Mengapa kita perlu ‘mengintip/mengendus’ jaringan ? Salah satu alasan kuat yang sering ditemui oleh penulis adalah “paket tidak pernah berbohong”. Yang dimaksud di sini, pada saat customer mengatakan bahwa jaringan nya pelan, atau jaringan nya tidak responsive, atau jaringan nya kadang cepat kadang tidak bisa connect, dsb., maka cara paling mudah adalah ‘mengendus’ jaringan dengan langsung melihat isi-isi paket yang lewat di jaringan tersebut. Pernah ada satu kasus yang penulis temukan, pada saat customer mengeluh network nya bermasalah (dan mereka langsung menyalahkan switchnya), setelah paket diintip, kejadian sebenarnya adalah, ada satu mesin gateway, yang apabila mesin tersebut mendengar adanya paket request, maka mesin tersebut selalu menjawab untuk drop paket tersebut, sehingga jaringan seolah-olah tidak connect. Dari sini bisa kita pelajari, bahwa jaringan yang tidak lancar, bisa disebabkan oleh banyak sekali faktor yang harus diselidiki lebih lanjut.
Dahulu kala, semasa jaringan masih menggunakan hub, para pemakai jaringan amat mudah ‘mengintip’ isi percakapan dari para pemakai jaringan lainnya, karena teknologi hub memang masih bersifat shared. Shared yang dimaksud di sini adalah, walaupun komputer A hanya berbicara dengan komputer B, percakapan mereka dapat didengar oleh komputer C yang dicolokkan ke hub yang sama dengan A dan B. Masih teringat jelas saat bekerja di sebuah perusahaan yang memakai hub, dan di pagi hari penulis dapat meng-crack semua user password pada saat login ke NT Domain(yang memang tidak secure, atau bisa dicrack dengan dictionary attack) memakai software l0pthcrack.
Untunglah, dengan adanya switch, hal tersebut di atas tidak mungkin terjadi ( walaupun masih mungkin dilakukan dengan teknik-teknik seperti ARP poisoning dsb. ), karena teknologi switch membuat jalur virtual untuk komunikasi antar pemakainya. Lalu, apabila memang ingin meng-sniff jaringan di lingkungan switch, bagaimana caranya ?
Salah satu cara yang bisa dilakukan adalah melakukan proses port mirroring dari switch tersebut ke salah satu port di mana kita memasang software sniffer kita. Cuma saja, biasanya hanya product switch yang manage-able yang bisa melakukan hal ini. Jika switch kita memakai unmanaged, maka prosesnya akan lebih rumit
Gambar di atas dapat dijadikan contoh kebanyakan jaringan yang ada, di mana biasanya network administrator menginginkan memonitor koneksi jaringan ke Internet. Maka yang dilakukan adalah melakukan ‘port mirroring’ pada link yang merah, dengan target mirror port adalah port tempat di mana wireshark dipasang. Tetapi, tentu saja untuk melakukan hal tersebut, network administrator harus mengkonfigurasi switch. ( Hampir sebagian besar switch yang ada di Allied Telesis, tempat penulis bekerja sudah mendukung port mirroring )
Bagaimana apabila tidak bisa mengotak-atik switch, atau switch tidak mendukung mirroring ? Salah satu jalan keluarnya adalah memasang hub. Memang sayangnya, tidak mudah mendapatkan hub di saat-saat sekarang, karena di pasaran kebanyakan sudah tidak diproduksi lagi. Kelemahan lain dari penggunaan hub adalah jenis koneksi nya half duplex, bukan full duplex seperti pada switch.
Ada juga solusi lain, seperti menggunakan network tap. Hanya saja, tidak banyak perusahaan yang mau membeli network tap untuk keperluan monitoring sesaat.
Wireshark dapat diinstall di berbagai operating system, seperti Windows (32 bit atau 64 bit), OS X , Ubuntu,dsb. Penulis sendiri banyak memakai Wireshark pada Windows, dan pada saat proses instalasi, juga akan diinstal aplikasi WinPCap, yang merupakan driver-driver khusus yang akan dipakai pada Wireshark. Apabila kita tidak menginstall WinPCap, maka Wireshark tidak akan bisa berfungsi untuk capture packet melalui jaringan.
0 Comments