What is Traceroute? How it works? and hiding router from traceroute – part 2/2

trace-case

Oke, kemaren di part-1 sudah bahas mengenai cara kerja Traceroute yang ternyata dia mainin TTL. Nah di part 2 ini ane bahas mengenai “hiding from traceroute jutsu”. Kadang kite nemuin kan tracert di internet ditengah-tengah jalan bolong tapi end-to-end konek, nah case ini nih yang bakal kite bahas 😀

Lalu gunanya buat apa sih? ngapain disembunyiin pula?? yaa kan gw nggak pengen orang lain tau ruter gw, yaa walaupun nantinya tetap bisa diketahui minimal mereka perlu usaha deh supaya tau IP router kite, misal rule ini kita tempatin di interface router kite yang ngadep ke internet gitu 🙂

next….. mari kita masuk materi….. 

Oke, kalo berdasarkan logika TTL kemaren, supaya IP router kita nggak nampak ketika di traceroute logikanya gampang kan. tinggal blok aja icmp ttl-exceded message dari router keluar, jadi deh”.  Yup betul sekali, begitu logikanya, intinya kita bikin supaya si client nggak dapet reply di cisco bisa pake ACL kan yaaa. Tapi ternyata ACL di cisco hanya berlaku di “transite traffic“, tidak berlaku untuk “locally generated traffic“. Transit traffic adalah traffic yang lewat router, sedangkan locally generated traffic adalah traffic yang digenerate oleh router sendiri, sedangkan icmp ttl-exceded message kan digenerate oleh router, nahh nggak kena ACL dong, nah ini nih tantangannya!! 😀

jadi artinya kita nggak bisa pake ACL kayak biasanya untuk filter traffic itu?? Iyup betul, coba aja kalo nggak percaya..haha… nih gw kasih lihat percobaannya. Kita pake topologi di Post Sebelumnya (maksa buka post part-1 ceritanya..haha). Kita bikin ACL untuk nge-drop ICMP, lalu kita apply di interface yang IPnya mau kita sembunyikan dari tracert.

cfg-1

Nah tuh, ACL bloking jutsunya udah gw bikin sedetail mungkin supaya match dengan reply ttl-exceded, gw apply di interface fa0/0 (ip 23.23.23.3 mau gw sembunyiin dari tracert). Tapi tetep aja gagal, Coba aja kalo nggak percaya :p nih ternyata failnya karena ini nih :

passing acl bcse locally generated traff

The outgoing port has an outbound traffic access-list with an ID of CUT-TRACE, but the packet is locally generated. The router permits the packet without checking against the access-list.” – Shit mannn…. haha…

perhatikan yang aku garis bawah itu, icmp reply ttl-excedednya nggak kenal ACL vroh karena dia locally generated. Usut punya usut ternyata cisco ada rulenya sendiri untuk ‘managing’ locally generated traffic, pakenya ternyata IP local policy

Next, mari kita coba IP Local Policynya, mainan route-map, match and action nih..haha… Aku pake topology kemaren, aku sembunyiin dari tracert IP di R2 dan R3.

topo

 

Konsepnya kayak diatas, kita berusaha nyegah si router ngirim icmp reply, supaya IPnya nggak muncul ketika di tracert. Konsep konfignya untuk filter locally generated traffic, karena ip local policy supportnya pake route-map maka kita bikin route map untuk ngedrop icmp reply, nah route-map ini nanti kita apply ke local policy, jadi deh, gitu doang sederhananya 🙂

Supaya traffic yang diproses route-map spesifik, kita pake Extended ACL buat ngebentuk filternya, misal disini aku bikin extended ACL CUT-TRACE yang match dengan icmp reply ttl-exceded dari 23.23.23.3 to any, yang bagian ini terserah sesuai pengennya gimana, aku cuma pengen nyembunyiin IP 23.23.23.3 doang dari tracert maka di ACL aku pake 23.23.23.3 to any, kalo mau nyembunyiin semua IP misal, ya tinggal ganti aja any to any.

Oke setelah kita bentuk match rulenya via ACL, sekarang kita mainkan aturan ‘match-then-action’ di route-map. “packet that match with ACL CUT-TRACE, then send to interface null0 so packets will never arrive to the destination”.

After that, Apply route-map to Local Policy…jadi deh 😀 You get the logic isn’t it?? 😀 Perhatikan konfig dibawah ini :

cfg-2That’s all, intinya di ACL kita bikin Match Rule, lalu kita mainkan di route-map, apply deh ke local plocy 😀 Contoh hasilnya seperti dibawah ini. Aku sembunyikan IP 23.23.23.3 dan 12.12.12.2 doang, jadi kalo dari SRC ke DST bakalan bolong tuh traceroutenya untuk IP itu, tapi kalo dari DST ke SRC yaa lancar jaya, karena kalo dari DST kan IP yang menghadap dia pas tracert kan 20.20.20.1, 23.23.23.2 dan 12.12.12.1 yang mana IP itu tidak aku filter icmp replynya 😀

trace-case

That’s All……. kalo belom ngarti kontak gw aja deh..hehe… tuh disebelah kiri ada kontak gw, di bagian ‘kentang goreng’ 🙂

 

Komen dimari gann....

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s