Mikrotik Firewall Action – Tarpit, The “Pemberi Harapan Palsu” Jutsu :v

conce

Kadang maen ke hotspot gratisan, ato nyolok ke network mana gitu niatnya cuma buat “ngescan” pengguna lain, siapa tau ada port yang kebuka terus coba masuk. Misal dateng ke cafe yang banyak cewek cantiknya, iseng2 scan ehh ternyata ada laptop yang port 445 alias file sharingnya kebuka, coba masuk deh, ehh ternyata dia naruh foto so doski disitu, asikk dah dapet foto-fotonya deh…haha…..

Atau di jaringan kita, kali aja ada yang suka iseng, scan-scan pengen tahu di jaringan ada services apa aja sih yang kebuka. Lalu dicoba-coba. Atau scan services buat di DDOS… wew…. ngeri euy ngeri :3. Nah kita bisa pake action tarpit nih yang ada di mikrotik buat ngelabuhi si tukang scan. Konsepnya tarpit itu dia akan memberikan balasan syn/ack kepada tcp/synΒ sehingga seolah-olah port yang discan itu terbuka, padahal sebenernya kalo dia coba ngakses ke port itu yaa cuma direject, tapi koneksinya dibuat keep alive, kaya di PHP getoh..haha…

Misal sebagai contoh dibawah ini aku pengen tahu nih si Mikrotiku ini jalanin services apa aja sih, aku scan aja services si Mikrotik. Tampaklah services yang open seperti dibawah ini :

0 scan1Nah dari hasil scan itu kelihatan kan kalo si mikrotik itu ada services FTP, SSH, Telnet, DNS, HTTP, sama Proxy yang bisa dipake. Lumayan nih bisa jadi modal kalo buat Attacking… Lumayan berabe juga kan kalo ketemu sama orang suka usil. Nah kita kibulin aja tuh si tukang scan, pokoknya koneksi apa aja yang dia bikin (tcp/syn), jawab saja dengan syn/ack sehingga seolah-olah portnya kebuka. Lumayan kan setidaknya dia nggak tau sebenernya port mana sih yang bener-bener kebuka πŸ™‚ Yang perlu diperhatikan lagi adalah urutan rule firewall. Pertama kali aku pake tarpit malah tak kesengaja ketaroh di rule pertama, alhasil semua koneksi input ke mikrotik ketarpit semua, nggak bisa akses mikrotik dari Layer 3 jadinya….wkwkwk….

1 ruleTarpit aku taroh di akhir, jadi logikanya si Mikrotik bakal menerima koneksi winbox (8291), http (80), dan ssh (22), baru selain itu kena tarpit. Hasil si tarpit ini seperti dibawah ini nih. Aku set scanner buat ngescan portΒ 20,21,22,23,25,49,67,53,80,111,161,137,443,445,3128,8080,1723,5900 dah hasilnya semuanya dibales (syn/ack), “Aseek portnya pada kebuka, eehhh bentar, Lhoh kok kebuka semua??! Mana neh sebenernya yang bener-bener kebuka??!!”..haha… Lumayan kaan buat mengelabui πŸ˜€

2 scan

6 thoughts on “Mikrotik Firewall Action – Tarpit, The “Pemberi Harapan Palsu” Jutsu :v

  1. Penjelasannya bagus mas, cukup memberikan gambaran buat saya yang masih bingung soal tarpit ini, abis nama rule-nya aneh banget hahaha…

    Thanks infonya, cukup mencerahkan dan menghibur juga :))

  2. Firewall trapit kalau di scan pake NMAP malah … ga bisa kasih port2 harapan palsu … anggapanya .. port SSH , Telnet , ftp, winbox .. langsung ke tahuan mas

    1. model penggunaannya gini kawan, port telnet, ssh, dll diset listen di non default port doang, kelar deh πŸ™‚

      misal port ssh ganti ke 5678, telnet ke 6789. kalo mereka scan port 1-1000 kedeteknya port kebuka semua, mereka scan port 1-10000, kedeteknya port kebuka semua. tapi mereka ga tau kan sebenernya port itu ada servicenya nggak, lalu service telnet & ssh misal udah kita ganti listennya ke non default port tadi dan mereka kagak tau, kelar deh masalahnya πŸ˜€

  3. mas agus, diantara port yang mas agus setting seakan-akan terbuka itu sebenarnya tidak bisa dibuka atau memang disalah satu dari port itu ada yang bisa di akses ??
    terima kasih…:)

Komen dimari gann....

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s