TCPDump

TCP/IP merupakan standar de facto untuk komunikasi antara dua komputer atau lebih. IP (Internet Protocol) menjalankan fungsinya pada network layer (pengalamatan dan routing) sedangkan TCP (Transmission Control Protocol) menyediakan jalur hubungan end-to-end (transport layer).

TCPdump adalah tools yang berfungsi mengcapture, membaca atau mendumping paket yang sedang ditransmisikan melalui jalur TCP.

TCPdump diciptakan untuk menolong programer ataupun administrator dalam menganalisa dan troubleshooting aplikasi networking. Seperti pisau yang bermata dua (hal ini sering kali disebut-sebut), TCPdump bisa digunakan untuk bertahan dan juga bisa digunakan untuk menyerang.

TCPDump  dapat digunakan untuk menguji IPv4, ICMPv4, IPv6, ICMPv6, UDP, TCP, SNMP, AFS BGP, RIP, PIM, DVMRP, IGMP, SMB, OSPF, NFS, dan banyak tipe paket data di jaringan. Selain itu, anda juga dapat menggunakan tools ini untuk melakukan track down masalah network, mendeteksi “Ping Attacks”, dan memonitor kegiatan network.

Utility ini juga seringkali digunakan oleh para cracker untuk melaksanakan perkerjaannya, karena TCPdump bisa mengcapture atau mensniff semua paket yang diterima oleh network interface.

Sama halnya dengan tujuan diciptakannya TCPdump, dalam kesempatan ini kami tidak akan menjelaskan tentang bagaimana cara mengcapture/mensniff semua paket yang diterima oleh network interface, tp kami akan coba membahas bagaimana TCPdump digunakan untuk menganalisa koneksi yang terjadi antara dua sistem

Untuk menginstall iftop, pada terminal atau konsol ketik

$ sudo apt-get install tcpdump

 

Parameter TCPDUMP

-i Interface à   untuk membatasi paket data yang sedang berlangsung. -i interface dapat digunakan untuk memberitahu tcpdump untuk hanya memeriksa paket-paket dari interface tertentu. Misalnya, untuk hanya memeriksa paket pada interface ppp0, gunakan:

# tcpdump -i  -ppp0

-n                       seperti parameter arp -n, tcpdump juga menggunakan -n untuk tidak melakukan resolusi nama pada namanya.

-q                       q atau quiet mode, memberitahu tcpdump untuk hanya mencetak protokol Layer 4 (tcp, udp, atau ICMP) dan nomor port atau nama.

-t                         parameter –t menginstruksikan tcpdump untuk tidak mencetak timestamp pada output.

-x                        parameter –x akan menyebabkan tcpdump untuk mencetak paket dalam heksadesimal.

-w Namafile    ketika output tcpdump perlu disimpan, -w dapat digunakan untuk menyimpan file dalam format lipbcap, yang menghemat ruang, serta meletakkan file dalam format yang dapat dibaca oleh banyak analis jaringan lainnya. File yang dibuat oleh tcpdump dapat tumbuh dengan cepat, sehingga ruang hardisk harus diawasi dengan baik saat menyimpan file.

#tcpdump -i ppp0 -w ruwetsajan

Berikut contoh tampilannya:

Tekan Ctrl + C untuk mengakhiri proses penyimpanan.

-r Namafile         file yang dibuat oleh opsi –w dapat dibaca kembali oleh tcpdump, dan analisis lebih lanjut dapat dilakukan pada paket.

Berikut contoh tampilan hasil yang disimpan tadi:

#tcpdump -i ppp0 -r ruwetsajan

Cara Membaca Output TCPDUMP

Contoh hasil output :

Disini kita akan bahas garis dasar hasil output dari tcpdump yaitu yang diblok hitam.

Kolom pertama di output tcpdump adalah cap waktu dengan nomor urutan tambahan yang ditambahkan setelah detik. Setelah cap waktu adalah simbol >, yang menandakan arah paket data. < menandakan masuk dan > menandakan keluar. Berikutnya adalah alamat sumber dari paket diikuti dengan port (www). Diikuti dengan tujuan (ubuntu) dan nomor port(39726), diikuti oleh ukuran window (5101), dengan panjang data sebanyak 1388

Syntax Umum

1. Berdasarkan host

       sudo tcpdum IPADDRESS

2. Berdasarkan host source dan destination

       sudo tcpdump src IPSRC

       sudo tcpdump dst DSTSRC

3. Berdasarkan network

       sudo tcpdump 10.10.10.0/24

4. Berdasarkan protokol

       sudo tcpdump icmp <berdasarkan protokol icmp>

5. Berdasarkan  port

       sudo tcpdump port 3389

6. Berdasarkan port source dan destination

       sudo tcpdump src port 1190

       sudo tcpdump dst port 80

7. Berdasarkan port source & destination dan protokol

       sudo tcpdump src port 1023 and tcp

       sudo tcpdump udp and dst port 80

1. Cara instalasi TCP Dump

Untuk TCP Dump, langkah pertama yang kita harus lakukan untuk menjalankannya adalah dengan mengklik dua kali software TCPDump.exe. Kemudian akan keluar tampilan berbasis command line seperti dibawah ini.

Kita tunggu beberapa saat, untuk melihat aktifitas komputer lain, dengan catatan, pastikan komputer lain sudah terkoneksi dengan kabel LAN maupun dengan Ad-Hoc dengan komputer kita.

Gambar di atas adalah hasil dari TCDump, yaitu aktifitas-aktifitas yang terjadi di komputer lain.

TCP Dump adalah program kecil yang bekerja dengan cara menangkap paket yang ada dalam jaringan. Program ini membutuhkan library untuk mengcapture paket yang lewat dengan bantuan library libpcap. Jika TCP Dump berjalan di mesin berplatform windows, library ini lebih dikenal dengan sebutan winpcap. Program kecil ini biasanya dimanfaatkan untuk kepentingan analisis dan troubleshooting permasalahan dalam jaringan sampai kepada kebutuhan untuk pengetahuan dan pendidikan.

TCP Dump adalah tools yang berfungsi mengcapture, membaca atau mendumping paket yang sedang ditransmisikan melalui jalur TCP. TCP Dump diciptakan untuk menolong programer ataupun administrator dalam menganalisa dan troubleshooting aplikasi networking. TCP Dump bisa digunakan untuk bertahan dan juga bisa digunakan untuk menyerang. Utility ini juga seringkali digunakan oleh para cracker untuk melaksanakan perkerjaannya, karena TCP Dump bisa mengcapture atau mensniff semua paket yang diterima oleh network interface.

Untuk menjalankan tcpdump anda harus menggunakan user root. 

Adapun sintaks untuk menjalankan tcpdump adalah sebagai berikut :

tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ] [ -C file_size ] [ -F file ]

[ -i interface ] [ -m module ] [ -r file ] [ -s snaplen ] [ -T type ]

[ -w file ] [ -E algo:secret ] [ expression ]

cara standard yang biasa saya gunakan untuk menjalankan tcpdump adalah

# tcpdump –i eth0

Atau

# tcpdump –X –i eth0

Pada perintah yang pertama anda akan melihat semua header paket yang termonitor oleh interface eth0. Pada perintah yang ke dua, selain header paket akan di tampilkan isi data yang di bawa dalam paket yang termonitor oleh interface eth0 baik dalam bentuk binary (hexadesimal) maupun dalam bentuk ASCII. Tentunya teknik yang ke dua akan berbahaya karena anda dapat dengan mudah membaca semua username & password user di jaringan anda yang lewat di LAN, integritas moral seorang hacker akan sangat menentukan apakah informasi yang di peroleh akan digunakan untuk kebaikan atau keburukan.

Dengan ke dua cara di atas, jangan kaget kalau layar monitor anda akan dipenuhi print out paket yang lewat & akan scrolling dalam waktu yang sangat cepat. Bagi anda yang menggunakan tcpdump untuk memonitor kegiatan di ppp0 (internet dial-up) maupun Wireless LAN mungkin scrolling di layar tidak akan se dramatis jika anda memonitor trafik di LAN.

Untuk mengatasi kecepatan scrolling yang demikian gila-nya, ada baiknya kita melakukan sedikit pemrograman untuk memfilter paket agar hanya paket tertentu saja yang di tampilkan di layar.