program ini menawarkan beberapa perlindungan virus, tetapi hal ini sering tidak cukup kuat. Jika Anda bersikeras menggunakan P2P, itu akan aman untuk tidak men-download file yang mengklaim sebagai "langka" lagu, buku, film, gambar, dll
Selain tindakan pencegahan yang masuk akal ini, orang dapat juga menginstal software anti-trojan, beberapa diantaranya ditawarkan gratis.
Metode Infeksi
Mayoritas infeksi kuda trojan terjadi karena pengguna telah tertipu untuk menjalankan program yang terinfeksi. Inilah sebabnya disarankan untuk tidak membuka lampiran pada email yang tak terduga - program sering menjadi lucu animasi atau gambar seksi, tapi di belakang layar ini menginfeksi komputer dengan virus atau cacing. Program yang terinfeksi tidak perlu datang melalui email, meskipun; dapat dikirim kepada Anda dalam pesan instan, di-download dari situs Web atau melalui FTP, atau bahkan disampaikan pada CD atau floppy disk. (Pengiriman fisik jarang terjadi, tetapi jika anda adalah target spesifik serangan, itu akan menjadi cara yang cukup handal untuk menginfeksi komputer Anda.) Selanjutnya, sebuah program yang terinfeksi bisa datang dari seseorang yang duduk di komputer Anda dan load secara manual.
Website: Anda dapat terinfeksi dengan mengunjungi situs jahat.
Email: Jika Anda menggunakan Microsoft Outlook, Anda rentan terhadap berbagai masalah yang sama bahwa Internet Explorer telah, bahkan jika Anda tidak menggunakan IE langsung.
Buka port: Komputer menjalankan server mereka sendiri (HTTP, FTP, atau SMTP, misalnya), yang memungkinkan Windows file sharing, atau menjalankan program-program yang menyediakan kemampuan FileSharing seperti rasul Instan (AOL AIM, MSN Messenger, dll) mungkin memiliki kerentanan yang sama yang dijelaskan di atas. Program-program dan layanan dapat membuka port jaringan penyerang memberikan sarana untuk berinteraksi dengan program-program tersebut dari mana saja di Internet. Kerentanan memungkinkan terpencil tidak sah masuk secara teratur ditemukan dalam program seperti itu, jadi mereka harus dihindari atau benar diamankan.
Firewall dapat digunakan untuk membatasi akses ke port terbuka. Firewall banyak digunakan dalam praktek, dan mereka membantu untuk mengurangi masalah trojan remote penyisipan melalui port yang terbuka, tetapi mereka tidak solusi yang sama sekali tak tertembus, baik.
Beberapa trojan modern yang datang melalui para rasul, mereka datang sebagai pesan tampak sangat penting, tapi mengandung trojan, exe file yang sama atau terlihat sama dengan sistem jendela proccesses seperti 'svchost.exe', beberapa tampilan sama trojan adalah:
• Svchost32.exe
• Svhost.exe
• back.exe
Well-known trojan horses
• Back Orifice
• Back Orifice 2000
• NetBus
• SubSeven
• Downloader-EV
• Pest Trap
• AIDS
• Back Orifice
• Back Orifice 2000
• Beast Trojan
• Bifrose ksv
• Insurrection
• NetBus Carl-Fredrik Neikter
• Optix Pro
• Posion Ivy
• ProRat
• Sub7
• EGABTR
• RemoteHAK
• A-311 Death
• A4zeta
• Abacab
• Acessor
• AcidBattery
• Acid Drop
• AcidHead
• Acid Kor
• Acidsena
• AcidShivers
• Acid Trojan Horse
• AckCmd
• Acojonaor
• Acropolis
• Admin.Troj.Kikzyurarse
• Advertiser Bot
• AeonwindDoll
• Afcore
• A-FTP
• AF
• Agent 40421
• AH
• Aibolit
• AIMaster
• AIM Filter
• AimFrame
• aim P
• Aim Password Stealer
• AIM Pws
• AimRat
• AIM Robber
• AIM Spy
• AIMVision
• AIR
• AirBot
• Akosch
• Aladino
• Al-Bareki
• Alcatraz
• Alerter
• AlexMessoMalex
• Alicia
• Alien Hacker
• Alien Spy
• Almaster
• Almetyevsk
• Almq
• Alex
• Alofin
• Alop
• Alph
• AlphaDog
• Alvgus
• Amanda
• Amiboide Uploader
• Ambush
• AmigaAnywhere
• Amitis
• Amoeba
• AMRC
• AMS
• Anal FTP
• Anal Ra
• AnarchoIntruder
• Andromeda
• A New Trojan
• Angelfire
• AngelShell
• Annoy Toys
• Anthena
• Anti Danger
• Anti-Denial
• AntiMks
• AntiPC
• AntiLamer Backdoor
• Anti MSN
• Antylamus
• AolAdmin
• Apdoor
• Aphex's FTP
• Aphex's Remote Packet Sniffer
• Aphex tunneld 2.0
• AppServ
• APRE
• Aqua
• Arcanum
• Area Control
• Ares Invader
• Armageddon
• arplhmd
• Arranca
• Arsd
• Artic
• Arturik
• AsbMay
• A.S.H.
• Ashley
• Ass4ss1n
• Assasin
• Asylum
• Admin.Troj.Kikzyurarse
• Atentator
• A-Trojan
• Attack FTP
• Atwinda
• AudioDoor
• Autocrat
• AutoPWN
• Autograph
• AutoSpY
• Avanzado
• Avone
• Ayan Bilisim
• Azrael
• BD Blade runner 0.80a
• Crazy Daisy
• Connect4 Rituall33
• Donald Dick
• Flatley Trojan
• Theef
• Twelve Tricks
"Jika Anda tahu musuh dan mengenal diri sendiri, Anda tidak perlu takut hasil dari seratus
pertempuran. Jika Anda mengenal diri sendiri tapi bukan musuh, untuk setiap kemenangan yang diperoleh Anda juga akan
menderita kekalahan. Jika kamu tidak tahu akan musuh maupun diri sendiri, Anda akan menyerah dalam
setiap pertempuran. "
Pendahuluan
Sebuah program sniffer atau perangkat yang eavesdrops pada lalu lintas jaringan dengan meraih informasi yang bergerak melalui jaringan. Sniffers pada dasarnya adalah "Data Interception" teknologi. Mereka bekerja karena Ethernet dibangun sekitar prinsip berbagi. Kebanyakan jaringan menggunakan teknologi siaran di mana pesan untuk satu komputer dapat dibaca oleh komputer lain pada jaringan. Dalam prakteknya, semua komputer lain kecuali satu pesan yang dimaksud, akan mengabaikan pesan itu. Namun, komputer dapat dibuat untuk menerima pesan, bahkan jika mereka tidak dimaksudkan untuk mereka. Hal ini dilakukan dengan cara yang Sniffer! Banyak orang menganggap komputer yang terhubung ke sebuah saklar aman dari sniffing. Tidak ada yang bisa lebih jauh dari kebenaran. Komputer yang terhubung ke switch itu sama rentan terhadap sniffing seperti yang terhubung ke sebuah hub. Artikel ini berusaha untuk mengeksplorasi topik sniffers, bagaimana mereka bekerja, mendeteksi dan melindungi aset Anda terhadap penggunaan sembarangan program ini. Akhirnya, menjelang akhir kita akan membicarakan beberapa umum tersedia sniffers.
Bagaimana Seorang Sniffer Bekerja
Sebuah komputer yang terhubung ke LAN memiliki dua alamat. Salah satunya adalah MAC (Media Access Control) alamat yang secara unik mengidentifikasi setiap node dalam sebuah jaringan dan disimpan pada kartu jaringan itu sendiri. Ini adalah alamat MAC yang akan digunakan oleh protokol Ethernet sambil membangun "frame" untuk mentransfer data ke dan dari sebuah mesin. Yang lain adalah alamat IP, yang digunakan oleh aplikasi. Data Link Layer header menggunakan Ethernet dengan alamat MAC komputer tujuan daripada IP Address. Jaringan Layer bertanggung jawab untuk pemetaan alamat IP ke alamat MAC yang diperlukan oleh Data Link Protocol. Ini awalnya mendongak alamat MAC komputer tujuan dalam sebuah tabel, biasanya disebut ARP (Address Resolution Protocol) cache. Jika tidak ada entri yang ditemukan untuk alamat IP, Address Resolution Protocol menyiarkan paket permintaan (permintaan ARP) untuk semua komputer di jaringan. Mesin dengan alamat yang menanggapi mesin sumber dengan alamat MAC. Alamat MAC ini kemudian akan ditambahkan ke mesin sumber ARP Cache. Mesin sumber semua komunikasi dengan komputer tujuan ini kemudian menggunakan alamat MAC.
Ada dua jenis dasar lingkungan Ethernet dan bagaimana sniffers bekerja di kedua kasus ini sedikit different.Shared Ethernet: Dalam sebuah lingkungan Ethernet bersama, semua host yang terhubung ke bus yang sama dan bersaing dengan satu sama lain untuk bandwidth. Dalam lingkungan seperti itu dimaksudkan untuk satu paket mesin diterima oleh semua mesin yang lain. Jadi ketika mesin Venus
Terkenal packet sniffers
• AiroPeek
• dSniff
• Ethereal
• EtherPeek
• ettercap
• Kismet
• Javvin Packet Aalyzer
• NetStumbler
• Network General Sniffer
• Network Instruments Observer
• OmniPeek
• PRTG
• snoop (Solaris)
• tcpdump
• Wireshark (sebelumnya dikenal sebagai Ethereal [1])
• WPE (Winsock paket editor)
Serangan spoofing
Dalam konteks keamanan jaringan, sebuah serangan spoofing adalah suatu situasi di mana satu orang atau program yang berhasil menyamar sebagai lain dengan memalsukan data dan dengan demikian memperoleh keuntungan yang tidak sah.
Man-in-the-tengah serangan dan spoofing protokol internet
Sebuah contoh dari kriptografi adalah manusia-in-the-tengah serangan, di mana seorang penyerang parodi Alice ke Bob percaya dia, dan parodi Bob ke Alice percaya dia, sehingga memperoleh akses ke semua pesan dalam dua arah tanpa kesulitan apapun upaya cryptanalytic .
Penyerang harus memantau paket-paket yang dikirim dari Alice ke Bob dan kemudian menebak nomor urut paket. Kemudian penyerang mengetuk keluar Alice dengan serangan SYN dan menyuntikkan paket sendiri, yang mengklaim memiliki alamat Alice. Alice's firewall dapat membela terhadap beberapa serangan spoof bila telah dikonfigurasi dengan pengetahuan tentang semua alamat IP terhubung ke masing-masing interface. Kemudian dapat mendeteksi paket palsu jika tiba di sebuah antarmuka yang tidak diketahui terhubung ke alamat IP.
Banyak protokol yang dirancang sembarangan tunduk pada serangan spoof, termasuk banyak dari yang digunakan di Internet. Lihat protokol Internet spoofing.
URL spoofing dan phishing
Spoofing jenis lain adalah "spoofing halaman web," juga dikenal sebagai phising. Dalam serangan ini, halaman web yang sah seperti situs bank direproduksi dalam "tampilan dan nuansa" pada server lainnya di bawah kontrol dari penyerang. Tujuannya adalah untuk mengelabui pengguna menganggap bahwa mereka terhubung ke situs terpercaya, misalnya untuk memanen nama pengguna dan serangan passwords.This sering dilakukan dengan bantuan URL spoofing, yang mengeksploitasi browser web bug untuk menampilkan URL yang salah di lokasi browser bar; atau dengan keracunan cache DNS untuk mengarahkan pengguna dari situs yang sah dan yang palsu. Setelah pengguna sela password mereka, serangan-laporan kode kesalahan password, kemudian mengarahkan ulang pengguna ke situs yang sah.
Referer spoofing
Beberapa situs web, terutama pornografi paysites, memungkinkan akses ke materi mereka hanya dari disetujui tertentu (login) halaman. Ini diberlakukan dengan memeriksa Referer header permintaan HTTP. Namun header referer ini dapat diubah (dikenal sebagai "Referer spoofing" atau "Ref-tar spoofing"), yang memungkinkan pengguna untuk mendapatkan akses tanpa izin ke bahan.
Keracunan dari jaringan file sharing
"Spoofing" juga dapat merujuk kepada pemegang hak cipta menempatkan terdistorsi atau versi unlistenable bekerja pada jaringan file sharing, untuk mencegah download dari sumber-sumber ini.
Caller ID spoofing
Dalam jaringan telepon umum, hal ini untuk waktu yang lama mungkin untuk mencari tahu siapa yang menelepon Anda dengan melihat ID Caller informasi yang dikirim dengan panggilan tersebut. Ada teknologi yang mengirimkan informasi ini pada sambungan telepon rumah, pada ponsel dan juga dengan VoIP. Sayangnya, sekarang ada teknologi (khususnya yang berhubungan dengan VoIP) yang memungkinkan penelepon untuk berbohong tentang identitas mereka, dan sekarang nama dan nomor palsu, yang tentu saja dapat digunakan sebagai alat untuk menipu atau merugikan. Karena ada jasa dan gateway yang interkoneksi VoIP dengan jaringan telepon publik lainnya, Caller ID palsu ini dapat ditularkan pada setiap pesawat telepon di planet ini, yang membuat seluruh informasi ID Caller sekarang di samping berguna. Karena sifat geografis didistribusikan Internet, VoIP panggilan dapat dihasilkan di negara lain ke penerima, yang berarti bahwa sangat sulit memiliki kerangka hukum untuk mengendalikan orang-orang yang akan menggunakan Caller ID palsu sebagai bagian dari sebuah penipuan.
Man-in-the-tengah serangan dan spoofing protokol internet
Sebuah contoh dari kriptografi adalah manusia-in-the-tengah serangan, di mana seorang penyerang parodi Alice ke Bob percaya dia, dan parodi Bob ke Alice percaya dia, sehingga memperoleh akses ke semua pesan dalam dua arah tanpa kesulitan apapun upaya cryptanalytic .
Penyerang harus memantau paket-paket yang dikirim dari Alice ke Bob dan kemudian menebak nomor urut paket. Kemudian penyerang mengetuk keluar Alice dengan serangan SYN dan menyuntikkan paket sendiri, yang mengklaim memiliki alamat Alice. Alice's firewall dapat membela terhadap beberapa serangan spoof bila telah dikonfigurasi dengan pengetahuan tentang semua alamat IP terhubung ke masing-masing interface. Kemudian dapat mendeteksi paket palsu jika tiba di sebuah antarmuka yang tidak diketahui terhubung ke alamat IP.
Banyak protokol yang dirancang sembarangan tunduk pada serangan spoof, termasuk banyak dari yang digunakan di Internet. Lihat protokol Internet spoofing.
URL spoofing dan phishing
Spoofing jenis lain adalah "spoofing halaman web," juga dikenal sebagai phising. Dalam serangan ini, halaman web yang sah seperti situs bank direproduksi dalam "tampilan dan nuansa" pada server lainnya di bawah kontrol dari penyerang. Tujuannya adalah untuk mengelabui pengguna menganggap bahwa mereka terhubung ke situs terpercaya, misalnya untuk memanen nama pengguna dan sandi.
Serangan ini sering dilakukan dengan bantuan URL spoofing, yang mengeksploitasi browser web bug untuk menampilkan URL yang salah di lokasi browser bar; atau dengan keracunan cache DNS untuk mengarahkan pengguna dari situs yang sah dan yang palsu . Setelah pengguna sela password mereka, serangan-laporan kode kesalahan password, kemudian mengarahkan ulang pengguna ke situs yang sah.
Referer spoofing
Beberapa situs web, terutama pornografi paysites, memungkinkan akses ke materi mereka hanya dari disetujui tertentu (login) halaman. Ini diberlakukan dengan memeriksa Referer header permintaan HTTP. Namun header referer ini dapat diubah (dikenal sebagai "Referer spoofing" atau "Ref-tar spoofing"), yang memungkinkan pengguna untuk mendapatkan akses tanpa izin ke bahan.
Keracunan dari jaringan file sharing
"Spoofing" juga dapat merujuk kepada pemegang hak cipta menempatkan terdistorsi atau versi unlistenable bekerja pada jaringan file sharing, untuk mencegah download dari sumber-sumber ini.
Caller ID spoofing
Dalam jaringan telepon umum, hal ini untuk waktu yang lama mungkin untuk mencari tahu siapa yang menelepon Anda dengan melihat ID Caller informasi yang dikirim dengan panggilan tersebut. Ada teknologi yang mengirimkan informasi ini pada sambungan telepon rumah, pada ponsel dan juga dengan VoIP. Sayangnya, sekarang ada teknologi (khususnya yang berhubungan dengan VoIP) yang memungkinkan penelepon untuk berbohong tentang identitas mereka, dan sekarang nama dan nomor palsu, yang tentu saja dapat digunakan sebagai alat untuk menipu atau merugikan. Karena ada jasa dan gateway yang interkoneksi VoIP dengan jaringan telepon publik lainnya, Caller ID palsu ini dapat ditularkan pada setiap pesawat telepon di planet ini, yang membuat seluruh informasi ID Caller sekarang di samping berguna. Karena sifat geografis didistribusikan Internet, VoIP panggilan dapat dihasilkan di negara lain ke penerima, yang berarti bahwa sangat sulit memiliki kerangka hukum untuk mengendalikan orang-orang yang akan menggunakan Caller ID palsu sebagai bagian dari sebuah penipuan.
Trojan horse
Contoh sederhana kuda Troya
Sebuah contoh sederhana dari kuda trojan akan menjadi sebuah program bernama "waterfalls.scr" mengklaim sebagai screensaver air terjun bebas yang, ketika berjalan, daripada mulai menghapus semua file pada komputer korban.
Jenis Trojan horse
Trojan horse hampir selalu dirancang untuk melakukan berbagai hal-hal yang berbahaya, tapi bisa berbahaya. Mereka dipecah dalam klasifikasi didasarkan pada bagaimana mereka melanggar sistem dan kerusakan yang ditimbulkannya. Tujuh jenis utama dari Trojan horse adalah:
• Remote Access Trojans
• Mengirim Data Trojan
• Merusak Trojan
• Proxy Trojans
• FTP Trojan
• Trojan disabler perangkat lunak keamanan
• Denial of service attack (DoS) Trojans
• URL Trojan
Beberapa contoh adalah:
• menghapus atau menimpa data pada komputer.
• mengenkripsi file dalam pemerasan cryptoviral serangan.
• merusak file dalam cara halus.
• upload dan download file.
• memungkinkan akses remote ke komputer korban. Hal ini disebut RAT. (alat administrasi remote)
• menyebarkan malware lainnya, seperti virus. Dalam kasus ini kuda Troya disebut 'penetes' atau 'vektor'.
• pengaturan jaringan komputer zombie untuk meluncurkan serangan DDoS atau mengirim spam.
• memata-matai pengguna komputer dan data laporan secara terselubung seperti browsing kebiasaan orang lain (lihat artikel tentang spyware).
• membuat screenshot.
• logging keystrokes untuk mencuri informasi seperti password dan nomor kartu kredit (juga dikenal sebagai keylogger).
• phish untuk bank atau rincian rekening lain, yang dapat digunakan untuk kegiatan kriminal.
• menginstal backdoor pada sistem komputer.
• membuka dan menutup tray CD-ROM.
• panen alamat e-mail dan menggunakannya untuk spam.
• me-restart komputer terinfeksi setiap kali program dimulai.
Sisa bom dan bom logika
"Sisa bom" dan "bom logika" adalah jenis trojan horse.
"Sisa bom" mengaktifkan pada tanggal tertentu dan / atau kali. "Logika bom" mengaktifkan kondisi tertentu dipenuhi oleh komputer.
Tetes
Tetes melakukan dua tugas sekaligus. Sebuah penetes melakukan tugas yang sah, tetapi juga menginstal virus komputer atau cacing komputer pada sebuah sistem atau disk pada saat yang sama.
Pencegahan terhadap Trojan horse
Trojan horse dapat dilindungi terhadap melalui kesadaran pengguna akhir. Trojan Horse virus dapat menyebabkan banyak kerusakan komputer pribadi tetapi lebih kerusakan pada sebuah bisnis, khususnya usaha kecil yang biasanya tidak memiliki kemampuan proteksi virus yang sama sebagai sebuah bisnis besar. Karena Trojan Horse virus tersembunyi, lebih sulit untuk melindungi diri sendiri atau perusahaan Anda dari hal itu, tetapi ada hal-hal yang dapat Anda lakukan.
Kuda Trojan paling sering menyebar melalui e-mail, sama seperti jenis virus umum. Satu-satunya perbedaan yang tentu saja adalah bahwa sebuah Trojan Horse yang tersembunyi. Cara terbaik untuk melindungi diri sendiri dan perusahaan anda dari Trojan Horses adalah sebagai berikut:
1. Jika Anda menerima e-mail dari seseorang yang tidak Anda ketahui atau Anda menerima lampiran yang tidak dikenal, tidak pernah membukanya langsung. Sebagai pengguna e-mail Anda harus mengkonfirmasikan sumber. Beberapa hacker memiliki kemampuan untuk mencuri buku alamat, jadi jika Anda melihat e-mail dari seseorang yang Anda kenal, itu tidak selalu aman.
2. Bila membuat e-mail client, pastikan bahwa Anda memiliki pengaturan sehingga lampiran tidak terbuka secara otomatis. Beberapa klien e-mail datang siap dengan suatu program anti-virus yang scan lampiran apapun sebelum mereka dibuka. Jika klien Anda tidak datang dengan hal ini, akan lebih baik untuk membeli satu atau men-download secara gratis.
3. Pastikan komputer Anda memiliki program anti-virus di atasnya dan memperbaruinya secara teratur. Jika Anda memiliki opsi update otomatis disertakan dalam program anti-virus Anda harus mengaktifkannya; dengan cara itu jika Anda lupa untuk memperbarui perangkat lunak yang anda masih dapat dilindungi dari ancaman
4. Sistem operasi menawarkan patch untuk melindungi pengguna dari ancaman tertentu dan virus, termasuk Trojan Horses. Pengembang perangkat lunak seperti Microsoft menawarkan patch yang dalam arti "tutup lubang" bahwa kuda Trojan atau virus yang lain akan digunakan untuk melewati sistem anda. Jika anda menjaga sistem anda diperbarui dengan tambalan ini, komputer Anda disimpan lebih aman.
5. Hindari menggunakan peer-to-peer atau jaringan berbagi P2P seperti Kazaa, LimeWire, Ares, atau Gnutella karena mereka umumnya tidak terlindung dari virus dan Trojan Horse virus menyebar melalui mereka terutama dengan mudah. Beberapa program ini menawarkan beberapa perlindungan virus, tetapi hal ini sering tidak cukup kuat. Jika Anda bersikeras menggunakan P2P, itu akan aman untuk tidak men-download file yang mengklaim sebagai "langka" lagu, buku, film, gambar, dll
Selain tindakan pencegahan yang masuk akal ini, orang dapat juga menginstal software anti-trojan, beberapa diantaranya ditawarkan gratis.
Metode Infeksi
Mayoritas infeksi kuda trojan terjadi karena pengguna telah tertipu untuk menjalankan program yang terinfeksi. Inilah sebabnya disarankan untuk tidak membuka lampiran pada email yang tak terduga - program sering menjadi lucu animasi atau gambar seksi, tapi di belakang layar ini menginfeksi komputer dengan virus atau cacing. Program yang terinfeksi tidak perlu datang melalui email, meskipun; dapat dikirim kepada Anda dalam pesan instan, di-download dari situs Web atau melalui FTP, atau bahkan disampaikan pada CD atau floppy disk. (Pengiriman fisik jarang terjadi, tetapi jika anda adalah target spesifik serangan, itu akan menjadi cara yang cukup handal untuk menginfeksi komputer Anda.) Selanjutnya, sebuah program yang terinfeksi bisa datang dari seseorang yang duduk di komputer Anda dan load secara manual.
Website: Anda dapat terinfeksi dengan mengunjungi situs jahat.
Email: Jika Anda menggunakan Microsoft Outlook, Anda rentan terhadap berbagai masalah yang sama bahwa Internet Explorer telah, bahkan jika Anda tidak menggunakan IE langsung.
Buka port: Komputer menjalankan server mereka sendiri (HTTP, FTP, atau SMTP, misalnya), yang memungkinkan Windows file sharing, atau menjalankan program-program yang menyediakan kemampuan FileSharing seperti rasul Instan (AOL AIM, MSN Messenger, dll) mungkin memiliki kerentanan yang sama yang dijelaskan di atas. Program-program dan layanan dapat membuka port jaringan penyerang memberikan sarana untuk berinteraksi dengan program-program tersebut dari mana saja di Internet. Kerentanan memungkinkan terpencil tidak sah masuk secara teratur ditemukan dalam program seperti itu, jadi mereka harus dihindari atau benar diamankan.
Firewall dapat digunakan untuk membatasi akses ke port terbuka. Firewall banyak digunakan dalam praktek, dan mereka membantu untuk mengurangi masalah trojan remote penyisipan melalui port yang terbuka, tetapi mereka tidak solusi yang sama sekali tak tertembus, baik.
Beberapa trojan modern yang datang melalui para rasul, mereka datang sebagai pesan tampak sangat penting, tapi mengandung trojan, exe file yang sama atau terlihat sama dengan sistem jendela proccesses seperti 'svchost.exe', beberapa tampilan sama trojan adalah:
• Svchost32.exe
• Svhost.exe
• back.exe
Well-known trojan horses
• Back Orifice
• Back Orifice 2000
• NetBus
• SubSeven
• Downloader-EV
• Pest Trap
• AIDS
• Back Orifice
• Back Orifice 2000
• Beast Trojan
• Bifrose ksv
• Insurrection
• NetBus Carl-Fredrik Neikter
• Optix Pro
• Posion Ivy
• ProRat
• Sub7
• EGABTR
• RemoteHAK
• A-311 Death
• A4zeta
• Abacab
• Acessor
• AcidBattery
• Acid Drop
• AcidHead
• Acid Kor
• Acidsena
• AcidShivers
• Acid Trojan Horse
• AckCmd
• Acojonaor
• Acropolis
• Admin.Troj.Kikzyurarse
• Advertiser Bot
• AeonwindDoll
• Afcore
• A-FTP
• AF
• Agent 40421
• AH
• Aibolit
• AIMaster
• AIM Filter
• AimFrame
• aim P
• Aim Password Stealer
• AIM Pws
• AimRat
• AIM Robber
• AIM Spy
• AIMVision
• AIR
• AirBot
• Akosch
• Aladino
• Al-Bareki
• Alcatraz
• Alerter
• AlexMessoMalex
• Alicia
• Alien Hacker
• Alien Spy
• Almaster
• Almetyevsk
• Almq
• Alex
• Alofin
• Alop
• Alph
• AlphaDog
• Alvgus
• Amanda
• Amiboide Uploader
• Ambush
• AmigaAnywhere
• Amitis
• Amoeba
• AMRC
• AMS
• Anal FTP
• Anal Ra
• AnarchoIntruder
• Andromeda
• A New Trojan
• Angelfire
• AngelShell
• Annoy Toys
• Anthena
• Anti Danger
• Anti-Denial
• AntiMks
• AntiPC
• AntiLamer Backdoor
• Anti MSN
• Antylamus
• AolAdmin
• Apdoor
• Aphex's FTP
• Aphex's Remote Packet Sniffer
• Aphex tunneld 2.0
• AppServ
• APRE
• Aqua
• Arcanum
• Area Control
• Ares Invader
• Armageddon
• arplhmd
• Arranca
• Arsd
• Artic
• Arturik
• AsbMay
• A.S.H.
• Ashley
• Ass4ss1n
• Assasin
• Asylum
• Admin.Troj.Kikzyurarse
• Atentator
• A-Trojan
• Attack FTP
• Atwinda
• AudioDoor
• Autocrat
• AutoPWN
• Autograph
• AutoSpY
• Avanzado
• Avone
• Ayan Bilisim
• Azrael
• BD Blade runner 0.80a
• Crazy Daisy
• Connect4 Rituall33
• Donald Dick
• Flatley Trojan
• Theef
• Twelve Tricks
0 komentar:
Posting Komentar