Hai milisers, Pertanyaan saya ini sebenarnya masih ada hubungannya dg serangan yg dilakukan ke ip server warnet kami. Setelah hampir sehari serangannya berhenti sejenak, malamnya dia rupanya telah banyak belajar dengan cara melakukan serangan pakai ipspoofing. Setelah sebelumnya jelas-jelas tertera ip public si penyerang, sekarang dia mulai memakai ip network, 192.168.0.2.
Saya pikir dia merasa aman dengan memakai ipspoofing itu, saat saya mempelajari pola serangannya (semasa dia pakai ip public atau ip telkomnet instan) ip tsb hampir tidak pernah terlihat di irc server - warnet-warnet di tempat kami biasa menggunakan server allnetwork.org. Sekarang setelah memakai ip spoofing, dia aman konek ke irc server di atas. Saya lihat sewaktu konek ke server irc dengan perintah /who 61.5.x.* ada beberapa ip yg konek. Saya tidak mungkin membabi buta menyerang ip-ip tsb untuk menghukum si biang kerok. Di sini ada nmap, util ini kan bisa digunakan untuk mencek OS remote ip yg discan, nah saya mencoba menggunakan nmap ini untuk IFF. Apa itu? Identification Friend or Foe, identifikasi kawan atau lawan, mereka yg biasa main game simulator peralatan tempur (pesawat jet/tank) tentu tahu istilah itu. Identnya cukup jelas, penyerang memakai server linux redhat dengan squid proxy dg port 3128 or 8080. Tentu saja port ini tidak terbuka dr luar, asal tidak direject di ipchains/iptables maka akan ketahuan kalau proxynya hidup. Scan port yg lain adalah 113. Si intruder tentu saja harus membuka port ini agar memperoleh ident dari irc server (beberapa irc server menolak servicenya kalau remote client tidak mempunyai ident). Bisa ndak kita tahu bahwa port 113 itu linux or window ? Oya saya lupa, di sini tidak mungkin pakai nmap, karena sudah jelas kami dan mereka sudah me-reject koneksi dr ip telkomnet instan (direject pakai ipchains/iptables). Cara lain mungkin pakai free port scan di internet, sehingga kami tahu ip ini jelas friend atau foe. Ada rekan-rekan yg tahu ? Terimakasih banyak sebelumnya. Salam ~yudi -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php