Mendeteksi Serangan ARP Poisoning / Spoofing

1. Pengertian ARP

Address Resolution Protocol (ARP) adalah sebuah protokol dalam TCP/IP Protocol yang digunakan untuk melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC Address).

Ketika computer kita mencoba untuk mengakses komputer lain dengan menggunakan alamat IP, maka alamat IP yang dimiliki oleh computer yang dituju harus diterjemahkan terlebih dahulu ke dalam MAC Address agar frame-frame data dapat diteruskan ke tujuan dan diletakkan di atas media transmisi, setelah diproses terlebih dahulu oleh Network Interface Card (NIC). Hal ini dikarenakan NIC beroperasi dengan menggunakan alamat fisik daripada menggunakan alamat logis (alamat IP) untuk melakukan komunikasi data dalam jaringan.

Jika memang alamat yang dituju berada di luar jaringan lokal, maka ARP akan mencoba untuk mendapatkan MAC address dari antarmuka router lokal yang menghubungkan jaringan lokal ke luar jaringan (di mana komputer yang dituju berada).

Komputer Anda akan menyimpan ARP broadcast request ini kedalam ARP cache. ARP cache ini akan disimpan di RAM dan besifat sementara. ARP cache ini berisi tabel IP host serta phisical address komputer. ARP cache akan bertambah jika ARP Request mendapat jawaban. Anda dapat melihat ARP cache anda dengan mengetik “arp -a” pada CMD. Anda dapat menghapus ARP cache anda dengan mengetik “arp -d <Ip addr>”. Anda juga dapat mengatur sebuah static ARP dengan menuliskan “arp -s <ip addr> <MAC addr>”.

 

2. ARP Poisoning / Spoofing

Ancaman keamanan muncul ketika ada upaya manipulasi terhadap pengalamatan nomor IP dan MAC address. Proses ini biasa disebut dengan istilah ARP spoofing atau ARP poisoning.

Dengan ARP Poisoning Anda dapat memanipulasi lalu lintas data dari klien target agar semua paket-paket data klien target melalui komputer anda terlebih dahulu. Mengapa proses ini bisa terjadi?  proses ini dapat terjadi Karena computer anda akan memberi tahu kepada klien target bahwa MAC address komputer (hardware) anda adalah MAC dari komputer server/gateway. Kemudian komputer anda juga akan memberi tahu kepada komputer server/gateway (computer yang dituju klien taget) bahwa MAC address dari klien target adalah MAC address dari computer anda sendiri (sebagai penyerang). Serangan semacam ini disebut dengan Men-in-the-Middle (MITM).

Dengan tipe serangan semacam ini penyerang dapat menyadap semua paket data yang dikirimkan oleh klien target ke server/gateway. MITM ini dapat digunakan untuk mencuri akun (username dan password) dari klien target (komputer target). Sebenarnya banyak tool/aplikasi yang dapat digunakan untuk melakukan ARP poisoning seperti  ettercap, cain and abel dll.

 

3. Mendeteksi ARP Poisoning

Ada beragam cara untuk mendeteksi ARP Poisoning ini. Pertama, dengan mengecek ARP secara manual dengan mengetik ‘arp’ pada cmd di windows.  Untuk memberikan static ARP Anda bisa menuliskan ‘arp -s IP addr. MAC addr.’.  Namun dengan cara ini terasa ribet.

Ada alternative lain untuk mendeteksi ARP Poisoning yaitu dengan menggunakan software, seperti ARPwatch, Snort, DecaffeinatID, ARPdetective dll.

Dalam artikel ini saya hanya membahas DecaffeinatID. DecaffeinatID merupakan sebuah aplikasi sederhana yang mampu digunakan sebagai IDS (Intrusion  Detection System). Aplikasi ini mampu memberikan peringatan jika terjadi manipulasi protokal ARP pada jaringan Anda.

Jika terjadi perubahan pada MAC Add dari IP gateway, maka aplikasi ini akan segera memberi peringatan seperti di atas. Aplikasi ini akan menyimpan semua notifikasi di file idslog.txt yang tersimpan di direktori dimana aplikasi ini dijalankan. Selain menyimpan notifikasi, aplikasi ini juga memiliki feature lain untuk membaca Windows firewall log (jika ada). DecaffeinatID ini memiliki ukuran file yang sangat kecil, kurang dari 1 MB.  Aplikasi ini merupakan freeware (gratis) dan dapat dijalankan di SO Windows XP SP2, Vista, maupun windows 7.

Privasi adalah hak bagi setiap manusia. Dengan mendeteksi dan mencegah serangan ARP Poisoning ini, sama saja dengan menjaga privasi diri sendiri dari tangan-tangan jail yang tidak bertanggung jawab.

About bagusware

Aku adalah aku, dan kamu adalah kamu... Aku dan kamu pasti bisa...

Posted on 8 Desember 2010, in Jaringan Komputer. Bookmark the permalink. Tinggalkan komentar.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: