Selasa, 12 Mei 2015

Memantau Koneksi Network dengan Netstat

Memantau koneksi jaringan dengan netstat
Netstat (network statistics) adalah program berbasis teks yang berfungsi untuk memantau koneksi jaringan pada suatu komputer, baik itu jaringan lokal (LAN) maupun jaringan internet.


Kapan saya membutuhkan netstat? misalkan suatu ketika anda sedang internetan kemudian tiba tiba koneksi menjadi sangat lambat dan anda mencurigai ada program di komputer anda yang jadi penyebabnya.

Jika hal itu yang anda alami maka anda perlu memanggil program netstat untuk melakukan pengecekan.



Cara menggunakan netstat di windows

Untuk memanggil netstat pertama buka dulu command prompt di windows, caranya klik Start> All Programs> Accessories> Command Prompt atau Start> Run> ketik cmd lalu Ok.

Sekarang pada command prompt ketikan netstat (tekan enter) maka akan ditampilkan koneksi jaringan yang sedang berlangsung pada saat itu.

Sebagai contoh berikut ini adalah koneksi jaringan di komputer saya

Active Connections

Proto Local Address Foreign Address State
TCP fatality:1772 cg-in-f100.google.com:http ESTABLISHED
TCP fatality:1773 74.125.153.99:http ESTABLISHED
TCP fatality:1774 74.125.153.103:http ESTABLISHED
TCP fatality:1775 74.125.153.113:http ESTABLISHED
TCP fatality:1042 localhost:25377 ESTABLISHED
TCP fatality:1043 localhost:1044 ESTABLISHED
TCP fatality:1044 localhost:1043 ESTABLISHED
TCP fatality:1046 localhost:1047 ESTABLISHED
TCP fatality:1047 localhost:1046 ESTABLISHED
TCP fatality:25377 localhost:1042 ESTABLISHED

Berikut ini keterangan dari output netstat diatas :

Proto. Kolom proto menunjukan jenis protokol yang dipakai bisa TCP atau UDP.
Local Address. Kolom ini menjelaskan alamat dan nomor port yang ada di komputer anda yang mana saat itu sedang aktif melakukan koneksi. Contoh diatas fatality adalah nama host dari komputer saya dan 1772 adalah nomor port di komputer saya yang sedang melakukan koneksi.
Foreign Address. Kolom ini menunjukan koneksi yang dituju oleh local address beserta nomor portnya. Contoh diatas saya sedang menghubungi server google melalui http (port 80) yang artinya saya sedang browsing google.
State. Kolom ini menunjukan status dari koneksi yang sedang terjadi. ESTABLISED artinya sudah terhubung dengan komputer lain dan siap mengirimkan data.

State yang mungkin terjadi :

LISTENING -> siap untuk melakukan koneksi
SYN_SENT -> mengirimkan paket SYN
SYN_RECEIVED -> menerima paket SYN
ESTABLISHED -> koneksi terjadi dan siap mengirimkan data
TIME_WAIT -> sedang menunggu koneksi

Masih ada state TCP yang lain seperti FIN_WAIT_1, FIN_WAIT_2, CLOSE_WAIT, LAST_ACK dll untuk lebih jelasnya anda bisa baca buku yang membahas tentang TCP/IP

Yang perlu diperhatikan jika muncul state SYN_SENT dalam jumlah yang banyak dan terus menerus, efeknya koneksi internet anda menjadi sangat lambat.

Hal ini bisa disebabkan karena pada komputer anda terdapat malware entah itu virus, trojan atau worm yang berusaha melakukan koneksi ke internet.

Berikut ini parameter lain yang bisa anda gunakan untuk perintah netstat.

netstat -a , menampilkan semua koneksi baik yang listening maupun yang tidak
netstat -e, menampilkan statistik paket yang dikirim dan yang diterima
netstat -n, menampilkan alamat dan port dalam bentuk numerik
netstat -o, menampilkan PID (Process ID) untuk setiap koneksi
netstat -s, menampilkan statistik per protokol
netstat -r, menampilkan routing table
netstat -p protokol, menampilkan statistik berdasarkan protokol tertentu

Dengan netstat anda juga bisa menampilkan program mana saja (*.exe) yang sedang aktif melakukan koneksi ke internet, berikut ini perintahnya

netstat -b 5

perintah diatas akan ditampilkan setiap 5 detik, untuk mengakhirinya tekan CTRL+C. Bagi anda yang senang dengan catatan atau log, anda juga bisa memberi perintah kepada netstat untuk mencatat statistik koneksi ke dalam file teks. Berikut ini perintahnya :

netstat -b 5 > c:/koneksi.txt

Perintah diatas akan mencatat statistik ke file koneksi.txt setiap 5 detik.

Cara menggunakan netstat di linux

Menjalankan program netstat di linux kurang lebih sama seperti di windows, hanya saja ada beberapa parameter yang berbeda.

Berikut ini beberapa parameter untuk perintah netstat di linux

netstat -a , menampilkan semua koneksi baik yang listening maupun yang tidak
netstat -l , menampilkan semua koneksi yang listening saja
netstat -s , menampilkan statistik per protokol
netstat -n , menampilkan dalam bentuk numerik
netstat -o , menampilkan timer
netstat -g , menampilkan berdasarkan group membership
netstat -i , menampilkan tabel network interface
netstat -I , menampilkan network interface tertentu misal netstat -Ieth0
netstat -p , menampilkan PID atau program yang sedang melakukan koneksi
netstat -M, menampilkan IP masquerade

Untuk lebih jelasnya anda bisa melihat manual dari program netstat ini dengan cara mengetikan perintah :

man netstat

Perlu diingat linux bersifat case-sensitive artinya huruf besar dan huruf kecil dianggap berbeda. Jadi perintah netstat -n dengan netstat -N itu berbeda.


Netstat (NETwork STATistics) adalah command-line tool yg menyediakan informasi tentang konfigurasi jaringan dan aktifitasnya.
- Untuk menampilkan routing table :
#netstat -rn
-> -r : Kernel routing table
-> -n : Menampilkan alamat numerik.

- Untuk menampilkan statistik interface :
#netstat -i
-> -i : Interface

- Untuk menampilkan informasi tambahan interface :
#netstat -ie
-> -i : Interface
-> -e : Extended information
command ini sama dengan perintah “ifconfig -a”

- Untuk menamplikan soket network :
#netstat -uta
-> -u : UDP
-> -t : TCP
-> -a : ALL
Kemungkinan yg muncul dari status soket adalah sebagai berikut :
ESTABLISHED : Koneksi terjalin
SYN_SENT : Soket berusaha untuk menjalin koneksi
SYN_RECV : Request koneksi sudah diterima dari network
FIN_WAIT1 : Soket close, dan koneksi shutdown
FIN_WAIT2 : Soket close, dan soket menunggu sisi remote shutdown
TIME_WAIT : Soket menunggu setelah close utk menangani paket yg masih di network
CLOSED : Soket tidak digunakan
CLOSE_WAIT : Sisi remote sudah shutdown, menunggu soket close.
LAST_ACK : Sisi remote sudah shutdown, dan soket sudah close, menunggu ack.
LISTEN : Soket sedang menerima koneksi
CLOSING : 2 sisi soket shutwodn
UNKNOWN : Meneketehe

- Untuk menampilkan semua soket yg open (info tambahan) :
#netstat -aute
-> -a : ALL
-> -u : UDP
-> -t : TCP
-> -e : Extended

- Untuk menampilkan semua soket yg listen
# netstat -lt
-> -t : TCP
-> -l : Status soket

- Untuk menampilkan kesimpulan statistik dari tiap protokol
#netstat -s
-> -s : Summary statistik dari tiap protokol

Perintah netstat digunakan untuk mengetahui koneksi apa saja yang keluar masuk dalam sebuah jaringan. Netstat mengambil informasi networking ini dengan cara membaca tabel routing dari kernel yang terdapat dalam memori.

Dalam RFC pada Internet Tool Catalog, defenisi netstat adalah sebuah aplikasi yang memiliki kemampuan untuk mengakses jaringan yang berkaitan dengan struktur data dalam kernel, serta menampilkannya dalam bentuk format ASCII di terminal. Netstat dapat memberikan laporan dari tabel routing, koneksi “listen” dari TCP, UDP, dan protokol manajemen memori.

Keberadaan netstat ini bisa pula dimanfaatkan untuk mengetahui server yang sedang terkoneksi melalui port tertentu saat port tersebut dalam kondisi terbuka. Misalnya anda ingin mengkases port 23 (telnet), tentu saja port tersebut haruslah terbuka dahulu supaya bisa diakses. Untuk melakukan hal ini, keberadaan netstat ini sangat membantu sekali.

Opsi -a
Image

Sebenarnya ada beberapa opsi yang digunakan oleh netstat. Disini akan membahas beberapa poin penting saja untuk aktifitas hacking. Opsi -a berguna untuk menampilkan seluruh port dan koneksi yang terbuka pada sistem lokal.

Dari informasi netstat -a, dapat diperoleh informasi:

Proto (Protocol)

Proto menunjukkan nama protokol yang digunakan apakah TCP (Transmission Control Protocol) atau UDP (User Datagram Protocol), atau IP (Internet Protocol).

Local Address menunjukkan ip address anda sendiri serta port yang terbuka.

Foreign Address menunjukkan ip address dan nomor port yang terhubung dengan komputer anda.

State menyatakan kondisi suatu koneksi.

Berikut beberapa kondisi state:

ESTABLISHED berarti komputer terhubung ke Foreign.

LISTENING berarti koneksi komputer dalam keadaan standby.

TIME_WAIT menunjukkan komputer sedang menunggu suatu koneksi.

CLOSE_WAIT

FIND_WAIT

Disini akan mencoba mengambil suatu baris saja:

TCP 10.10.6.193:50305 203.106.85.24:http
ESTABLISHED

Informasi diatas menunjukkan protokol yang digunakan adalah TCP. IP sistem komputer lokal adalah 10.10.6.193. Port lokal yang terbuka dan digunkan untuk koneksi adalah 50305. IP 203.106.85.24 bentuk numerik dari sistem yang diakses atau terkoneksi dengan remote port http.

Opsi -n
Image

Selanjutnya adalah penggunaan opsi -n yang akan menampilkan ip address saja, sebagai ganti dari nama domain. Atau boleh dibilang bentuk numerik dari opsi -a.

Pada gambar diatas, semuanya ditampilkan dalam bentuk numerik. Selain itu, opsi -n juga tidak menampilkan koneksi melalui protokol UDP.

Tidak ada komentar:

Posting Komentar