Hai milisers,
Pertanyaan saya ini sebenarnya masih ada hubungannya dg serangan yg dilakukan ke ip server warnet kami. Setelah hampir sehari serangannya berhenti sejenak, malamnya dia rupanya telah banyak belajar dengan cara melakukan serangan pakai ipspoofing. Setelah sebelumnya jelas-jelas tertera ip public si penyerang, sekarang dia mulai memakai ip network, 192.168.0.2.
Saya pikir dia merasa aman dengan memakai ipspoofing itu, saat saya mempelajari pola serangannya (semasa dia pakai ip public
atau ip telkomnet instan) ip tsb hampir tidak pernah terlihat
di irc server - warnet-warnet di tempat kami biasa menggunakan
server allnetwork.org. Sekarang setelah memakai ip spoofing,
dia aman konek ke irc server di atas. Saya lihat sewaktu konek
ke server irc dengan perintah /who 61.5.x.* ada beberapa ip
yg konek. Saya tidak mungkin membabi buta menyerang ip-ip tsb untuk
menghukum si biang kerok.
Di sini ada nmap, util ini kan bisa digunakan untuk mencek OS remote ip yg discan, nah saya mencoba menggunakan nmap ini untuk IFF. Apa itu? Identification Friend or Foe, identifikasi kawan atau lawan, mereka yg biasa main game simulator peralatan tempur (pesawat jet/tank) tentu tahu istilah itu. Identnya cukup jelas, penyerang memakai server linux redhat dengan squid proxy dg port 3128 or 8080. Tentu saja port ini tidak terbuka dr luar, asal tidak direject di ipchains/iptables maka akan ketahuan kalau proxynya hidup. Scan port yg lain adalah 113. Si intruder tentu saja harus membuka port ini agar memperoleh ident dari irc server (beberapa irc server menolak servicenya kalau remote client tidak mempunyai ident). Bisa ndak kita tahu bahwa port 113 itu linux or window ?
Oya saya lupa, di sini tidak mungkin pakai nmap, karena sudah jelas kami dan mereka sudah me-reject koneksi dr ip telkomnet instan (direject pakai ipchains/iptables). Cara lain mungkin pakai free port scan di internet, sehingga kami tahu ip ini jelas friend atau foe. Ada rekan-rekan yg tahu ?
Terimakasih banyak sebelumnya.
Salam
~yudi
kalo untuk menutup reaksi si intruder agak gak bisa masuk lagi ato untuk mengelabuhi intruder bisa pake Portsentry.
sedangkan untuk IDS bisa pake snort,,,kalo yg ini saya masih bingung penggunaannya. Alternatif aku sering amati log untuk mengetahui aktifitas di server.
salam,
-- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php