# Tools Dasar Cybersecurity
## Tujuan
1. Peserta dapat memahami penggunaan wireshark dan memahami mana paket yang baik dan jahat
2. Peserta dapat memahami port scanning pake nmap
3. Peserta dapat menggunakan IDS seperti snort
Dalam praktik dalam pekerjaan keamanan jaringan, kita akan memerlukan tools yang dapat membantu kita sehingga kita tidak perlu melakukan secara manual. Pada level dasar, tiga tool yang sering dipakai adalah Wireshark (packet sniffing), Nmap (port/host/service scanning), dan Snort/Suricata (IDS/IPS berbasis signature). Setiap tool memiliki tujuan, prinsip kerja, dan keterbatasan yang berbeda. Memahami teori di baliknya membantu peserta praktik membaca hasil, menafsirkan tanda-tanda serangan, dan menerapkan tindakan pencegahan yang tepat.
### 1. Wireshark
Wireshark adalah aplikasi open-source untuk menangkap (capture) dan menganalisis paket jaringan secara real-time. Wireshark bekerja pada level packet/frame dan memungkinkan analisis mendalam terhadap header, payload, serta protokol yang berjalan.
Wireshark menempatkan network interface ke dalam mode promiscuous, sehingga dapat menangkap seluruh lalu lintas jaringan, bukan hanya paket yang ditujukan ke sistem pengguna. Wireshark merekam paket secara real-time dan menyimpannya dalam file hasil capture dengan format .pcap atau .pcapng untuk dianalisis di kemudian hari.
Selama proses capturing, pengguna dapat menerapkan capture filter untuk membatasi jenis paket yang direkam, misalnya hanya paket HTTP atau paket yang berasal dari alamat IP tertentu.
Setelah proses penangkapan selesai, Wireshark juga memungkinkan penggunaan display filter untuk memfokuskan analisis pada tipe lalu lintas, alamat IP, atau port tertentu. Setiap paket yang tertangkap dapat diperiksa melalui tiga tampilan utama:
1. Daftar ringkasan paket,
2. Rincian protokol secara mendalam, dan
3. Data mentah dalam format heksadesimal.
Gambar tersebut merupakan contoh paket pcap yang terkena serangan DDOS (SYN flood attack). Bisa dilihat kita menggunakan filter `tcp.flags.syn == 1 and tcp.flags.ack == 0`, artinya kita memfilter paket yang memiliki SYN tapi tidak ada ACK dan paket SYN dari berbagai macam IP address menargetkan 10.10.10.10
### NMAP
Nmap (Network Mapper) adalah tool open-source untuk pemetaan jaringan. NMAP berfungsi untuk menemukan host aktif, port terbuka, service yang berjalan, dan versi service. Umumnya digunakan untuk reconnaissance (pemetaan) sebelum melakukan penetration testing.
Fitur-fitur NMAP:
1. Comprehensive Scanning
Nmap mampu melakukan scanning terhadap berbagai jenis protokol serta mendukung beragam tipe metode scanning jaringan.
2. Nmap Scripting Engine – NSE
Fitur ini memungkinkan pengguna menulis dan menjalankan skrip khusus untuk mengotomatisasi berbagai tugas, seperti audit jaringan (network auditing) dan scanning kerentanan (vulnerability scanning).
3. OS Detection
Nmap dapat mengidentifikasi sistem operasi dari host target berdasarkan respons mereka terhadap network probes yang dikirim.
4. Service and Version Detection
Nmap mampu mendeteksi secara akurat layanan apa saja yang berjalan pada port terbuka, beserta versi perangkat lunaknya.
Fungsi-fungsi NMAP:
1. Security Assessment
Salah satu fungsi utama Nmap adalah untuk menilai keamanan jaringan. Dengan scanning port dan service yang terbuka, pengguna dapat mengidentifikasi potensi celah masuk bagi penyerang.
2. Intrusion Detection
Nmap juga dapat membantu mendeteksi adanya perubahan tak sah atau perangkat asing di dalam jaringan. Scanning rutin memungkinkan administrator mengenali perangkat baru yang tidak seharusnya terhubung.
3. Inventory Management
Nmap memudahkan pembuatan inventori perangkat yang terhubung ke jaringan. Hal ini penting untuk menjaga kontrol dan visibilitas terhadap seluruh aset jaringan.
4. Network Troubleshooting
Saat terjadi gangguan jaringan, Nmap dapat digunakan untuk menemukan akar penyebab masalah dengan memeriksa status layanan dan perangkat. Dengan demikian, proses perbaikan dapat dilakukan dengan lebih efisien.
5. Vulnerability Scanning
Nmap dapat digunakan bersama basis data kerentanan dan skrip NSE untuk memeriksa perangkat terhadap kerentanan yang sudah dikenal. Hal ini membantu dalam langkah pembuatan patch baru atau mengurangi risiko sebelum kerentanan tersebut dieksploitasi.
Berikut adalah beberapa mode yang biasa dipakai:
* -sS : SYN scan (stealthy).
* -sT : TCP connect scan (menggunakan koneksi penuh).
* -sU : UDP scan.
* -sV : Service/version detection.
* -O : OS detection.
* -p : menentukan port/range (mis. -p 1-1000)
Contoh :
`nmap -sS -sV -p 1-1000 192.168.1.10`
Artinya untuk mencari port terbuka dan versi service pada range port 1–1000.
### 2. Snort
Snort merupakan salah satu Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) yang paling populer di dunia. Snort bekerja dengan cara menganalisis lalu lintas jaringan secara real-time, kemudian mencocokkan pola data dengan sekumpulan aturan (rules/signatures) yang menggambarkan karakteristik serangan. Jika pola tersebut cocok dengan salah satu signature, Snort akan menghasilkan alert, mencatat log, atau bahkan memblokir koneksi tersebut (bila digunakan dalam mode IPS).
Fungsi Snort:
1. Network Intrusion Detection System (NIDS)
Mendeteksi aktivitas berbahaya dalam lalu lintas jaringan dan memberikan alert kepada administrator.
2. Network Intrusion Prevention System (NIPS)
Mendeteksi sekaligus mencegah serangan dengan cara memblokir atau menolak paket yang teridentifikasi berbahaya.
3. Packet Logger
Menyimpan data paket dalam format log untuk analisis forensik lebih lanjut.
4. Network Traffic Analysis
Digunakan untuk memantau pola komunikasi antar host dan mendeteksi anomali atau aktivitas mencurigakan.
Arsitektur Snort:
1. Packet Decoder
Menerima paket jaringan dari interface (misalnya eth0 atau wlan0) dan meneruskannya ke tahap pra-pemrosesan.
2. Preprocessor
Tahap ini bertugas untuk membersihkan dan menyiapkan data sebelum diperiksa.
Preprocessor dapat mendeteksi pola aneh, seperti fragmentasi paket, anomali protokol, atau aktivitas scanning.
Contoh preprocessor: Frag3 (IP defragmentation), Stream5 (TCP session tracking), HTTP Inspect.
3. Detection Engine
Merupakan inti dari Snort. Di tahap ini, lalu lintas jaringan dibandingkan dengan signature rules yang tersimpan dalam file rule (.rules).
Jika ada kesesuaian antara pola paket dan rule, maka Snort akan memicu alert.
4. Logging & Alerting System
Setelah deteksi, Snort akan merekam detail kejadian ke file log atau mengirim alert ke sistem eksternal seperti Syslog atau Security Information and Event Management (SIEM).
5. Output Module
Mengatur ke mana hasil alert atau log dikirim. Output dapat berupa file teks, database, atau dashboard analitik seperti Snorby atau BASE.
Jenis-Jenis Deteksi dalam Snort
1. Signature-Based Detection
Mendeteksi serangan berdasarkan pola yang sudah dikenal (signature).
➤ Contoh: mendeteksi payload berisi string “/etc/passwd”.
2. Protocol Anomaly Detection
Mengidentifikasi penyimpangan dari standar protokol.
➤ Contoh: HTTP request yang tidak mengikuti format RFC 2616.
3. Policy-Based Detection
Mendeteksi aktivitas yang melanggar kebijakan organisasi.
➤ Contoh: akses ke situs yang dilarang.
4. Hybrid Detection
Kombinasi dari semua pendekatan di atas untuk meningkatkan akurasi.
### Instalasi Snort
Untuk tutorialnya kalian dapat mengikuti video ini
https://youtu.be/SlxkmrpJkYQ?si=eblnsJufT9QYJkpt
Berikut adalah contoh jika instalasi berhasil
#### Konfigurasi Snort
Sekarang kalian dapat mengikuti tutorial di bawah ini, karena kita akan memakai Snorts untuk sesi hands on saat pertemuan.
- https://youtu.be/4SMKYgXFxuc?si=cgLex_Imv0rjZSOC
- https://youtu.be/rmuQSQeCGmA?si=CiY2-rD8nBFpYngb
**Referensi**:
- https://www.geeksforgeeks.org/computer-networks/wireshark-packet-capturing-and-analyzing/
- https://medium.com/@ronak.d.sharma111/analyzing-a-ddos-attack-using-wireshark-8535274cd00e
- https://www.geeksforgeeks.org/linux-unix/what-is-nmap-a-comprehensive-guide-for-network-mapping/
- https://www.fortinet.com/resources/cyberglossary/snort
Sign in with Wallet
Connect another wallet