D3 TKJ UNTAD
Would you like to react to this message? Create an account in a few clicks or log in to continue.

D3 TKJ UNTAD

Forum Buat Berbagi Ilmu Pengetahuan
 
IndeksPencarianLatest imagesPendaftaranGalleryLogin

 

 Monitor dan Memblok Trafik Virus Pada Cisco Router part1

Go down 
2 posters
PengirimMessage
cundunk
Penghuni Baru
Penghuni Baru
cundunk


Number of posts : 59
Age : 37
Location : palu kota indah yang tersembunyi
Registration date : 26.07.07

Monitor dan Memblok Trafik Virus Pada Cisco Router part1 Empty
PostSubyek: Monitor dan Memblok Trafik Virus Pada Cisco Router part1   Monitor dan Memblok Trafik Virus Pada Cisco Router part1 EmptySat Sep 01, 2007 9:30 am

router dapat menangkap dan melihat aktivitas trafik dalam jaringan, sehingga memudahkan kita untuk mengklasifikasikan trafik dan membuang paket-paket yang tidak diperlukan.

Berkembangnya virus-virus komputer yang sangat cepat, cukup merugikan para penyedia jaringan dan pengguna komputer. Serangan virus ini telah banyak mengkonsumsi bandwidth sehingga trafik aplikasi yang sebenarnya tidak bisa dilewatkan melalui jaringan karena jaringan telah dipenuhi oleh paket-paket virus

Untuk menampung semua trafik yang keluar masuk, harus dibuatkan tempat yang biasanya disebut log.

Pada router cisco, buffer log tidak aktfi secara default. Oleh karena itu kita harus mengaktifkannya sebelum menampung trafik yang akan kita lihat.

Cara mengaktifkan log buffer pada Router Cisco:

Router(config)# logging buffered 4096
Router(config)# exit

Angka 4096 mempunyai satuan bytes, jadi tempat/memori yang disediakan untuk menangkat trafik sebesar 4096 Bytes.

Setelah itu, kita membuat profile untuk menangkap trafik dengan menggunakan Access Control List (ACL) extended.

Contoh :

Konfigurasi access-list 101

Router# config t
Router(config)# access-list 101 permit icmp any any log
Router(config)# access-list 101 permit tcp any any gt 0 log
Router(config)# access-list 101 permit udp any any gt 0 log
Router(config)# access-list 101 permit ip any any log

Pengertian permit berarti semua paket (icmp, tcp, udp, ip) diijinkan lewat

Selanjutnya terapkan Access-List yang sudah dibuat pada interface yang akan kita tangkap trafiknya.

Misal kita ingin menangkap trafik yang masuk ke port Fast Ethernet 0 : (dapat diterapkan di semua interface, seperti : E0, S0, S1.1, S2/0.1, ATM0/0.1, dll)

Router(config)# int fa0
Router(config-if)# ip access-group 101 in
Router(config-if)# exit

Agar hasil log dapat terlihat Tanggal dan Jam-nya, maka harus dikonfigurasi sebagai berikut:

Router(config)# service timestamps log datetime localtime
Router(config)# exit
Router#clock set 14:00:00 17 May 2004

Setelah selesai, kita dapat melihat semua trafik yang masuk ke Fast Ethernet 0:

Perintah yang digunakan adalah : show log

Router#show log

May 17 14:02:38: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 172.21.0.182(1019) -> 192.168.134.82(515), 2 packets

May 17 14:02:44: %SEC-6-IPACCESSLOGDP: list 101 permitted icmp 192.168.134.2 -> 192.168.134.42 (3/13), 6 packets

May 17 14:02:44: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 172.21.0.182(1019) -> 192.168.134.43(515), 1 packet

May 17 14:03:03: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 172.21.0.155(1014) -> 192.168.134.67(515), 2 packets

May 17 14:03:05: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 172.21.0.182(1005) -> 192.168.134.67(515), 2 packets

Dari data trafik baris pertama di atas, paket tcp port 1019 dengan IP 172.21.0.182 masuk ke port Fast Ethernet 0 dengan tujuan IP 192.168.134.82 menggunakan port 515 sebanyak 2 paket, terjadi pada tanggal 17 May 2004 jam 14:02:38.

Dari data trafik baris pertama di atas, paket tcp port 1019 dengan IP 172.21.0.182 masuk ke port Fast Ethernet 0 dengan tujuan IP 192.168.134.82 menggunakan port 515 sebanyak 2 paket, terjadi pada tanggal 17 May 2004 jam 14:02:38.Dari data trafik baris pertama di atas, paket tcp port 1019 dengan IP 172.21.0.182 masuk ke port Fast Ethernet 0 dengan tujuan IP 192.168.134.82 menggunakan port 515 sebanyak 2 paket, terjadi pada tanggal 17 May 2004 jam 14:02:38.Untuk melihat throughput atau utilisasi pada interface Fast Ethernet 0, dapat menggunakan perintah:

Router# sho int fa0

….
5 minute input rate 11264000 bits/sec, 2378 packets/sec
5 minute output rate 5203000 bits/sec, 3060 packets/sec
……
Kembali Ke Atas Go down
http://cundunk.multiply.com
cundunk
Penghuni Baru
Penghuni Baru
cundunk


Number of posts : 59
Age : 37
Location : palu kota indah yang tersembunyi
Registration date : 26.07.07

Monitor dan Memblok Trafik Virus Pada Cisco Router part1 Empty
PostSubyek: part2   Monitor dan Memblok Trafik Virus Pada Cisco Router part1 EmptySat Sep 01, 2007 9:33 am

PC yang terkena virus akan selalu mengirimkan paket-paket ke jaringan dalam jumlah besar dalam waktu singkat.

Jika pada saat kita menangkap trafik pada suatu interface, terdapat pola paket yang sangat banyak dan menggunakan port TCP, UDP atau ICMP yang sama, kemungkinan jaringan ini terkena virus.

Berikut contoh-contoh paket virus dalam jaringan :

Salah satu jenis Virus Blaster menggunakan TCP port 135, virus ini dapat memenuhi jaringan dan menyebabkan aplikasi di jaringan menjadi lambat atau bahkan hang. Paket ini akan terus memenuhi jaringan walaupun kondisi komputer sedang tidak melakukan aktivitas.

May 19 14:25:48: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.69(2865) -> 129.74.248.15(135), 1 packet

May 19 14:25:49: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.66(4283) -> 10.239.97.117(135), 1 packet

May 19 14:25:50: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.69(2897) -> 129.74.248.47(135), 1 packet

May 19 14:25:51: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.70(3832) -> 166.58.195.45(135), 1 packet

May 19 14:25:52: %SEC-6-IPACCESSLOGP: list 102 permitted tcp

Jenis Virus Blaster yang lain menggunakan TCP port 445, 139 dan UDP port 137 (ada juga yang menggunakan port 138, tetapi tidak ditampilkan di sini)

May 25 15:46:46: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2774) -> 64.120.84.40(445), 1 packet

May 25 15:46:47: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2776) -> 64.120.84.41(445), 1 packet

May 25 15:46:48: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2778) -> 64.120.84.42(445), 1 packet

May 25 15:46:49: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2780) -> 64.120.84.43(445), 1 packet

Paket Virus Welchia/Nachi:

Oct 22 10:59:50: %SEC-6-IPACCESSLOGDP: list 101 permitted icmp 202.152.13.98 -> 192.170.211.87 (8/0), 1 packet

Oct 22 10:59:51: %SEC-6-IPACCESSLOGDP: list 101 permitted icmp 202.152.13.98 -> 192.170.211.248 (8/0), 1 packet

Oct 22 10:59:52: %SEC-6-IPACCESSLOGDP: list 101 permitted icmp 202.152.13.98 -> 192.170.212.186 (8/0), 1 packet

Dengan menggunakan Router kita dapat memblok paket-paket tersebut diatas agar tidak menulari jaringan yang lain atau memenuhi jaringan WAN.

Bloking paket virus dilakukan di sisi router pada interface yang paling dekat dengan keberadaan jaringan yang bervirus.

Contoh cara melakukan Bloking Paket pada virus Blaster yang menggunakan TCP port 445 dan UDP port 137 adalah dengan menggunakan Access Control List (ACL) sebagai berikut :

Router# config t
Router(config)# access-list 104 deny tcp any any eq 445 log
Router(config)# access-list 104 deny udp any any eq 137 log
Router(config)# access-list 104 permit ip any any

Catatan : Jangan lupa di akhir command untuk selalu memasang permit ip any any , setelah anda melakukan bloking dengan perintah deny. Jika anda tidak memasang permit ip any any, maka semua paket akan diblok.

Selanjutnya kita pasang access-list 104 di atas, pada interface tempat masuknya virus, misal di interface ethernet0:

Router(config)# int e0
Router(config-if)#ip access-group 104 in
Router(config-if)# exit

Untuk melihat hasilnya adalah sebagai berikut :

Router# sho log

May 18 16:21:08: %SEC-6-IPACCESSLOGP: list 104 denied udp 169.254.166.50(137) -> 169.254.255.255(137), 1 packet

May 18 16:21:09: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.151.68(1339) -> 10.49.35.78(445), 1 packet

May 18 16:21:10: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.100.230(1028) -> 4.71.4.82(137), 1 packet

May 18 16:21:11: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.19.130(1027) -> 46.33.60.237(137), 1 packet

May 18 16:21:12: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.7.194(1028) -> 140.120.202.83(137), 1 packet

May 18 16:21:13: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.15.132(3882) -> 10.74.93.59(445), 1 packet

May 18 16:21:14: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.20.115(3562) -> 185.142.133.192(445), 1 packet

May 18 16:21:15: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.12.124(3058) -> 10.228.79.203(445), 1 packet

May 18 16:21:16: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.12.40(3571) -> 31.7.189.248(445), 1 packet

May 18 16:21:17: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.13.130(1026) -> 14.0.106.191(137), 1 packet

May 18 16:21:18: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.15.99(1029) -> 62.178.109.147(137), 1 packet

May 18 16:21:19: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.8.105(1027) -> 144.203.127.85(137), 1 packet

May 18 16:21:20: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.8.6(1027) -> 119.123.155.124(137), 1 packet

May 18 16:21:21: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.20.116(4314) -> 17.101.32.39(445), 1 packet

Terlihat bahwa semua paket yang menggunakan TCP port 445 dan UDP port 137 akan di Deny (blok).Terlihat bahwa semua paket yang menggunakan TCP port 445 dan UDP port 137 akan di Deny (blok). Hal ini sangat bermanfaat jika jaringan kita menggunakan WAN.

Terlihat bahwa semua paket yang menggunakan TCP port 445 dan UDP port 137 akan di Deny (blok).Hal ini sangat bermanfaat jika jaringan kita menggunakan WAN.Misal kita menggunakan WAN Frame Relay dengan kecepatan 64 Kbps. Jika suatu LAN 100 Mbps di remote terkena virus seperti diatas, maka semua paket virus ini akan menyebar dan masuk ke WAN yang mempunyai kecepatan hanya 64 Kbps. Dapat dibayangkan pasti jaringan WAN yang 64 kbps ini akan penuh, dan user-user di remote tidak akan bisa melakukan hubungan ke jaringan pusat.

Dikutip dari tulisan Mudji Basuki - Ilmu Komputer
Kembali Ke Atas Go down
http://cundunk.multiply.com
rendra
Moderator
Moderator
rendra


Number of posts : 179
Age : 46
Registration date : 26.07.07

Monitor dan Memblok Trafik Virus Pada Cisco Router part1 Empty
PostSubyek: Re: Monitor dan Memblok Trafik Virus Pada Cisco Router part1   Monitor dan Memblok Trafik Virus Pada Cisco Router part1 EmptySat Sep 01, 2007 10:07 pm

Informasi dan tutorial yang sangat bagus

Terutama informasi pengiriman paket di blaster, menginspirasi saya untuk memperbaiki jaringan kampus yang bw- nya selalu disedot oleh orang yang tidak bertanggung jawab

Terima kasih pak cundunk


regards,
Kembali Ke Atas Go down
Sponsored content





Monitor dan Memblok Trafik Virus Pada Cisco Router part1 Empty
PostSubyek: Re: Monitor dan Memblok Trafik Virus Pada Cisco Router part1   Monitor dan Memblok Trafik Virus Pada Cisco Router part1 Empty

Kembali Ke Atas Go down
 
Monitor dan Memblok Trafik Virus Pada Cisco Router part1
Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» Indonesiakan Virus, Viruskan Indonesia, GOon VIRUS MAKER
» Tugas Module 2 CCNA 2 u/ kelas A (Operating Cisco IOS)
» KOMPONEN ROUTER
» Tugas Mod 1 CCNA 2 4.0 (Router Component)
» File Sistem pada Linux

Permissions in this forum:Anda tidak dapat menjawab topik
D3 TKJ UNTAD :: Mata Perkuliahan :: CCNA-
Navigasi: