You are on page 1of 29

Etherwall

therwall User Guide

Revision 1.0

Copyright (c) 2012, Indonesian Research & Development Center.. All Rights Reserved.

Buku ini didedikasikan untuk RNDC (Indonesian Research & Development Center)

Agus Bimantoro
<l0g.bima@gmail.com>
2012-07-06
Dokumen ini menguraikan serangkaian petunjuk dalam penggunaan etherwall, di dalamnya
juga terdapat beberapa bagian yang menjelaskan tentang hal hal yang berkaitan. Manual ini
bersifat berkelanjutan dan akan selalu di update sesuai dengan kebutuhan.
Copyright 2012 Agus Bimantoro dan RNDC
Merek dagang yang dimiliki oleh pemiliknya.
Izin diberikan untuk menyalin, mendistribusikan dan / atau memodifikasi dokumen ini di bawah
ketentuan GNU Free Documentation License, Versi 1,3; tanpa bagian Invarian, tanpa Teks
Sampul Depan, dan tanpa Teks Sampul Belakang. Satu salinan lisensi ini harus dicantumkan
pada bagian yang berjudul " GNU Free Documentation License ".
Website: http://rndc.or.id/etherwall

Daftar isi
I. Pengantar Etherwall
1.1 Sekilas tentang ARP (Address Resolution Protocol) ...............................................................

1.1.1 Struktur format pesan ARP ........................................................................................................

1.1.2 Celah keamanan ARP .....................................................................................................................

1.1.2.1 ARP reply palsu ...............................................................................................................

1.1.2.2 ARP request palsu ..........................................................................................................

1.1.3 Jenis jenis serangan ....................................................................................................................

1.1.3.1 MITM (Man in The Middle) .......................................................................................

1.1.3.2 DoS (Denial of Service) ................................................................................................

1.1.3.3 MAC Flooding .....................................................................................................................

1.1.4 Usaha pencegahan ........................................................................................................................... 10


1.2 Tentang Etherwall ....................................................................................................................................... 10
1.2.1 Motivasi .................................................................................................................................................. 11
1.2.2 Skenario aplikasi .............................................................................................................................. 11
1.2.2.1 ARP packet filtering ...................................................................................................... 11
1.2.2.2 Point to Point Protection ............................................................................................ 12
1.2.2.3 Point to Multipoint Protection ................................................................................ 12
1.2.3 Algoritma .............................................................................................................................................. 13
1.2.4 Mengapa Etherwall di butuhkan ? .......................................................................................... 14
1.2.5 Pengguna akhir (End User) ........................................................................................................ 14
II. Panduan installasi Etherwall
2.1 Mendapatkan Etherwall ........................................................................................................................... 15
2.2 Kebutuhan sistem ........................................................................................................................................ 15

2.3 Installasi Etherwall ..................................................................................................................................... 15


III. Panduan penggunaan Etherwall
3.1 Etherwall ........................................................................................................................................................... 17
3.2 Ethwconsole .................................................................................................................................................... 17
3.3 Direktori dan File program Etherwall ............................................................................................. 22
IV. Bantuan
4.1 Halaman manual ........................................................................................................................................... 23
4.2 Laporan bug dan pertanyaan ................................................................................................................

23

V. Penutup
5.1 Kesimpulan ...................................................................................................................................................... 24
5.2 Ucapan terima kasih ..................................................................................................................................
VI. Daftar Pustaka

24

Pengantar etherwall
1.1 Sekilas tentang ARP (Address Resolution Protocol)
Komputer yang terhubung ke dalam jaringan memiliki dua alamat, yang pertama adalah
alamat fisik, atau yang biasa di sebut alamat MAC (Media Access Control). Alamat MAC bersifat
unik dan permanen yang di simpan dalam network card itu sendiri. Panjang alamat MAC adalah
48 bit (6 byte) di tulis dalam format 6 digit bilangan heksadecimal. IEEE (Institute of Electrical
and Electronics Enginers) sebagai lembaga yang mengurus standarisasi internet membagi
alamat MAC menjadi dua blok, 24 bit pertama mempresentasikan organisasi pembuat kartu
tersebut (vendor) dan 24 bit sisanya adalah nomor kartu tersebut.
MAC format :
00-00-0C-67-89-6f atau 00:00:0C:67:89:6f

Alamat yang ke dua adalah alamat IP (Internet Protocol) atau alamat logika, Protokol IP
adalah bagian penting yang di gunakan sebagai alat identifikasi setiap komputer pada
jaringan/lapisan internet. IP juga bersifat unik, itu artinya masing masing komputer yang
terhubung haruslah menggunakan alamat yang berbeda tidak boleh satu alamat IP di gunakan
oleh dua atau lebih komputer. IP tidak seperti MAC yang bersifat permanen, alamat IP bisa di
rubah rubah sesuai dengan pengaturan atau pengalamatan jaringan yang di buat. Panjang
format alamat IP adalah 32 bit (4 byte) untuk IPv4 dan 128 bit (16 byte) untuk IPv6.
IP format:
IPv4 = 192.168.1.1
IPv6 = 2001:0ba0:01e0:d001:0000:0000:d0f0:0010

Dasar konsep dari komunikasi jaringan adalah pengiriman data dari sumber ke tujuan begitu
juga sebaliknya. Setiap bentuk komunikasi harus memiliki identifikasi alamat sumber dan
tujuan, hal ini penting untuk menerangkan siapa yang mengirim dan siapa yang menerima.
Dalam keseharian kita menggunakan alamat IP bukan MAC agar komputer bisa saling terhubung.
Namun sebetulnya komputer berkomunikasi hanya menggunakan alamat MAC/fisik. Lalu untuk apa IP ?,
dua pertanyaan di bawah ini mungkin akan memberikan gambaran:
Page | 1

1. Logiskah jika anda menggunakan alamat seperti ini 00-00-0C-67-89-6f ?


2. Masing masing alamat MAC bersifat unik dan sudah di set oleh vendor, mau kah anda
menghafal ribuan bahkan jutaan perangkat NIC dunia untuk menghubungkan/mengakses
perangkat tersebut ?

Bagi manusia menggunakan alamat IP lebih masuk akal jika di bandingkan dengan alamat MAC,
untuk itulah di buat sebuah protokol ARP yang berfungsi untuk menterjemahkan/meresolusi
alamat IP ke alamat MAC. Pada proses enkapsulasi, IP membungkus paket data yang berisi
header (source IP,destination IP,dan meta data lainnya) dan payload (data yang mau dikirim),
kemudian paket ini akan di rubah menjadi frame frame data pada lapisan data link agar bisa
di kirim pada level fisik melalui media transmisi (kabel,radio,dll). Gambaran cara kerja protokol
ARP seperti dibawah ini:
1. Sebuah komputer yang mendukung teknologi TCP/IP ingin berkomunikasi dengan IP:
192.168.1.2 di dalam satu segmen jaringan. siapa pemilik IP: 192.168.1.2, berikan
alamat MAC mu ?
2. Komputer yang sedang dicari/pemilik IP: 192.168.1.2 akan merespon pertanyaan
tersebut dengan jawaban saya IP: 192.168.1.2 alamat MAC 00:00:0C:05:B4:3F
3. Keduanya sudah saling mengetahui alamat fisik, setelah itu alamat fisik tersebut akan di
simpan di dalam tabel ARP, sampai disini komunikasi bisa di mulai.
Pada tahapan pertama adalah sebuah pesan ARP request, dan tahapan kedua adalah pesan
balasan atau ARP reply. Perlu di ketahui bahwa komputer menyimpan alamat MAC di dalam
tabel ARP hanya bersifat sementara dan akan di hapus secara otomatis dalam periode waktu
tertentu. Gambar sederhana berikut ini bisa lebih membantu untuk memahami cara kerja
protokol ARP :

Gambar 1.1 Cara kerja ARP


Page | 2

1.1.1 Struktur format pesan ARP


ARP merupakan bagian penting di dalam jaringan TCP/IP, memiliki tugas untuk dapat
menterjemahkan alamat logis (IP address) yang di gunakan pada lapisan aplikasi ke dalam
alamat fisik (MAC address). Struktur format pesan ARP relative simple dan juga memiliki
operasi yang sederhana, ARP request dengan mengirim pesan broadcast ke semua host di
dalam jaringan dan ARP respon sebagai bentuk balasan kepada host yang sedang mencarinya.
Bentuk struktur format pesan ARP bisa dilihat di bawah ini:

Gambar 1.2 Struktur format pesan ARP

Hardware Type:
Bagian ini adalah field untuk menentukan type hardware yang di gunakan, Misalnya: untuk tipe
hardware Ethernet bernilai 1 (0x1 dalam heksa).
Protocol Type:
Bagian ini adalah field untuk menentukan versi/network IP yang di gunakan, Untuk alamat IPv4
memiliki nilai 2048 (0x800 dalam heksa).
Hardware Address Length:
Bagian ini berisi panjang dari alamat MAC address, nilainya adalah 6.

Page | 3

Protocol Address Length:


Bagian ini berisi panjang dari alamat IP, Untuk IPv4 tentu saja nilainya adalah 4.
Opcode (Operation Code):
Bagian ini berisi field untuk menentukan operasi pesan yang akan di kirim. Berikut tabel dari
kode operasi pada ARP:
Opcode
1
2
3
4
5
6
7
8
9

Tipe operasi pesan


ARP Request
ARP Reply
Reverse ARP Request
Reverse ARP Reply
Dynamic RARP Request
Dynamic RARP Reply
Dynamic RARP Error
Inverse ARP Request
Inverse ARP Reply
Tabel 1.1 Tabel kode operasi ARP

Sender Hardware Address:


Bagian ini adalah field yang berisi alamat fisik (MAC Address) dari komputer sumber/pengirim.
Sender Protocol Address:
Bagian ini adalah field yang berisi alamat logis (IP Address) dari komputer sumber/pengirim.
Target Hardware Address:
Bagian ini adalah yang berisi alamat fisik (MAC Address) komputer tujuan/penerima.
Target Protocol Address:
Bagian ini adalah field yang berisi alamat logis (IP Address) komputer tujuan/penerima.
1.1.2 Celah Keamanan ARP
Masih ingat dengan ilustrasi cara kerja ARP ?, Cara kerja protokol ARP yang mengirim
pesan ARP request secara broadcast ke semua komputer ternyata menimbulkan celah
keamanan. Didalam prakteknya ternyata siapapun dijaringan yang berada dalam satu broadcast
domain dapat merespon pesan ARP broadcast tersebut meskipun isi pesan bukan di tujukan
Page | 4

untuknya. Tidak hanya itu siapapun di jaringan juga dapat mengirim ARP request dengan
berpura pura menjadi salah satu host, namun dengan alamat fisik (MAC) yang di palsukan.
Malicious host melakukan hal tersebut dengan cara membuat paket (crafted packet) ARP palsu.
Celah keamanan ini biasa dikenal dengan istilah ARP spoofing/poisoning.
1.1.2.1 ARP reply palsu
Setiap kali datang pesan ARP reply, system akan mempercayai dan menyimpan alamat
fisik dari komputer pengirim pesan pada ARP table/cache, tidak peduli palsu atau tidaknya
alamat fisik tersebut. Jika sebelumnya alamat fisik tersebut sudah tersimpan, maka alamat fisik
yang lama akan di hapus dan di update dengan alamat fisik yang baru (overwrite), begitu juga
seterusnya. Kita bisa lihat dari gambar ilustrasi berikut:

Gambar 1.3 ARP reply palsu

Gambar 1.4 Pengiriman paket ARP reply yang tidak diminta

Page | 5

Pada ilustrasi gambar 1.3, komputer dengan IP: 192.168.1.1 sedang mencari alamat fisik dari
komputer IP: 192.168.1.2 dengan mengirim ARP request dengan metode broadcast ke semua
host. Merasa di cari komputer yang memiliki IP: 192.168.1.2 menjawab pesan tersebut dengan
mengirim pesan ARP reply. Namun tanpa kita ketahui ternyata malicious host juga mengirim
pesan ARP reply. Pertanyaanya, alamat fisik siapa yang di simpan oleh komputer 192.168.1.1 ?,
Pertama kali tentu alamat fisik dari IP: 192.168.1.2 selanjutnya sistem akan menghapusnya dan
mengganti/memperbaruhi dengan alamat fisik yang dikirim oleh malicious host. Didalam
kondisi yang berbeda terkadang suatu host mendapatkan pesan ARP reply meskipun tidak
mengirim permintaan ARP request, seperti yang terlihat pada gambar 1.4.
1.1.2.2 ARP request palsu
ARP request palsu adalah sebuah paket permintaan ARP request yang dengan sengaja di
kirim oleh sebuah malicious host. Berikut gambar dari ARP request palsu:

Gambar 1.5 ARP request palsu


Pada gambar 1.5, malicioust host mengirim permintaan paket ARP request palsu untuk
komputer 192.168.1.1, karena merasa di cari komputer 192.168.1.1 lalu mengirim ARP reply
kepada malicious host dan menyimpan alamat 192.168.1.2 dengan alamat fisik
04:D1:22:05:FE:FE. Padahal kita sendiri tahu bahwa sebenarnya alamat fisik dari IP 192.168.1.2
adalah 00:00:0C:05:B4:3F namun kenyataannya malah alamat fisik si malicioust host yang di
simpan. Inilah yang di sebut kemampuan seseorang untuk membuat crafted paket dengan
menjadi siapapun namun dengan alamat fisik yang di isi sesuai dengan kemauan pengirim paket
tersebut. Dan lucunya komputer yang mendapatkan pesan ARP request tersebut membalasnya.

Page | 6

1.1.3 Jenis jenis serangan


Setelah memahami celah kelemahan yang terdapat protokol ARP, selanjutnya adalah
memahami jenis jenis serangan yang dapat di akibatkan oleh serangan ARP
spoofing/poisoning.
1.1.3.1 MITM (Man in The Middle)
MITM adalah serangan lanjutan yang di mulai dari ARP spoofing/poisoning. Di dalam serangan
MITM attacker akan memposisikan dirinya di tengah tengah komunikasi antara dua pihak. Seluruh
bentuk komunikasi akan melalui komputer attacker. Attacker akan dengan mudah melakukan
penyadapan (sniffing), memanipulasi paket (tampering), mengontrol komunikasi dan semua serangan
lainya yang di dimungkinkan dari serangan MITM ini. Sekarang mari kita lihat bagaimana proses
terjadinya MITM, pada proses komunikasi yang normal/wajar komputer terlihat pada gambar di bawah:

Gambar 1.6 Komunikasi normal


Attacker memulai aksinya dengan mengirim pesan ARP reply palsu (spoof/poison) untuk
meracuni tabel ARP PC: A dan PC: B . seperti yang di tunjukan pada gambar 1.7.

Page | 7

Gambar 1.7 ARP spoofing/poisoning


Sampai disini attacker berhasil membelokkan komunikasi (gambar 1.8), agar tidak di curigai dan tidak
menimbulkan putusnya koneksi maka attacker akan membuat komputernya menjadi mesin routing
untuk melanjutkan paket data (forwarding) ke paket tujuan begitu juga sebaliknya. Kondisi inilah yang di
sebut dengan Man in The Middle Attack. Seperti terlihat pada gambar 1.9

Gambar 1.8 Attacker berhasil mengalihkan komunikasi

Gambar 1.9 MITM (Man in The Middle Attack)


Page | 8

Attacker melakukan serangan MITM dengan tujuan:


1. Menyadap percakapan pada instant messaging. Ex: irc, yahoo messeger, window
messeger, whatsapp, dll. Atau bentuk komunikasi pesan plain text lainya.
2. Mengumpulkan/memperoleh data data sensitif, Ex: username & password, nomer
kartu kredit, dll.
3. Membajak sesi (session hijacking) pada protokol web. Ex: http or https.
4. DNS spoofing, Web Spoofing, dll.
1.1.3.2 DoS (Denial of Service)
Serangan ini merupakan bentuk serangan yang mengasosiasikan alamat ip dengan
alamat fisik yang dipalsukan. Misalnya, anda memiliki IP: 192.168.1.4 dengan MAC:
00:11:22:55:F3:C5 secara normal ketika anda berkomunikasi dengan gateway yang beralamat
IP: 192.168.1.1 berarti pada table ARP milik gateway di petakan bahwa IP: 192.168.1.4 alamat
fisiknya adalah MAC: 00:11:22:55:F3:C5, namun seorang attacker dapat mengasosiasikan
alamat IP: 192.168.1.4 dengan alamat MAC yang di palsukan. Apa yang terjadi ketika attacker
berhasil melakukan hal ini ?, tentu anda tidak dapat terkoneksi dengan gateway. Teknik seperti
inilah yang di gunakan oleh alat pemutus jaringan seperti Netcut.

Gambar 1.10 Attacker mengasosiasikan IP: 192.168.1.4 dengan MAC yang di palsukan
1.1.3.3 MAC flooding
Perangkat penghubung switch memang lebih cerdas jika di bandingkan dengan hub,
switch memiliki kemampuan merekam serta memetakan alamat fisik dari masing masing
Page | 9

komputer yang di hubungkannya. Switch memiliki memory yang di sebut Content Addressable
Memory (CAM) table, untuk menyimpan alamat MAC. Dibalik kemampuan itu, fungsi CAM pada
switch ternyata memiliki kelemahan, yaitu dari sisi keterbatasan ruang penyimpanan. Misalnya
anda memiliki sebuah switch yang dapat menyimpan alamat MAC sebanyak 5000 buah, seorang
attacker membanjiri switch milik anda tersebut hingga lebih dari 5000 alamat MAC. Ketika
sebuah CAM tidak lagi dapat menampung alamat MAC, maka switch tidak akan ada bedanya
dengan hub, yang hanya memiliki kemampuan untuk meneruskan sinyal. Disaat switch
kehilangan kemampuannya, attacker tidak akan melewati kesempatan untuk melakukan
penyadapan dan capturing data.

1.1.4 Usaha pencegahan


Berbagai jenis serangan yang telah di jabarkan sebelumnya merupakan bentuk serangan yang
relatif sulit untuk di cegah, Beberapa hal yang bisa menjadi solusi pencegahan antara lain:

1. Gunakan IP statis (tanpa dhcp), sebagai usaha menghindari serangan DHCP spoofing.
2. Melindungi ARP table/cache, karena ARP spoofing/poisoning merupakan serangan yang
memaanfaatkan kelemahan pada tabel ARP yang dinamis, maka solusinya adalah
membuat ARP menjadi statis, dengan cara mengetikan perintah arp s [ip] [mac].
Langkah ini bisa di lakukan setiap reboot dengan cara menyimpan perintah ke dalam
sebuah startup script.
3. Gunakan port security, switch model manageable.
4. Gunakan selalu protokol komunikasi yang aman/terenkripsi, tujuannya agar data yang di
alirkan menjadi acak sehingga ketika di sadap akan berbentuk paket paket yang sulit di baca.

5. Dan jika diperlukan, silakan monitoring menggunakan perangkat lunak seperti


wireshark, tcpdump, arpwatch, dll.
1.2 Tentang Etherwall
Etherwall adalah perangkat keamanan jaringan gratis dan kode terbuka yang di design
untuk mencegah MITM (Man in The Middle) melalui serangan ARP spoofing/poisoning. Juga
mencegah dari jenis - jenis serangan yang di turunkannya seperti Sniffing, Hijacking, Netcut,
DHCP Spoofing, DNS Spoofing, WEB Spoofing, dan lain-lain. Melindungi host secara aktif,
menyaring paket ARP secara ketat, serta memberikan peringatan dini kepada pengguna akhir
jika di temukan adanya indikasi serangan ARP cache poisoning. Etherwall di tulis dalam bahasa
pemrograman python menggunakan pustaka/library Scapy. Mendukung penuh sistem operasi
Page | 10

Linux, telah di uji coba di beberapa distribusi populer seperti Slackware, Debian, Ubuntu,
Backtrack, Mint, CentOS, Fedora, OpenSUSE, dll.
Beberapa fitur dari etherwall diantaranya:

Daemon Processing
ARP Packet Filtering
Point to Point & Point to Multipoint Protection
Realtime Protection
System Logging
Early Warning
Support for networks Statically, Dynamically, or Both
Supports for Ethernet Wired & Wireless interface (IEEE 802.3 & IEEE 802.11)
Plugins / Tools
Included Man Pages
Easy to Use and Free

1.2.1 Motivasi
Menutupi kelemahan isu keamanan protokol ARP, mencegah dari serangan MITM (Man in
The Middle) melalui ARP spoofing/poisoning. Juga mencegah dari berbagai jenis serangan
yang memaanfatkan kelemahan dari cara kerja protokol ARP.
1.2.2 Skenario aplikasi
Etherwall berjalan sebagai proses daemon, memiliki 3 algoritma dasar diantaranya
adalah ARP packet filtering, Point to Point protection, Point to Multipoint protection.
1.2.2.1 ARP packet filtering
Secara default etherwall hanya mengijinkan paket yang berasal dari router/gateway
untuk dapat di proses oleh kernel. Jika ingin mengijinkan host lain maka user dapat membuat
daftar host yang di perbolehkan melalui sebuah file konfigurasi (Pembahasan pada hal:21).
Skenario algoritma ini bisa di lihat pada gambar dibawah:

Page | 11

Gambar 1.11 ARP packet filtering

1.2.2.2 Point to Point Protection


Point to Point protection adalah algoritma untuk menjaga komunikasi antara dua pihak
dengan memberikan alamat yang valid sehingga TRUE komunikasi akan selalu terjaga.

Gambar 1.12 Point to Point protection


1.2.2.3 Point to Multipoint Protection
Algoritma Point to Multipoint Protection sama seperti dengan Point to Point, namun
pada algoritma ini perlindungan di berikan untuk dua atau lebih host.
Page | 12

Gambar 1.1
1.13 Point to Multipoint protection
1.2.3 Algoritma

Gambar 1.14 Algoritma Etherwall


Page | 13

1.2.4 Mengapa Etherwall di butuhkan ?


Seberapa penting etherwall di butuhkan ?, tentu pertanyaan ini memiliki jawaban yang
relatif bagi masing masing individu. Namun di sisi lain saya dapat menyimpulkan beberapa
alasan:
1. Tidak ada yang dapat menjamin bahwa koneksi publik seperti
sekolah,kampus,kantor,cafe,mall,dan tempat umum lainnya itu aman.
2. Banyak perangkat lunak yang dapat di gunakan untuk mengeksploitasi kelemahan
protokol ARP.
3. Tidak semua pengguna mengerti keamanan jaringan.
4. Menghindar dari pelaku kegiatan network abuse.
5. Gangguan ARP Worm pada sebuah jaringan.
1.2.5 Pengguna akhir (End User)
Etherwall di tujukan hanya untuk penggunaan komputer personal, penggunaan di luar itu
sangat tidak di rekomendasikan. Aplikasi ini gratis dan berbasis opensource, Anda di ijinkan
untuk menyebarluaskannya dan/atau memodifikasinya di bawah ketentuan-ketentuan dari
GNU General Public License versi 3 atau versi lain (pilihan anda) yang lebih tinggi.

Page | 14

Panduan installasi Etherwall


2.1 Mendapatkan Etherwall
Sangat penting untuk mengunduh etherwall pada sumber yang dapat dipercaya, Ini
merupakan langkah untuk mencegah perubahan isi kode sumber oleh pihak pihak yang tidak
bertanggung jawab yang mungkin dapat menyebabkan kerugian bagi anda.
Etherwall latest release:
http://sourceforge.net/projects/etherwall
Etherwall development:
https://github.com/rndc/etherwall
2.2 Kebutuhan sistem
Etherwall adalah program yang tidak berdiri sendiri, ia membutuhkan beberapa program
dan library/pustaka untuk dapat berjalan. Program dan pustaka itu diantaranya:
1. Python >= 2.5.2
2. Scapy (sudah disertakan di dalam installasi etherwall)
3. Arptables (untuk kernel >= 2.6.16 gunakan versi 0.0.3-4) silakan cek informasi tentang
arptables di http://ebtables.sourceforge.net/downloads/latest.html. Jika anda memiliki
koneksi internet program installasi etherwall akan mengunduh, mengkompilasi, dan
memasang arptables pada sistem anda secara otomatis setelah mendapat persetujuan
user.
4. Python GTK library
5. Utilitas linux: arp, ifconfig, dan tcpdump (hampir semua distro memiliki utilitas ini
kecuali tcpdump)
2.3 Installasi etherwall
Pada sesi ini akan di jelaskan tutorial installasi etherwall secara step by step, langkah
langkah installasi sebagai berikut :
1. Extract file hasil download
$ tar -zxf etherwall-1.0.BETA3.tar.gz

2. Masuk ke dalam direktori file


$ cd etherwall-1.0.BETA3

Page | 15

3. Eksekusi file install.sh, pada step ini anda wajib memiliki hak akses root atau
administrator system (anda bisa menggunakan perintah su atau sudo).
# bash install.sh

atau
# chmod +x install.sh
# ./install.sh

4. User Agreement (persetujuan user)


Are you sure you want install etherwall?[y/n] y
GNU GENERAL PUBLIC LICENSE
Version 3, 29 June 2007
Copyright (C) 2007 Free Software Foundation, Inc. <http://fsf.org/>
Everyone is permitted to copy and distribute verbatim copies
of this license document, but changing it is not allowed.
Preamble
The GNU General Public License is a free, copyleft license for
software and other kinds of works.
The licenses for most software and other practical works are designed
to take away your freedom to share and change the works. By contrast,
the GNU General Public License is intended to guarantee your freedom to
share and change all versions of a program--to make sure it remains
free
software for all its users. We, the Free Software Foundation, use the
GNU General Public License for most of our software; it applies also to
any other work released this way by its authors. You can apply it to
your programs, too....................................................
......................................................................
......................................................................
...........
Do you agree with the license?[y/n] y
......................................................................
...........
Creating etherwall installation directory and copying files...
Creating etherwall script...
Creating etherwall console script...
Copying etherwall configuration files...
Copying manual pages...
Setting executable flags...
Installation finished. Type 'etherwall' or 'ethwconsole' as root to run
etherwall.

Page | 16

Panduan penggunaan Etherwall


3.1 Etherwall
Perintah etherwall di gunakan untuk menjalankan, menghentikan, menjalankan kembali,
dan memeriksa status dari layanan daemon etherwall. Anda bisa mengetikkan perintah ini di
terminal dimanapun lokasi kerja anda asalkan memiliki hak akses root atau admin system.
Bentuk umum penggunaan:
etherwall {start|stop|restart|status}

Sebagai contoh:
etherwall start

Keterangan:
start: menjalankan layanan daemon etherwall
stop: menghentikan layanan daemon etherwall
restart: menjalankan kembali layanan daemon etherwall
status: memeriksa status daemon, apakah berjalan atau berhenti.

3.2 Ethwconsole
Ethwconsole adalah sebuah konsol interaktif (berbasis-teks) program dari etherwall untuk
digunakan sebagai tambahan pertahanan jaringan (White Hat tools :D). Ethwconsole prompt
menyediakan beberapa program yang berguna untuk menganalisa dan mengindetifikasi
keadaan jaringan, Tujuannya adalah untuk meminimalisasi berbagai jenis serangan yang sering
terjadi pada LAN (Local Area Network).
Bentuk umum penggunaan:
ethwconsole
Sebagai contoh:
ethwconsole

Page | 17

Beberapa tool atau plugin yang tersedia beserta fungsinya:

1. allow
Secara standar komputer yang menjalankan etherwall hanya dapat berkomunikasi
dengan gateway komputer dan komputer di luar segmen jaringan dari antarmuka
yang aktif. Kecuali host yang memiliki izin yang telah disertakan dalam file
/etc/etherwall/allow.conf. Jika Anda ingin mengizinkan akses sementara kepada
suatu host silakan gunakan perintah ini.
Contoh:
ethw> allow 192.168.1.100

2. arp
perintah arp digunakan untuk memanipulasi sistem arp cache dan dump dari cache
arp diwakili dalam tampilan tabulasi.
Contoh:
ethw> arp
ethw> arp -s 192.168.1.100 00:11:22:33:44:55
ethw> arp -d 192.168.1.100

3. arping
Alat arping digunakan untuk mengirim dan menerima paket pada lapisan data link.
Jika anda ingin mengamati jaringan LAN melalui protokol ARP bisa menggunakan
gunakan alat ini.
Contoh:
ethw> arping 192.168.1.100
ethw> arping 192.168.1.100/24

4. banner
Perintah banner digunakan untuk menampilkan gambar ASCI secara acak.
Contoh:

Page | 18

ethw> banner

5. clear
Perintah clear digunakan untuk menghapus layar konsol.
Contoh:
ethw> clear

6. deny
perintah deny digunakan untuk mencabut perizinan (kebalikan dari perintah allow).
Contoh:
ethw> deny 192.168.1.100

7. dhcpcop
Perintah dhcpcop digunakan untuk mengidentifikasi server DHCP palsu pada LAN
(mencegah DHCP palsu dan sesat). Seperti program klien dhcp, tetapi hanya
mengirim paket dhcp discover.
Contoh:
ethw> dhcpcop
ethw> dhcpcop wlan1

8. flog
Perintah flog digunakan untuk menampilkan beberapa baris terakhir dari file log
etherwall ke output standar, Baris standarnya 10 baris jika tidak ditentukan. Ini
seperti program tail di Unix system.
Contoh:
ethw> flog
ethw> flog 15

Page | 19

9. gwdisc
Perintah gwdisc digunakan untuk menemukan gateway atau host router pada LAN
(mengidentifikasi router palsu). Dengan mengirim permintaan paket echo ke
komputer yang terletak pada jaringan Internet atau WAN. Untuk melakukan
tindakan ini, anda perlu mengatur alamat default gateway. Hanya mengatur alamat
yang Anda inginkan, tetapi harus sesuai dengan segmen jaringan atau mengatur
alamat sebenarnya dari gateway. Sebagai contoh: Anda mengatur interface jaringan
eth0 dengan alamat 192.168.1.23, atur alamat default gateway yang Anda inginkan,
misalnya 192.168.1.100.
Contoh:
ethw> gwdisc
ethw> gwdisc -t xxx.xxx.xxx.xxx
ethw> gwdisc -i wlan0 -t xxx.xxx.xxx.xxx

10. help
Perintah help digunakan untuk menampilkan panduan.
Contoh:
ethw> help

11. interface
Perintah interface digunakan untuk menampilkan antarmuka yang aktif. Ini berarti
perangkat mampu dan siap untuk berkomunikasi pada jaringan.
Contoh:
ethw> interface

12. linktype
Perintah linktype digunakan untuk memeriksa tipe link jaringan (HUB/SWITCH). HUB
& switch berbeda, Jika Anda terhubung kedalam link HUB, sangat tidak dianjurkan
untuk menggunakan protokol yang tidak aman (resiko keamanan). Jika terhubung

Page | 20

kedalam link switch juga sangat direkomendasikan untuk selalu menggunakan


protokol yang aman untuk keamanan yang lebih maju.
Contoh:
ethw> linktype

13. macfaked
Perintah macfaked digunakan untuk memanipulasi alamat fisik dari antarmuka
jaringan. Digunakan untuk penyamaran alamat MAC.
Contoh:
ethw> macfaked -r eth0
ethw> macfaked -m 00:11:22:33:44:55 wlan0

14. macvendor
Perintah macvendor digunakan untuk menampilkan vendor dari alamat MAC.
Vendor database alamat MAC didapatkan dari Oui - IEEE-SA, terletak di
http://standards.ieee.org/develop/regauth/oui/oui.txt.
Contoh:
ethw> macvendor 00:11:22:33:44:55

15. promiscop
Perintah promiscop digunakan untuk mendeteksi promiscuous node dalam LAN
(deteksi sniffer). Untuk informasi lebih lanjut bagaimana teknik ini bekerja silahkan
download materi di:
http://www.securityfriday.com/promiscuous_detection_01.pdf
Contoh:
ethw> promiscop
ethw> promiscop 192.168.1.100
ethw> promiscop -i wlan0 192.168.1.2/24

Page | 21

3.3 Direktori dan file program Etherwall


Direktori/File

Keterangan

/opt/etherwall

Lokasi hasil installasi, didalamnya terdapat file


program dan dokumentasi.

/etc/etherwall/etherwall.conf

File konfigurasi etherwall berisi kata kunci dan


argumen berpasangan, yang mana akan di eksekusi
ketika anda menjalankan etherwall. Baris yang di
mulai tanda # dan baris kosong dianggap sebuah
komentar, penulisan kata kunci dan argumen tidak di
perbolehkan menggunakan spasi kosong.
Format:
Katakunci=argumen

/etc/etherwall/allow.conf

File ini menjelaskan host yang di perbolehkan


berkomunikasi dengan sistem anda. Sebagai
keamanan kontrol akses (Filterisasi MAC address).
Format:
ip-mac

/etc/etherwall/etherwall-oui.txt

File ini berisi kumpulan database vendor MAC.

/var/log/etherwall/etherwall.log

Daemon program akan mencatat seluruh aktifitas


pada file ini, kemungkinan ukuran file akan
membesar sehingga anda wajib membersihkannya
secara manual.

Tabel 3.1 Direktori dan file program etherwall

Page | 22

Bantuan
4.1 Halaman manual
Anda bisa memaanfaatkan buku ini sebagai petunjuk penggunaan, atau bisa memanfaatkan
manual pages. Halaman manual saat ini tersedia dalam dua bahasa, yaitu english dan
indonesian.
Contoh:
$ man etherwall
versi bahasa indonesia:
$ man etherwall-id
atau
$ man ethwconsole
versi bahasa indonesia:
$ man athwconsole-id
4.2 Laporan bug dan pertanyaan
Seperti penulisnya, etherwall tidaklah sempurna. Anda bisa membuatnya lebih baik dengan
mengirimkan laporan bug, menulis patch, atau memberikan umpan balik anda. Jangan ragu dan
hubungi saya secara pribadi ke alamat email saya :D. Selain email, Anda juga bisa melaporkan
bug dan pertanyaan di alamat https://github.com/rndc/etherwall/issues.

Page | 23

Penutup
5.1 Kesimpulan
ARP spoofing/poisoning merupakan sebuah serangan yang relatif sulit di tangkal dalam
satu broadcast domain, namun dengan segala kemungkinan yang bisa di lakukan dengan
metode yang telah di implementasikan ke dalam program etherwall dapat menjadi solusi.
Beberapa materi dalam buku ini di bahas dengan bahasa yang sederhana dengan tujuan agar
siapapun dapat dengan mudah memahaminya. Besar harapan buku ini dapat memberikan ilmu
yang bermaanfaat meski penulis sadari masih banyak kekurangan, baik dari segi materi ataupun
format penulisan.
5.2 Ucapan terima kasih
Saya mengucapkan terimakasih kepada rekan rekan di RNDC (We are the warriors of
indonesian technology :D). Special thanks to Drubicza yang telah ikut berpartisipasi dalam
perkembangan kode etherwall, dan tidak lupa saya ucapkan terimakasih kepada Dennis
Choober atas logo, gambarnya bagus dan keren :D. Dan semua pihak yang tidak bisa di
sebutkan satu persatu. Terimakasih juga kepada anda semua yang telah membaca buku ini.

Page | 24

Daftar Pustaka
[1] http://www.en.wikipedia.org/wiki/Address_Resolution_Protocol
[2] http://www.en.wikipedia.org/wiki/CAM_Table
[3] http://www.rootsecure.net/content/downloads/pdf/arp_spoofing_intro.pdf
[4] http://www.secdev.org/projects/scapy/
[5] http://www.securityfriday.com/promiscuous_detection_01.pdf
[6] http://www.tcpipguide.com/free/t_ARPMessageFormat.htm
[7] http://www.tools.ietf.org/html/rfc826
[8] http://www.watchguard.com/infocenter/editorial/135324.asp