AnalisaProtokol Layer 2 dan 3 Menggunakan Ethereal-TcpDump

TUJUAN PEMBELAJARAN:

1.      Mahasiswa memahami konsep PDU layer 2 dan 3

2.      Mahasiswa mampu mengoperasikan Ethereal dan Tcpdump

3.      Mahasiswa mampu menganalisa paket layer 2 dan 3 menggunakan Ethereal dan Tcpdump

              PERALATAN YANG DIBUTUHKAN:

  1.  Beberapa PC yang akan dihubungkan dalam jaringan.

    2.      Hub sebagaipenghubungjaringan.

    3.      Kabeljaringansecukupnya.

DASAR TEORI

Nomor IP diperlukan oleh perangkat lunak untuk mengidentifikasi komputer pada jaringan, namun nomor identitas yang sebenarnya diatur oleh NIC  (Network Interface Card) atau kartu Jaringan yang juga mempunyai nomor unik. Pengalamatan di NIC biasa disebut dengan MAC Address. Pengalamatan ini merupakan bagian dari ethernet.

Alamat kartu jaringan ini terdiri atas 48 bit, 24 bit ID dari pabrik pembuat sedangkan 24 bit sisanya adalah nomor urut/sequence number. Oleh karena itu setiap kartu jaringan TCP/IP merupakan standar tentang mekanisme kerja jaringan, sehingga perangkat lunak dan perangkat keras dari bebagai vendor dapat saling berkomunikasi. Agar dapat bekerja maka TCP/IP membutuhkan perangkat keras jaringan dalam hal ini adalah Ethernet, meskipun ethernet bukan bagian dari TCP/IP, TCP/IP hanya berinteraksi untuk menggunakan fasilitasnya menggerakkan paket. Pengalamatan ethernet sudah dijelaskan di atas.

A

jadiinimerupakanreferensi IP ke MAC addressnyasehingga data terkirimkekomputer yang benarsesuaiphisicaladdressnya. Berdasarkan mapping IP denganphisicaladdressnya.

Bilakomputertahunomor IP tapitidaktahuMACnya. TCP/IP memecahkanmasalahinidenganmenggunakanARP (Address Resolution Protocol) .

ARP (Address Resolutio Protocol)

Secara internal ARP melakukanresolusi address tersebutdan ARP berhubunganlangsungdengan Data Link Layer. ARP mengolahsebuahtabel yang berisi IP-address dan Ethernet Card. Dan tabelinidiisisetelah ARP melakukan request (broadcast) keseluruhjaringan.

Misal user host tertentumenjalankanperintahtelnet (telnet merupakanperintah di linux yang dipakaiuntukmenjalankanmesintertentudarimesinlainnya)  dengan host foghorn ($telnet foghorn) . Setelah user menjalankan command telnet, makasistemakanmengecek ARP cache adanomorphisicaladdres yang dimaksud. Jikainformasiinitidakditemukan, makahost akanmengeluarkansuatu ARP khususmemintapaket.  ARP Request dikapsulkandengansemuainformasi yang dibutuhkankecuali physical addreestujuankarenamemang host tidaktahutujuannyadimana, biasanyaarptujuandibuat FF:FF:FF:FFsecara broadcast kejaringan, karena broadcast makasemua system pada local network akanmenguji request tersebut. Paket ARP request/Reply mempunyai format yang sama. Informasiinibisaditangkapolehsoftware sniffer tcpdumpatau ethereal (akandijelaskanselanjutnya).

ARP Cache

Tadisedikitdisinggung, bahwasetelahmenjalankan command telnet maka host akanmengecek ARP Cache. ARP cache berisitabel IP host sertaphisicaladreeskomputer. ARP cache akanbertambahjika ARP Request mendapatjawaban. ARP Cache inidiatursecaradinamikoleh kernel.Untukmelihatbisapakai command arp –a. 

Kita bisamelakukanpenghapusansebuah entry ARP denganarp –d hostname

TCPDump

Jaringan TCP/IP terdiriataskeseluruhanpaketdancaraterbaikuntukmendebugjaringanadalahdengancaramelacakpaket. Dengan demikian kita dapat menentukan informasi yang tepat dari sumber yang benar. Untuk melacak paket kita dapat menggunakan TCPDump, yang tersedia gratis. Dengan memakai ini seumpama kita berada di web maka kita bisa memakainya untuk mencari penyebab sesuatu tidak beres/gagal sumber penyebabnya dimana dengan tracing tersebut.

Dengan menjalankan TCPDump, kita bisa melihat semua traffic yang masuk atau meninggalkan NIC dan bisa melihat aktifitas jaringan.

Dengan TCPDump bisa juga dipakai untuk menganalisa seumpama terjadi kelambatan aplikasi, kita bisa menganalisanya mulai dari ini.

KemampaunTCPDumpakanberkurangjikakitamenggunakan switch, jadiuntukmempelajaripaketjaringansecara detail denganmemakaiTCPDumpsebaiknyamemakai hub sebabjikamemakai switch yang dapatdiketahuidariTCPDumphanya traffic kedandarikomputer.

TCPDumpakanberjalandenganmenjalankan command tcpdump [-n|-t|-e] dst.

DenganTCPDumpkitabisa :Memilihpaket yang diminati,Memilihpaketberdasarkanalamat host], Memilihpaketberdasarkantipe traffic.

Ethereal

Ethereal merupakan software sniffer gratis yang sudahberbentuk Graphical User Interface(GUI). Software iniberjalanbaik di linux.Dengangrafiknyamempermudahmelihatsetiap detail sebuahpaketdan frame ethernet.

Software Sniffer lain

Selaindua software di atasadajugasepertingrep, ngrepinimencetakpaketsebagaiteksascii.

TUGAS PENDAHULUAN

1.      Apakegunaan ARP

2.      Gambarkandanjelaskan format datagram ARP Request/Reply

3.      Beradadimanakahtabel ARP cache itu (di directory apa?)

4.      Cari option – option pada command arp (misal arp –a, arp -??), dan jelaskan maksud dan kegunaannya.

5.      Cariinformasitentang software sniffer tcpdumpberikut command – command yang adapadatcpdumpdanapakegunaannya

6.      Jelaskancarapenggunaan software ethereal, danbagaimanacaramelakukan filter terhadap :

a.       Paketarp

b.      Hanyadari source atau destination nomor IP yang ditampilkanpadadisplay ?

PERCOBAAN

1.      Buka terminal dan jalankan command  arp –a pada host anda masing-masing, catat dan amati hasilnya. Apa maksud output yang dihasilkan command arp –a.Jika perlu cari di internet

2.      Lakukan command ping no_ip , pilih no_ip yang tidak terdaftar pada hasil percobaan 1 tapi masih dalam satu jaringan.

3.      Setelah menjalankan perintah ping, lakukan proses 6

4.      Jalankan perintah arp –a sekali lagi. Amati padaperbedaan output dibandingwaktupercobaan no 1.

5.      Lakukan command pingno_ip ,pilihno_ip yang sudahterdaftarpadapercobaan no 1.

6.      Jawabpertanyaanberikutini :Kenapabisaterjadiperbedaanhasilpercobaanmeskipunkitamemakai command yang sama, jelaskansecarasingkat.

7.      Kita bisamelakukanpengurangan ARP Cache atau disable ARP Cache, lakukanpercobaan di bawahini :

a.       Jalankan command arp –d hostname (pakaisalahsatu hostname yang terdaftarpada Arp cache). Amati hasilnyadenganmenjalankan command arp –a.

b.  Jalankan command berikut :ifconfig eth0 –arpdown, amatihasilnyadenganmenjalankanarp –a.

c.       Jalankanperintah ping kekomputersebelahapa yang terjadi ?

8.      Setelah selesai melakukan percobaan 7, untuk menormalkan koneksi jaringan, jalankan perintah berikut :

a.       ifdown eth0

b.      ifup eth0

c.       ifconfig eth0 –arp up

d.      arp –a

e.       ping ke komputer sebelah

f.       Catat semua hasilnya, dan bandingkan dengan percobaan 7. Berikan kesimpulan.

9.      Selain melakukan pengurangan juga bisa melakukan penambahan Arp Cache , lakukan command berikut :

arp –s hostname phisical_address

Sebelumandamengetik no phisical_addresscaridulu di komputertemanandadengan command ifconfig.

selanjutnyajalankan command arp -a

Amati hasilpercobaan, berikankesimpulanmu.

10.  jalankan command cat /etc/ethers, jelaskanapamaksudnya !

11.  Untuk melakukan pengintaian kita bisa juga memakai tcpdump. Bukalah terminal baru dan jalankan  tcpdump, biarkan tcpdump berjalan. Cobalah beberapa varias command-command tambahan di tcpdump untuk mengintai paket yang lewat, misal tcpdump –n, tcpdump –n –t, tcpdump -n –t, tcpdump –n –t –e.

12.  Buka kembali terminal baru, lakukan langkah berikut pada terminal baru dan tulis hasil percobaannya:

a.       Jalankanperintah ping kekomputersatujaringan. Amati hasiltcpdump.

b.      Jalankanperintaharp –a, catathasilnya

c.       Jalankanperintah ping kekomputerdiluarjaringankita, amatihasilnya di tcpdump.

d.      Jalankanarp –a, analisahasilnya. Amati padatabelarpketikakitaberhubungandengankomputerdiluarjaringan, apa yang terterapadatabelarp ?

e.       Hapussemuaip yang terdaftarpadaarpdenganperintaharp –d nomorip.Setelahsemuaterhapusjalankankembalipercobaan a, amatihasilnya di tcpdump.

f.       Jalankanpercobaan b dan c kembalidanamatihasilnya di tcpdump.

g.      jalankan browser dan masuklah ke www yang anda suka. Amati traffic yang ada pada tcpdump. Analisahasilpercobaanandaapamaksud output yang dihasilkan.

13.  Denganmenggunakanlangkah yang samasepertipadapercobaan 12, gunakanpaket ethereal

a.       Pastikan ethereal sudahterinstalpadakomputeranda

b.      Buka terminal barudanjalankan ethereal pada terminal tersebut

c.       Mulailahmencapture data menggunakan ethereal dan filter hanyapaketarpdanicmp (ping merupakanpaketicmp)

d.      Jalankanpercobaan 12.a – 12.g amatihasilnya di ethereal.

e.       Amati juga pada bagian data di ethereal, bandingkan dengan isi paket pada ethernet !

f.       Catatlah paket ethereal (src mac, dst mac, src ip, dst ip) jika kita berhubungan dengan komputer diluar kita, amati dan buat analisa yang terjadi.

g.      Berikankesimpulanpercobaananda ?