Selasa, 03 Juli 2012

Dasar Addressing & Konsep ARP


Dasar Konsep Internetworking
• Addressing
Dimulai dengan melihat Gambar 1.1, Anda mendapatkan gambaran dari jaringan area dasar lokal (LAN) yang terhubung menggunakan hub. Jaringan ini sebenarnya adalah tabrakan antara salah satu domain dengan satu broadcast.
                                                                       
                                          

Bagaimana Anda mengatakan PC bernama Bob berkomunikasi dengan PC bernama Sally?
Yah, mereka berdua di LAN yang sama terhubung dengan repeater multiport (hub). Bob tidak menggunakan Sally Internet Protocol (IP)! Karena Bob sebenarnya menggunakan Sally Media Access Control (MAC) Address yg biasa dikenal sebagai HARDWARE ADDRESS, yang tertanam di NIC (Network Interface Card) di PC Sally.

Bagaimana Bob mendapatkan Sally MAC Address? Bob akan mulai dengan yang biasa kita kenal dengan ARP protocol - Untuk mengetahui MAC komputer lain, PC mengirimkan ARP Packets. ARP (Address Resoluting Protocol) digunakan untuk memetakan alamat-IP terhadap alamat-MAC. Paket ARP yang digunakan untuk mencari tahu MAC-Address komputer lain-biasa dikirim dalam bentuk broadcast packets. Jika permintaan ARP dikirim keluar menanyakan "Siapa yang memiliki IP-address computer ini" komputer yang diminta IP-address merespon dengan balasan ARP mengatakan "IP-address x.x.x.x adalah pada MAC-address-YY-YY-YY-YY-YY -YY ".Computer tersebut yang diminta MAC addressnya sekarang dapat membuat sebuah Ethernet packet dengan alamat destination yang benar dan dengan sebuah IP-packet computer yg diminta di dalamnya, dikirimkan ke computer yg meminta.

Mengapa kedua computer tersebut membutuhkan MAC address dan IP address? 
Jika setiap komputer untuk berkomunikasi satu sama lain membutuhkan secara fisik terhubung satu sama lain, semua jaringan akan menjadi rumit dengan sangat cepat atau mereka akan tetap kecil.
Untuk menyiasati keterbatasan ini fisik, mereka dipisahkan komunikasi komputer untuk juga mengandung komponen logis, IP Address. Yang kami maksud dengan logis adalah bahwa Alamat IP routeable. 

IP (Internet Protocol), sesuatu yang biasanya dicapai dengan menggunakan Domain Name Service(DNS), Jika kedua berada di LAN yang sama, Bob hanya broadcast ke Sally bertanya atas informasi (tidak dibutuhkan DNS)-biasa digunakan oleh Microsoft Windows.
Contoh:
           
Dan Komputer 1,2, dan 3 saling mengenal.
Tapi Komputer C dan Komputer 3 khusus di bahwa mereka juga saling mengenal.
Jadi, jika komputer A ingin mengirim pesan kepada Komputer 2, Komputer A akan mengirim pesan ke komputer C dan meminta untuk mengirimkan pesan ini ke Komputer 2. Karena Komputer C tidak tahu Komputer 2 langsung, dapat meminta Komputer 3 untuk mengirim pesan ke Komputer 2.
Sekarang, tidak setiap computer dalam satu group dapat mengirim broadcast ke semua komputer, tetapi yang biasa melakukannya dikenal sebagai ROUTER. 
Disebut ROUTER karena tugasnya membuat rute broadcast antara berbagai kelompok computer yang berbeda. 
Jadi sekali lagi, Alamat IP adalah alamat yang logical dan routeable.
Komputer A berpotensi mempelajari Alamat IP dari Komputer 2. Namun, Alamat MAC adalah fisik dan TIDAK routeable. 
Jadi, Komputer A tidak bisa benar-benar mengetahui MAC Address dari Komputer 2.
Dan itulah mengapa computer-computer memiliki kedua buah Alamat MAC dan IP Addresses. Alamat MAC menangani koneksi fisik dari komputer ke komputer sedangkan Alamat IP menangani koneksi routeable logis dari kedua buah komputer ke komputer DAN dari jaringan ke jaringan.

ARP, protokol yang sangat sederhana, hanya terdiri dari empat jenis pesan dasar:
1. Permintaan ARP. Komputer A meminta jaringan, "Siapa yang memiliki alamat IP ini?"
2. Sebuah ARP Reply. Komputer B Komputer A mengatakan, "Saya memiliki IP yang saya alamat MAC [apapun itu].."
3. Sebuah ARP Request Reverse (RARP). Konsep yang sama seperti Permintaan ARP, tetapi Komputer A bertanya, "Siapa yang memiliki alamat MAC?"
4. Sebuah RARP Balas. Komputer B Komputer A mengatakan, "Saya memiliki MAC. Alamat IP saya adalah [apapun itu]"

ARP-Table : Digunakan Untuk mencegah mengirim permintaan ARP setiap kali IP-paket diminta oleh komputer lain, setiap komputer memiliki tabel yang disebut ARP table, yang menyimpan pemetaan antara IP address dan MAC-address. Tapi karena IP-address tidak harus selalu static, semua computer akan reset atau flush ARP table biasanya sekali setiap 20 menit...

MAC-address dan IP-address sangat unik Tidak diperbolehkan untuk multiple MACAddress untuk dipetakan ke dalam alamat IP yang sama, sejak saat itu komputer tidak bisa mengatakan siapa adalah siapa. Pada saat yang sama tidak mungkin ada beberapa komputer dengan alamat IP yang sama. 
Setiap komputer di LAN harus memiliki alamat IP unik untuk online di jaringan tersebut. Akan tetapi MAC-address keunikannya tidak hanya pada jaringan LAN namun unik di seluruh dunia. Vendor pembuat peralatan Jaringan Memperoleh MACaddress unik dari IEEE (Institute of Electrical dan Electronics Engineers).

DHCP (Dynamic Host Configuration Protocol)-Tanpa alamat IP, komputer tidak bisa berkomunikasi menggunakan IP-traffic. Sebelum komputer dapat mulai berkomunikasi menggunakan IP-protokol computer itu perlu tahu apa alamat IP yang digunakan sebagai alamat untuk computer itu sendiri. 
Sebuah alamat IP dapat diassign secara manual. Ini terbukti benar jika komputer selalu digunakan pada jaringan yang sama sepanjang waktu dan jika komputer aktif.
Tetapi jika komputer terpaksa harus berada dalam jaringan yang berbeda dari waktu ke waktu dan harus memiliki (secara manual) alamat IP static yg digunakan, tidak ada cara bagi komputer untuk mengetahui apakah alamat IP static yg dimasukkan secara manual sedang digunakan oleh komputer lain atau berlaku pada network yang berbeda.
                   
Maka digunakan Protokol ini yang melibatkan sebuah server di jaringan yang sering disebut DHCP server. DHCP server sering digunakan dalam sebuah router. Sebuah router dapat menjadi firewall sederhana / router atau computer khusus pada jaringan, diberi tugas untuk bertindak sebagai server DHCP. Untuk memperoleh alamat IP-valid dari server DHCP komputer dapat meminta server DHCP untuk meminta alamat yang bisa digunakan.

Gratuitous ARP- Kebanyakan OS baru sekarang mengirimkan Simple Announcement Protocol yang biasa disebut juga Gratuitous ARP. Sangat membantu jika NIC setiap komputer kemungkinan diganti(merubah mapping IP Address to MAC address) dan Setiap Komputer terhubung ke jaringan, komputer memastikan bahwa yang baru diserahkan alamat IP dari DHCP sever dapat digunakan sebelum meminta semua komputer lain pada jaringan.. Hal ini karena server DHCP tidak memiliki kontrol atas komputer yang telah ditugaskan secara manual memasukkan IP statis-address. 
Komputer yang baru terhubung juga harus mengirimkan broadcast keluar sebuah paket "provokasi" ARP (ARP Gratuitous), mengklaim IP-address. Jika komputer lain sudah menggunakan IP-address ini ia harus mengirimkan broadcast keluar paket ARP "alamat ini sudah digunakan" membela IP-address yang sudah digunakan dan membiarkan komputer yang saling terhubung di dalam network tahu bahwa alamat ini sudah digunakan.

Probe ARP- “Provokasi ARP” biasanya punya cara yang "kuat" mengklaim IP-address.
Disebut juga “All Zero Sender IP Address” Biasanya digunakan varian lebih ramah disebut ARP "probe” menggunakan ARP packet untuk mempertahankan IP-address.
Jika alamat IP sudah digunakan maka tidak akan menggunakan alamat IP diberikan oleh server DHCP dan akan menginformasikan server DHCP dengan mengirimkan paket DHCP-DECLINE membiarkan server DHCP tahu bahwa komputer yang terhubung tidak menerima alamat ini. Kemudian komputer yang terhubung mulai dari awal, menemukan server DHCP dan kemudian meminta alamat IP.

NetBIOS - Salah satu mekanisme untuk berbagi di dalam jaringan yang telah ada selama bertahun-tahun adalah NetBIOS (Network Basic Input Output System). NetBIOS dikembangkan oleh IBM. Fungsi dasar NetBIOS tidak perlu atau malah mengandalkan  protokol IP-tapi mulai belakangan ini telah bermigrasi ke IP Traffic(sekarang disebut NetBT, NetBIOS over TCP) dan tergabung ke dalam sesuatu yang disebut SMB (Server Message Block) dan kemudian diperpanjang oleh Microsoft untuk menjadiCIFS (Common Internet File System).
CIFS adalah apa yang komputer saat ini gunakan untuk mekanisme “sharing” di dalamn jaringan. Pada Microsoft Windows, ketika Anda menggunakan Windows File Explorer dan membuka "My Network Places" - "Entire Netwok" - "Microsoft Windows Network" ... Anda menggunakan protokol CIFS yang berfungsi untuk browse, connect serta berbagi ke komputer lain di jaringan.
Naming - Salah satu fungsi mendasar dalam protokol CIFS adalah bagaimana memberi nama komputer. Fungsi ini masih menggunakan prosedur pendaftaran nama dari protokol NetBIOS / NetBT.
Ada kesamaan kerja antara ARP dan IP-address dan bagaimana NetBIOS/ NetBT bekerja.









Breakdown & Pengertian: Internet Protocol (IPv4) over Ethernet ARP packet
Header Ethernet berupa :
- 6 byte alamat tujuan
- 6 byte alamat pengirim
- 2 byte jenis frame ARP
Total untuk Header Ethernet 14 bytes atau 112-bits


Dasar konsep struktur ARP packets dari tabel diatas yg menggambarkan kasus Jaringan berbasis Ipv4 berjalan di Ethernet. Di dalam skenario ini, packet mengirimkan 48-bit untuk Sender Hardware Address(SHA) dan menargetkan Hardware Address (THA), dan 32-bit lagi untuk Protocol Address(SPA) & (TPA), Jadi total lebar packet yang dibroadcast sebesar 28 bytes atau 224-bits, Jenis EtherType untuk ARP dalam bentuk HEX ialah 0x806,.
Hardware type (HTYPE)- 2 bytes Kolom ini digunakan untuk spesifikasi tipe protokol jaringan. 
Contoh: Ethernet is
1.
Protocol type (PTYPE)-2 bytes
Kolom ini digunakan untuk spesifikasi internetworking protokol dimana ARP dibutuhkan. Untuk Ipv4 kodenya 0x0800.
Hardware length (HLEN)-1 bytes
Panjang (dalam oktet) Hardware Address. Ethernet addresses size is 6.
Protocol length (PLEN)-1 bytes
Panjang (dalam oktet) protokol yang digunakan di upper layer setelah MAC. (IPv4 address size is 4.
Operation-2bytes
Operasi yang diminta pengirim: 1 for ARP request, 2 for ARP reply,3=RARP request,4=RARP reply
Sender hardware address (SHA)-6 bytes
MAC dari Sender
Sender protocol address (SPA)-4 bytes
Ipv4 dari Pengirim.
Target hardware address (THA)-6 bytes
MAC yang dituju. Kolom ini dihiraukan jika yang dibroadcast adalah request.
Target protocol address (TPA)-4 bytes
Internetwork address yang dituju.

ARP Mediation – adalah suatu proses menyelesaikan Layer 2 addresses jika protocol yang digunakan dalam multiple jaringan internetwork seperti dari ATM ke Ethernet.


Inverse ARP– inverse ARP biasa digunakan di Network Layer(Layer 3) untuk mendapatkan Address (Ip Address) dari sumber layer lain seperti Data Link Layer(Layer 2) sangat biasa digunakan di Frame Relay dan jaringan ATM. Karena ARP “menerjemahkan Layer 3 Address(IP address) menjadi layer 2 Address
(MAC addres) maka InArp sebagai kebalikannya, bisa dibilang extension protokol dari ARP, menggunakan packet format yang sama dengan ARP tapi beda Op Code nya.


Reverse ARP – sama seperti InArp menerjemahkan Layer 2 Address(Mac Address) menjadi Layer 3 Address(IP address) seperti merequest IP Address untuk computer itu sendiri. Yang sekarang digantikan Oleh DHCP.


Macam-macam Exploitasi yang sering ditemukan:
ARP Spoofing-Process ARP dibuat simple mungkin, supaya bisa bekerja efektif yang malah menjadikannya MAJOR INSECURITY, karena ARP tidak menggunakan apapun bentuk Autentikasi, Apapun ARP reply pasti dipercayai, akhirnya terjadilah exploit, jadi definisi ARP Spoofing adalah suatu kegiatan yang memanipulasi paket ARP. 
Misal paket X dari komputer A ditujukan untuk komputer B, ketika komputer A membroadcast paket ARP di jaringan, maka komputer C sang manipulator dapat "meracuni" (Posioning) paket ARP tsb agar paket X ditujukan ke komputer C terlebih dahulu baru diforward ke komputer B. Poisoning ini mengganti alamat MAC komputer B dengan alamat MAC komputer C di tabel ARP komputer A dan sebaliknya, alamat MAC komputer A diganti menjadi alamat MAC komputer C di tabel ARP komputer B. Jenis-jenis serangan yang bisa dilakukan dnegan ARP Spoofing diantarana adalah sniffing, Man in the Middle, MAC Flooding, DoS (Denial of Service), Hijacking n Cloning. 



Denial of Service Seorang hacker dapat dengan mudah mengasosiasikan alamat IP secara operasional signifikan ke alamat MAC palsu. Misalnya, seorang hacker dapat mengirim balasan ARP menghubungkan alamat IP jaringan router Anda dengan alamat MAC yang tidak ada. Komputer Anda percaya bahwa mereka tahu di mana default gateway Anda, tetapi dalam kenyataannya mereka mengirim paket yang tujuan tidak pada segmen lokal, hacker telah memotong jaringan Anda dari Internet.


Man in the Middle hacker dapat mengeksploitasi Keracunan Cache ARP untuk mencegat lalu lintas jaringan antara dua perangkat dalam jaringan Anda. Sebagai contoh, katakanlah hacker ingin melihat semua lalu lintas antara komputer Anda,192.168.0.12 dan router Internet Anda, 192.168.0.1. Hacker dimulai dengan mengirimkan ARP berbahaya "balasan" (untuk yang tidak ada permintaan sebelumnya) ke router, yang menghubungkan komputer dengan alamat MAC dengan 192.168.0.12

Sekarang router Anda berpikir komputer hacker adalah komputer Anda. Selanjutnya, hacker mengirimkan balasan ARP berbahaya ke komputer Anda, yang menghubungkan nya MAC Address dengan 192.168.0.1
Sekarang mesin anda berpikir komputer hacker adalah router Anda. Akhirnya, hacker ternyata pada fitur sistem operasi yang disebut IP forwarding. Fitur ini memungkinkan mesin hacker untuk meneruskan lalu lintas jaringan yang diterima dari komputer ke router

Sekarang, setiap kali Anda mencoba untuk pergi ke Internet, komputer Anda mengirimkan lalu lintas jaringan ke mesin hacker, yang kemudian meneruskan ke router nyata. Karena hacker masih meneruskan lalu lintas ke router internet, Anda tidak menyadari bahwa ia mencegat semua lalu lintas jaringan Anda dan mungkin juga mengendus password Anda jelas teks atau pembajakan sesi dijamin Internet Anda.

MAC Flooding- adalah teknik Cache ARP Poisoning ditujukan untuk switch jaringan.Ketika switch tertentu kelebihan beban mereka sering jatuh ke mode "hub". Dalam mode "hub", switch terlalu sibuk untuk melakukan fitur port security dan hanya “broadcasts all network traffic” untuk setiap komputer di jaringan Anda. Dengan flooding tabel ARP dari sebuah switch dengan ribuan ARP replies, seorang hacker dapat membebani switch dan kemudian “packet sniffing” jaringan Anda karena switch berada dalam mode "hub".
Dengan mode “hub”, setiap port menerima semua lalu lintas jaringan. Ketika hub menerima sebuah paket, ia tidak memiliki petunjuk di mana recipient plugged. Jadi pasti akan rebroadcasts paket ke semua host terhubung ke hub. Recipient "knows" alamat IP-nya sendiri dan merespon paket, sementara semua host/komputer lain yang terhubung di jaringan yang mengabaikannya.
Switch, di sisi lain, memperhatikan di mana setiap perangkat terhubung. Ketika switch menerima sebuah paket, ia tahu persis di mana penerima yang dimaksud dan mengirimkan paket hanya untuk perangkat itu. Fitur “secure port” ini mencegah hacker dari menyadap semua lalu lintas jaringan Anda menggunakan packet sniffer.

Behaviour dari ARP Cache Poisoning –ARP cache poisoning biasa dilakukan karena host di dalam lokal terkena virus dari luar, atau host lokal yang malah melakukannya, yang dibutuhkan adalah Mac Addres dari jaringan, atau mungkin mengontrol salah satu machin di dalam Local, karena ARP exploit tidak bisa dilakukan dengan remote, jadi gunakanlah Static Address dan Static ARP Table, atau menggunakan fitur “Port Security”yang mengharuskan “satu MAC address untuk satu physical port” di switch, atau menggunakan tools seperti “ARP Watch” atw “WireShark” untuk mengontrol ARP table yang ada di dalam Network.

Command dalam windows yang biasa digunakan untuk ARP
Untukmelihat ARP cache: arp –a(semua entry ARP dalam jaringan)
Contoh ping:
   Interface: 10.0.0.1 on Interface 0x1
Internet Address  Physical Address     Type
10.0.0.99         00-e0-98-00-7c-dc   dynamic 



  Untuk melihat spesifik entry ARP di satu host:
  arp hostname/ip address


  Jika ARP entry tidak bisa respond ke device tujuan:
  arp -s hostname ethernet_address pub


  Menambahkan ARP entries dari files:
 arp -f filename harus dalam bentuk (hostname ethernet_address [pub])

Dynamic ARP cache entries
Entry ditambahkan dan di didelete secara otomatis dalam sesion TCP/IP normal, dynamic entry expire dalam 2 menit, jika digunakan lagi dalam 2 menit pertama, maka akan kesimpan di ARP cache dan ditambah maximum 10 menit , sebelom didelete atau diperbarui oleh ARP broadcast.



Static ARP cache entries
Entry ini dimasukkan manual menggunakan command arp dengan option –s (arp -s hostname ethernet_address). static entry ini berdiam di arp cache , kecuali komputer restart atau kondisi interface dalam:
       - Interface disabled kemudian enabled
       - Fitur Repair Network digunakan
       - Ipconfig/release dan ipconfig/renew digunakan
       - Komputer aktif dari hibernate/suspend mode
     - kabel tercabut dan terpasang kembali, atau keluar dan     masuk di wireless range
       - arp –d hostname/ip address untuk delete entry static MAC


contoh: arp -d 192.168.0.1
Removes ARP mappings for 192.168.0.1 on all interfaces.

Proxy ARP- merupakan teknik dimana perangkat pada jaringan diberikan menjawab query ARP untuk network address yang tidak ada pada jaringan itu.
Proxy ARP adalah menyadari lokasi tujuan traffic, dan menawarkan MAC addres sendiri pada balasan, secara efektif berkata, "send it to me, and I'll get it to where it needs to go."
Melayani sebagai proxy ARP untuk host lain secara efektif “mengarahkan” LAN traffic ke proxy tersebut. The "capture traffic"kemudian biasanya route oleh proxy ke tempat tujuan melalui interface lain atau via tunnel.



Proses yang menghasilkan device/node merespon MAC address sendiri dari ARP request dari berbeda IP address yang digunakan untuk “mempublish” atau memproxy. Biasa digunakan tools Seperti “Proxy ARP Simulation” untuk Proxy ARP.
      Kegunaan: Taking Multiple Address from a Lan
Anggapannya sebuah station dengan interface 10.0.0.2 connect ke jaringan 10.0.0.0/24 Beberapa aplikasi memerlukan multiple IP address di server, provide address dari rentang 10.0.0.0/24, biasanya diselesaikan dengan Proxy ARP karena Untuk menghemat jaringan IP, terkadang Anda benar-benar ingin menjaga mesin remote pada jaringan IP yang sama dengan yang lokal, hanya "memberikan" beberapa alamat IP ke mesin remote dan titik akhir mereka pada router. Meskipun hal ini sangat ideal dari sudut pandang manajemen konfigurasi, ini adalah mimpi buruk bagi router dan komputer lain yang perlu untuk mencapai ini workstation remote. Membuat rute host untuk mesin remote hanya sebagian memecahkan masalah; mesinmesin pada jaringan IP yang sama tidak akan mencari router untuk sampai ke mesin yang seolah-olah pada kabel yang sama

Sekian sedikit teori mengenai internetworking, dan ARP serta beberapa exploitasi standar yang sering terjadi.



Referensi:
Certified Entry NetworkingTechnician Study Guide"Interconnecting Networking 
Devices Part 1 Exam 640-822" Sybex An imprint of Wiley by Tom Lamlle

http://www.watchguard.com/infocenter/editorial/135324.asp
http://technet.microsoft.com/en-us/library/cc786759%28WS.10%29.aspx
http://www.softpanorama.org/Net/Internet_layer/arp.shtml
http://en.wikipedia.org/wiki/Address_Resolution_Protocol
http://en.wikipedia.org/wiki/Proxy_ARP
http://en.wikipedia.org/wiki/ARP_spoofing
http://whoisonmywifi.com/blog/2011/05/01/why-do-computers-need-both-macaddresses-
and-ip-addresses/

http://www.laneye.com/network/how-network-works/how-computers-become-partof-
a-network.htm





Diposting oleh di
Label: ,
Lokasi: Jalan Halim Perdanakusuma, Tangerang, Indonesia

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)