Pengintaian jaringan lawan, dalam bahasa Inggris-nya adalah network
reconnaissance. Proses pengintaian dapat dilakukan dengan menggunakan
perangkat lunak traceroute (di UNIX / Linux), atau menggunakan tracert
(di Windows).
Traceroute merupakan perangkat lunak diagnostik yang pertama kali di
kembangkan oleh salah satu sesepuh Internet yaitu Van Jacobson. Dengan
mengakali parameter Time To Live (TTL) di paket IP agar setiap router
yang dilewati mengirimkan berita ICMP_TIME_EXCEEDED, kita dapat
memetakan route yang diambil oleh sebuah paket dalam jaringan Internet.
Sebagai contoh kita akan melihat hasil traceroute ke beberapa mesin yang
ada di lingkungan jaringan Telkom, seperti www.telkom.co.id,
www.plasa.com, in-mta1.telkom.co.id. Proses traceroute saya lakukan
menggunakan sambungan dial-up menggunakan ISP indo.net.id pada kecepatan
19.2Kbps karena kebetulan memang kabel telepon di rumah saya tidak
terlalu baik. Mari kita lihat beberapa kesimpulan dari peta yang kita
peroleh.
[root@gate onno]# traceroute www.plasa.com
traceroute to www.plasa.com (202.134.0.172), 30 hops max, 38 byte packets
1 Digital-Tc.indo.net.id (202.159.33.29) 187.690 ms 189.692 ms 189.757 ms
2 Subnet-Gateway.indo.net.id (202.159.33.32) 189.820 ms 178.021 ms 179.822 ms
3 Loral-Gateway.indo.net.id (202.159.32.1) 189.840 ms 199.950 ms
182.850 ms 4 202.148.63.65 (202.148.63.65) 216.687 ms * 219.695 ms
5 * * 198.32.204.83 (198.32.204.83) 300.194 ms
6 * s2-4-gw1.gcc.jakarta.telkom.net.id (202.134.3.241) 490.050 ms 409.613 ms
7 * FE11-0-0.sm2.jakarta.telkom.net.id (202.134.3.149) 300.095 ms 309.653 ms
8 GigaE5-0.1.emm.jakarta.telkom.net.id (202.134.3.174) 349.822 ms 299.629 ms *
9 www.plasa.com (202.134.0.136) 400.178 ms 389.508 ms *
Tampaknya www.plasa.com berada di Jakarta, karena memlalui beberapa
mesin / router penting Telkom yang ada di Jakarta; mesin gcc, sm2
kemungkinan ada di Semanggi / Sentral telkom di Gatot Subroto – yah itu
hanya tebakan dari gaya penamaan mesin Telkom yang kemungkinan mengambil
referensi pola penamaan tempat cara abri yang agak kriptik tapi
terprediksi Waktu yang dibutuhkan untuk mengirimkan paket &
dikembalikan lagi oleh www.plasa.com adalah sekitar 400 mili detik.
[root@gate onno]# traceroute in-mta1.telkom.co.id
traceroute to in-mta1.telkom.co.id (202.134.0.196), 30 hops max, 38 byte
packets 1 Digital-Tc.indo.net.id (202.159.33.29) 507.252 ms 489.515
ms 509.857 ms
2 * Subnet-Gateway.indo.net.id (202.159.33.32) 200.130 ms 199.694 ms
3 Loral-Gateway.indo.net.id (202.159.32.1) 199.793 ms 189.703 ms 189.889 ms
4 202.148.63.65 (202.148.63.65) 389.829 ms 269.620 ms *
5 * * *
6 s2-4-gw1.gcc.jakarta.telkom.net.id (202.134.3.241) 869.655 ms 669.665 ms
559.793 ms
7 FE11-0-0.sm2.jakarta.telkom.net.id (202.134.3.149) 489.828 ms 419.716 ms *
8 GigaE5-0.1.emm.jakarta.telkom.net.id (202.134.3.174) 369.912 ms 219.670 ms 219.859 ms
9 in-mta2.plasa.com (202.134.0.196) 339.852 ms 239.796 ms 289.778 ms
Secara tidak sengaja kita bisa melihat ternyata in-mta1.telkom.co.id
adalah juga in-mta2.plasa.com, artinya semua mail ke orang telkom dengan
hostname telkom.co.id akan bisa di tangkap di in-mta2.plasa.com juga.
Ini agak berbahaya sebetulnya untuk sebuah perusahaan seperti Telkom.
Tampaknya in-mta2.plasa.com, in-mta1.telkom.co.id & www.plasa.com
berada dalam sebuah keluarga jaringan 202.134.0.x. Jika kita mengetahui
struktur organisasi Telkom, berarti 202.134.0.x merupakan tempat
penyimpanan mesin-mesin yang dikelola oleh Divisi Multimedia yang
mengelola plasa.com.
[root@gate onno]# traceroute www.telkom.net.id
traceroute to www.telkom.net.id (202.134.0.12), 30 hops max, 38 byte packets
1 Digital-Tc.indo.net.id (202.159.33.29) 197.334 ms 189.571 ms 189.805 ms
2 Subnet-Gateway.indo.net.id (202.159.33.32) 199.799 ms 189.752 ms 189.969
ms
3 Loral-Gateway.indo.net.id (202.159.32.1) 189.734 ms 199.678 ms 189.795 ms
4 202.148.63.65 (202.148.63.65) 249.844 ms 316.807 ms 289.855 ms
5 * * *
6 * s2-4-gw1.gcc.jakarta.telkom.net.id (202.134.3.241) 260.189 ms 299.710 ms
7 * FE11-0-0.sm2.jakarta.telkom.net.id (202.134.3.149) 320.187 ms 319.636 ms
8 * GigaE5-0.1.emm.jakarta.telkom.net.id (202.134.3.174) 330.246 ms *
9 game.plasa.com (202.134.0.12) 460.078 ms * 420.131 ms
Ah semakin yakin saja kita, dari hasil traceroute www.telkom.net.id
terlihat sekali bahwa ternyata www.telkom.net.id ternyata identik dengan
game.plasa.com. Jelas bahwa semua keluarga besar plasa.com &
telkom.net.id adalah servis TelkomNet yang merupakan bagian dari servis
Divisi Multimedia PT. Telkom; termasuk tentunya TelkomNet Instant yang
sering menjadi bulan-bulan ISP Indonesia yang lain yang menunjukan
ketidak adilan (ketidak fairan) Telkom dalam memberikan servis di
Indonesia.
Menarik untuk di simak ternyata Divisi Multimedia memegang keluarga IP
202.134.0.x sangat predictable sekali karena logikanya 202.134.x.x
kemungkinan besar adalah keluarga IP-nya PT. Telkom, dan nomor terkecil
(0) di ambil oleh penyelenggara / operator-nya, yaitu Divisi Multimedia.
Dari hasil traceroute juga terlihat bahwa jaringan backbone / router
utama Telkom tampaknya menggunakan keluarga IP 202.134.3.x.
Selanjutnya kita mencoba melihat bagaimana dengan kantor pusat PT.
Telkom Indonesia di Bandung. Mari kita lihat hasil traceroute ke
www.telkom.co.id yang tampaknya berada di kantor pusat PT. Telkom di
Bandung.
[root@gate onno]# traceroute www.telkom.co.id
traceroute to www.telkom.co.id (202.134.2.15), 30 hops max, 38 byte packets
1 Digital-Tc.indo.net.id (202.159.33.29) 341.254 ms 189.285 ms 189.863 ms
2 Subnet-Gateway.indo.net.id (202.159.33.32) 389.814 ms 539.738 ms 339.843 ms
3 Loral-Gateway.indo.net.id (202.159.32.1) 379.842 ms 189.737 ms 629.806 ms
4 * * *
5 198.32.204.83 (198.32.204.83) 520.177 ms 529.823 ms 489.612 ms
6 * * s2-4-gw1.gcc.jakarta.telkom.net.id (202.134.3.241) 490.196 ms
7 * FE11-0-0.sm2.jakarta.telkom.net.id (202.134.3.149) 720.213 ms *
8 * * *
9 * * fe-sm2.jakarta.telkom.net.id (202.134.3.179) 599.379 ms
10 s0-lembong.bandung.telkom.net.id (202.134.3.38) 719.669 ms 659.553
ms S4.lbg.bandung.telkom.net.id (202.134.3.50) 529.925 ms
11 192.168.16.250 (192.168.16.250) 765.193 ms 859.890 ms *
12 202.134.2.15 (202.134.2.15) 1070.083 ms 769.732 ms *
Dari hasil traceroute ke www.telkom.co.id ada yang menggelitik hati
saya, ternyata ada router di IntraNet Telkom menggunakan IP
192.168.16.250 yang tampak ke jaringan public. Ini terus terang, agak
menyalahi pakem untuk mendisain jaringan yang baik. Router yan menjadi
firewall ke jaringan IntraNet telkom tampaknya ber-alamat IP
202.134.3.50.
Biasanya jaringan IntraNet 192.168.x.x & 10.x.x.x, harusnya tertutup
untuk dilihat oleh publik. Jika perancang jaringan tersebut secara
benar merancang jaringannya akan sangat sulit melakukan penetrasi
jaringan menggunakan traceroute. Salah satu cara untuk melakukan
traceroute menembus IntraNet, adalah dengan melakukan traceroute pada
port tertentu, misalnya port 53 yang merupakan port Domain Name System
(DNS) menggunakan perintah:
# traceroute –s –P53 IP_mesin_tujuan_dibalik_firewall
Bagi para administrator jaringan, tentunya akan sangat menyakitkan jika
mengetahui bahwa jaringan-nya di intai oleh para hacker menggunakan
traceroute. Ada beberapa software yang dapat digunakan untuk menipu /
membatasi proses pengintaian tersebut, seperti snort
(http://www.snort.org) yang merupakan software untuk melakukan Network
Intrusion Detection System (NIDS). Kalau mau lebih jail lagi mungkin
bisa menggunakan RotoRouter
(http://packetstorm.securify.com/linux/trinux/src/rr-1.0.tgz) yang dapat
mengirimkan responds palsu terhadap program yang melakukan tracreroute.
Selain itu, anda juga dapat membatasi router-router yang ada di luar
jaringan untuk membatasi traffik ICMP & UDP ke sistem yang spesifik,
yang akhirnya akan mengurangi keterbukaan jaringan anda ke luar.
semoga bermanfaat guys
ɽєɡɑɽɗʂ