Saya mendapat tugas untuk mata kuliah Keamanan Informasi mengenai pendeteksian port scanning dengan menggunakan sniffer pada jaringan lokal. Perintah yang diberikan adalah sebagai berikut:
Gunakan sniffer (misalnya tcpdump, wireshark, dan sejenisnya) untuk memantau jaringan dan mendeteksi adanya port scanning. Tunjukkan bagian mana yang mengindikasikan port scanning.
Dalam mengerjakan tugas ini, saya menggunakan wireshark sebagai sniffer dan nmap sebagai port scanner. Dari sebuah komputer (167.205.56.184), saya mencoba menyerang et.itb.ac.id (167.205.64.36). Langkah-langkah yang saya lakukan adalah:
1. Meng-capture aktivitas yang ada pada jaringan lokal dengan wireshark. Untuk meng-capture, pilih interface yang aktif terlebih dahulu, kemudian klik Start.
 |
| Memilih interface yang aktif |
2. Melakukan port scanning terhadap et.itb.ac.id (167.205.64.36) dengan menggunakan nmap. Untuk menyerang et.itb.ac.id (167.205.64.36), masukkan nama atau IP domain pada kolom Target, kemudian klik Scan. Hasil yang akan didapatkan dari hasil port scanning tersebut adalah sebagai berikut:
 |
| Port Scanning dengan nmap |
3. Memfilter hasil capture pada wireshark agar hanya menampilkan aktivitas dari 167.205.56.184 ke 167.205.64.36 dan sebaliknya.
Aktivitas port scanning yang telah dilakukan akan ter-capture oleh wireshark. Untuk mempermudah analisis, dilakukan pemfilteran hasil capture tersebut.
Command untuk memfilter agar hanya menampilkan aktivitas dari 167.205.56.184 ke 167.205.64.36 adalah:
ip.src == 167.205.56.184 && ip.dst == 167.205.64.36
Hasil yang didapatkan yaitu:
 |
| Aktivitas dari 167.205.56.184 ke 167.205.64.36 |
 |
| Aktivitas dari 167.205.64.36 ke 167.205.56.184 |
Dari kedua hasil tersebut, bagian yang mengindikasikan adanya aktivitas port scanning adalah saat komputer penyerang (167.205.56.184) mengirimkan paket SYN ke seluruh port target (167.205.64.36). Kemudian komputer target membalas paket tersebut dengan SYN, ACK atau RST, ACK. Paket SYN, ACK menandakan bahwa port tersebut terbuka. Port-port yang terbuka tersebut sesuai dengan hasil port scanning pada nmap berikut:
 |
| Open port hasil port scanning dengan nmap |
