Jika anda suka dengan artikel ini berbagilah ke rekan anda, simpan ke bentuk PDF atau bagikan ini ke social media
Tweet
Tweet
1.
Untuk network scanning :10.252.108.0/24 ,nmap -sL dan nmap -sP kita mengamati perbedaan dengan menggunakan Wireshark.
o
Sintaks : # nmap -sL 10.252.108.0/24
Hasil
setelah dilakukan scanning menggunakan parameter -sL menunjukkan dari host
discovery tidak ada satupun host yang terdeteksi up (hidup). Secara teori
perintah ini memungkinkan untuk melihat hanya daftar host yang terindikasi
hidup.
Jika
kita inspeksi menggunakan Wireshark, kita tidak akan menemukan records dengan
filter: ip.dst== 10.252.108.0/24 (kita
menggunakan IP 192.168.1.116 yang kita pakai untuk percobaan), artinya
Wireshark tidak menemukan paket yang dikirim dari host yang kita pakai dalam
percobaan ini. Kita menemukan penyebab hal ini bisa terjadi karena proses
scanning yang melalui gateway terlebih dahulu sebelum ke host discovery. Namun
jika menggunakan filter : ip.dst==
192.168.1.116 && ip.src== 10.252.108.0/24, hasil records ditampilkan
sebagai berikut. Disini kita dapat melihat bahwa seluruh host dicovery membalas
dengan mengirimkan flag RST ke host 192.168.1.116.
Setelah
kita inspeksi lebih lanjut dengan menggunakan fitur flow graph di Wireshark, kita
bisa melihat bahwa nmap telah mengirimkan paket SYN terlebih dahulu ke port 443
ke router 192.168.1.1, dimana router tersebut akan mere-transmit ulang paket
yang diterima ke host discovery, sehingga diketahui host discovery membalas
dengan merespon paket degan flag RST. Hal ini yang disebut stealth scan atau
half-open scan, hasil yang mengindikasikan sebuah port tersebut adalah closed,
sehingga nmap menafsirkan bahwa host off (mati).
o
Sintaks : nmap -sP 10.252.108.0/24
Secara teori parameter -sP yang dimasukkan adalah untuk
menunjukkan hasil discovery berikut dengan port yang terbuka setelah proses
scanning. Namun kita tidak melihat hal yang demikian terjadi.
Jika kita melakukan inspeksi dengan menggunakan Wireshark dengan
filter : ip.dst== 10.252.108.0/24, kita
melihat bahwa nmap awalnya melakukan pengiriman paket ICMP untuk
mengidentifikasi host hidup atau mati. Jika host teridentifikasi membalas
request tersebut (ICMP reply) artinya
adalah host tersebut hidup. Disini kita
melihat proses yang unik pada perintah -sP ini, yaitu nmap akan terus mencoba melakukan
host discovery walaupun hasil scan pada suatu host tertentu terindikasi off
(mati). Nmap mencoba melakukan metode stealth scan atau half-open scan untuk
memastikan suatu host yang terindikasi mati oleh proses ICMP sebelumnya, apakah
memang benar-benar hidup atau mati.
Jika kita melihat records pada gambar diatas, kita bisa mengamati
bahwa nmap mencoba melakukan scanning sekali lagi dengan metode half-open scan
atau idle scan, seperti terlihat pada gambar berikut. Dimana flag SYN
dikirimkan ke port 443, dan flag ACK ke port 80, untuk melihat response dari
setiap host yang dikirimkan paket tersebut.
Host
dicovery dilakukan oleh nmap seperti ditunjukkan pada gambar di bawah ini.
Pada
stealth scan jika tidak ada response maka port terindikasi terbuka, namun jika ada
response yang mengandung flag RST/ACK maka port closed (ditutup).
