2. Gambarkan dan jelaskan format datagram ARP Request/Reply
3. Berada dimanakah tabel ARP cache itu (di directory apa?)
4. Cari option – option pada command arp (misal arp –a, arp -??), dan jelaskan maksud
dan kegunaannya.
5. Cari informasi tentang software sniffer tcpdump berikut command – command yang
ada pada tcpdump dan apa kegunaannya
6. Jelaskan cara penggunaan software wireshark, dan bagaimana cara melakukan filter
terhadap :
a. Paket arp
b. Hanya dari source atau destination nomor IP yang ditampilkan pada display ?
Jawab
1. ARP (Address Resolution Protocol).
Untuk keperluan mapping IP address ke Alamat Ethernet maka di buat protokol ARP (Address Resolution Protocol). Proses mapping ini dilakukan hanya untuk datagram yaang dikirim host karena pada saat inilah host menambahkan header Ethernet pada datagram. Penerjemahan dari IP address ke alamat Ethernet dilakukan dengan melihat sebuah tabel yang disebut sebagai cache ARP, lihat tabel 1. Entri cache ARP berisi IP address host beserta alamat Ethernet untuk host tersebut. Tabel ini diperlukan karena tidak ada hubungan sama sekali antara IP address dengan alamat Ethernet. IP address suatu host bergantung pada IP address jaringan tempat host tersebut berada, sementara alamat Ethernet sebuah card bergantung pada alamat yang diberikan oleh pembuatnya.
2. Spesifikasi ARP dapat dilihat di RFC 826.
Cara kerja protokol ARP :
Host Y melakukan broadcast dengan mengirimkan pesan ARP Request, apabila host yang dituju berada dalam satu jaringan maka host tersebut akan mengirimkan pesat ARP Reply yang berisikan informasi MAC. Bila host yang dituju berada dalam jaringan yang berbeda maka yang akan mengirimka ARP Reply adalah Router yang memisahkan jaringan tersebut. Komputer akan menyimpan ARP broadcast request ini kedalam ARP cache. ARP cache ini akan disimpan di RAM dan besifat sementara. ARP cache ini berisi tabel IP host serta phisical address komputer. ARP cache akan bertambah jika ARP Request mendapat jawaban. Anda dapat melihat ARP cache anda dengan mengetik “arp -a” pada CMD. Anda dapat menghapus ARP cache anda dengan mengetik “arp -d ”. Anda juga dapat mengatur sebuah static ARP dengan menuliskan “arp -s ”.
3. ARP cache ada di directory “hkey_local_machine/software/microsoft/windows/currentversion/app
management/arpcache/”
management/arpcache/”
4. ARP-s eth_addr inet_addr] if_addr [
ARP-d inet_addr [if_addr]
ARP-a inet_addr [] [-N if_addr]
ARP-d inet_addr [if_addr]
ARP-a inet_addr [] [-N if_addr]
-A Menampilkan entri ARP arus oleh menginterogasi arus
protokol data. Jika inet_addr yang ditentukan, IP dan fisik
hanya alamat komputer tertentu akan ditampilkan. Jika
lebih dari satu antarmuka jaringan menggunakan ARP, entri
untuk setiap tabel ditampilkan.
protokol data. Jika inet_addr yang ditentukan, IP dan fisik
hanya alamat komputer tertentu akan ditampilkan. Jika
lebih dari satu antarmuka jaringan menggunakan ARP, entri
untuk setiap tabel ditampilkan.
ARP-G Sama seperti-a.
inet_addr Menentukan alamat internet.
ARP-N if_addr Menampilkan entri ARP untuk interface jaringan yang ditentukan oleh if_addr.
-D Menghapus host ditentukan oleh inet_addr. mungkin inet_addr
wildcarded dengan * untuk menghapus semua host.
wildcarded dengan * untuk menghapus semua host.
-S Menambahkan host dan mengasosiasikan alamat Internet inet_addr dengan eth_addr alamat fisik. Alamat fisik
diberikan sebagai 6 byte heksadesimal dipisahkan dengan tanda
hubung. Entri adalah permanen.
diberikan sebagai 6 byte heksadesimal dipisahkan dengan tanda
hubung. Entri adalah permanen.
eth_addr Menentukan alamat fisik.
if_addr Jika ada, ini menentukan alamat Internet dari
tabel alamat antarmuka yang harus diubah terjemahan
Jika tidak hadir, interface yang berlaku pertama akan digunakan.
tabel alamat antarmuka yang harus diubah terjemahan
Jika tidak hadir, interface yang berlaku pertama akan digunakan.
5. Tcpdump dapat membantu kita dalam melakukan analisis yang mendalam terhadap trafik network yang ada pada komputer kita, pada server kita, atau pada jaringan. command pada tcpdump:
# tcpdump -i eth0
Menangkap paket dari antarmuka ethernet tertentu. Ketika dieksekusi perintah tcpdump tanpa pilihan apapun, itu akan menangkap semua paket yang mengalir melalui semua interface. Opsi -i memungkinkan untuk menyaring pada interface ethernet tertentu.
Menangkap paket dari antarmuka ethernet tertentu. Ketika dieksekusi perintah tcpdump tanpa pilihan apapun, itu akan menangkap semua paket yang mengalir melalui semua interface. Opsi -i memungkinkan untuk menyaring pada interface ethernet tertentu.
# tcpdump -c 2 -i eth0
Hanya menangkap jumlah ke-N pada paket. Ketika dieksekusi perintah tcpdump, ini memberikan paket sampai membatalkan perintah tcpdump. Menggunakan opsi -c dapat menentukan jumlah paket yang akan ditangkap. Misal, hanya menangkap 2 paket dari intercafe eth0.
Hanya menangkap jumlah ke-N pada paket. Ketika dieksekusi perintah tcpdump, ini memberikan paket sampai membatalkan perintah tcpdump. Menggunakan opsi -c dapat menentukan jumlah paket yang akan ditangkap. Misal, hanya menangkap 2 paket dari intercafe eth0.
# tcpdump -A -i eth0
Menangkap tampilan paket dalam bentuk ASCII. Tambahkan opsi -A untuk mencetak paket dalam bentuk ASCII.
Menangkap tampilan paket dalam bentuk ASCII. Tambahkan opsi -A untuk mencetak paket dalam bentuk ASCII.
# tcpdump -XX -i eth0
Menangkap tampilan paket dalam HEX dan ASCII. Beberapa pengguna mungkin ingin menganalisa paket dalam nilai hex, tcpdump menyediakan cara untuk mencetak paket dalam format kedua-duanya yaitu format ASCII dan HEX. Gunakan opsi -XX.
Menangkap tampilan paket dalam HEX dan ASCII. Beberapa pengguna mungkin ingin menganalisa paket dalam nilai hex, tcpdump menyediakan cara untuk mencetak paket dalam format kedua-duanya yaitu format ASCII dan HEX. Gunakan opsi -XX.
# tcpdump -w 08232010.pcap -i eth0
Menangkap paket dan menulis ke file tcpdump memungkinkan untuk menyimpan paket ke file. Kemudian dapat digunakan paket file untuk analisis lebih lanjut. Gunakan opsi -W. Opsi ini menulis paket kedalam file yang diberikan. Ekstensi file harus .pcapyang dapat dibaca oleh setiap protokol jaringan analyzer.
Menangkap paket dan menulis ke file tcpdump memungkinkan untuk menyimpan paket ke file. Kemudian dapat digunakan paket file untuk analisis lebih lanjut. Gunakan opsi -W. Opsi ini menulis paket kedalam file yang diberikan. Ekstensi file harus .pcapyang dapat dibaca oleh setiap protokol jaringan analyzer.
# tcpdump -tttt -r data.pcap
Membaca paket dari file yang disimpan. Dengan menambahkan opsi -r, ini dapat membaca file pcap lalu ditangkap dan melihat paket tersebut untuk di analisis.
Membaca paket dari file yang disimpan. Dengan menambahkan opsi -r, ini dapat membaca file pcap lalu ditangkap dan melihat paket tersebut untuk di analisis.
# tcpdump -n -i eth0
Menangkap paket dengan alamat IP. Tambahkan opsi -n untuk menangkap paket dan ini akan menampilkan alamat IP dari mesin yang terlibat.
Menangkap paket dengan alamat IP. Tambahkan opsi -n untuk menangkap paket dan ini akan menampilkan alamat IP dari mesin yang terlibat.
# tcpdump -w g_1024.pcap greater 1024
# tcpdump -w l_1024.pcap less 1024
Membaca paket lebih besar atau lebih rendah dari N byte. Ini hanya dapat menerima paket lebih besar dari jumlah n byte menggunakan filter greater melalui perintah tcpdump dapat pula menerima paket lebih rendah dari jumlah n byte menggunakan filter less.
# tcpdump -w l_1024.pcap less 1024
Membaca paket lebih besar atau lebih rendah dari N byte. Ini hanya dapat menerima paket lebih besar dari jumlah n byte menggunakan filter greater melalui perintah tcpdump dapat pula menerima paket lebih rendah dari jumlah n byte menggunakan filter less.
# tcpdump -i eth0 arp
Hanya menerima paket dari tipe protokol tertentu. Ini dapat menerima paket berdasarkan jenis protokol dan dapat menentukan salah satu dari protokol : fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp dan udp.
Hanya menerima paket dari tipe protokol tertentu. Ini dapat menerima paket berdasarkan jenis protokol dan dapat menentukan salah satu dari protokol : fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp dan udp.
# tcpdump -w xpackets.pcap -i eth0 dst 10.181.140.216 and port 22
Menangkap paket untuk IP dan port tujuan tertentu. Paket akan memiliki IP sumber dan tujuan dan nomor port. Menggunakan tcpdump dapat menerapkan penyaring/filter pada sumber atau tujuan IP dan nomor port.
Menangkap paket untuk IP dan port tujuan tertentu. Paket akan memiliki IP sumber dan tujuan dan nomor port. Menggunakan tcpdump dapat menerapkan penyaring/filter pada sumber atau tujuan IP dan nomor port.
# tcpdump -w comm.pcap -i eth0 dst 16.181.170.246 and port 22
Menangkap paket komunikasi TCP antara dua host. Jika dua proses yang berbeda dari dua mesin yang berbeda berkomunikasi melalui protokol tcp, ini dapat menangkap paket-paket menggunakan tcpdump. Anda dapat membuka file menggunakan comm.pcap dengan network protokol analyzer untuk debug setiap potensi masalah.
Menangkap paket komunikasi TCP antara dua host. Jika dua proses yang berbeda dari dua mesin yang berbeda berkomunikasi melalui protokol tcp, ini dapat menangkap paket-paket menggunakan tcpdump. Anda dapat membuka file menggunakan comm.pcap dengan network protokol analyzer untuk debug setiap potensi masalah.
6. WIRESHARK adalah sebuah Network Packet Analyzer. Network Packet Analyzer akan mencoba “menangkap” paket-paket jaringan
dan berusaha untuk menampilkan semua informasi di paket tersebut sedatail mungkin.
cara penggunaan wireshark
Instalasi WireShark :cara penggunaan wireshark
Untuk instalasi WireShark sepertinya tidak memerlukan perlakuan tambahan apa-apa, apabila kita tidak yakin dengan setingan manual, coba saja instal dengan setingan default installer. Pada saat instalasi WireShark, kita juga akan diminta penginstall WinPcap,apabila tidak mempunyai WinPcap, nanti kita tidak akan bisa meng-capture menggunakan WireShark, namun masih bisa membuka hasil capture-an, oleh karena itu install saja WinPcap.
Menjalankan WireShark
Setelah menginstall WireShark, mari kita mulai menjalankan WireShark.
Jalankan saja lewat shortcut yang ada di start menu seperti ini:
Setelah itu akan muncul Splash Screen dari WireShark yang sedang me-load
komponen-komponen yang diperlukan
Berikut ini adalah contoh tampilan WireShark yang sedang meng-capture
Berikut ini adalah contoh tampilan WireShark yang sedang meng-capture
WireShark ketika sedang mengcapture Meng-Capture Paket dengan WireShark
Kita bisa memulai capture dengan langkah-langkah berikut ini:
Pada menu Capture –> Interfaces
Kita bisa memulai capture dengan langkah-langkah berikut ini:
Pada menu Capture –> Interfaces
Kemudian kita akan dihadapkan dengan tampilan untuk memilih interface
yang akan kita capture nantinya.
yang akan kita capture nantinya.
Pilih interface yang akan kita capture, di tutorial ini saya contohkan untuk
meng-capture Inteface “Microsoft”, klik tombol “Start” pada bagian kanan interface
tersebut.
meng-capture Inteface “Microsoft”, klik tombol “Start” pada bagian kanan interface
tersebut.
Setelah itu, WireShark akan segera meng-capture paket-paket di dalam
jaringan dan menampilkannya dengan segera. Berikut ini adalah tampilan utama
WireShark saat bekerja meng-capture paket-paket data jaringan.
jaringan dan menampilkannya dengan segera. Berikut ini adalah tampilan utama
WireShark saat bekerja meng-capture paket-paket data jaringan.
Tampilan pada program / tools wireshark:
Menu
Menu
Di sini kita bisa bernavigasi antar menu-menu yang tersedia di WireShark.
Display Filter
Sebenarnya adalah sebuah kolom, kita akan mengisinya dengan sintaks-sintaks untuk memfilter (membatasi) paket-paket apa saja yang bakalan ditampilkan pada list paket.
Daftar Paket
Di sini akan ditampilkan paket-paket yang berhasil ditangkap oleh WireShark, berurutan mulai dari paket pertama yang ditangkap, dan seterusnya.
Detail Paket
Sebuah paket tentunya membawa informasi tertentu yang bisa berbeda-beda antar paketnya, di sini akan ditampilkan dari detail paket yang terpilih pada Daftar paket di atasnya.
Detail Heksa
Detail paket yang terpilih akan ditampilkan dalam bentuk heksa, terkadang akan lebih mudah bagi kita mendapatkan informasi dari bagian ini.
Pada daftar bagian Daftar Paket, terdapat kolom-kolom seperti berikut ini:
- Time : Menampilkan waktu saat paket tersebut tertangkap
- Source : Menampilkan ip sumber dari paket data tersebut
- Destination : Menampilkan ip tujuan dari paket data tersebut
- Protocol : Menampilkan protokol apa yang dipakai sebuah paket data
- Info : Menampilkan informasi mendetail tentang paket data tersebut.
a) Ketikkan “arp” pada filter box yang tersedia di pojok kiri atas Wireshark. klik enter. Hasilnya akan terlihat seperti berikut.
b) filter dari source atau destination nomor IP yang ditampilkan paket ARP : pada filter input text masukkan :
ip.dst==”IP YANG DI TUJU” && http
