ETTERCAP - The Easy Tutorial - Pembalasan

Ettercap Pembalasan
Terakhir dibuat: Feb 02 2008


Tool
Install
Ergonomy
Forum



Selengkapnya Apa itu Ettercap?
Persyaratan dan Instalasi
ARP Poisoning
Serangan « penengah »
Statistik
Pembalasan

Indonesian translation by Muhammad Takdir.



⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!


Melawan secara efektif dan efisien ARP Poisoning bukanlah pekerjaan mudah karena protokol ARP tidak memungkinkan untuk menyediakan kebenaran dari sumber-sumber paket yang datang.
Meskipun demikian, kami menawarkan disini beberapa cara untuk melindungi mesin anda melawan para spoofer ini.

1. STATIC ARP 2. SURVEILLANCE TOOLS 3. PORT SECURITY 4. CONCLUSION



1. ARP STATIK

ARPing statik berarti bahwa anda secara manual mengkonfigurasi IP ke pemetaan MAC.

Mesin Windows

C:\Documents and Settings\administrator>arp -s 192.168.1.1   11-22-33-44-11-11
Lihat pada tabel cache ARP anda:

C:\Documents and Settings\administrator>arp -a
Interface: 192.168.1.2 --- 0x2
Internet Address
192.168.1.1
192.168.1.100
Physical Address
11-22-33-44-11-11
11-22-33-44-99-99
Type
static
dynamic
Mesin Linux

#arp -s 192.168.1.1 11:22:33:44:11:11
Lihat pada tabel cache ARP anda:

#arp
Address
192.168.1.1
HWtype
ether
HWaddress
11:22:33:44:11:11
Flags Mask
CM
Iface
eth0
Router Cisco

router#configure terminal
router(config)#arp 192.168.1.2 1122.3344.5566 ARPA
Pembuatan alamat statik IP-MAC akan mencegah ARP Poisoning tapi memiliki dua kerugian besar :
-
 
-
Ini akan membuat pekerjaan lebih banyak pada administrator dan ini tidak sesuai pada lingkungan dimana user seringkali memindahkan laptopnya
Ini tidak melindungi tipe serangan ARP lainnya seperti pencurian port.
Kembali ke bagian atas halaman



2. Aplikasi pengawasan

Arpwatch

Arpwatch adalah aplikasi untuk memonitor aktifitas ARP pada jaringan dan secara khusus jika sebuah perubahan terjadi pada alamat MAC IP yang berasosiasi. Untuk alasan ini, akan sangat menolong mendeteksi serangan ARP seperti ARP Spoofing dan bisa memperingatkan administrator lewat email pada kasus-kasus aktifitas ARP yang mencurigakan (sebagaimana sebuah flip-flop pada Arpwatch).

#apt-get install arpwatch
Secara default, Arpwatch mengirim lognya pada file /var/log/syslog, anda bisa menggunakan perintah tail /var/log/syslog untuk mengecek log secara real time.


Ettercap

Install Ettercap in graphical mode.

#apt-get install ettercap-gtk
Pasang Ettercap dengan mode grafis.

#ettercap -G
Sniff -> Unified sniffing...
Unified sniffing sniff man in the middle attack openmaniak ettercap
Unified sniffing sniff man in the middle attack  openmaniak ettercap
 
 
 
 
 

Plugins -> Manage the plugins
Klik pada plugin arp_corp untuk mengaktifkan.

Manage the plugins plugins man in the middle attack  openmaniak ettercap

Start -> Start Sniffing
Start Sniffing  start man in the middle attack  openmaniak ettercap

Snort IDS

Sebuah Sistem Pendeteteksi Gangguan seperti Snort IDS bisa mendeteksi aktifitas ARP yang tidak normal dan mengirim email untuk memberitahu administrator.

Kembali ke bagian atas halaman



3. PORT KEAMANAN

Port keamanan adalah sebuah fungsi keamanan yang tersedia pada beberapa switch tingkat tinggi.
Ini hanya akan mengizinkan perangkat dengan alamat MAC yang sudah pasti untuk terkoneksi ke port switch, dan dalam kasus mesin tidak dikenali, switch akan mengambil aksi memperingatkan administrator dengan perangkap SNMP atau mematikan port yang salah secepatnya.

Dibawah ini adalah contoh dengan switch Cisco dimana port pertama (FastEthernet0/1) dikonfigurasi sebagao port-keamanan.
Port switch hanya akan menerima alamat MAC yang unik dan alamat MAC akan pertama terlihat oleh port switch (kata kunci utama). Jika port switch melihat alamat MAC lain pada port pertama maka akan segerea dimatikan.

Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security violation shutdown
Setelah konfigurasi switch, kami memasukkan sebuah peralatan dengan alamat MAC 1122.3344.5566 pada FastEthernet0/1, yang tidak akan menerima lagi alamat MAC yang lain.

Switch# show port-security
Secure Port   MaxSecureAddr   CurrentAddr   SecurityViolation   Security Action
                         (Count)          (Count)            (Count)
---------------------------------------------------------------------------
   Fa1/0/1               1                    1                    0          Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272

Switch# show port-security interface FastEthernet 0/1
Port Security
Port Status
Violation Mode
Aging Time
Aging Type
SecureStatic Address Aging
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
Security Violation Count
:
:
:
:
:
:
:
:
:
:
:
:
Enabled
Secure-up
Shutdown
0 mins
Absolute
Disabled
1
1
0
1
1122.3344.5566:1
0
Switch#show port-security address
          Secure Mac Address Table
----------------------------------------------------------------------------
Vlan    Mac Address        Type                  Ports            Remaining Age
                                                                              (mins)
----    -----------          ----                    -----          -------------
1        1122.3344.5566    SecureSticky        Fa0/1              -
----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6272


Kami mengeluarkan peralatan sekarang (MAC: 1122.3344.5566) dan memasukkan peralatan lain (MAC: 1122.3344.9999). Sebagaimana terlihat berikut ini, switch akan mematikan port pertama dan menggantinya dengan status err-disable.

Switch# show port-security interface FastEthernet 0/1
Port Security
Port Status
Violation Mode
Aging Time
Aging Type
SecureStatic Address Aging
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
Security Violation Count
:
:
:
:
:
:
:
:
:
:
:
:
Enabled
Secure-down
Shutdown
0 mins
Absolute
Disabled
1
1
0
1
1122.3344.9999:1
0
Switch#show logging
00:06:28:
 
00:06:28
 
00:06:29:
 
00:06:30:
%PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1122.3344.9999 on port FastEthernet0/1.
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
Switch#show interfaces status | include 0/1
Port
-------
Fa0/1
Name
------------------
 
Status
------------
err-disabled
Vlan
--------
1
Duplex
------
auto
Speed
-------
auto
Type
----
10/100BaseTX
Jika anda akan mengaktifkan lagi port yang dalam keadaan err-disable, gunakan perintah berikut:

Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
Aktifasi Port-keamanan tidak akan melindungi ARP spoofing tetapi kemungkinan dari pembajak untuk terhubung ke jaringan.



4. KESIMPULAN

Tidak ada penyelesaian yang hebat untuk melawan ARP Spoofing tapi saran-saran dibawah menyediakan penyelesaian yang signifikan untuk melindungi pembajak terhubung ke jaringan atau mengecek jaringan anda.
-
 
-
Pembatasan jaringan dengan port keamanan atau juga dengan 802.1x protocol dimana mesin diberi hak pada jaringan hanya jika diterima oleh server otentikasi seperti RADIUS.
Pengawasan jaringan dengan aplikasi seperti IDS.

Kembali ke bagian atas halaman