ARP SPOOFING atau ARP POISONING

ARP POISONING, Apaan tuh?

Dari wikipedia :

Address Resolution Protocol (ARP) spoofing, also known as ARP flooding, ARP poisoning or ARP Poison Routing (APR), is a technique used to attack an Ethernet wired or wireless network. ARP Spoofing may allow an attacker to sniff data frames on a local area network (LAN), modify the traffic, or stop the traffic altogether. The attack can only be used on networks that actually make use of ARP and not another method of address resolution.

Jika kita artikan lebih sederhana,ARP poisoning ini adalah suatu teknik menyerang pada jaringan komputer lokal baik dengan media kabel atau wireless, yang memungkinkan penyerang  bisa mengendus frames data pada jaringan lokal dan atau melakukan modifikasi traffic atau bahkan menghentikan traffic.

Prinsipnya serangan ARP poisoning ini memanfaatkan kelemahan pada teknologi jaringan komputer itu sendiri yang menggunakan arp broadcast.

ARP berada pada layer 2, dimana alamat pada layer dua adalah MAC address.  Misalnya sebuah host (contoh: PC) yang terhubung pada sebuah LAN ingin menghubungi host lain pada LAN tersebut, maka dia membutuhkan inforamsi MAC address daru host tujuan.

Misal : HOST 1 , IP address : 172.20.21.136 , MAC address : 00:14:5E:47:6A:F4

HOST tujuan IP adderss : 172.20.21.1 (gateway),

Kira kira tabel arp pada host 1 sbb :

Internet Address      Physical Address      Type
(kosong)

Dari tabel tersebut tidak ada record yang berisi MAC address (MAC address ini kadang di sebut Phisical Address atau kadang juga disebut Burn In Address).

Di layer 2, HOST 1 mula mula akan melihat cache arp di host 1 (cara melihat cache arp di windows adalah dengan perintah arp -a). Nah Host yang memiliki IP tersebut akan menjawab dengan memberikan info MAC addressnya.

ARP Spoofing atau ARP Poisoning ini memanfaatkan kelemahan tersebut, yang secara sederhana bisa digambarkan bahwa komputer penyerang akan memberikan reply dengan jawaban yang palsu.

Full routing adalah kondisi yang terjadi ketika pada arp table host 1, record IP address host 2 di isi oleh MAC address Host penyerang. dan begitu juga pada arp table host 2, record IP address host 1 di isi oleh MAC address Host penyerang.

Pada HOST 1 (172.20.21.136)

Internet Address      Physical Address      Type
172.20.21.1           00-19-56-ed-87-c2     dynamic

Pada HOST 2 (172.20.21.1)

Internet Address      Physical Address      Type

172.20.21.136           00-19-56-ed-87-c2 dynamic

Dimana 00-19-56-ed-87-c adalah MAC address penyerang. Akibatnya semua komunikasi antara HOST 1 dan HOST 2 harus melewati dulu host penyerang.

Jika paket data yang dilewatkan dalam format clear text, maka penyerang dapat dengan mudah melihat apa pun yang dikirimkan, bisa username dan password dll.

Tools yang bisa digunakan untuk melakukan arp poisoning ini salah satunya adalah CAIN yang bisa berjalan di windows maupun linux. Software lainnya adalah Ettercap.

Saya melakukan experiment dengan cain dan hasilnya memang sangat mudah sekali melakukan arp poisoning ini. Dengan mudah saya bisa melihat atau mendapatkan username dan password beberapa orang yang saya jadikan experiment.

Bahkan karena dengan cain bisa dicapai FULL routing, maka koneksi https pun (artinya paket datanya di encrypt), bisa dengan mudah terlihat. Hal ini tentu saja jika user ketika mendapatkan warning di browsernya bahwa certificate web site yang dia kunjungi tidak valid, dia tetap klik “yes, continue”, atau “add exeption”.

Berikut ini screen shot cain :

Tampilan arp poisoning routing pada cain

mendapatkan password login yahoo bahkan ketika pakai https

PENCEGAHAN ARP POISONING

Lantas apa yang bisa kita lakukan untuk mencegah arp poisoning ini? Ada berbapa software yang bisa anda install di jaringan untuk mencegah serangan jenis ini. Beberapa software ini antara lain :  arpON , xArp (berjalan di windows).

Dari sisi anda pengguna jaringan internet ada beberapa saran yang perlu anda perhatikan :

1. Untuk aplikasi kritis seperti internet banking, email gmail atau lainnya, Password : gunakan password yang aman  dan tidak menggunakan kata kata yang umum (ada dalam kamus)
2. Jika tersedia, selalu pilih https dari pada http. Misal di Gmail ada pilihan mau pakai https atau http. (pada https, paket data pada komunikasi jaringan di encrypt, sehingga ketika terendus pun masih sulit untuk dibaca)
3. Pada saat menggunakan https dan browser anda mengeluarkan warning atau peringatan bahwa certificate tersebut tidak valid atau dikeluarkan oleh CA yang tidak termasuk dalam trust anchor, maka anda harus waspada!
4. Jangan menggunakan public area computer atau warnet untuk melakukan transaksi financial spt internet banking dll.

Semoga membantu …