PortSentry Penjaga Serangan Port Scan di Jaringan

Onno W. Purbo

Mengapa kita perlu mendeteksi Port Scan? Jawaban versi hebohnya kira-kira sebagai berikut, Port Scan adalah awal dari masalah besar yang akan datang melalui jaringan. Port Scan merupakan awal serangan dan hasil Port Scan membawa beberapa informasi kritis yang sangat penting untuk pertahanan mesin & sumber daya yang kita miliki. Keberhasilan untuk menggagalkan Port Scan akan menyebabkan kita tidak berhasil memperoleh informasi strategis yang dibutuhkan sebelum serangan yang sebetulnya dilakukan.

PortSentry dapat di terjemahkan ke bahasa Indonesia sebagai Penjaga Gerbang / Pelabuhan. Sentry berarti penjaga, Port dapat diterjemahkan gerbang atau pelabuhan. Sekedar latar belakang informasi, pada jaringan komputer (Internet), masing-masing server aplikasi akan stand-by pada port tertentu, misalnya, Web pada port 80, mail (SMTP) pada port 25, mail (POP3) pada port 110. PortSentry adalah program yang di disain untuk mendeteksi dan merespond kepada kegiatan port scan pada sebuah mesin secara real-time.

PortSentry tersedia untuk berbagai platform Unix, termasuk Linux, OpenBSD & FreeBSD. Versi 2.0 dari PortSentry memberikan cukup banyak fasilitas untuk mendeteksi scan pada berbagai mesin Unix. Versi 1.1 mendukung mode deteksi PortSentry yang klasik yang tidak lagi digunakan pada versi 2.0. PortSentry 2.0 membutuhkan library libpcap untuk dapat di jalankan, biasanya sudah tersedia berbentuk RPM dan akan terinstall secara automatis jika anda menggunakan Linux Mandrake. Bagi yang tidak menggunakan Linux Mandrtake dapat mengambilnya dari situs tcpdump.org.

Bagi pembaca yang ingin mengambil PortSentry langsung dari sumbernya dapat mengambilnya di http://www.psionic.com/products/portsentry.html. Source portsentry terdapat dalam format tar.gz atau .rpm.

Bagi pengguna Mandrake 8.0, PortSentry telah tersedia dalam CD-ROM dalam format RPM. Instalasi PortSentry menjadi amat sangat mudah dengan di bantu oleh program Software Manager. Yang kita lakukan tinggal:

• Mencari PortSentry dalam paket program.
• Pilih (Klik) PortSentry.
• Klik Install maka PortSentry.

Secara automagic anda akan memperoleh PortSentry.

Bagi pengguna Mandrake 8.2 ternyata PortSentry tidak dimasukan dalam CD-ROM Mandrake 8.2, jadi anda harus menggunakan CD Mandrake 8.0 untuk mengambil PortSentry dan menginstallnya.

Beberapa fitur yang dimiliki oleh PortSentry, antara lain adalah:

• Mendeteksi adanya Stealth port scan untuk semua platform Unix. Stealth port scan adalah teknik port scan yang tersamar / tersembunyi, biasanya sukar di deteksi oleh sistem operasi.
• PortSentry akan mendeteksi berbagai teknik scan seperti SYN/half-open, FIN, NULL dan X-MAS. Untuk mengetahui lebih jelas tentang berbagai teknik ini ada baiknya untuk membaca-baca manual dari software nmap yang merupakan salah satu software portscan terbaik yang ada.
• PortSentry akan bereaksi terhadap usaha port scan dari lawan dengan cara membolkir penyerang secara real-time dari usaha auto-scanner, probe penyelidik maupun serangan terhadap sistem.
• PortSentry akan melaporkan semua kejanggalan & pelanggaran kepada software daemon syslog lokal maupun remote yang berisi nama sistem, waktu serangan, IP penyerang maupun nomor port TCP atau UDP di mana serangan di lakukan. Jika PortSentry didampingkan dengan LogSentry,  dia akan memberikan berita kepada administrator melalui e-mail.
• Fitur cantik dari PortSentry adalah pada saat terdeteksi sebuah scan, sistem anda tiba-tiba menghilang dari hadapan si penyerang. Fitur ini betul-betul membuat penyerang tidak berkutik.
• PortSentry selalu mengingat alamat IP penyerang, jika ada serangan Port Scan yang sifatnya random PortSentry akan bereaksi.

Salah satu hal yang menarik dari PortSentry adalah dia disain agar dapat dikonfigurasi secara sederhana sekali dan bebas dari keharusan memelihara.

Beberapa hal yang mungkin menarik dari kemampuan PortSentry antara lain, PortSentry akan mendeteksi semua hubungan antar komputer menggunakan protokol TCP maupun UDP. Melalui file konfigurasi yang ada PortSentry akan memonitor ratusan port yang di scan secara berurutan maupun secara random. Karena PortSentry juga memonitor protokol UDP, PortSentry akan memberitahukan kita jika ada orang yang melakukan probing (uji coba) pada servis RPC, maupun servis UDP lainnya seperti TFTP, SNMP dll.

Setup Parameter PortSentry

Setup Parameter PortSentry dilakukan secara sangat sederhana melalui beberapa file yang berlokasi di

            /etc/portsentry

adapun file tersebut adalah

always_ignore

portsentry.blocked.atcp

portsentry.blocked.audp

portsentry.conf

portsentry.history

portsentry.ignore

portsentry.modes

dari sekian banyak file yang ada, yang perlu kita perhatikan sebetulnya tidak banyak hanya

• Always_ignore – yang berisi alamat IP yang tidak perlu di perhatikan oleh PortSentry.
• Portsentry.conf – yang berisi konfigurasi portsentry, tidak terlalu sukar untuk di mengerti karena keterangannya cukup lengkap.

Mengedit portsentry.conf tidak sukar & dapat dilakukan menggunaan teks editor biasa saja. Sebetulnya portsentry dapat langsung bekerja hampir tanpa perlu mengubah file konfigurasi yang ada. Beberapa hal yang perlu diperhatikan dalam mengedit konfigurasi file portsentry.conf adalah:

• Konfigurasi Port – disini di set port mana saja di komputer yang kita gunakan yang perlu di perhatikan. Pada konfigurasi port ini tersedia juga pilihan untuk menghadapi advanced stealth scan.
• Pilihan untuk melakukan respons (Reponds Options) – seperti Ignore options yang memungkinkan kita untuk mengacuhkan serangan, menghilang dari tabel routing yang akan mengakibatkan paket dari penyerang tidak di proses routingnya, setting untuk TCP Wrappers yang akan menyebabkan paket dari penyerang tidak akan masuk ke server.
• Serang balik – ini adalah bagian paling berbahaya dari PortSentry, pada file konfigurasi PortSentry telah di sediakan link untuk menyambungkan / menjalankan script untuk menyerang balik ke penyerang. Bagian ini sebaiknya tidak digunakan karena akan menyebabkan terjadinya perang Bharatayudha.

Dari sekian banyak parameter yang ada di konfigurasi file portsentry.conf, saya biasanya hanya menset bagian routing table saja untuk menghilangkan semua paket dari  penyerang yang mengakibatkan paket tidak di proses. Kebetulan saya menggunakan Mandrake 8.0 yang proses paket dilakukan oleh iptables, kita cukup menambahkan perintah di bagian Dropping Routes: dengan perintah iptables.

# PortSentry Configuration

#

# $Id: portsentry.conf,v 1.13 1999/11/09 02:45:42 crowland Exp crowland $

#

# IMPORTANT NOTE: You CAN NOT put spaces between your port arguments.

#

# The default ports will catch a large number of common probes

#

# All entries must be in quotes.

###################

# Dropping Routes:#

###################

# For those of you running Linux with ipfwadm installed you may like

# this better as it drops the host into the packet filter.

# You can only have one KILL_ROUTE turned on at a time though.

# This is the best method for Linux hosts.

#

#KILL_ROUTE="/sbin/ipfwadm -I -i deny -S $TARGET$ -o"

#

# This version does not log denied packets after activation

#KILL_ROUTE="/sbin/ipfwadm -I -i deny -S $TARGET$"

#

# New ipchain support for Linux kernel version 2.102+

# KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l"

#

# New iptables support for Linux kernel version 2.4+

KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

Check adanya Serangan

Untuk mencheck adanya serangan, ada beberapa file & perintah yang dapat dilihat, yaitu:

·         /etc/hosts.deny – yang berisi daftar IP mesin yang tidak diperkenankan untuk berinteraksi ke server kita. Daftar ini di gunakan oleh TCP Wrappers & di hasilkan secara automatis oleh PortSentry pada saat serangan di lakukan.

·         /etc/portsentry/portsentry.blocked.atcp – daftar alamat IP mesin yang di blok akses-nya ke semua port TCP.

·         /etc/portsentry/portsentry.blocked.audp – daftar alamat IP mesin yang di blok akses-nya ke semua port UDP.

·         /etc/portsentry/portsentry.history – sejarah serangan yang diterima oleh mesin kita.

Pada Mandrake 8.0 & Mandrake 8.2, untuk melihat paket yang di tabel paket filter oleh PortSentry dapat dilakukan menggunakan perintah:

            # iptables –L

Jika hanya PortSentry yang digunakan maka tabel filter iptables seluruhnya secara automatis di hasilkan oleh PortSentry. Untuk membuang semua tabel filter dapat dilakukan dengan perintah:

            # iptables –F

PortSentry Penjaga Serangan Port Scan di Jaringan

Onno W. Purbo

Mengapa kita perlu mendeteksi Port Scan? Jawaban versi hebohnya kira-kira sebagai berikut, Port Scan adalah awal dari masalah besar yang akan datang melalui jaringan. Port Scan merupakan awal serangan dan hasil Port Scan membawa beberapa informasi kritis yang sangat penting untuk pertahanan mesin & sumber daya yang kita miliki. Keberhasilan untuk menggagalkan Port Scan akan menyebabkan kita tidak berhasil memperoleh informasi strategis yang dibutuhkan sebelum serangan yang sebetulnya dilakukan.

PortSentry dapat di terjemahkan ke bahasa Indonesia sebagai Penjaga Gerbang / Pelabuhan. Sentry berarti penjaga, Port dapat diterjemahkan gerbang atau pelabuhan. Sekedar latar belakang informasi, pada jaringan komputer (Internet), masing-masing server aplikasi akan stand-by pada port tertentu, misalnya, Web pada port 80, mail (SMTP) pada port 25, mail (POP3) pada port 110. PortSentry adalah program yang di disain untuk mendeteksi dan merespond kepada kegiatan port scan pada sebuah mesin secara real-time.

PortSentry tersedia untuk berbagai platform Unix, termasuk Linux, OpenBSD & FreeBSD. Versi 2.0 dari PortSentry memberikan cukup banyak fasilitas untuk mendeteksi scan pada berbagai mesin Unix. Versi 1.1 mendukung mode deteksi PortSentry yang klasik yang tidak lagi digunakan pada versi 2.0. PortSentry 2.0 membutuhkan library libpcap untuk dapat di jalankan, biasanya sudah tersedia berbentuk RPM dan akan terinstall secara automatis jika anda menggunakan Linux Mandrake. Bagi yang tidak menggunakan Linux Mandrtake dapat mengambilnya dari situs tcpdump.org.

Bagi pembaca yang ingin mengambil PortSentry langsung dari sumbernya dapat mengambilnya di http://www.psionic.com/products/portsentry.html. Source portsentry terdapat dalam format tar.gz atau .rpm.

Bagi pengguna Mandrake 8.0, PortSentry telah tersedia dalam CD-ROM dalam format RPM. Instalasi PortSentry menjadi amat sangat mudah dengan di bantu oleh program Software Manager. Yang kita lakukan tinggal:

• Mencari PortSentry dalam paket program.
• Pilih (Klik) PortSentry.
• Klik Install maka PortSentry.

Secara automagic anda akan memperoleh PortSentry.

Bagi pengguna Mandrake 8.2 ternyata PortSentry tidak dimasukan dalam CD-ROM Mandrake 8.2, jadi anda harus menggunakan CD Mandrake 8.0 untuk mengambil PortSentry dan menginstallnya.

Beberapa fitur yang dimiliki oleh PortSentry, antara lain adalah:

• Mendeteksi adanya Stealth port scan untuk semua platform Unix. Stealth port scan adalah teknik port scan yang tersamar / tersembunyi, biasanya sukar di deteksi oleh sistem operasi.
• PortSentry akan mendeteksi berbagai teknik scan seperti SYN/half-open, FIN, NULL dan X-MAS. Untuk mengetahui lebih jelas tentang berbagai teknik ini ada baiknya untuk membaca-baca manual dari software nmap yang merupakan salah satu software portscan terbaik yang ada.
• PortSentry akan bereaksi terhadap usaha port scan dari lawan dengan cara membolkir penyerang secara real-time dari usaha auto-scanner, probe penyelidik maupun serangan terhadap sistem.
• PortSentry akan melaporkan semua kejanggalan & pelanggaran kepada software daemon syslog lokal maupun remote yang berisi nama sistem, waktu serangan, IP penyerang maupun nomor port TCP atau UDP di mana serangan di lakukan. Jika PortSentry didampingkan dengan LogSentry,  dia akan memberikan berita kepada administrator melalui e-mail.
• Fitur cantik dari PortSentry adalah pada saat terdeteksi sebuah scan, sistem anda tiba-tiba menghilang dari hadapan si penyerang. Fitur ini betul-betul membuat penyerang tidak berkutik.
• PortSentry selalu mengingat alamat IP penyerang, jika ada serangan Port Scan yang sifatnya random PortSentry akan bereaksi.

Salah satu hal yang menarik dari PortSentry adalah dia disain agar dapat dikonfigurasi secara sederhana sekali dan bebas dari keharusan memelihara.

Beberapa hal yang mungkin menarik dari kemampuan PortSentry antara lain, PortSentry akan mendeteksi semua hubungan antar komputer menggunakan protokol TCP maupun UDP. Melalui file konfigurasi yang ada PortSentry akan memonitor ratusan port yang di scan secara berurutan maupun secara random. Karena PortSentry juga memonitor protokol UDP, PortSentry akan memberitahukan kita jika ada orang yang melakukan probing (uji coba) pada servis RPC, maupun servis UDP lainnya seperti TFTP, SNMP dll.

Setup Parameter PortSentry

Setup Parameter PortSentry dilakukan secara sangat sederhana melalui beberapa file yang berlokasi di

            /etc/portsentry

adapun file tersebut adalah

always_ignore

portsentry.blocked.atcp

portsentry.blocked.audp

portsentry.conf

portsentry.history

portsentry.ignore

portsentry.modes

dari sekian banyak file yang ada, yang perlu kita perhatikan sebetulnya tidak banyak hanya

• Always_ignore – yang berisi alamat IP yang tidak perlu di perhatikan oleh PortSentry.
• Portsentry.conf – yang berisi konfigurasi portsentry, tidak terlalu sukar untuk di mengerti karena keterangannya cukup lengkap.

Mengedit portsentry.conf tidak sukar & dapat dilakukan menggunaan teks editor biasa saja. Sebetulnya portsentry dapat langsung bekerja hampir tanpa perlu mengubah file konfigurasi yang ada. Beberapa hal yang perlu diperhatikan dalam mengedit konfigurasi file portsentry.conf adalah:

• Konfigurasi Port – disini di set port mana saja di komputer yang kita gunakan yang perlu di perhatikan. Pada konfigurasi port ini tersedia juga pilihan untuk menghadapi advanced stealth scan.
• Pilihan untuk melakukan respons (Reponds Options) – seperti Ignore options yang memungkinkan kita untuk mengacuhkan serangan, menghilang dari tabel routing yang akan mengakibatkan paket dari penyerang tidak di proses routingnya, setting untuk TCP Wrappers yang akan menyebabkan paket dari penyerang tidak akan masuk ke server.
• Serang balik – ini adalah bagian paling berbahaya dari PortSentry, pada file konfigurasi PortSentry telah di sediakan link untuk menyambungkan / menjalankan script untuk menyerang balik ke penyerang. Bagian ini sebaiknya tidak digunakan karena akan menyebabkan terjadinya perang Bharatayudha.

Dari sekian banyak parameter yang ada di konfigurasi file portsentry.conf, saya biasanya hanya menset bagian routing table saja untuk menghilangkan semua paket dari  penyerang yang mengakibatkan paket tidak di proses. Kebetulan saya menggunakan Mandrake 8.0 yang proses paket dilakukan oleh iptables, kita cukup menambahkan perintah di bagian Dropping Routes: dengan perintah iptables.

# PortSentry Configuration

#

# $Id: portsentry.conf,v 1.13 1999/11/09 02:45:42 crowland Exp crowland $

#

# IMPORTANT NOTE: You CAN NOT put spaces between your port arguments.

#

# The default ports will catch a large number of common probes

#

# All entries must be in quotes.

###################

# Dropping Routes:#

###################

# For those of you running Linux with ipfwadm installed you may like

# this better as it drops the host into the packet filter.

# You can only have one KILL_ROUTE turned on at a time though.

# This is the best method for Linux hosts.

#

#KILL_ROUTE="/sbin/ipfwadm -I -i deny -S $TARGET$ -o"

#

# This version does not log denied packets after activation

#KILL_ROUTE="/sbin/ipfwadm -I -i deny -S $TARGET$"

#

# New ipchain support for Linux kernel version 2.102+

# KILL_ROUTE="/sbin/ipchains -I input -s $TARGET$ -j DENY -l"

#

# New iptables support for Linux kernel version 2.4+

KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

Check adanya Serangan

Untuk mencheck adanya serangan, ada beberapa file & perintah yang dapat dilihat, yaitu:

·         /etc/hosts.deny – yang berisi daftar IP mesin yang tidak diperkenankan untuk berinteraksi ke server kita. Daftar ini di gunakan oleh TCP Wrappers & di hasilkan secara automatis oleh PortSentry pada saat serangan di lakukan.

·         /etc/portsentry/portsentry.blocked.atcp – daftar alamat IP mesin yang di blok akses-nya ke semua port TCP.

·         /etc/portsentry/portsentry.blocked.audp – daftar alamat IP mesin yang di blok akses-nya ke semua port UDP.

·         /etc/portsentry/portsentry.history – sejarah serangan yang diterima oleh mesin kita.

Pada Mandrake 8.0 & Mandrake 8.2, untuk melihat paket yang di tabel paket filter oleh PortSentry dapat dilakukan menggunakan perintah:

            # iptables –L

Jika hanya PortSentry yang digunakan maka tabel filter iptables seluruhnya secara automatis di hasilkan oleh PortSentry. Untuk membuang semua tabel filter dapat dilakukan dengan perintah:

            # iptables –F

Port Scanning untuk Melihat Kondisi Target di Internet

Onno W. Purbo

Dalam melakukan hacking jarak jauh (remote), langkah paling awal yang harus dilakukan sebelum proses hacking dilakukan adalah melihat servis yang diberikan oleh server / target di Internet. Dalam konsep jaringan komputer klien-server, setiap program / servis akan menempati sebuah port dalam tatanan protokol TCP (Transmission Control Protocol). Sebagai gambaran kombinasi port-program/servis yang cukup familiar dengan pengguna umum Internet adalah:

            25        smtp server

80                web server

110            pop server

Cara paling sederhana untuk melihat status servis pada server target di Internet adalah menggunakan software port scanner seperti nmap di Linux yang dibuat oleh fyodor@insecure.org.

Nmap di rancang untuk memungkinkan seorang sistem administrator atau perorangan yang iseng untuk melakukan scan jaringan yang besar, melihat mesin yang sedang beroperasi & servis yang mereka berikan. Cukup banyak teknik scan yang diberikan oleh nmap seperti  UDP, TCP connect(), TCP SYN (half open), ftp proxy (bounce attack), Reverse-ident, ICMP (ping sweep), FIN, ACK sweep, Xmas  Tree,  SYN sweep, dan Null scan. Di samping itu, nmap juga memberikan banyak fitur seperti remote OS detection via TCP/IP fingerprinting,  stealth  scanning,  kalkulasi dynamic   delay   &       retransmission, parallel scanning, detection of down hosts via parallel  pings,  decoy  scanning,  port filtering detection, direct (non-portmapper) RPC scanning,      fragmentation scanning, dan spesifikasi yang flexible dari target & port.

Saya kebetulan menggunakan Linux Mandrake 8.0 di komputer Pentium 133MHz di rumah. Linux Mandrake 8.0 menyediakan nmap dalam distribusinya. Port scanner nmap dapat digunakan menggunakan command line (di ketik di promt $ atau #) atau menggunakan grafik interface di Linux. Saya sendiri lebih suka menggunakan command line, karena kita dapat mengontrol lebih banyak parameter.

Cuplikan contoh hasil port scan tiga (3) situs Indonesia di Internet, yaitu:

            www.detik.com

            www.telkom.co.id

            ibank.klikbca.com

[root@gate onno]# nmap -v -sS -O www.detik.com

Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )

Host www.detik.com (202.158.66.181) appears to be up ... good.

Initiating SYN half-open stealth scan against www.detik.com

Interesting ports on www.detik.com (202.158.66.181):

(The 1513 ports scanned but not shown below are in state: filtered)

Port       State       Service

20/tcp     closed      ftp-data

21/tcp     closed      ftp

22/tcp     open        ssh

25/tcp     closed      smtp

80/tcp     open        http

110/tcp    closed      pop-3

443/tcp    closed      https

1417/tcp   closed      timbuktu-srv1

5900/tcp   closed      vnc

5901/tcp   closed      vnc-1

TCP Sequence Prediction: Class=random positive increments

                         Difficulty=3193299 (Good luck!)

Nmap run completed -- 1 IP address (1 host up) scanned in 580 seconds

[root@gate onno]# nmap -v -sS -O www.telkom.co.id

Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )

Host  (202.134.2.15) appears to be up ... good.

Interesting ports on  (202.134.2.15):

(The 1493 ports scanned but not shown below are in state: closed)

Port       State       Service

7/tcp      open        echo

9/tcp      open        discard

13/tcp     open        daytime

19/tcp     open        chargen

37/tcp     open        time

80/tcp     open        http

111/tcp    open        sunrpc

137/tcp    filtered    netbios-ns

138/tcp    filtered    netbios-dgm

139/tcp    filtered    netbios-ssn

199/tcp    open        smux

512/tcp    open        exec

513/tcp    open        login

514/tcp    open        shell

543/tcp    open        klogin

544/tcp    open        kshell

882/tcp    open        unknown

883/tcp    open        unknown

1234/tcp   open        hotline

1352/tcp   open        lotusnotes

1524/tcp   filtered    ingreslock

2041/tcp   filtered    interbase

2401/tcp   open        cvspserver

6000/tcp   filtered    X11

6112/tcp   open        dtspc

12345/tcp  filtered    NetBus

12346/tcp  filtered    NetBus

27665/tcp  filtered    Trinoo_Master

32771/tcp  open        sometimes-rpc5

32773/tcp  open        sometimes-rpc9

TCP Sequence Prediction: Class=truly random

                         Difficulty=9999999 (Good luck!)

Nmap run completed -- 1 IP address (1 host up) scanned in 284 seconds

[root@gate onno]#

[root@yc1dav onno]# nmap -vv -sS -O ibank.klikbca.com

Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )

Host  (202.158.15.52) appears to be down, skipping it.

Note: Host seems down. If it is really up, but blocking our ping probes, try -P0

Nmap run completed -- 1 IP address (0 hosts up) scanned in 43 seconds

Tampak diantara ke tiga (3) situs di atas, ibank.klikbca.com merupakan situs yang palings serius pertahanannya. Bahkan oleh nmap yang melakukan stealth probe gagal untuk melihat port yang aktif di ibank.klikbca.com (sebetulnya port 443 terbuka di ibank.klikbca.com).

www.telkom.co.id merupakan situs yang termasuk paling parah pertahanannya, demikian banyak port yang terbuka di Internet sehingga membuat kita berfikir apakah betul ini Telkom yang hebat itu? Koq sampai demikian ceroboh? Atau di sengaja? Entahlah.

www.detik.com cukup baik hanya membuka penuh port 80 (Web) dan 22 (SSH); di samping ada beberapa port lain yang beroperasi tapi tertutup bagi umum di Internet untuk mengakses-nya.

Cara menjalankan nmap juga tampak relatif sederhana, menggunakan format

            # nmap [tipe scan] [option] nama-target-mesin

Jika PC anda tersambung ke Internet, maka port scanning akan dijalankan secara otomatis oleh nmap & menampilkan hasil seperti tampak di atas.

Ada beberapa tipe scan yang sering digunakan untuk melihat port nama saja yang terbuka dari ribuan port; beberapa perintah yang ada seperti, -sT, -sF, -sR dsb. Yang sering saya gunakan adalah:

-sS - TCP SYN scan: teknik ini kadang di sebut “half-open” scanning, karena anda tidak membuka penuh hubungan TCP. Jika di responds dengan SYN|ACK maka port berarti terbuka. Bila responds berupa RST menunjukan servis tidak jalan. Pada saat SYN|ACK di terima, nmap akan meresponds dengan RST. Dengan teknik ini, sedikit situs yang akan mencatat scanning yang dilakukan. Hal ini di sebut stealth scannning.

Ada banyak option yang mengatur cara kerja nmap, beberapa yang sering saya gunakan misalnya:

            -P0 – tidak melakukan ping ke target, untuk menghindari kita terlihat oleh target.

-f  - menggunakan potongan paket kecil-kecil (fragmented) agar sulit di deteksi oleh software pendeteksi penyusup.

            -v – verbose mode, untuk melihat hasil antara proses scan pada layar.

            -O – mencoba menebak sistem operasi yang digunakan oleh mesin target.

Untuk melihat penjelasan lengkap berbagai pilihan yang ada di nmap, ada baiknya membaca manual nmap yang dapat diperoleh dengan men-tik

            $ man nmap

di prompt Linux.

Setelah kita mengetahui port / servis yang dijalankan di mesin target, kita perlu mengetahui jenis software untuk servis tersebut. Dan mencoba membaca-baca di situs underground kelemahan software tersebut, sukur-sukur kalau kita menemukan eksploit software tersebut. Biasanya eksploit yang tersedia perlu di compile menggunakan compiler C.

Perlu di ingat & di pahami proses hacking akan terdiri dari empat (4) langkah utama yaitu:

Step 1: Memperoleh akses ke situs.

Step 2: Menghack root.

Step 3: Menutupi bekas-bekas anda.

Step 4: Membuat backdoor untuk menjaga account.

Kita baru mencapai Step 0, usaha untuk membuka akses ke situs. Perjalanan masih lama & membutuhkan banyak waktu & proses belajar.