Sabtu, 28 November 2015

Address Resolution Protocol (ARP)

Address Resolution Protocol (ARP)
Adalah protokol untuk pemetaan alamat Internet Protocol (IP address) ke alamat mesin fisik yang diakui di jaringan lokal. Misalnya, di IP Versi 4, tingkat yang paling umum dari IP yang digunakan saat ini, dengan panjang alamat adalah 32 bit. Dalam sebuah jaringan Ethernet area lokal, panjang alamat untuk perangkat yang terpasang adalah 48 bit. (Alamat mesin fisik juga dikenal sebagai Media Access Control atau MAC address.) sebuah table, biasanya disebut cache ARP, yang digunakan untuk menjaga korelasi antara masing-masing alamat MAC dan alamat IP yang sesuai. ARP memberikan aturan protokol untuk membuat korelasi ini dan menyediakan konversi alamat di kedua arah.


Format Datagram ARP Request/reply





Directory Table ARP cache
/proc/sys/net/ipv4/neigh

Option Pada Command ARP
-v, --verbose
Digunakan untuk memberitahu pengguna apa yang sedang terjadi dengan menjadi verbose.
-n, --numeric
Digunakan untuk  menunjukkan alamat numerik bukannya mencoba untuk menentukan host, port atau pengguna nama simbolik.
-H type, --hw-type type, -t type
Digunakan Ketika pengaturan atau membaca cache ARP, parameter opsional ini menceritakan arp yang kelas entri itu harus memeriksa. Nilai default dari parameter ini adalah eter (yaitu kode hardware 0x01 untuk IEEE 802.3 10Mbps Ethernet). Nilai-nilai lain mungkin termasuk teknologi jaringan seperti ARCnet (ARCNET), Pronet (Pronet), AX.25 (ax25) dan NET / ROM (NetRom).
-a [hostname], --display [hostname]
Digunakan untuk menunjukkan entri host tertentu. Jika parameter nama host tidak digunakan, semua entri akan ditampilkan. Entri akan ditampilkan di alternatif (BSD) gaya.
-d hostname, --delete hostname
Digunakan untuk menghapus semua entri untuk host tertentu. Ini dapat digunakan jika host ditunjukkan dibawa turun, misalnya.
-D, --use-device
Digunakan alamat hardware interface ifa ini.
-e
Menunjukkan entri dalam default (Linux) gaya.
-i If, --device If
Pilih sebuah antarmuka. Ketika membuang cache ARP hanya entri yang cocok dengan antarmuka yang ditentukan akan dicetak. Ketika menetapkan entri ARP permanen atau temporer interface ini akan terkait dengan entri; jika opsi ini tidak digunakan, kernel akan menebak berdasarkan tabel routing. Untuk entri pub antarmuka yang ditentukan adalah antarmuka yang ARP permintaan akan dijawab.
CATATAN: Ini harus menjadi berbeda dari antarmuka mana datagram IP akan dialihkan.
-s hostname hw_addr, --set hostname
Manual membuat sebuah entri pemetaan alamat ARP untuk hostname host dengan alamat hardware diatur ke hw_addr kelas, tetapi bagi kebanyakan kelas satu dapat berasumsi bahwa presentasi yang biasa dapat digunakan. Untuk kelas Ethernet, ini adalah 6 byte dalam heksadesimal, yang dipisahkan oleh titik dua. Ketika menambahkan entri proksi arp (yang mereka dengan menerbitkan bendera mengatur netmask dapat ditentukan untuk arp proxy untuk seluruh subnet. Ini adalah praktek yang tidak baik, tetapi didukung oleh kernel yang lebih tua karena dapat berguna. Jika bendera suhu tidak entri yang disediakan akan tetap disimpan ke dalam cache ARP.
CATATAN: Pada kernel 2.2.0 itu tidak mungkin lagi untuk mengatur entri ARP untuk seluruh subnet. Linux bukan tidak automagic proksi arp ketika rute ada dan itu forwarding. Lihat arp (7) untuk rincian.
-f filename, --file filename
Mirip dengan opsi -s, hanya saja kali ini info alamat diambil dari file nama file diatur. Nama file data yang sangat sering / etc / ethers, tapi ini tidak resmi. Jika tidak ada nama file yang ditentukan / etc / ethers digunakan sebagai default.
Software Sniffer tcpdump
Sebuah sniffer paket, alat yang menangkap lalu lintas jaringan, biasanya digunakan untuk analisis lalu lintas dan observasi untuk menentukan masalah dalam jaringan atau mengkonfirmasi upaya hacking melawan komputer atau jaringan sistem Anda. Dengan paket sniffer, Anda dapat menggunakan data yang dikumpulkan untuk mengidentifikasi apa jenis paket yang memukul sistem dan dari mana mereka berasal.
tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ]
[ -B buffer_size ]
Mengatur ukuran buffer size sistem operasi dalam satuan KiB (1024 bytes )
[ -c count ]
Digunakan untuk menangkap nomor paket yang spesifik
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
Sebelum menulis paket baku untuk savefile , periksa apakah file yang sedang lebih besar dari file_size dan , jika demikian , menutup savefile saat ini dan membuka yang baru. Savefiles setelah savefile pertama akan memiliki nama tertentu dengan bendera -w , dengan angka setelah , mulai dari 1 dan terus ke atas . Satuan file_size jutaan byte ( 1.000.000 bytes , bukan 1.048.576 bytes ) .
[ -i interface ]
Mendengarkan pada antarmuka . Jika tidak ditentukan , tcpdump mencari daftar antarmuka sistem untuk bernomor terendah , dikonfigurasi up antarmuka ( tidak termasuk loopback ) , yang dapat berubah menjadi , misalnya , `` eth0 ' ' . Pada sistem Linux dengan 2,2 atau lambat kernel , argumen antarmuka ` ` setiap ' ' dapat digunakan untuk menangkap paket-paket dari semua antarmuka . Catatan yang menangkap pada `` setiap ' ' perangkat tidak akan dilakukan dalam mode promiscuous.   Jika Flag -D didukung , jumlah antarmuka seperti yang dicetak oleh bendera itu dapat digunakan sebagai argumen antarmuka .
[ -j tstamp_type ]
Mengatur jenis cap waktu untuk menangkap ke tstamp_type . Nama-nama yang akan digunakan untuk waktu jenis cap yang diberikan dalam pcap - tstamp ( 7 ) ; tidak semua jenis yang tercantum di sana tentu akan berlaku untuk setiap antarmuka yang diberikan .
[ -m module ]
Memuat SMI MIB definisi modul dari modul berkas . Pilihan ini dapat digunakan beberapa kali untuk memuat beberapa modul MIB ke tcpdump .
[ -M secret ]
Gunakan rahasia sebagai rahasia bersama untuk memvalidasi mencerna ditemukan di segmen TCP dengan opsi TCP - MD5 ( RFC 2385 ) , jika ada .
[ --number ]
Mencetak jumlah paket opsional pada awal baris .
[ -Q in|out|inout ]
Pilih mengirim / menerima arahan arahan yang paket harus ditangkap . Nilai yang mungkin adalah ` dalam ' , ` keluar ' dan ` inout ' . Tidak tersedia pada semua platform .
[ -r file ]
Baca paket dari file ( yang diciptakan dengan opsi -w atau dengan alat lain yang menulis pcap atau file pcap - ng ) . Input standar digunakan jika file adalah ` ` - ' ' .
[ -V file ]
Membaca daftar nama file dari file . Input standar digunakan jika file adalah ` ` - ' ' .
[ -s snaplen ]
Snarf byte snaplen data dari masing-masing paket daripada default 262.144 bytes . Paket terpotong karena snapshot terbatas ditunjukkan dalam output dengan ` ` [ | proto ] ' ' , di mana proto adalah nama dari tingkat protokol di mana pemotongan terjadi . Perhatikan bahwa mengambil snapshot lebih besar baik meningkatkan jumlah waktu yang dibutuhkan untuk memproses paket dan , efektif , menurunkan jumlah paket buffering. Hal ini dapat menyebabkan paket yang akan hilang . Anda harus membatasi snaplen ke nomor terkecil yang akan menangkap informasi protokol Anda tertarik . Pengaturan snaplen ke 0 set ke default 262.144 , untuk kompatibilitas mundur dengan versi terbaru dari tcpdump .
[ -T type ]
Paket Angkatan dipilih oleh "ekspresi" harus ditafsirkan jenis tertentu. Jenis saat ini dikenal adalah AODV (Ad-hoc On-demand protokol Distance Vector), ikan mas (Common Alamat redundansi Protocol), cnfp (Cisco NetFlow protokol), LMP (Link Management Protocol), PGM (Pragmatis Umum Multicast), pgm_zmtp1 (ZMTP / 1.0 dalam PGM / EPGM), radius (RADIUS), rpc (Remote Procedure Call), RTP (Aplikasi Real-Time protokol), RTCP (Real-Time protokol Aplikasi control), snmp (Simple Network Management Protocol), tftp (Trivial File Transfer Protocol), PPN (Visual Audio Tool), wb (didistribusikan White Board), zmtp1 (ZeroMQ Pesan Transport Protocol 1.0) dan vxlan (Virtual eXtensible Local Area Network). Perhatikan bahwa jenis PGM atas mempengaruhi interpretasi UDP saja, asli PGM selalu diakui sebagai protokol IP 113 terlepas. UDP-dikemas PGM sering disebut "EPGM" atau "PGM / UDP". Perhatikan bahwa pgm_zmtp1 yang mengetik di atas mempengaruhi penafsiran baik asli PGM dan UDP sekaligus. Selama PGM asli decoding data aplikasi dari OData / paket RDATA akan diterjemahkan sebagai datagram ZeroMQ dengan ZMTP / 1.0 frame. Selama decoding UDP selain bahwa setiap paket UDP akan diperlakukan sebagai paket PGM dikemas.
[ -w file ]
Menulis paket raw untuk mengajukan daripada parsing dan mencetak mereka keluar . Mereka nantinya dapat dicetak dengan opsi-r . Output standar digunakan jika file adalah ` ` - ' ' .
Output ini akan buffered jika ditulis ke file atau pipa , sehingga program membaca dari file atau pipa mungkin tidak melihat paket untuk jumlah yang sewenang-wenang waktu setelah mereka diterima . Menggunakan bendera -U menyebabkan paket yang akan ditulis segera setelah mereka diterima .
Jenis MIME application / vnd.tcpdump.pcap telah terdaftar dengan IANA untuk file pcap . Ekstensi nama file .pcap tampaknya yang paling umum digunakan bersama dengan .cap dan .dmp . Tcpdump sendiri tidak memeriksa ekstensi ketika membaca file capture dan tidak menambahkan ekstensi ketika menulis mereka ( menggunakan angka ajaib di header file bukan ) . Namun, banyak sistem operasi dan aplikasi akan menggunakan ekstensi jika hadir dan menambahkan satu ( misalnya .pcap ) dianjurkan .
    Lihat pcap - savefile ( 5 ) untuk penjelasan dari format file .
[ -E spi@ipaddr algo:secret,... ]
Gunakan spi@ipaddr algo : rahasia untuk mendekripsi paket IPsec ESP yang ditujukan kepada addr dan mengandung Keamanan Indeks Parameter nilai spi . Kombinasi ini dapat diulang dengan comma atau pemisahan baris .
[ -W]
Digunakan bersama dengan opsi -C , ini akan membatasi jumlah file yang dibuat ke nomor tertentu , dan mulai Timpa file dari awal , sehingga menciptakan ' berputar ' penyangga . Selain itu, akan nama file dengan 0s terkemuka yang cukup untuk mendukung jumlah maksimum file , yang memungkinkan mereka untuk memilah dengan benar .
Digunakan bersama dengan opsi -G , ini akan membatasi jumlah berkas dump diputar yang bisa dibuat , keluar dengan statusnya 0 ketika mencapai batas. Jika digunakan dengan -C juga, perilaku akan menghasilkan file siklus per timeslice .
[ -y datalinktype ]
Mengatur jenis data link untuk digunakan saat menangkap paket-paket untuk datalinktype .
[ -z postrotate-command ]
Digunakan bersama dengan -C atau opsi -G , ini akan membuat tcpdump run " postrotate - perintah file" di mana berkas adalah savefile ditutup setelah setiap putaran . Misalnya , menentukan -z gzip atau bzip2 -z akan mengkompres setiap savefile menggunakan gzip atau bzip2 .
Perhatikan bahwa tcpdump akan menjalankan perintah secara paralel untuk menangkap , menggunakan prioritas terendah sehingga ini tidak mengganggu proses capture .
 Dan jika anda ingin menggunakan perintah itu sendiri mengambil bendera atau argumen yang berbeda , Anda selalu dapat menulis script shell yang akan membawa nama savefile sebagai satu-satunya argumen , membuat bendera & argumen pengaturan dan menjalankan perintah yang Anda inginkan .
[ -Z user ]
Jika tcpdump berjalan sebagai root, setelah membuka perangkat capture atau masukan savefile , tapi sebelum membuka setiap savefiles untuk output , mengubah ID pengguna untuk pengguna dan ID kelompok untuk kelompok utama pengguna.   Perilaku ini juga dapat diaktifkan secara default pada waktu kompilasi .
[ --time-stamp-precision=tstamp_precision ]
Ketika menangkap , mengatur waktu cap presisi untuk menangkap untuk tstamp_precision . Perhatikan bahwa ketersediaan waktu perangko presisi tinggi ( nanodetik ) dan akurasi mereka yang sebenarnya platform dan hardware dependent . Juga mencatat bahwa ketika menulis menangkap dibuat dengan akurasi nanodetik untuk savefile sebuah , perangko waktu ditulis dengan resolusi nanodetik , dan file yang ditulis dengan angka ajaib yang berbeda , untuk menunjukkan bahwa perangko waktu berada di detik dan nanodetik ; tidak semua program yang membaca savefiles pcap akan dapat membaca mereka menangkap .
[ --immediate-mode ]
Menangkap di " modus langsung " . Dalam mode ini , paket yang dikirim ke tcpdump segera setelah mereka tiba , bukannya buffer untuk efisiensi . Ini adalah default saat mencetak paket daripada menyimpan paket ke sebuah `` savefile ' ' jika paket sedang dicetak ke terminal daripada ke file atau pipa .
[ --version ]
Cetak tcpdump dan versi libpcap string dan keluar .
[ expression ]
memilih yang paket akan dibuang . Jika tidak ada ekspresi yang diberikan , semua paket di internet akan dibuang . Jika tidak , hanya paket yang ekspresi ` benar ' akan dibuang .
Cara Menggunakan Software Wireshark
Menangkap Paket Data
Jalankan dan klik nama dari sebuah interface pada Interface List untuk mulai menangkap paket data pada interface tersebut. Contohnya, jika Anda ingin menangkap paket data dari jaringan nirkabel, klik interface nirkabel Anda.
Segera setelah Anda mengklik nama interface, Anda akan melihat paket data mulai muncul pada jendela Wireshark. Program ini menangkap tiap paket data yang dikirim ke atau dari sistem Anda. Jika Anda menangkap paket data dari interface nirkabel, dan mengaktifkan promiscuous mode pada opsi capture, Anda juga akan melihat paket lainnya yang ada pada jaringan.
Klik tombol stop capture yang ada pada bagian sudut kiri atas jendela jika Anda ingin berhenti menangkap paket data.
Memfilter Paket Data
Jika Anda ingin menginspeksi hal tertentu, seperti traffic sebuah yang dikirim sebuah program ketika menelpon rumah, Wireshark dapat menutup semua aplikasi lainnya yang menggunakan jaringan sehingga Anda bisa menentukan traffic tertentu itu. Tetapi jika Anda cenderung memiliki jumlah data yang besar untuk diinspeksi, disini Anda bisa menggunakan filter untuk memilah-milah paket data.
Cara yang paling dasar untuk menggunakan filter adalah dengan cara mengetikkannya pada kotak filter yang ada pada bagian paling atas jendela Wireshark. Contohnya, ketikkan dns jika Anda hanya ingin melihat paket DNS. Ketika Anda mulai mengetik, Wireshark akan membantu Anda dengan fitur autocomplete. Anda juga bisa mengklik menu Analize dan memilih Display Filtersuntuk membuat sebuah filter baru.
Memfilter Paket Data Berdasarkan Source atau Destination IP
Pada kolom display filter masukkan ip source atau destination yang akan ditampilkan, contoh :
ip.src == 172.16.204.28
Berarti wireshark hanya akan menampilkan paket dengan IP Source 172.16.204.28
Ip.des == 172.16.204.24


Jumat, 27 November 2015

Percobaan ARP, tcpdump & Wireshark


Percobaan ARP, tcpdump & Wireshark

PERCOBAAN
Step ke 1:
Buka terminal dan jalankan command arp –a pada host anda masing-masing, catat dan amati hasilnya. Apa maksud output yang dihasilkan command arp –a.
Hasilnya akan menampilkan alamat ip address dengan mac addressnya.

Step ke 2: Lakukan command ping no_ip , pilih no_ip yang tidak terdaftar pada hasil percobaan 1 tapi masih dalam satu jaringan. saya coba ping dengan alamat ip 192.168.0.13, hasilnya reply karena ada dalam satu jaringan.

Step ke 3: Jalankan perintah arp –a sekali lagi. Amati pada perbedaan output dibanding waktu percobaan no 1. Hasilnya akan menampilkan ip yang diping tadi.

 
Step ke 4: Lakukan command ping no_ip , pilih no_ip yang sudah terdaftar pada percobaan no1.

Step ke 5: dikarenakan pc baru terhubung ke alamat ip baru pada percobaan ke 2, maka terjadi perbedaan dengan hasil step no 1.
Step ke 6a: 

Step ke 6b: hasilnya akan disconnect


Step ke 6c: hasilnya unreachable, dikarenakan sudah disconnect.

Step ke 7abc: pada step berikut akan melakukan konfigurasi untuk mengkoneksi ulang alamat ip kembali ip yang down tadi.


Step ke 7def: hasilnya akan terkoneksi kembali.

Step ke 8: melakukan penambahan arp cache

Step ke9 tcpdump:

Step ke9 tcpdump –i eth0:


Step ke9 tcpdump -n:

Step ke9 tcpdump –n -t:

Step ke9 tcpdump –n –t -e:

Step ke9 tcpdump x-i eth0:


Step ke 10a:


Step ke 10b:


Step ke 10c:

Step ke 10d:

Step ke 10e:

Step ke 10f:

Step ke 10g:

Step ke 11:



Hasil ketika melakukan perintah “ping” ke komputer lain yang terhubung dengan komputer kita. Dari gambar di atas bisa kita lihat ketika perintah “ping” kita jalankan dan berhasil, wireshark memunculkan pesan “reply” dan wireshark juga menampilkan berapa lama waktu yang dibutuhkan dalam menerima paket data dari komputer lain.
Sedangkan untuk proses “ping” yang gagal bisa dilihat dari gambar di bawah ini, wireshark hanya menampilkan pesan “request” dan tidak ada pesan “reply”, maksudnya adalah komputer kita telah melakukan sebuah request paket data ke komputer dengan IP 192.168.0.100 yang dimana IP tersebut bukan dalam 1 jaringan dengan komputer kita. Dikarenakan IP tersebut tidak dalam 1 jaringan dengan komputer kita, maka pesan request dari komputer kita tidak akan sampai. Oleh karena itu wireshark tidak memunculkan pesan “reply”.




source: www.angga-adhy.blogspot.co.id/2015/11/percobaan-arp-tcpdump-wireshark.html