Suatu mlm, kmu bekerja sampai larut mlm di kantor sendirian sembari bermain internet dan chatting dgn teman kmu. Tiba-tiba CD rom kmu terbuka sendiri. “Ah,kebetulan. Mungkin tdk sengaja tertekan tombolnya’’,begitu pikir kmu.
Ternyata keanehan terus terjadi, bahkan computer kmu tiba-tiba memainkan lagu “Ghost” dgn sedirinya. Tanpa perlu aba-aba dan komando,Kmu pun ambil langkah seribu pulang ke rmh dgn bulu kuduk yg tetap berdiri sepanjang jln.
Apakah memang ada hantu di kantor kmu ? mungkin iya, mungkin tdk. Langkah pertama yg harus kmu lakukan sebelum memanggil dukun adalah mencari tau” Apakah ada penyusup yg sedang mengendalikankomputer kmu?’’. Lalu bagaimana mengetahuinya? Bahwa memang ada penyusup yg sedang mengontrol computer kmu dan bukannya setan yg merasa terganggu oleh kmu?
Jika ada org lain yg sedang mengendalikan computer kmu, otomatis akan terjadi koneksi antara computer kmu dgn computer sang hacker.
Komputer kmu seharusnya telah di masukan sebuah program “budak” yg di perintah oleh program di tmpt hacker atau yg lainnya.
Karena jika computer kmu di control maka artinya akan terdapat sebuah koneksi yg terjadi antara komputer kmu dan komputer lain maka skrg tugas pertama kmu adalah melihat koneksi aneh yg sedang terjadi sebelum memutuskan memanggil Ghost Buster. Cara yg paling cepat untk mengecek koneksi yg sedang terjadi adalah dgn mengunakan perintah netstat.
Sebagai contoh, ketika sy browsing ker situs jasakom.com (Artinya terjadi koneksi antara computer sy dan server jasakom) perintah netstat (parameter-n hanya agar computer menampilkan nomor IP dan bukannya nama host) akan memperlihatkan koneksi yg sedang terjadi tersebut :
C:\Documents and settings\s’to>netstat-n
Active Connections
Protokol Lokal Address Foreign Address State
TCP 202.53.255.223:4101 207.150.221.96:80 ESTABLISHED
C:\Documents and settings\s’to
Penjelasan dr apa yg di tampilkan oleh netstat adalah:
Kolom________________Penjelasan________________________________
Proto Jenis protokol apakah TCP atau UDP.
Terlihat protokol yg di gunakan adalah TCP
Local addres Alamat lokal komputer yg sedang sy gunakan. Pada
Contoh ini terlihat bahwa computer sy mengunakan
Alamat IP 202.53.255.252. Di belakang alamat IP ini di
Tunjukan port local yg terbuka yg dlm contoh ini adlah
4101 dan 4102.port lokal akan otomatis dibuka oleh
System operasi dgn nilai antara 1024-65535. Port lokal
Harus dibuka agar bisa terjadi komunikasi dgn komputer lain.
Port antara 0 s/d 1023 digunakan oleh aplikasi layanan
Khusus yg sering di namakan well-known port (RFC 1700)
Foreign address Alamat lawan atau alamat yg berhubungan langsung dgn
Alamat lokal. Dalam contoh ini terlihat bahwa komputer sy
Terhubung langsung ke alamat 207.150.221.96.
Karena sy melakukan browsing, maka port tujuan yg
Terbuka adalah 80 (http).
State Menjelaskan status koneksi, Beberapa kemungkinan jenis state
Atau status koneksi yg akan terjadi adalah(RFC 793):
SYN_SEND Active open.
SYN_RECEIVED server baru saja menerima perintah SYN
Dari client.
ESTABLISHED Client menerima SYN dr server dan session
Tercipta.
LISTEN Server siap menerima koneksi.
TIMED _WAIT Client msk ke status ini setelah active close.
CLOSE_WAIT Indikasikan passive close.Server baru menerima
FIN pertama dari client
FIN_WAIT _2 Client br menerima acknowledgment dr FIN
Pertamanya dr server.
LAST_ACK Server dlm status ini ketika server mengirim
FIN-nya sendiri.
CLOSED Server menerima ACK dr client
Dan connection ditutup.
Jika saja pada komputer sy terlihat port 12345 terbuka pada saat mengunakan netstat, maka kemungkinan besar komputer sy telah terkena Trojan Netbus yg sering digunakan.
Trojan bias saja merubah port default yg akan terbuka di computer client, tapi Trojan tdk akan mampu mengontrol sebuah computer tanpa membuka port atau dgn kata lain, tanpa diketahui oleh netstat. Jadi, jgn keburu kabur dan Tanya dukun jika computer kmu bertindak aneh tapi tanyalah kepada netstat terlebih dahulu…………………………………………
by~seni teknik hacking 1(S'to)
0 komentar:
Posting Komentar