browser icon
You are using an insecure version of your web browser. Please update your browser!
Using an outdated browser makes your computer unsafe. For a safer, faster, more enjoyable user experience, please update your browser today or try a newer browser.

Port Scanning

Posted by on 23 January 2013

Port Scanning bisa jadi ancaman yang cukup serius bagi sistem kita, dan menjadi hal yang sangat menyenangkan bagi para attacker. Dengan PORT scanning, attacker bisa mendapatkan informasi-informasi berharga yang dibutuhkan dalam melakukan serangan. Pada intinya, melakukan port scanning ialah untuk mengidentifikasi port-port apa saja yang terbuka, dan mengenali OS target.

Port scanning adalah sebuah aktivitas untuk mendapatkan informasi yang menyeluruh mengenai status port (biasanya port TCP) pada sebuah host. Dengan port scanning, seseorang dapat mengetahui port-port mana saja yang terbuka pada sebuah host.

Adapun jenis-jenis PORT scanning antara lain:

a.    TCP connect scan

Scan jenis ini sangat mudah terdeteksi oleh sistem target. Scan tipe ini tergantung dari OS korban, sehingga cukup riskan untuk dipakai. Jenis Scan ini ialah dengan melakukan koneksi ke PORT sasaran dan menyelesaikan three-way handshake (SYN, SYN/ACK, dan ACK). Hal ini berarti, korban akan melakukan logging scanning jenis ini. Karena itulah scanning jenis ini sangat mudah terdeteksi.

b.   TCP SYN scan (half-opening scanning)

Jenis ini lebih aman daripada TCP connect scan. TCP SYN scan merupakan teknik yang paling banyak digunakan dan agak sukar terdeteksi, karena tidak menggunakan three way handshake secara lengkap, yang disebut sebagai teknik half open scanning.

Pada TCP SYN scan, suatu koneksi penuh TCP tidak sampai terbentuk. Teknik dari TCP SYN scan ialah dengan mengirimkan suatu paket SYN ke PORT sasaran. Apabila SYN/ACK diterima dari PORT sasaran, maka kita dapat mengambil kesimpulan bahwa PORT itu berada dalam status LISTENING. Suatu RST/ACT akan dikirim oleh mesin yang melakukan scanning sehingga koneksi penuh tidak akan terbentuk.

c.    TCP FIN scan

Teknik ini hanya dapat dipakai pada stack TCP/IP berbasis UNIX. Teknik dari TCP FIN scan ialah dengan mengirimkan suatu paket FIN ke PORT sasaran. Sistem sasaran akan mengirim balik suatu RST untuk setiap PORT yang tertutup (RFC 793).

d.   TCP Xmas Tree scan

Teknik ini dilakukan dengan mengirimkan suatu paket FIN, URG, dan PUSH ke PORT sasaran.

e.    TCP Null scan

TCP Null scan dilakukan dengan membuat off semua flag.

f.     TCP ACK scan

Scan tipe ini agak sedikit berbeda karena tidak digunakan untuk menentukan apakah PORT tersebut terbuka atau tertutup. Scan ini hanya menunjukkan apakah state korban ter-filtered atau unfiltered. Jika ter-filtered, maka PORT mana yang ter-filtered.

Dengan kata lain, TCP ACK scan dipergunakan untuk memetakan set aturan firewall. Teknik ini akan membantu menentukan apakah firewall itu merupakan suatu simple packet filter yang membolehkan hanya koneksi-koneksi tertentu (koneksi dengan bit set ACK) atau suatu firewall yang menjalankan advance packet filtering.
ACK scan bekerja dengan mengirimkan paket TCP dengan flag ACK. Jika unfiltered, korban mengirim RST, yang artinya korban menerima paket ACK, Akan tetapi, status PORT target bisa dalam kondisi open atau close. Apabila ternyata korban tidak merespon, atau mengirim paket ICMP error (type 3, code 1, 2, 3, 9, 10, or 13), maka korban diberi status filtered.

g.    TCP Windows scan

Teknik ini dapat mendeteksi PORT-port terbuka maupun terfilter/tidak terfilter pada sistem-sistem tertentu (sebagai contoh, AIX dan FreeBSD) sehubungan dengan anomali dari ukuran windows TCP yang dilaporkan.

h.   TCP RPC scan

Teknik ini spesifik hanya pada system UNIX dan digunakan untuk mendeteksi dan mengidentifikasi PORT RPC (Remote Procedure Call) dan program serta normor versi yang berhubungan dengannya.

i.      UDP scan

Pada UDP scan, sesuai dengan namanya, paket yang dikirim adalah paket UDP. Bila PORT sasaran memberikan respon berupa pesan “ICMP PORT unreachable” artinya PORT ini tertutup. Sebaliknya bila tidak menerima pesan di atas, kita dapat menyimpulkan bahwa PORT itu terbuka. UDP scanning merupakan proses yang amat lambat apabila melakukan scan terhadap suatu perangkat yang menjalankan packet filtering berbeban tinggi.

CARA KERJA PORT SCANNING

a.    TCP 3 Way Handshake

Yang pertama adalah dengan menggunakan metode yang dinamakan TCP 3 Way Handshake. TCP koneksi akan dicoba dilakukan terhadap target dengan mengirimkan SYN paket, dan apabila Port dalam keadaan terbuka, maka target akan mengembalikan SYN/ACK paket.

Apabila paket RSET atau dalam waktu tertentu tidak diterima jawaban apa-apa, Timeout, maka dapat diambil kesimpulan target port dalam keadaan tertutup. Walaupun sebenarnya, hal ini dapat saja diakibatkan oleh firewall atau filtering lainnya di komputer target.

b.   TCP syn scan

Dengan mengirimkan paket RSET sebelum koneksi TCP terjadi, server target tidak sempat mengambil log dari komunikasi waktu scan dilakukan.

Apabila port dalam keadaan tertutup, kondisinya sama dengan pada saat TCP Connect Scan.

c.    UDP Scan (ICMP Port Unreach)

Metode terakhir di sini adalah dengan menggunakan UDP paket. Port dianggap terbuka apabila tidak ada jawaban dari komputer target.

Dan, apabila port dalam keadaan tertutup, maka komputer target akan mengirimkan paket ICMP Port Unreachable, seperti terlihat pada gambar. Hanya saja, di beberapa network yang menggunakan firewall atau filtering lainnya, paket ini tidak diteruskan ke luar network.

Leave a Reply

Your email address will not be published. Required fields are marked *

CAPTCHA Image

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>