Analisis Serangan Spoofing ARP di Wireshark

Analisis Serangan Spoofing Arp Di Wireshark



Kita mungkin pernah mendengar banyak serangan jaringan. ARP spoofing adalah salah satu dari banyak serangan jaringan. Spoofing ARP adalah mekanisme di mana permintaan ARP dikirim secara kontroversial ke jaringan area lokal oleh penyerang. Jika ada balasan ARP yang berasal dari korban, alamat MAC penyerang diperbarui dengan alamat IP dari host lain yang sebenarnya sehingga lalu lintas sebenarnya masuk ke sistem penyerang, bukan ke sistem sebenarnya. Pada artikel ini, mari kita pelajari lebih detail tentang serangan spoofing ARP.

Alat untuk Digunakan dalam Serangan Spoofing ARP

Ada banyak alat seperti Arpspoof, Cain & Abel, Arpoison, dan Ettercap yang tersedia untuk memulai spoofing ARP.

Berikut adalah tangkapan layar untuk menunjukkan bagaimana alat yang disebutkan dapat mengirimkan permintaan ARP secara kontroversial:







Serangan Spoofing ARP secara Detail

Mari kita lihat beberapa screenshot dan memahami ARP spoofing langkah demi langkah:



Langkah 1 :



Harapan penyerang adalah mendapatkan balasan ARP sehingga dapat mempelajari alamat MAC korban. Sekarang, jika kita melangkah lebih jauh pada tangkapan layar yang diberikan, kita dapat melihat bahwa ada 2 balasan ARP dari alamat IP 192.168.56.100 dan 192.168.56.101. Setelah ini, korban [192.168.56.100 and 192.168.56.101] memperbarui cache ARP-nya tetapi tidak melakukan query balik. Jadi, entri di cache ARP tidak pernah diperbaiki.

Nomor paket permintaan ARP adalah 137 dan 138. Nomor paket respons ARP adalah 140 dan 143.



Dengan demikian, penyerang menemukan kerentanan dengan melakukan spoofing ARP. Ini disebut sebagai 'masuknya serangan'.

Langkah 2:
Nomor paket adalah 141, 142 dan 144, 146.

Dari aktivitas sebelumnya, penyerang sekarang memiliki alamat MAC yang valid 192.168.56.100 dan 192.168.56.101. Langkah penyerang selanjutnya adalah mengirimkan paket ICMP ke alamat IP korban. Dan kita dapat melihat dari tangkapan layar yang diberikan bahwa penyerang mengirim paket ICMP dan mendapat balasan ICMP dari 192.168.56.100 dan 192.168.56.101. Ini berarti kedua alamat IP [192.168.56.100 dan 192.168.56.101] dapat dijangkau.

Langkah 3:

Kita dapat melihat bahwa ada permintaan ARP terakhir untuk alamat IP 192.168.56.101 untuk mengonfirmasi bahwa host tersebut aktif dan memiliki alamat MAC yang sama yaitu 08:00:27:dd:84:45.

Nomor paket yang diberikan adalah 3358.

Langkah 4:

Ada lagi permintaan dan tanggapan ICMP dengan alamat IP 192.168.56.101. Nomor paket adalah 3367 dan 3368.

Kita dapat berpikir dari sini bahwa penyerang menargetkan korban yang memiliki alamat IP 192.168.56.101.

Sekarang, setiap informasi yang berasal dari alamat IP 192.168.56.100 atau 192.168.56.101 ke IP 192.168.56.1 sampai ke penyerang alamat MAC yang alamat IP-nya adalah 192.168.56.1.

Langkah 5:

Setelah penyerang memiliki akses, ia mencoba membuat koneksi yang sebenarnya. Dari tangkapan layar yang diberikan, kita dapat melihat bahwa pembuatan koneksi HTTP sedang dicoba oleh penyerang. Ada koneksi TCP di dalam HTTP yang berarti harus ada jabat tangan 3-WAY. Ini adalah pertukaran paket untuk TCP:

SYN -> SYN+ACK -> ACK.

Dari tangkapan layar yang diberikan, kita dapat melihat bahwa penyerang mencoba kembali paket SYN berkali-kali pada port yang berbeda. Nomor bingkai 3460 hingga 3469. Nomor paket 3469 SYN adalah untuk port 80 yang merupakan HTTP.

Langkah 6:

Jabat tangan TCP pertama yang berhasil ditunjukkan pada nomor paket berikut dari tangkapan layar yang diberikan:

4488: Bingkai SYN dari penyerang
4489: bingkai SYN+ACK dari 192.168.56.101
4490: Bingkai ACK dari penyerang

Langkah 7:

Setelah koneksi TCP berhasil, penyerang dapat membuat koneksi HTTP [nomor frame 4491 hingga 4495] diikuti oleh koneksi SSH [nomor frame 4500 hingga 4503].

Sekarang, serangan tersebut memiliki kontrol yang cukup sehingga dapat melakukan hal berikut:

  • Serangan pembajakan sesi
  • Man in the middle attack [MITM]
  • Serangan Denial of Service (DoS).

Cara Mencegah Serangan ARP Spoofing

Berikut adalah beberapa perlindungan yang dapat diambil untuk mencegah serangan spoofing ARP:

  1. Penggunaan entri 'ARP Statis'.
  2. Perangkat lunak pendeteksi dan pencegahan spoofing ARP
  3. Penyaringan paket
  4. VPN, dll.

Selain itu, kita dapat menghentikan hal ini terjadi lagi jika kita menggunakan HTTPS alih-alih HTTP dan menggunakan keamanan lapisan transport SSL (Secure Socket layer). Ini agar semua komunikasi dienkripsi.

Kesimpulan

Dari artikel ini, kami mendapatkan beberapa ide dasar tentang serangan spoofing ARP dan bagaimana serangan ini dapat mengakses sumber daya sistem apa pun. Juga, kita sekarang tahu bagaimana menghentikan serangan semacam ini. Informasi ini membantu administrator jaringan atau pengguna sistem apa pun untuk melindungi dari serangan spoofing ARP.

Lainnya

Kategori

Pesan Populer

Cara Menginstal Kompiler GCC untuk Windows

Cara Menghapus Akun Google dari Google Chrome

Penginstal dan Changelog Offline Windows 11 KB5026446 Momen 3

Cara Memperbaiki Komputer Windows 10/11 Menggunakan Drive USB

Cara Mengaktifkan Windows Defender Menggunakan PowerShell

Bisakah Arduino Berjalan di Power Bank

Apa itu Folder .git?

Cara Mendapatkan Pembaruan Video & Berbagi Layar Terbaru di Discord

Windows 7 Memungkinkan Anda Mengubah Gambar Latar Belakang Logon - Winhelponline

Bagaimana Proses Pembuatan Header Menggunakan HTML dan CSS?

Cara Mengubah Warna Opsi yang Dipilih Menggunakan CSS

Cara Memperbarui Debian

Menggunakan Pernyataan di PowerShell

Perbaiki Kesalahan Perselisihan 1105 pada PC Windows

Bagaimana Cara Menulis ke DOM HTML dengan Metode Document Writeln()?

Cara Menghasilkan Bilangan Bulat Acak di C#

Cara Membalik Vektor di MATLAB

Cara Menggunakan Modul Real-Time Clock (RTC) DS3231 dengan ESP32

5 Alat Berguna untuk Mengosongkan Ruang Disk di Raspberry Pi

Cara Mengubah Kecerahan Senter di iPhone