Pengertian
Sniffing adalah proses monitoring dan capturing semua paket yang melewati jaringan tertentu dengan menggunakan alat sniffing. Sniffing adalah bentuk “penyadapan kabel telepon” dan untuk mengetahui percakapanya. Penyadapan seperti ini juga diterapkan pada jaringan komputer.
Ada begitu banyak kemungkinan bahwa jika satu set port switch perusahaan terbuka, maka salah satu pegawainya dapat mengetahui seluruh lalu lintas jaringan. Siapa pun di lokasi fisik yang sama dapat menyambungkan ke jaringan menggunakan kabel Ethernet atau terhubung tanpa kabel ke jaringan itu dan mengetahui semua traffic nya.
Dengan kata lain, Sniffing memungkinkan Anda melihat segala macam lalu lintas, protected dan unprotected. Dalam kondisi yang benar dan dengan protokol yang tepat, pihak yang menyerang mungkin dapat mengumpulkan informasi yang dapat digunakan untuk serangan lebih lanjut atau menyebabkan masalah lain bagi pemilik jaringan atau sistem.
Seseorang dapat meng sniffing informasi penting di jaringan komputer seperti:
- Email traffic
- FTP passwords
- Web traffics
- Telnet passwords
- Router configuration
- Chat sessions
- DNS traffic
Bagaimana Cara Kerja Sniffing?
Seorang Sniffer, atau orang yang melakukan sniffing biasanya mengubah NIC sistem ke mode promiscous, sehingga bisa listen semua data yang dikirimkan pada tiap segmennya.
Mode promiscuous mengacu pada cara unik Ethernet, khususnya network interface cards (NICs), yang memungkinkan NIC menerima semua lalu lintas di jaringan, meskipun tidak ditujukan ke NIC. Secara default, NIC mengabaikan semua lalu lintas yang tidak ditujukan kepadanya, yang dilakukan dengan membandingkan alamat tujuan dari paket Ethernet dengan alamat perangkat keras (a.k.a. MAC) device. Meskipun sangat masuk akal untuk networking, non-promiscuous menyulitkan penggunaan software network monitoring dan analysis untuk mendiagnosis masalah konektivitas atau penghitungan lalu lintas.
Seperti ilustrasi di atas, sniffer dapat terus memantau semua lalu lintas ke komputer melalui NIC dengan decoding informasi yang dienkapsulasi dalam paket data.
Tipe-Tipe dari Sniffing
Sniffing bisa bersifat Active atau Pasif.
Sniffing Pasif
Dalam Sniffing Pasif, lalu lintas terkunci tapi tidak diubah dengan cara apapun. Sniffing Pasif hanya bisa listening. Passive Sniffing bekerja pada perangkat hub. Pada perangkat hub, lalu lintas dikirim ke semua port. Dalam jaringan yang menggunakan hub untuk menghubungkan sistem, semua host di jaringan dapat melihat lalu lintas. Karena itu, penyerang bisa dengan mudah menangkap lalu lintas yang lewat.
Kabar baiknya adalah bahwa hub hampir usang sekarang ini. Sebagian besar jaringan modern menggunakan switch. Makanya, sniffing pasif tidak efektif lagi.
Sniffing Aktif
Dalam Sniffing Aktif, lalu lintas tidak hanya dikunci dan dipantau, tapi juga bisa diubah dengan cara yang ditentukan oleh serangan tersebut. Sniffing aktif digunakan untuk sniffing jaringan berbasis switch. Sniffing aktif melakukan injecting address resolution packets (ARP) ke dalam jaringan target untuk flooding tabel switch content addressable memory (CAM). CAM melacak host mana yang terhubung ke port mana.
Teknik dalam Sniffing Aktif antara lain:
- MAC Flooding
- DHCP Attacks
- DNS Poisoning
- Spoofing Attacks
- ARP Poisoning
Protokol yang digunakan Untuk Sniffing
Berikut adalah beberapa protokol jaringan komputer yang sering sniffer gunakan dalam melancarkan aksinya:
HTTP – HTTP digunakan untuk mengirim informasi dalam teks yang jelas tanpa enkripsi dan dengan demikian menjadi target nyata.
SMTP (Simple Mail Transfer Protocol) – SMTP pada dasarnya digunakan dalam transfer email. Protokol ini efisien, namun tidak termasuk aman terhadap sniffing.
NNTP (Network News Transfer Protocol) – Digunakan untuk semua jenis komunikasi, namun kelemahan utamanya adalah data dan bahkan kata kunci dikirim melalui jaringan sebagai teks yang jelas.
POP (Post Office Protocol) – POP benar-benar digunakan untuk menerima email dari server. Protokol ini tidak termasuk aman terhadap sniffing karena bisa menjadi jebakan mengirim virus
FTP (File Transfer Protocol) – FTP digunakan untuk mengirim dan menerima file, namun tidak menawarkan fitur keamanan apapun. Semua data dikirim sebagai teks yang bisa dengan mudah di sniffing
IMAP (Internet Message Access Protocol) – IMAP sama dengan SMTP dalam fungsinya, namun sangat rentan terhadap sniffing.
Telnet – Telnet mengirimkan semuanya (nama pengguna, kata sandi, penekanan tombol) melalui jaringan sebagai teks yang jelas dan karenanya, dapat dengan mudah di sniffing
Cara Mencegah Sniffer
Jika dilihat dari cara kerja dari Sniffer, dimana mereka akan bekerja dengan kejahatan yang dapat mengganggu data atau lalu lintas kita. Agar tidak terjadi hal yang seperti itu, maka anda harus melakukan cara pencegahan. Pada gambar yang diatas, disana menunjukkan bahwa anda harus memanfaatkan real users, firewall, network sniffer dan web servers. Namun anda juga bisa melakukan dengan beberapa metode yang ada dibawah ini.
Metode Ping – dimana ini bisa mengirim sebuah permintaan dari ping hingga ke alamat IP yang dapat mempengaruhi mesin sniffers. Kemungkinan besar ini dapat merespon sebuah ping, apabila mesin itu masih berjalan. Tapi perlu diingatkan kalau metode ini tidak terlalu handal.
Metode ARP – dalam sebuah mesin bisa menyimpan dan menangkap ARP. Nah pada saat anda mengirim sebuah ARP yang non-broadcast, promiscuous/mesin sniffer akan menyembunyikan ARP dan merespon pada ping broadcast.
On Local Host – dimana log bisa digunakan ketika mencari mesin yang sedang berjalan pada serangan sniffer.
Metode Latensi – Ketika ping sedang digunakan untuk mendeteksi sebuah sniffing, maka waktu akan singkat. Jika dilakukan oleh sniffer, maka ini akan menunggu waktu yang lama untuk pingnya.
ARP Watch – Ini digunakan agar bisa memicu alaram pada saat melihat cache pada duplikat dari sebuah ARP.
Menggunakan IDS – Agar bisa memantau atau mendeteksi spoofing ARP pada jaringan.
Selain cara yang ada diatas, anda dapat mengatasi dengan cara mengenkripsi , menambahkan sebuah alamat MAC gateway dengan cara permanen kepada cache ARP, beralih pada SSH, menggunakan HTTPS dan lain sebagainya.