Memahami apa itu ARP Poisoning atau ARP Spoofing

Standar

arp poisonSebenernya tulisan tentang arp spoofing atau arp poison banyak di internet,, gue posting disini ya cuma mau update blog aja, hahahaa,,tapi lumayan lah bagi yang suka sniffing di warnet pake tools kayak dsniff, ettercap, cain and abel tapi gak tau gimana cara kerjanya tools tersebut disini gue jelasin secara singkat tentang ARP spoofing. ARP spoofing merupakan konsep dari serangan penyadapan diantara terhadap dua mesin yang sedang berkomunikasi atau yang disebut dengan Man in The Middle Attack. Sebuah aplikasi alat bantu untuk menganalisa paket dari protokol kita pergunakan alat yang disebut wireshark di unduh di situs http://www.wireshark.org. Kita akan melakukan ARP spoofing dengan menggunakan skrip “arpret.c” skrip tersebut dibuat dengan bahasa pemrograman C yang bekerja dengan mengirim ARP reply palsu kepada host target dan hanya bisa dijalankan dalam sistem operasi Linux. Linux Slackware versi 12.1 berjalan di komputer penyadap yang menjalankan skrip tersebut mempunyai IP 192.168.10.22 dengan MAC address 00:1e:ec:c4:86:67 selain itu dilakukan setting kernel untuk bisa mem-forward paket ke tujuan lain dengan kata lain meneruskan paket yang telah diterima.

Host yang menjadi sasaran adalah komputer yang berfungsi sebagai gateway menjalankan sistem operasi Linux Fedora 8 dengan IP 192.168.10.7 (00:0C:F1:86:E3:35) dan komputer pengguna dengan sistem operasi Ms Windows XP SP2 yang menggunakan layanan yang ada di gateway dengan IP 192.168.10.4 (00:0C:F1:96:A7:1C).

Setelah proses kompilasi skrip “arpret.c” di sistem operasi Linux Slackware, lalu kita akan mencoba mengirimkan sebuah ARP-reply palsu kepada komputer 192.168.10.7 dimana headernya kita memberikan MAC address penyusup tapi dengan IP 192.168.10.4 yang bertindak sebagai gateway dengan maksud komputer agar komputer penyusup dianggap gateway oleh komputer 192.168.10.7. Kita mengatur kernel agar bisa melakukan meneruskan paket dengan perintah dalam konsole Linux seperti di bawah ini :

# echo ”1” > /proc/sys/net/ipv4/ip_forwarding

Dilanjutkan dengan kompilasi skrip dan menjalankan skrip dengan opsi menggunakan kartu Ethernet eth0. Header ARP-reply berisi alamat IP gateway 192.168.10.4 tapi dengan MAC address 00:1e:ec:c4:86:67 lalu dikirimkan ke IP 192.168.10.6 dan opsi –k2 dengan maksud proses meracuni ARP cache dilakukan secara terus-menerus.

./arpret -i eth0 -s 192.168.10.4 -S 00:1e:ec:c4:86:67 -d 192.168.10.7 -D 00:50:ba:83:1b:d1 -k2

Hal diatas mengakibatkan ter-manipulasinya isi cache ARP yang sebelumnya cache untuk komputer gateway adalah 00:0C:F1:96:A7:1C tapi berubah menjadi MAC address dari komputer penyusup 00:1e:ec:c4:86:67. Seperti yang terlihat pada gambar dibawah ini pada komputer 192.168.10.7 yang menjalankan sistem operasi MS Windows XP SP2 dengan mengetikkan arp –a untuk melihat semua ARP cache yang tersimpan.

sebelum spoofing

sebelum arp spoofing

Dan berikut gambar ARP cache setelah diracuni menyimpan MAC address penyusup untuk alamat IP 192.168.10.4.

setelah spoof

arp cache setelah arp spoofing berubah

Dalam setiap host dan perangkat switch dalam jaringan menyimpan catatan daftar MAC dan IP Address yang disebut dengan ARP cache. Sistem akan menggunakan ARP cache untuk berhubungan dengan host lain dalam pertukaran data. Jika alamat tidak terdapat dalam daftar di memori atau ARP cache, sistem akan menggunakan ARP untuk mencari tahu MAC address pada host tujuan dan perangkat switch menggunakan tabel ARP untuk membatasi trafik hanya untuk MAC address yang terdaftar pada port.

Arp spoofing adalah teknik untuk menyadap frame data dalam jaringan lokal, mengubah lalu lintas data atau memberhentikan lalu lintas data. Seorang penyusup dalam melakukan ARP spoofing akan mengirim pesan ARP palsu ke ethernet jaringan lokal dengan tujuan menyamakan alamat MAC dengan komputer lain misalnya komputer gateway. Jadi setiap lalu lintas data terhadap IP gateway akan mengarah terlebih dahulu ke komputer penyusup sebagai gateway palsu yang akhirnya diteruskan ke gateway yang asli dan memungkinkan untuk memodifikasi data sebelum diteruskan ke gateway. Aksi ini disebut dengan Man in The Middle Attack.

Sebelum serangan terjadi ARP cache dalam keadaan normal menyimpan alamat MAC dari tujuan transmisi data. Target penyadapan adalah di antara dua mesin yang terhubung pada jaringan yang sama dengan penyusup yaitu korban 1 pada IP 192.168.10.4 (00:0C:F1:96:A7:1C) dengan mesin korban 2 pada IP 192.168.10.7 (00:0C:F1:86:E3:35) dan mesin penyusup pada IP (00:1e:ec:c4:86:67). Pada serangan dilakukan sang penyusup akan melakukan pengiriman paket ARP-Reply yang berisi MAC dari mesin penyusup.

penyusup —> korban 1 : (IP korban 2) is at (MAC penyusup)
penyusup —> korban 2 : (IP korban 1) is at (MAC penyusup)

Jika kita analisa paket-paket yang dikirimkan penyusup ke korban menggunakan aplikasi bantu untuk analisa paket dalam jaringan yang bernama wireshark akan tampak seperti dibawah ini :

arp poison

analisa arp poison dengan wireshark

Seperti yang kita lihat komputer penyusup mengirim ARP-reply kepada IP 192.168.10.4 berikut dengan alamat MAC dari komputer penyusup 00:1e:ec:c4:86:67 dan hal yang sama dikirimkan ARP-reply kepada IP 192.168.10.7 berikut dengan alamat MAC dari komputer penyusup 00:1e:ec:c4:86:67. Lalu lintas yang terjadi antara korban 1 dan korban 2 akan diterima terlebih dahulu oleh komputer penyusup sebelum di teruskan ke tujuan data yang bisa disadap adalah transmisi tidak menggunakan enkripsi atau berbasis plain text seperti   TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, NS, MySQL, HTTP, NNTP, X11, NAPSTER, IRC, RIP, BGP, SOCKS 5, IMAP 4, VNC, LDAP, NFS, SNMP, HALF LIFE, QUAKE 3, MSN, YMSG.

Sudah cukup disini saja,, maaf tanggung,, :) .. tinggal kasih komen aje klo krang jlas,,gara tulisan gak jelas di atas,,,

32 thoughts on “Memahami apa itu ARP Poisoning atau ARP Spoofing

  1. Husnin Mubarak

    Posting yang cukup menarik,
    Di tulisan diatas menganalisa dan memahami ARP spoofing dikomputer kita. Bagaimana dengan posisi sebaliknya. PC kita dengan ip dan mac adress tertentu dapat mengetahui bahwa kita sedang dalam target arp spoofing. Terimakasih

    • makasi sbelumnya,. kalo mas pakai cra manual ketik di command prompt arp -a
      nah stlah perintah dijalankan akan muncul daftar ip berikut mac address yang sudah terkoneksi,tinggal kita pantau,jika terjadi perubahan di mac address,anda sedang di sadap..
      ataw kita pergunakan software ARP GUARD atau ARP WATCh,. Dijamin Tokcer.. :p

      • doke

        mas.. mau tanya ne..

        pada perintah :
        ./arpret -i eth0 -s 192.168.10.8 -S 00:1e:ec:c4:86:67 -d 192.168.10.6 -D 00:50:ba:83:1b:d1 -k2

        IP : 192.168.10.6
        Mac : 00:50:ba:83:1b:d1

        itu ipny ip mana mas..?
        terus MACny dari mana mas??

        makasih

      • ups sorry ‘doke’ maksudnya begini ./arpret -i eth0 -s 192.168.10.4 -S 00:1e:ec:c4:86:67 -d 192.168.10.7 -D 00:50:ba:83:1b:d1 -k2

        MAC nya dari mengetikan ping ke host tujuan, dan ketik arp -a

  2. thx mas…
    arp poison ini tujuan utamanya apa yah??
    apa kita juga bisa tau password WAP yang secure dengan password? misalnya kayak aircrack, yg bisa ngedetect pass ma mc add nya WAP…!! thx ya mas…!!

  3. Thank you sharing these kind of wonderful threads. In addition, an excellent travel plus medical insurance program can often eradicate those problems that come with visiting abroad. Some sort of medical emergency can in the near future become extremely expensive and that’s absolute to quickly put a financial impediment on the family’s finances. Having in place the best travel insurance deal prior to setting off is worth the time and effort. Thanks

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Logout / Ubah )

Twitter picture

You are commenting using your Twitter account. Logout / Ubah )

Facebook photo

You are commenting using your Facebook account. Logout / Ubah )

Google+ photo

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s