[teknologia] Re: IP Spoofing
baskara wrote: Jadi, mari disimpulkan jawaban atas pertanyaan semula: Ada yang bisa bantu ___gimana caranya untuk mengetahui apakah salah satu IP di network kita bisa di spoof orang atau nggak gimana yah ? umumnya spoofing terjadi di segmen yang sama (tujuannya mencuri komunikasi yang sedang berlangsung) tak mungkin melakukan spoof pada lokasi yang berbeda, sebab komunikasi di tengah jalan internet hanya dihandle oleh rimba routing BGP, jadi tentunya spoof IP berkaitan erat dengan manipulasi ARP di segmen ethernet analogi simplenya seperti Ethan Hunt menyusup pake topeng silikon dan meniru suara asli (biasa, si Jim Phelp yang ngatur), bisa ketahuan kalo ada ciri-ciri spesifik yang tidak tertiru (atau sulit ditiru) caranya? tanya Jim *Jim online tak?* -- Jay adalah Yulian http://yulian.firdaus.or.id
[teknologia] Re: IP Spoofing
Andika Triwidada wrote: On Sat, 12 Feb 2005 02:11:26 +0700, adi [EMAIL PROTECTED] wrote: On Fri, Feb 11, 2005 at 03:56:47PM +0700, Andika Triwidada wrote: Apakah mesin itu punya tetangga di segmennya? TCP spoof bisa dilakukan asal oleh tetangga satu segmen atau mesin lain yang ada di lintasan paket/mesin yang bisa sniff di sepanjang lintasan paket. mungkin ini yang dimaskud IP spoof (ARP Spoof) bukan tcp spoof... TCP spoofing sekarang sudah jarang, kalau tidak boleh dibilang sudah tidak bisa dilakukan lagi. Yup. Dengan *bantuan* ARP spoof, TCP spoof bisa dilakukan. Tapi ya itu tadi syaratnya, tetangga atau terlewati. Hehehe, saya hampir terjebak dengan kata *bantuan* yg digunakan.. ARP dan TCP hidup dalam dua *alam* yang berbeda dan sebaiknya tetap dijaga demikian supaya kita gak makin puyeng. Gimana? :-)
[teknologia] Re: IP Spoofing
On Sat, 2005-02-12 at 16:57 +0700, Yulian F. Hendriyana wrote: umumnya spoofing terjadi di segmen yang sama (tujuannya mencuri komunikasi yang sedang berlangsung) tak mungkin melakukan spoof pada lokasi yang berbeda, sebab komunikasi di tengah jalan internet hanya dihandle oleh rimba routing BGP, jadi tentunya spoof IP berkaitan erat dengan manipulasi ARP di segmen ethernet dugaan saya ya IP dari SMTP header itu berasal dari IP address di belakang network yang di-NAT, jadi mau IP-nya berapasa aja bisa, kebetulan saja sama dengan real IP dari mesin si penanya.
[teknologia] Re: IP Spoofing
hehehe , di banding main tebak tebakan , mungkin saya bisa kasih saran untuk meminimalisir serangan jenis ini di jaringan anda, anda bisa membuat Access control list baru untuk router anda yang agar tidak mengijinkan source ip dengan ip internal yang menuju router anda dari luar (hehehehhehe) , dan juga bisa menggunakan IPV6 yang (saya baca) sudah mensupport enkripsi dan authentikasi btw , saya lebih percaya itu akibat ulah worm yang menginfeksi klien anda dan melakukan spamming dari internal dibanding melakukan ip spoofing dan mengubah header dari source ip (wew), coz jika hanya untuk melakukan spaming (tidak bermaksud meremehkan efek yang mungkin timbul) ipspoofing sepertinya terlalu elite, soal Tundra jangan terlalu anda pikirkan, soalnya bisa pakai apa saja (LoL) semoga sedikit banyak dapat membantu CMIIW
[teknologia] Re: IP Spoofing
yupe mas, kalo ipspoofing teorinya begitu :) but bukan mesinnya or phisically behind the network, tapi range ip dari network anda (or kasarnya mesin anda (yang idle) kenali menjadi bagiannya), jadi asal bisa memanipulasi header ip (salah satu kelemahan dari protokol TCP/IP) dari source address maka hal ini (ip spoofing) bisa dilakukan . CMIIW
[teknologia] Re: IP Spoofing
On Saturday 12 February 2005 21:01, The_Eye_In_The_Sky wrote: dugaan saya ya IP dari SMTP header itu berasal dari IP address di belakang network yang di-NAT, jadi mau IP-nya berapasa aja bisa, kebetulan saja sama dengan real IP dari mesin si penanya. kalau ini gak mungkin. kalau kejadiannya seperti ini, pasti yang tercatat IP luarnya (received header dibuat oleh server yang menerima, bukan yang mengirim), kecuali kalau 'IP internal tadi' punya route khusus ke mesin yang nerima spam. teori saya masih sama, header itu digenerate oleh spammer buat bikin bingung kita2, sedangkan mesin spammer (open relay, zombies, whatever) harusnya dicatat di header received berikutnya, cuma ya karena header gak lengkap jadi gak 100% yakin juga. kalau IP spoofing sih menurut saya nyaris gak mungkin, alasannya sama, terlalu 'elite' untuk spammer. ngapain susah2 spoof ip? kalau keblok tinggal pindah ke ip lain.
[teknologia] Re: IP Spoofing
On Fri, 11 Feb 2005 14:56:23 +0700, Erwien Samantha Y [EMAIL PROTECTED] wrote: Halo, Ada yang bisa bantu gimana caranya untuk mengetahui apakah salah satu IP di network kita bisa di spoof orang atau nggak gimana yah ? critanya, saya dapat laporan kalau IP salah satu jaringan kita dipakai oleh spammer. berikut ini cuplikan lampiran laporanya : -- Aug 23 2004)) with ESMTP id [EMAIL PROTECTED] for [EMAIL PROTECTED]; Sun, 30 Jan 2005 14:46:35 -0100 (IST) Received: from tundra.yahoo.com.cn ([202.158.66.28]) ^^^ by philology.essex1.com (Sun Java System Messaging Server 6.1 HotFix 0.03 (built Aug 27 2004)) - Erwien Samantha Karena itu SMTP yang pakai TCP, spoofing relatif lebih sulit dilakukan. Biasanya yang dipalsukan adalah hostname, bukan IP. Faktor lain, mungkin itu hasil dari trojan / virus, yang memang benar-benar keluar dari IP 202.158.66.28, tapi mengaku dari tundra.yahoo.com.cn dig tundra.yahoo.com.cn a ; DiG 9.2.3 tundra.yahoo.com.cn a ;; global options: printcmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NXDOMAIN, id: 7229 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;tundra.yahoo.com.cn. IN A ;; AUTHORITY SECTION: yahoo.com.cn. 600 IN SOA hidden-master.yahoo.com. hostmaster.yahoo-inc.com. 2004072202 3600 900 604800 600 ;; Query time: 724 msec ;; SERVER: 202.138.224.2#53(202.138.224.2) ;; WHEN: Fri Feb 11 15:24:56 2005 ;; MSG SIZE rcvd: 129 Tidak ditemukan A record untuk tundra.yahoo.com.cn -- .''`. Andika Triwidada [EMAIL PROTECTED] : :' :just another Debian admin `. `'` http://andika-lives-here.blogspot.com/ `- Debian - when you have better things to do than fixing a system
[teknologia] Re: IP Spoofing
On Fri, 11 Feb 2005 15:26:12 +0700, Andika Triwidada [EMAIL PROTECTED] wrote: On Fri, 11 Feb 2005 14:56:23 +0700, Erwien Samantha Y [EMAIL PROTECTED] wrote: Halo, Ada yang bisa bantu gimana caranya untuk mengetahui apakah salah satu IP di network kita bisa di spoof orang atau nggak gimana yah ? critanya, saya dapat laporan kalau IP salah satu jaringan kita dipakai oleh spammer. berikut ini cuplikan lampiran laporanya : -- Aug 23 2004)) with ESMTP id [EMAIL PROTECTED] for [EMAIL PROTECTED]; Sun, 30 Jan 2005 14:46:35 -0100 (IST) Received: from tundra.yahoo.com.cn ([202.158.66.28]) ^^^ by philology.essex1.com (Sun Java System Messaging Server 6.1 HotFix 0.03 (built Aug 27 2004)) - Erwien Samantha Karena itu SMTP yang pakai TCP, spoofing relatif lebih sulit dilakukan. Biasanya yang dipalsukan adalah hostname, bukan IP. Faktor lain, mungkin itu hasil dari trojan / virus, yang memang benar-benar keluar dari IP 202.158.66.28, tapi mengaku dari tundra.yahoo.com.cn Oh yah, keterangan tambahan dari IP tersangka (202.158.66.28) : OS : linux Port listen : 22(sshd), 80(httpd), 111(portmap) Jadi di IP tersangka tersebut sebenarnya tidak ada MTA yang berjalan. Makanya saya jadi bingung pola menspoof IP tersangka tersebut, dan kenapa bisa ada tundra.yahoo.com.cn? Erwien Samantha
[teknologia] Re: IP Spoofing
On Friday 11 February 2005 15:40, Erwien Samantha Y wrote: Oh yah, keterangan tambahan dari IP tersangka (202.158.66.28) : OS : linux Port listen : 22(sshd), 80(httpd), 111(portmap) Jadi di IP tersangka tersebut sebenarnya tidak ada MTA yang berjalan. Makanya saya jadi bingung pola menspoof IP tersangka tersebut, dan kenapa bisa ada tundra.yahoo.com.cn? bisa jadi header Received terakhir tersebut adalah palsu, kadang2 spammer suka membuat header Received tipuan. untuk itu coba selidiki header Received berikutnya.
[teknologia] Re: IP Spoofing
On Fri, 11 Feb 2005 15:40:34 +0700, Erwien Samantha Y [EMAIL PROTECTED] wrote: On Fri, 11 Feb 2005 15:26:12 +0700, Andika Triwidada [EMAIL PROTECTED] wrote: didilit Karena itu SMTP yang pakai TCP, spoofing relatif lebih sulit dilakukan. Biasanya yang dipalsukan adalah hostname, bukan IP. Faktor lain, mungkin itu hasil dari trojan / virus, yang memang benar-benar keluar dari IP 202.158.66.28, tapi mengaku dari tundra.yahoo.com.cn Oh yah, keterangan tambahan dari IP tersangka (202.158.66.28) : OS : linux Port listen : 22(sshd), 80(httpd), 111(portmap) Jadi di IP tersangka tersebut sebenarnya tidak ada MTA yang berjalan. Makanya saya jadi bingung pola menspoof IP tersangka tersebut, dan kenapa bisa ada tundra.yahoo.com.cn? Erwien Samantha Bukan firewall/gateway/proxy/NAT yah? Mungkin juga ada bug di cgi app? Apakah mesin itu punya tetangga di segmennya? TCP spoof bisa dilakukan asal oleh tetangga satu segmen atau mesin lain yang ada di lintasan paket/mesin yang bisa sniff di sepanjang lintasan paket. tundra itu nama tipuan rasanya, untuk mengecoh pelacak. -- andika
[teknologia] Re: IP Spoofing
On Fri, Feb 11, 2005 at 03:56:47PM +0700, Andika Triwidada wrote: Apakah mesin itu punya tetangga di segmennya? TCP spoof bisa dilakukan asal oleh tetangga satu segmen atau mesin lain yang ada di lintasan paket/mesin yang bisa sniff di sepanjang lintasan paket. mungkin ini yang dimaskud IP spoof (ARP Spoof) bukan tcp spoof... TCP spoofing sekarang sudah jarang, kalau tidak boleh dibilang sudah tidak bisa dilakukan lagi. Salam, P.Y. Adi Prasaja
[teknologia] Re: IP Spoofing
On Fri, Feb 11, 2005 at 03:56:47PM +0700, Andika Triwidada wrote: Bukan firewall/gateway/proxy/NAT yah? Mungkin juga ada bug di cgi app? kalau saya lebih curiga ke bug di aplikasi cgi. bisa dilihat header yang lebih lengkap barangkali. kalau cuman sepenggal header gitu, bisa seperti main tebak-tebakan :-) Salam, P.Y. Adi Prasaja
[teknologia] Re: IP Spoofing
On Sat, 12 Feb 2005 02:11:26 +0700, adi [EMAIL PROTECTED] wrote: On Fri, Feb 11, 2005 at 03:56:47PM +0700, Andika Triwidada wrote: Apakah mesin itu punya tetangga di segmennya? TCP spoof bisa dilakukan asal oleh tetangga satu segmen atau mesin lain yang ada di lintasan paket/mesin yang bisa sniff di sepanjang lintasan paket. mungkin ini yang dimaskud IP spoof (ARP Spoof) bukan tcp spoof... TCP spoofing sekarang sudah jarang, kalau tidak boleh dibilang sudah tidak bisa dilakukan lagi. Salam, P.Y. Adi Prasaja Yup. Dengan *bantuan* ARP spoof, TCP spoof bisa dilakukan. Tapi ya itu tadi syaratnya, tetangga atau terlewati. -- .''`. Andika Triwidada [EMAIL PROTECTED] : :' :just another Debian admin `. `'` http://andika-lives-here.blogspot.com/ `- Debian - when you have better things to do than fixing a system
[teknologia] Re: IP Spoofing
On Sat, 12 Feb 2005 13:50:39 +0700, Jim Geovedi [EMAIL PROTECTED] wrote: Hehehe, saya hampir terjebak dengan kata *bantuan* yg digunakan.. ARP dan TCP hidup dalam dua *alam* yang berbeda dan sebaiknya tetap dijaga demikian supaya kita gak makin puyeng. Gimana? :-) Jadi, mari disimpulkan jawaban atas pertanyaan semula: Ada yang bisa bantu ___gimana caranya untuk mengetahui apakah salah satu IP di network kita bisa di spoof orang atau nggak gimana yah ? :D