Bagaimana
mengetahui IP Address dari seseorang ?
atau Berapa nomor IP komputer saya ?
Bagaimana saya tahu, Port apa saja yang
terbuka pada sistem saya ? Bagaimana
meyakinkan saya bahwa sistem saya
terinfeksi oleh Trojan ?
Microsoft
secara tidak sengaja menyembunyikan atau
menyebabkan utiliti yang berguna ini
menjadi tidak mudah digunakan oleh
pemakai. Atau, mereka tidak sadar
memasukkan suatu utiliti ini kedalam
direktori Windows tetapi tidak
mendokumentasikannya.
Perintah
‘Netstat’ dapat diakses melalui
prompt command line. Sederhananya
aktifkan ke MSDOS dan:
C:\cd
windows
C:\windows>
CATATAN:
Pada Normalnya, dan seharusnya, DOS
dibuka dengan direktori defaultnya
adalah Windows, untuk anda yang
direktori defaultnya yang bukan Windows,
petunjuk diatas bisa membantu.
Sebelum
kita mulai, anda perlu mengerti
bagaimana persisnya perintah Netstat
digunakan. Perintah ini secara
defaultnya digunakan untuk mendapatkan
informasi pada koneksi yang terjadi pada
sistem anda (port, protocol, yang sedang
digunakan, dll ), data yang datang dan
pergi dan juga nomor port pada remote
sistem dimana koneksi terjadi.
‘Netstat’ mengambil semua informasi
networking ini dengan membaca tabel
routing dari kernel yang berada pada
memori.
Berdasarkan
RFC pada Internet Tool Catalog,
‘Netstat’ didefinisikan sebagai:
‘Netstat
adalah suatu program yang mana mengakses
jaringan yang berkaitan dengan struktur
data didalam kernel, serta
menampilkannya dalam bentuk format ASCII
di terminal. Netstat dapat mempersiapkan
laporan dari tabel routing, koneksi
"listen" dari TCP, TCP dan
UDP, dan protocol manajemen memory.’
Setelah
kita mengerti apa yang dimaksud dengan
Netstat dan segala sesuatu yang
berkaitan dengannya, sekarang saatnya
untuk mulai mengunakannya. Sesaat
setelah anda mengaktifkan MSDOS, anda
dapat membaca MSDOS help tentang Netstat
dengan memberikan perintah berikut :
C:\WINDOWS>netstat
/?
Menampilkan
statistik protocol dan koneksi jaringan
TCP/IP yang sekarang
NETSTAT
[-a] [-e] [-n] [-s] [-p proto] [-r]
[interval]
-a
Menampilkan semua koneksi dan port yang
sedang listening. (koneksi sisi Server
secara normal tidak ditampilkan).
-e
Menampilkan statistik Ethernet. Hal ini
dapat dikombinasikan dengan option -s.
-n
Menampilkan alamat dan nomor port dalam
format numerik.
-p
proto Menampilkan koneksi untuk protocol
yang ditentukan dengan proto; proto
dapat berupa tcp atau udp. Jika
digunakan dengan
-s
option untuk menampilkan statistik
per-protocol, proto dapat berupa tcp,
udp, atau ip.
-r
Menampilkan isi dari tabel routing.
-s
Menampilkan statistik per-protocol.
Secara defaultnya, statistik ditampilkan
untuk TCP, UDP dan IP; untuk -p
option
dapat digunakan untuk menentukan suatu
subset secara defaultnya.
interval
Menampilkan kembali statistik dengan
sejumlah detik interval antar tampilan.
Tekan CTRL+C untuk
menghentikan
tampilan statistik. Jika diabaikan,
netstat akan mencetak informasi
configurasi yang sekarang.
Bagaimanapun,
help yang disediakan oleh MSDOS, hanya
dapat digunakan sebagai acuan, dan
tidaklah mencukupi untuk pemakai pemula.
Jadi,
marilah kita mencoba perintahnya satu
per-satu dan melihat bagaimana hasilnya
dan juga mengerti apa sebenarnya yang
terjadi ketika kita menjalankan perintah
tersebut dan apa arti dari tampilannya.
Pertama,
kita akan memulai dengan perintah
Netstat dengan argumen -a.
Sekarang,
option ‘–a’ digunakan untuk
menampilkan semua koneksi yang sedang
terbuka pada mesin lokal. Hal tersebut
meliputi sistem remote dimana koneksi
tersebut terjadi, nomor port koneksi
tersebut (juga yang pada mesin lokal)
dan juga tipe serta status dari koneksi
tersebut.
Sebagai
contoh,
C:\windows>netstat
-a
Active
Connections
Proto
Local Address Foreign Address State
TCP
ankit:1031 dwarfie.box.com:ftp
ESTABLISHED
TCP
ankit:1036 dwarfie.box.com:ftp-data
TIME_WAIT
TCP
ankit:1043 banners.egroups.com:80
FIN_WAIT_2
TCP
ankit:1045 mail2.mtnl.net.in:pop3
TIME_WAIT
TCP
ankit:1052 zztop.box.com:80 ESTABLISHED
TCP
ankit:1053 mail2.mtnl.net.in:pop3
TIME_WAIT
UDP
ankit:1025 *:*
UDP
ankit:nbdatagram *:*
Misalnya
kita mengambil satu baris dari tampilan
diatas dan melihat apa yang terdapat
didalamnya:
Proto
Local Address Foreign Address State
TCP
ankit:1031 dwarfie.box.com:ftp
ESTABLISHED
Sekarang,
hal diatas dapat disusun sebagai
berikut:
Protocol:
TCP (Hal ini dapat berupa Transmission
Control Protocol atau TCP, User Datagram
Protocol atau UDP atau sesuatu lainnya
bahkan, IP atau Internet Protocol.)
Local
System Name:
ankit (Ini adalah nama dari sistem lokal
yang mana anda tentukan pada setup
Windows.)
Local
Port yang sedang terbuka dan digunakan
oleh koneksi adalah: 1031
Remote
System:
dwarfie.box.com (Ini adalah bentuk
non-numerik dari sistem dimana kita
terkoneksi.)
Remote
Port:
ftp (Ini adalah nomor port pada sistem
remote dwarfie.box.com yang mana kita
terkoneksi.)
State
of Connection:
ESTABLISHED
‘Netstat’
dengan argumen ‘–a’ normalnya
digunakan untuk mendapatkan daftar dari
port yang terbuka pada sistem anda,
misalnya pada sistem local. Hal ini
dapat berguna untuk memeriksa apakah
pada sistem anda ada terinstalasi trojan
atau tidak. Baiklah, banyak antivirus
yang baik dapat mendeteksi kehadiran
trojan, tetapi, sebagai seorang hacker
tidak perlu software yang memberitahukan
kepada kita. Disamping itu, adalah lebih
menarik untuk mengerjakan sesuatu secara
manual dibandingkan dengan klik pada
tombol ‘Scan’ agar software
melakukannya.
Berikut
ini adalah daftar dari Trojan dan nomor
port yang digunakan oleh mereka. Coba
lakukan Netstat dan jika anda
mendapatkan port berikut dalam keadaan
terbuka, anda harus berhati-hati, dan
dan anda sudah terinfeksi.
Port
12345(TCP) Netbus
Port
31337(UDP) Back Orifice
Untuk
suatu daftar port yang lebih lengkap,
coba mengacu ke Tutorial dan Trojan
pada: hackingtruths.box.sk/manuals.htm
***********************
HACKING
TRUTH: Beberapa diantara kita mungkin
curiga, Apa fungsi nomor port yang
tinggi setelah nama local mesin anda ?
Misalnya.
ankit:1052
Nomor
Port diatas 1024 normalnya merupakan
jenis service tertentu yang berjalan
pada mesin anda. Pada kenyataannya ada
beberapa RFC menggunakan Nomor Port
diatas 1024 misalnya RFC 1700.
Sebenarnya, nomor port diatas 1024
digunakan oleh sistem anda untuk melakukan koneksi ke
komputer remote. Sebagai contoh, misalnya browser anda
ingin membuat suatu koneksi dengan http://www.hotmail.com/,
apa yang akan dilakukannya ?, secara random akan diambil
suatu nomor port diatas 1024, membuka dan mengunakannya
untuk berkomunikasi dengan server Hotmail tersebut.
***********************
OK,
sekarang mari kita bergerak maju, ke
salah satu variasi dari perintah diatas,
yaitu Netstat –n
Perintah
Netstat –n pada dasarnya merupakan
tampilan bentuk numerik dari hasil
perintah dengan Netstat –a. Sesuatu
perbedaan yang paling pokok adalah
bentuk tampilan alamat dari sistem local
dan remote adalah bentuk numerik (Dalam
hal ini –n) yang pada tampilan
sebelumya adalah non-numerik (-a).
Perhatikan
contoh berikut ini untuk suatu
pengertian yang lebih baik:
C:\>netstat
-n
Active
Connections
Proto
Local Address Foreign Address State
TCP
203.xx.251.161:1031 195.1.150.227:21
ESTABLISHED
TCP
203.xx.251.161:1043 207.138.41.181:80
FIN_WAIT_2
TCP
203.xx.251.161:1053 203.94.243.71:110
TIME_WAIT
TCP
203.xx.251.161:1058 195.1.150.227:20
TIME_WAIT
TCP
203.xx.251.161:1069 203.94.243.71:110
TIME_WAIT
TCP
203.xx.251.161:1071 194.98.93.244:80
ESTABLISHED
TCP
203.xx.251.161:1078 203.94.243.71:110
TIME_WAIT
Walaupun
keduanya memberikan hasil yang sama,
tetapi disana ada beberapa perbedaan
yang pokok: -:
- IP
Address ditampilkan secara numerik.
- Saya
tidak yakin, tetapi setelah
mencobanya berulang-ulang, Netstat
–n nampaknya tidak mengembalikan
informasi untuk koneksi non-TCP.
Jadi koneksi UDP tidak ditampilkan.
Jika
anda rajin mengikuti newgroup alt.2600
secara berkesinambungan ataupun
newsgroup-newgroup lainnya, paling
sedikitnya setiap 2-3 hari posting, ada
saja yang bertanya tentang Bagaimana
mengetahui IP komputer saya ?
Baiklah,
option untuk Netstat ini dapat digunakan
untuk menjawab hal tersebut, temukan IP
anda sendiri. Dan banyak orang akan
merasa lebih nyaman dengan tampilan
numerik dibandingkan dengan hostname.
Mendapatkan
IP Address dari seseorang adalah
segalanya, adalah sesuatu yang sangat
dibutuhkan untuk memasuki sistemnya.
Jadi pada dasarnya menyembunyikan IP
Address anda dari hacker dan mendapatkan
IP Address dari korban anda adalah
sangat penting. Menggunakan fasilitas IP
Hiding telah menjadi sesuatu yang
popular. Tetapi apakah ini disebut
sebagai layanan IP Hiding yang
benar-benar Anonymous atau software yang
benar-benar terpercaya dan sempurna
Anonymous? Hanya ada satu jawabannya:
Hal tersebut tidak mendekati benar-benar
Anonymous.
Perhatikan
contoh berikut, untuk mengerti bagaimana
kelemahan dari utiliti seperti ini.
I
Seek You atau ICQ adalah suatu software
chatting yang paling popular. Bukan
hanya mudah, tetapi juga sangat
berkonsentrasi pada security. ICQ
memiliki fasilitas IP Address Hider
didalamnya, yang mana ketika diaktifkan
akan mampu menyembunyikan IP anda dari
pemakai yang menjadi lawan chatting
anda. Bagaimanapun, seperti
software-software IP Hiding lainnya, hal
tersebut bukanlah mendekati baik. Anda
dapat mencari IP Address dari pemakai
ICQ tertentu, walaupun fasilitas IP
Hidingnya diaktifkan, dengan proses
berikut ini.
1.)
Aktifkan ke MSDOS dan ketik Netstat –n
untuk mendapatkan daftar dari port yang
telah dibuka dan IP dari mesin dinama
koneksi terjadi. Catat daftar tersebut
disuatu tempat.
2.)
Sekarang, jalankan ICQ, dan kirim suatu
pesan ke korban anda.
3.)
Sesaat masih dalam chatting, kembali ke
DOS dan berikan perintah Netstat –n
sekali lagi. Anda akan mendapatkan suatu
tanda koneksi baru IP. Ini adalah IP
Address dari korban anda, sudah
mendapatkannya bukan?
Sejauh
ini baik dengan argumen ‘-a’ maupun
‘-n’, kita melihat bahwa koneksi
yang dikembalikan atau ditampilkan pada
layar, bukanlah protocol tertentu.
Maksudnya koneksi dari TCP, UDP ataupun
IP ditampilkan secara keseluruhan.
Bagaimanapun jika anda ingin melihat
koneksi yang berkaitan dengan UDP, anda
dapat melakukannya dengan menggunakan
argumen ‘-p’.
Format
umum dari perintah Netstat dengan
argumen ‘-p’ adalah sebagai berikut:
Netstat
–p xxx
Dimana
xxx dapat berupa UDP atau TCP. Pemakaian
argumen ini akan lebih jelas dengan
contoh berikut, yang mana akan
mendemonstrasikan bagaimana menampilkan
koneksi TCP saja.
C:\>netstat
-p tcp
Active
Connections
Proto
Local Address Foreign Address State
TCP
ankit:1031 dwarfie.box.com:ftp
ESTABLISHED
TCP
ankit:1043 banners.egroups.com:80
FIN_WAIT_2
TCP
ankit:1069 mail2.mtnl.net.in:pop3
TIME_WAIT
TCP
ankit:1078 mail2.mtnl.net.in:pop3
TIME_WAIT
TCP
ankit:1080 mail2.mtnl.net.in:pop3
TIME_WAIT
TCP
ankit:1081 www.burstnet.com:80
FIN_WAIT_2
TCP
ankit:1083 zztop.box.com:80 TIME_WAIT
Hal
ini pada dasarnya tidak ada bedanya,
hanya berupa variasi dari perintah
‘-a’ and ‘-n’.
Lebih
jauh, marilah kita melihat argumen lain
yang berkaitan dengan ‘netstat’.
Sekarang,
kita akan mencoba option ‘-e’ dari
‘netstat’. Mari kita lihat apa yang
akan dikembalikan oleh DOS, ketika
perintah ini diberikan:
C:\>netstat
-e
Interface
Statistics
Received
Sent
Bytes
135121 123418
Unicast
packets 419 476
Non-unicast
packets 40 40
Discards
0 0
Errors
0 0
Unknown
protocols 0
Kadang-kadang
angka data dari paket yang dikirim dan
diterima tidak ditampilkan dengan benar
oleh kesalahan tertentu atau modem yang
tidak kompatibel.
Sekarang
kita telah sampai pada argumen yang
terakhir dalam kaitannya dengan perintah
Netstat, argumen ‘-r’. Argumen ini
jarang digunakan dan agak sulit
dimengerti. Saya akan memberikan contoh
sederhana untuk anda. Suatu keterangan
yang lebih detail tentang hal ini akan
disediakan pada manual lainnya. Hacking
dengan menggunakan Tabel Routing Tables
adalah sesuatu hal yang sangat elite dan
banyak orang tidak menyukainya.
Bagaimanapun, sepertinya semua hal yang
berkaitan dengan komputer, adalah tidak
sulit untuk dilakukan, demikian juga
tentang hal ini.
C:\windows>netstat
-r
Route
Table
Active
Routes:
Network
Address Netmask Gateway Address
Interface Metric
0.0.0.0
0.0.0.0 203.94.251.161 203.94.251.161 1
127.0.0.0
255.0.0.0 127.0.0.1 127.0.0.1 1
203.94.251.0
255.255.255.0 203.94.251.161
203.94.251.161 1
203.94.251.161
255.255.255.255 127.0.0.1 127.0.0.1 1
203.94.251.255
255.255.255.255 203.94.251.161
203.94.251.161 1
224.0.0.0
224.0.0.0 203.94.251.161 203.94.251.161
1
255.255.255.255
255.255.255.255 203.94.251.161
203.94.251.161 1
Network
Address Netmask Gateway Address
Interface Metric
0.0.0.0
0.0.0.0 203.94.251.161 203.94.251.161 1
127.0.0.0
255.0.0.0 127.0.0.1 127.0.0.1 1
203.94.251.0
255.255.255.0 203.94.251.161
203.94.251.161 1
203.94.251.161
255.255.255.255 127.0.0.1 127.0.0.1 1
203.94.251.255
255.255.255.255 203.94.251.161
203.94.251.161 1
224.0.0.0
224.0.0.0 203.94.251.161 203.94.251.161
1
255.255.255.255
255.255.255.255 203.94.251.161
203.94.251.161 1
Active
Connections
Proto
Local Address Foreign Address State
TCP
ankit:1031 dwarfie.box.com:ftp
ESTABLISHED
TCP
ankit:1043 banners.egroups.com:80
FIN_WAIT_2
TCP
ankit:1081 www.burstnet.com:80
FIN_WAIT_2
TCP
ankit:1093 zztop.box.com:80 TIME_WAIT
TCP
ankit:1094 zztop.box.com:80 TIME_WAIT
TCP
ankit:1095 mail2.mtnl.net.in:pop3
TIME_WAIT
TCP
ankit:1096 zztop.box.com:80 TIME_WAIT
TCP
ankit:1097 zztop.box.com:80 TIME_WAIT
TCP
ankit:1098 colo88.acedsl.com:80
ESTABLISHED
TCP
ankit:1099 mail2.mtnl.net.in:pop3
TIME_WAIT
|