ANALISA PERBANDINGAN PERFORMA INTRUSION DETECTION Analisa Perbandingan Performa Intrusion Detection System Snort, Low Interaction Honeypot Dan High Interaction Honeypot.
ANALISA PERBANDINGAN PERFORMA INTRUSION DETECTION
SYSTEM SNORT, LOW INTERACTION HONEYPOT DAN HIGH
INTERACTION HONEYPOT
Naskah Publikasi
Program Studi Teknik Informatika
Fakultas Komunikasi dan Informatika
Diajukan Oleh :
Fuadielah Danok Eka Putra
Fajar Suryawan, S.T., M.Eng. Sc. Ph.D.
Ir. Jatmiko, M.T.
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS KOMUNIKASI DAN INFORMATIKA
UNIVERSITAS MUHAMMADIYAH SURAKARTA
2014
ANALISA PERBANDINGAN PERFORMA INTRUSION DETECTION
SYSTEM SNORT, LOW INTERACTION HONEYPOT DAN HIGH
INTERACTION HONEYPOT
Fuadielah Danok Eka Putra, Fajar Suryawan, Jatmiko
Jurusan Teknik Informatika, Fakultas Komunikasi dan Informatika
Universitas Muhammadiyah Surakarta
Email : fuadielahdanok@gmail.com
Abstrak
Intrusion Detection System (IDS) snort merupakan sebuah aplikasi
berbasis open source yang dapat mendeteksi aktivitas yang mencurigakan dalam
sebuah sistem atau jaringan. Selain itu pemanfaatan honeypot dapat menambah
kualitas dari suatu keamanaan jaringan.
Perancangan sistem dilakukan pada lingkungan Ubuntu yang diletakkan
pada jaringan PT. Citra Media Solusindo, sistem akan diteliti dan dianalisa
dengan membandingkan kinerja sistem saat dilakukan ujicoba serangan,
perbandingan ini dilihat dari fungsi sistem mampukah sistem menangkap
serangan dengan baik, kinerja server (CPU, memori, dan bandwitch) saat terjadi
serangan dengan berbagai intensitas serangan dan bagaimana respon time sistem
terhadap serangan.
Hasil dari penelitian didapatkan bahwa kinerja server pada level serangan
tertinggi menujukan hasil prosesor snort berjalan mencapai 78,6 %, honeyd
mencapai 46,6%, dan honeynet mencapai 82%. Memori yang terpakai pada snort
32,4%, honeyd 30,7% dan honeynet 33% dan bandwitch yang terpakai pada snort
40,65 Mbps, honeyd 27 Mbps dan honeynet 97,5 Mbps, respon time server saat
diserang secara bersamaan menunjukkan angka 0,40344 second/paket.
Kata Kunci : Intrusion Detection System, Keamanan Jaringan Komputer,
Snort IDS, High Interaction Honeypot, Low Interaction Honeypot.
Abstrack
Inrusion Detection System (IDS) snort is a open source software that can
detect suspicious activity in a system or network. In a addition use of honeypot
can give a good performance of a network security.
The design of the system is on Ubuntu and environment placed on network
in PT. Citra Media Solusindo, system will be investigation and analyzed by
1
comparing the performance of the system when a attacking tests, is seen from the
comparison fungsional system properly capture system attack, performance
server (CPU, memory, and bandwitch) occurs when the intensity of attack with
various attack and how the reapon time system against attacks.
The result of the experiment showed that the performance of the server at
highest level of attack attributed of the result snort processor running on 78,6%,
honeyd on 46,6% and honeynet on 82%. Memory used to snort 32,4%, on honeyd
30,7% and on honeynet 33% and is used bandwitch on snort 40,65 Mbps, 27
Mbps on honeyd and honeynet 97,5 Mbps, and for respon time when attacking
show on 0,40433 second/package.
Network
Pendahuluan
security
harus
Jaringan komputer merupakan
mampu mencegah berbagai potensi
sebuah kumpulan beberapa komputer
serangan atau intrusi. Serangan atau
yang terhubung satu sama lainnya
intrusi ini dapat diartikan sebagai
yang dihubungkan melalui media
“the act of thrusting in. or of entering
perantara. [1]
a placeor state whiteout invitation.
komputer
Right or welcome, this unauthorized
memerlukan suatu keamanan untuk
access, or intrusion, is an attempt to
melindungi data-data yang ada dalam
compromise, or otherwise, to other
jaringan tersebut, keamanan jaringan
network device.[3]
atau network security merupakan
Sedangkan
segala aktifitas pengamanan suatu
dijelaskan sebagai berikut : [4]
jaringan atau network. Tujuan dari
(1) Interruption,
Suatu
jaringan
potensi
perangkat
serangan
sistem
keamanan jaringan ini untuk menjaga
menjadi rusak, serangan ditujukan
usability, reliability, integrity, dan
kepada ketersediaan (availability)
safty dari suatu serangan. Selain
dari sistem,
(2) Intercaption,
empat hal di atas, masih ada dua
pihak
tidak
aspek lain yang juga sering dibahas
berwenang berhasil mengakses
dalam kaitannya dengan electronic
aset atau informasi,
commerce, yaitu access control dan
(3) Modification,
non-repudiation.[2]
pihak
tidak
berwenang berhasis mengubah
aset atau informasi,
2
(4) Fabrication,
pihak
berwenang
menjelaskan
menyisipkan objek palsu.
Salah
satu
bahwa
sebaiknya
honeypot
pengunaan
pemanfaatan
diimplementasikan pada tempat yang
keamanan jaringan komputer dapat
rawan terhadap aktifitars penyadapan.
menerapkan sisitem deteksi penyusup
Selain itu dapat digunakan untuk
atau intrusion detection system.
memonitor jaringan dan menjebak
Intrusion
detection
system
penyusup yang akan masuk ke dalam
sebuah jaringan.[6]
adalah “Detecting unauthorized use
of attack upon system or network. An
Dalam
penelitian
yang
IDS designed and used to detect such
berjudul
attack or unauthorized use of system,
Impelementasi IDS berbasis Snort,
network, andrelated then in many to
Honeypot Honeyd dan Honeypot
[5]
deflect or deter them if possible”
Honeynet di PT. X di Surabaya”
Perancanga suatu keamanan
jaringan
komputer
tidak
menjelaskan
bahwaimplementasian
intrusion detection system snort dan
harus
honeypot
memakan biaya yang besar, dengan
snort
Performansi
“Analisa
yang
dijalankan
pada
dan
lingkungan windows secara virtual
honeypot dapat dijadikan solusi untuk
lebih memakan biaya yang rendah
menghemat biaya, karen sisten snort
karena dapat menghemat penggunaan
menggunakan
dan
honeypot
IDS
merupakan
hardware. Snort yang dikonfigurasi
sistem
berbasis open source.
digunakan
Tinjauan Pustaka
memonitor
Dalam
berjudul
Sebagai
penelitian
“Implementasi
Alat
Bantu
sebagai
sensor
jaringan,
untuk
sedangkan
honeypot yang diinstall secara virtual
yang
dapat dikonfigurasi dengan beberapa
Honeypot
host yang berbeda-beda.[7]
Deteksi
Landasan Teori
Keamanan Jaringan Pada Kantor
Keamanan jaringan komputer
didefinisikan oleh beberapa poin
Pengawasan dan Pelayanan Bea dan
sebagai berikut:[8]
Cukai Tipe A2 Palembang”.
(1) Confidentiality
3
(cables, wirelless) and match them to
Mensyaratkan pengolahan
informasi
hanya bisa
a database of signature. Depending
diakses
upon whether a packet is matched
pihak berwenang,
(2) Integrity
with an intruder signature, an alert is
Mensyaratkan pengolahan
generated or the packet is logged to a
informasi tersedia untuk pihak
file or database. One major use of
berwenang,
snort is a NIDS”[9]
(3) Availabality
Snort dan Snort Rules
Mensyaratkan pengolahan
“Snort® is an upon source
informasi hanya dapat diubah
network intrusion prevention and
oleh pihak berwenang,
detection system (IDS/IPS) developed
by Sourcefire. Combining the benefits
(4) Authentication
of signature, protocol, and anomaly-
Mensyaratkan pengolahan
dapat
based inspection, snort is the most
diidentifikasikan dengan benar
widely deployed IDS/IPS technology
dan ada jaminan identitas yang
wordwide”[10]
informasi
hanya
diperoleh tidak palsu,
(5) Access Control
Aspek ini berhubungan
dengan
cara
pengatur
akses
kepada informasi,
(6) Nonrepudiation
Mensyaratkan bahwa baik
pengirim
maupun
penerima
informasi tidak dapat menyangkal
Gambar 1 Topologi jaringan snort [11]
pengiriman dan penerimaan pesan.
Dalam penggunaannya snort
IDS (Intrusion Detection System)
menggunakan
rules-rules
untuk
“IDS are intrusion detection
mengklasifisikasikan aktifitas pada
system that capture data packets
jaringan. Rules snort terdiri atas dua
traveling on the network media
bagian utama yaitu:
4
1) Rules header
are installed in order to emulate
operating system and service.[14]
Merupakan bagian rules di
mana aksi rules diidentifikasikan.
Dari peryataan di atas low
2) Rules option
interaction
Merupakan bagian rules di
mana
pesan
peringatan
layanan sistem operasi seperti
network stack, walaupun terbatas
Honeypot
sistem
Honeypot
is
security
attacked,
ini
bermanffaat
untuk
memperoleh informasi mengenai
resource whose value lies in being
probed,
hanya
mensimulasikan sejumlah bagian
diidentifikasikan.
“A
honeypot
probing jaringan.
or
2) High Interaction Honeypot
compromised.”[12]
Perancangan
Honeynet
mensimulasikan semua aspek dari
sistem operasi, hal ini akan
membutuhkan
waktu
dan
konfigurasi yang lama, beberapa
teknologi yang berbeda seperti
firewall dan intrusion detection
system harus disesuaikan dengan
seksama.
Gambar 2 Contoh konfigurasi
Web Interface
honeypot terintegrasi
Alert snort yang ditampilkan
Honeypot diklasifikasikan menjadi 2
yaitu:
pada terminal hanya berupa script
1) Low Interaction Honeypot
pada
Menurut
peneliti
command
mempermudah
yang
prompt,
dalam
untuk
pemahaman
tergabng dalam WASET (Word
alert tersebut maka dirancan sebuah
Academy
aplikasi alreting berbasis web. Web
Science,
Engenering
and Tecnology), “low interaction
interface
honeypot is no operating system
menggunakan PHP dan HTML.
an attacker can operate on. Tools
5
akan
dirancang
Data di web interface ini
(3) Penyerangan akan dilakukan dari
didasarkan pada kode dari konsol
database
analissi
intrusion
beberapa
yang
komputer
menggunakan
IP
beberapa
scanning,
ditangkap. Aplikasi ini menyediakan
seperti
web front-end untuk query dan
sccaning, dan flooding,
menganalisa alert yang berasal dari
dengan
tools
port
(4) Setelah itu dilihat mampukah IDS
sistem IDS.
snort memberikan peringatan dan
Sekilas Tentang PHP dan MYSQL
honeypot sebagai server bayangan
PHP adalah bahasa server-
mampu bekerja dengan baik,
side scripting yang menyatu dengan
(5) Sebagai tambahan alert yang
hypertext markup language (HTML)
ditangkap tadi akan ditampilkan
untuk membuat halaman web yang
dalam halaman web interface
dinamis. Pada penelitian ini PHP
yang telah dirancang sebelumnya.
digunakan
untuk
membangun
Skenario Penyerangan
Graphic User Interface (GUI).
MySQL
adalah
Skenario pengujian serangan
database
akan digambarkan dan dijelaskan
multiuser yang menggunakan bahasa
dalam skenario dibawah ini
structured query language (SQL).
MySQL
dalam
client-server
melibatkan server daemond MySQL
disisi server dan berbagai macam
program serta library yang berjalan di
sisi client.
Requirement Analysis
(1) Jaringan di-setup PT. Citra Media
Solusindo,
(2) Software pendeteksian IDS snort
dan honeypot diistall di komputer
server
dengan
IP
address
Gambar 3 Diagram alir sistem
192.168.19.128,
6
Skenario pengujian didasarkan
Dari komputer dengan IP
terhadap dua hai, yaitu mampukah
192.168.19.129/24
sistem
memberi
dilakukan exploitasi server, hal
peringatan saat terjadi serangan dan
ini bertujuan melihat informasi
waktu yang dibutuhkan sistem untuk
yang
merespon serangan, berikut skenario
membuat server menjadi hang
yang dilakukan :
atau
merespon
dan
(1) IP Scanning
rusak,
dilakukan
Langkah
pengujian
awal
akan
scanning
ada
range
akan
server
dan
TCP
dan
juga
akan
dan
UDP
flooding.
dari
Setup Jaringan dan Sistem
dilakukan
dari
pada
juga
IP
Sistem diinstal pada server
192.168.19.10-150, scanning ini
dengan sistem operasi Ubuntu 12.04 di
digunakan untuk mencari IP yang
jaringan PT. Citra Media Solusindo
aktif,
dengan IP address 192.168.19.128/24.
(2) DoS attack
Dan untuk honeypot dikonfigurasi
Kemudian dengan intruder
dengan beberapa server bayangan
yang sama akan dilakukan DoS
sebagai berikut :
attack terhadap server dengan IP
Sistem operasi Windows XP SP 1
address 192.168.19.128/24 dan
IP address 192.168.19.10
server
bayangan
honeypot
Port terbuka 80, 22, 113, dan 1 TCP
reset
192.168.19.10/24,
(3) Port scanning
Router Cisco 7206 IOS 11.1(24)
IP address 192.168.19.124
Dari komputer lain dengan
IP
address
192.168.19.129
dilakukan port scanning terhadap
serverdengan
192.168.19.128
IP
Allopen 1
address
dan
NetBSD 1.5.2 running on commodore
server
honeypot 192.168.19.10/24,
Amiga
(4) Exploit attack
IP address 192.168.19.20/24
Port terbuka 80,133 dan 1 TCP reset
7
Template
Firewall-1.4.0 SP-5
port terbuka 80 dan 22
port block 23
Selain
itu
terdapat
dua
intruder, yaitu computer X dengan IP
address
192.168.19.129
Gambar 4 Install dan konfigurasi
dan
snort sukses
computer Y dengan IP address
192.168.19.135.
Installasi
Konfigurasi Snort dan Snort Rules
Honeypot
dan
Konfigurasi
Penginstallan honeyd dapat
Snort bukanlah program kecil,
menggunakan perintah,
fitur manajemen dan fitur lainnya
senantiasa berubah (dibuang atau
# apt-get install honeyd-common
Honeyd
ditambah) pada setiaprilisnya. [15]
perlu
suatu
berhasil
konfigurasi dalam membuat host-host
akan
virtual, semuanya diletakan dalam
menampilkan pemberitahuaan seperti
subdirectory script yang terletak pada
di bawah ini.
folder /etc/honeypot/honeyd.conf.
snort
Jika
dikonfigurasi
maka
Sedangkan untuk arsitektur
honeypot honeyd akan dijelaskan
Gambar 3 Installasi dan konfigurasi
pada gambar berikut ini,
snort sukses
Snort rules berfungsi sebagai
pengoptimal dan mengkondinisikan
alert
rules
serangan yang terjadi, snort
diletakkan
di
folder
/etc/snort/rules.
Gambar 5 Arsitektur honeyd [16]
8
Perancangan Database
Gambar 4 menjelaskan ketika
daemon honeypot honeyd menerima
Database
MySQL
yang
paket, dispatcher akan merespon
digunakan untuk menyimpan semua
Daemon
serangan yang terdeteksi snort dan
paket
yang
diminta.
honeypot honeyd hanya mengetahui
honeypot
tiga protocol yaitu ICMP, TCP dan
mengunakan
UDP.
relationship diagram seperti berikut
Dispatcer
query
database
akan
disimulasikan
skema
entity
ini.
akan menampilkan informasi honeyd
yang
telah
dikonfigurasi
sesuai
dengan alamat IP kepada intruder.
Kemudian
paket
akan
diproses oleh personality engine, hal
ini bertujuan menyesuaikan isi paket
sehingga tampaknya berasal dari
server yang sesungguhnya.
Perancangan Honeynet
honeynet
Arsitektur
membuat
suatu
terkontrol,
dan
dapat
mengamati
aktifitas
yang
terjadi
semua
dalamnya,
akses
ini
berikut
jaringan
di
Gambar 7 Entity relationship
perancangan
diagram
honeynet :
Membuat Database
Langkah
awal
dalam
pembuatan database snort masuk ke
direktori MySQL dengan perintah
mysql –u root –h localhost –p,
kemudian membuat user dan table
dalam database snort dalam MySQL,
Gambar 6 Contoh perancangan
seperti gambar di bawah ini,
honeynet[17]
9
ditangkap
dan
disimpan
dalam
database diperlukan sebuah table
untuk
menampilkan
dalan
web
interface yang dirancang, berikut
table yang perlu dibuat,
Gambar 8 Membuat user database
Gambar 11 Database tabel snort
Gambar 9 Membuat database snort
database
dibuat
Perancagan
penghubung
untuk
Interface
Setelah
diperlukan
Antar
Muka/Web
dengan
Untuk mempermudah dalam
MySQL, konfigurasinya terletak di
pembacaan pola serangan yang terjadi
folder /etc/snort/snort.conf
maka dirancang sebuah
snort
mengkoneksikan
program
berbasis web. Rancangan tampilan
utama
dari
web
interface
ini
ditunjukkan pada gambar berikut,
Gambar 12 Perancangan halaman
Gambar 10 Konfigurasi database
utama web interface
snort
Pada gambar 10 diperlihatkan
bagian gambar dengan nomor 1 adalah
identitas dari web interface, nomor 2
Kemudian
menampilkan
alert
untuk
yang
telah
10
adalah judul dari web interface, nomor
3 adalah informasi tentang basisdata
snort, nomor 4 merupakan profil
serangan berdasarkan waktu dan
nomor 5 merupakan footer dari web
interface.
Pengujian Fungsional
Hasil yang telah dicapai dari
penelitian ini dapat disimpilkan tiap
penambahan jumlah client maka
semakin bertambah pula jumlah alert
yang didapatkan. Hal ini dikarenakan
sistem yang saling berhubungan, dan
masing-masing
sistem
tersebut
memberikan alert terhadap serangan,
lebih jelasnya dapat dilihat pada
gambar berikut,
Gambar 13 Perancangan tampilan
profil serangan
Pada gambar 13 diperlihatkan
nomor 1 adalah waktu terjadinya
serangan, nomor 2 adalah jumlah
serangan dan nomor 3 merupakan
grafik total serangan yang ditangkap.
Profil
serangan
yang
ditunjukkan pada pada gambar 13
akan dijabarkan lebih rinci pada
halaman berikutnya saat waktu
serangan diklik, berikut rancangan
tabel informasi serangan,
Gambar 14 Perancangan tampilan
informasi serangan
Pada gambar 14 diperlihatkan
nomor 1 merupakan ID alert, nomor
Gambar 15 Serangan yang ditangkap
2 adalah nama serangan, nomor 3
web interface
adalah waktu terjadinya serangan,
Pada gambar 15 terjadi
serangan pada tanggal 22-12-2013 dan
23-12-2013, pada tanggal 22-12-2013
percobaan serangan menggunakan 1
intruder selama kurang lebih 1 jam,
serangan yang ditangkap sebanyak
812 serangan, dan pada tanggal 23
menggunakan 2 intruder ditangkap
1798 serangan dalam kurun waktu
kurang lebih 1 jam. Lebih jelasnya
dapat dilihat pada tabel 1.
nomor 4 adalah IP sumber, nomor 5
adalah IP sasaran, dan nomor 6
adalah layer yangdiserang.
Hasil dan Pembahasan
Metode pengujian didasarkan
pada
dua
hal
yaitu
pengujian
fungsional dan respon time saat
menangapi serangan.
11
Tabel 1 Tabel jumlah alert terhadap
client
Grafik :
Gambar 18 Grafik kinerja server
mesindengan serangan intensitas
tinggi
Gambar
17
dan
18
menunjukkan sistem snort lebih besar
dalam penggunaan CPU, memori dan
bandwitch, yaitu kinerja CPU yang
mencapai nilai tertinggi 78,6 %,
memori terpakai 32,4 % dan bandwitch
40,65 Mbps, dibandingkan dengan
honeyd yang hanya memakai memakai
memori 46,6 % dan kinerja CPU 30,7
% dan bandwitch 27 Mbps. Hal ini
dikarenakan snort mempunyai rules
yang bekerja untuk mendeteksi
serangan, dan rules itu harus selalu diupdate, agar signature baru dapat
diperoleh untuk menangkap jenis
serangan baru.
Respon Time
Gambar 16 Grafik jumlah alert
berdasar jumlah client
Selain itu perbandingan juga
dilihat seberapa besar CPU bekerja,
memori yang dipakai sistem, dan
bandwitch yang terpakai saat berjalan
dan menangkap serangan.
Tabel 2 Tabel kinerja mesin server
Grafik :
Salah
satu
parameter
kehandalan dari suatu sistem harus
dapat
melayani
beberapa
client
sekaligus. Serangan ini menggunakan 2
intruder dan akan dilakukan secara
Gambar 17 Grafik kinerja mesin
bersamaan. Berikut tabel dan grafik
server dengan serangan intensitas
yang menujukkan pengujian respon
rendah
time :
12
Tabel 3 Tabel respon time berdasar
membanjiri request data pada
jaringan, dan apabila dilakukan
penyerangan secara bersamaan oleh 2
intruder, maka jaringan semakin
penuh
sehingga
menyebabkan
kemampuan
sistem
menjadi
terganggu.
Kesimpulan
jumlah client
Grafik:
High interaction honeypot
honeynet
lebih
besar
dalam
penggunaan
sumber
daya
dibandingkan
dengan
intrusion
detection system snort maupun low
interaction honeypot honeyd saat
dijalankan sebagai sistem tunggal,
dan semakin banyak client client
yang mengakses suatu jaringan maka
semakin lambat respontime sistem.
Sistem yang dibangun pada
lingkungan
Ubuntu
dijalankan
melalui terminal, sehingga diperlukan
pihak
ketiga,
sebagai
solusi
webinterface dirancang sebagai alat
untuk mempelajari serangan yang
ditangkap
Gambar 19 Grafik respon time
berdasar jumlah client
Dari hasil pengujian dapat
dilihat bahwa dengan bertambahnya
jumlah client akan berpengaruh
terhadap performa sistem, ini
ditunjukkan dengan semakin lamanya
respon time yang dihasilkan sistem,
semua disebabkan karena serangan
paket flooding yang dikirimkan
DAFTAR PUSTAKA
[1]Sofana, Iwan, 2008, “Membangun Jaringan Komputer”, Bandung: Informatika.
[2]Raharjo, 2002, “Keamanan Sistem Informasi Berbasis Internet” Bandung: PT.
Insan Indonesia.
[3]Stallings, William, 2005, “Intrusion Cryptography and Network Security.pdf
version”, diunduh dari www.ebookily.org jam 19.00 wib, 25 juli2013.
[4]Sukmaji, Anjik, S.Kom dan Rianto, S.Kom, 2008. “Jaringan Komputer”,
Yogyakarta: Andi.
[5]Andrew R Baker, Joe Esler dan Jay Beale, 2007, “Snort IDS and IPS Toolkid”,
Syngress Publishing.
13
[6]Zulkarnaen, Disky, 2010, “Implementasi Honeypot Sebagai Alat Bantu Deteksi
Keamanan Jaringan Pada Kantor Pengawasan dan Pelayanan Bea dan Cukai
Tipe A”, Palembang: STIMIK PalCom Tech.
[7]Prasetyo, Milano Hardi, 2011, “Analisa Performansi Implementasi IDS
Berbasis Snort, Honeypot honeyd, Honeypot Honeynet di PT. X di Surabaya”,
Surabaya: Institut Teknologi Surabaya.
[8]Sukmaji, Anjik S. Kom dan Rianto S.Kom, 2008, “Jaringan Komputer”,
Yogyakarta: Andi Offset.
[9]Ur Rehman, Raffiq, 2003, “Intrusion Detection System With Snort”, Prentice
Hall PTR.
[10]Snort, “What Is Snort” dikutip dari www.snort.org, diakses pada tanggal 26
juli 2013, jam 20.29 wib.
[11]Gullet, David, “Snort Install guide”, Symmetrix Tecnologies, diunduh dari
www.symmetrixtech.com, jam 14.00 wib, tanggal 6 Agustus 2013.
[12]Spitzer, Lance dan Addison Wesely, 2002, “Jurnal Honeypots, Tracking
Hacker pdf version”, diunduh dari www.waet.org/journals/waset/v24/v2444.pdf, jam 14.00 wib, tanggal 6 Agustus 2013.
[13]Firar, Udirartatmo, 2005, “Trik Menjebak Hacker Dengan Honeypot”,
Yogyakarta: Andi, Hal 60.
[14]Jurnal Internasional, “Hybrid Honeypot System For Network Security.pdf
version”, diunduh dari www.waset.org/journals/waset/v24/v24-44.pdf, jsm
07.30 wib, tanggal 6 Agustus 2013.
[15]Rahmat, Rafiudin, 2010, “Menganyang Hacker Dengan Snort”, Yogyakarta:
Andi, Hal 37.
[16]Firar, Utdirartatmo. 2005, “Trik Menjebak Hacker Dengan Honeypot”,
Yogyakarta, Andi, Hal 101.
[17]David, Annual Workshop, Wasten, 2011, “Over View of Recent Honeypot
Research and Development”, diunduh dari http://www.ukhoneynet.org/wastonhoneynetproject.pdf, jam 08.32 wib, tanggal 7 Agustus 2013.
14
SYSTEM SNORT, LOW INTERACTION HONEYPOT DAN HIGH
INTERACTION HONEYPOT
Naskah Publikasi
Program Studi Teknik Informatika
Fakultas Komunikasi dan Informatika
Diajukan Oleh :
Fuadielah Danok Eka Putra
Fajar Suryawan, S.T., M.Eng. Sc. Ph.D.
Ir. Jatmiko, M.T.
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS KOMUNIKASI DAN INFORMATIKA
UNIVERSITAS MUHAMMADIYAH SURAKARTA
2014
ANALISA PERBANDINGAN PERFORMA INTRUSION DETECTION
SYSTEM SNORT, LOW INTERACTION HONEYPOT DAN HIGH
INTERACTION HONEYPOT
Fuadielah Danok Eka Putra, Fajar Suryawan, Jatmiko
Jurusan Teknik Informatika, Fakultas Komunikasi dan Informatika
Universitas Muhammadiyah Surakarta
Email : fuadielahdanok@gmail.com
Abstrak
Intrusion Detection System (IDS) snort merupakan sebuah aplikasi
berbasis open source yang dapat mendeteksi aktivitas yang mencurigakan dalam
sebuah sistem atau jaringan. Selain itu pemanfaatan honeypot dapat menambah
kualitas dari suatu keamanaan jaringan.
Perancangan sistem dilakukan pada lingkungan Ubuntu yang diletakkan
pada jaringan PT. Citra Media Solusindo, sistem akan diteliti dan dianalisa
dengan membandingkan kinerja sistem saat dilakukan ujicoba serangan,
perbandingan ini dilihat dari fungsi sistem mampukah sistem menangkap
serangan dengan baik, kinerja server (CPU, memori, dan bandwitch) saat terjadi
serangan dengan berbagai intensitas serangan dan bagaimana respon time sistem
terhadap serangan.
Hasil dari penelitian didapatkan bahwa kinerja server pada level serangan
tertinggi menujukan hasil prosesor snort berjalan mencapai 78,6 %, honeyd
mencapai 46,6%, dan honeynet mencapai 82%. Memori yang terpakai pada snort
32,4%, honeyd 30,7% dan honeynet 33% dan bandwitch yang terpakai pada snort
40,65 Mbps, honeyd 27 Mbps dan honeynet 97,5 Mbps, respon time server saat
diserang secara bersamaan menunjukkan angka 0,40344 second/paket.
Kata Kunci : Intrusion Detection System, Keamanan Jaringan Komputer,
Snort IDS, High Interaction Honeypot, Low Interaction Honeypot.
Abstrack
Inrusion Detection System (IDS) snort is a open source software that can
detect suspicious activity in a system or network. In a addition use of honeypot
can give a good performance of a network security.
The design of the system is on Ubuntu and environment placed on network
in PT. Citra Media Solusindo, system will be investigation and analyzed by
1
comparing the performance of the system when a attacking tests, is seen from the
comparison fungsional system properly capture system attack, performance
server (CPU, memory, and bandwitch) occurs when the intensity of attack with
various attack and how the reapon time system against attacks.
The result of the experiment showed that the performance of the server at
highest level of attack attributed of the result snort processor running on 78,6%,
honeyd on 46,6% and honeynet on 82%. Memory used to snort 32,4%, on honeyd
30,7% and on honeynet 33% and is used bandwitch on snort 40,65 Mbps, 27
Mbps on honeyd and honeynet 97,5 Mbps, and for respon time when attacking
show on 0,40433 second/package.
Network
Pendahuluan
security
harus
Jaringan komputer merupakan
mampu mencegah berbagai potensi
sebuah kumpulan beberapa komputer
serangan atau intrusi. Serangan atau
yang terhubung satu sama lainnya
intrusi ini dapat diartikan sebagai
yang dihubungkan melalui media
“the act of thrusting in. or of entering
perantara. [1]
a placeor state whiteout invitation.
komputer
Right or welcome, this unauthorized
memerlukan suatu keamanan untuk
access, or intrusion, is an attempt to
melindungi data-data yang ada dalam
compromise, or otherwise, to other
jaringan tersebut, keamanan jaringan
network device.[3]
atau network security merupakan
Sedangkan
segala aktifitas pengamanan suatu
dijelaskan sebagai berikut : [4]
jaringan atau network. Tujuan dari
(1) Interruption,
Suatu
jaringan
potensi
perangkat
serangan
sistem
keamanan jaringan ini untuk menjaga
menjadi rusak, serangan ditujukan
usability, reliability, integrity, dan
kepada ketersediaan (availability)
safty dari suatu serangan. Selain
dari sistem,
(2) Intercaption,
empat hal di atas, masih ada dua
pihak
tidak
aspek lain yang juga sering dibahas
berwenang berhasil mengakses
dalam kaitannya dengan electronic
aset atau informasi,
commerce, yaitu access control dan
(3) Modification,
non-repudiation.[2]
pihak
tidak
berwenang berhasis mengubah
aset atau informasi,
2
(4) Fabrication,
pihak
berwenang
menjelaskan
menyisipkan objek palsu.
Salah
satu
bahwa
sebaiknya
honeypot
pengunaan
pemanfaatan
diimplementasikan pada tempat yang
keamanan jaringan komputer dapat
rawan terhadap aktifitars penyadapan.
menerapkan sisitem deteksi penyusup
Selain itu dapat digunakan untuk
atau intrusion detection system.
memonitor jaringan dan menjebak
Intrusion
detection
system
penyusup yang akan masuk ke dalam
sebuah jaringan.[6]
adalah “Detecting unauthorized use
of attack upon system or network. An
Dalam
penelitian
yang
IDS designed and used to detect such
berjudul
attack or unauthorized use of system,
Impelementasi IDS berbasis Snort,
network, andrelated then in many to
Honeypot Honeyd dan Honeypot
[5]
deflect or deter them if possible”
Honeynet di PT. X di Surabaya”
Perancanga suatu keamanan
jaringan
komputer
tidak
menjelaskan
bahwaimplementasian
intrusion detection system snort dan
harus
honeypot
memakan biaya yang besar, dengan
snort
Performansi
“Analisa
yang
dijalankan
pada
dan
lingkungan windows secara virtual
honeypot dapat dijadikan solusi untuk
lebih memakan biaya yang rendah
menghemat biaya, karen sisten snort
karena dapat menghemat penggunaan
menggunakan
dan
honeypot
IDS
merupakan
hardware. Snort yang dikonfigurasi
sistem
berbasis open source.
digunakan
Tinjauan Pustaka
memonitor
Dalam
berjudul
Sebagai
penelitian
“Implementasi
Alat
Bantu
sebagai
sensor
jaringan,
untuk
sedangkan
honeypot yang diinstall secara virtual
yang
dapat dikonfigurasi dengan beberapa
Honeypot
host yang berbeda-beda.[7]
Deteksi
Landasan Teori
Keamanan Jaringan Pada Kantor
Keamanan jaringan komputer
didefinisikan oleh beberapa poin
Pengawasan dan Pelayanan Bea dan
sebagai berikut:[8]
Cukai Tipe A2 Palembang”.
(1) Confidentiality
3
(cables, wirelless) and match them to
Mensyaratkan pengolahan
informasi
hanya bisa
a database of signature. Depending
diakses
upon whether a packet is matched
pihak berwenang,
(2) Integrity
with an intruder signature, an alert is
Mensyaratkan pengolahan
generated or the packet is logged to a
informasi tersedia untuk pihak
file or database. One major use of
berwenang,
snort is a NIDS”[9]
(3) Availabality
Snort dan Snort Rules
Mensyaratkan pengolahan
“Snort® is an upon source
informasi hanya dapat diubah
network intrusion prevention and
oleh pihak berwenang,
detection system (IDS/IPS) developed
by Sourcefire. Combining the benefits
(4) Authentication
of signature, protocol, and anomaly-
Mensyaratkan pengolahan
dapat
based inspection, snort is the most
diidentifikasikan dengan benar
widely deployed IDS/IPS technology
dan ada jaminan identitas yang
wordwide”[10]
informasi
hanya
diperoleh tidak palsu,
(5) Access Control
Aspek ini berhubungan
dengan
cara
pengatur
akses
kepada informasi,
(6) Nonrepudiation
Mensyaratkan bahwa baik
pengirim
maupun
penerima
informasi tidak dapat menyangkal
Gambar 1 Topologi jaringan snort [11]
pengiriman dan penerimaan pesan.
Dalam penggunaannya snort
IDS (Intrusion Detection System)
menggunakan
rules-rules
untuk
“IDS are intrusion detection
mengklasifisikasikan aktifitas pada
system that capture data packets
jaringan. Rules snort terdiri atas dua
traveling on the network media
bagian utama yaitu:
4
1) Rules header
are installed in order to emulate
operating system and service.[14]
Merupakan bagian rules di
mana aksi rules diidentifikasikan.
Dari peryataan di atas low
2) Rules option
interaction
Merupakan bagian rules di
mana
pesan
peringatan
layanan sistem operasi seperti
network stack, walaupun terbatas
Honeypot
sistem
Honeypot
is
security
attacked,
ini
bermanffaat
untuk
memperoleh informasi mengenai
resource whose value lies in being
probed,
hanya
mensimulasikan sejumlah bagian
diidentifikasikan.
“A
honeypot
probing jaringan.
or
2) High Interaction Honeypot
compromised.”[12]
Perancangan
Honeynet
mensimulasikan semua aspek dari
sistem operasi, hal ini akan
membutuhkan
waktu
dan
konfigurasi yang lama, beberapa
teknologi yang berbeda seperti
firewall dan intrusion detection
system harus disesuaikan dengan
seksama.
Gambar 2 Contoh konfigurasi
Web Interface
honeypot terintegrasi
Alert snort yang ditampilkan
Honeypot diklasifikasikan menjadi 2
yaitu:
pada terminal hanya berupa script
1) Low Interaction Honeypot
pada
Menurut
peneliti
command
mempermudah
yang
prompt,
dalam
untuk
pemahaman
tergabng dalam WASET (Word
alert tersebut maka dirancan sebuah
Academy
aplikasi alreting berbasis web. Web
Science,
Engenering
and Tecnology), “low interaction
interface
honeypot is no operating system
menggunakan PHP dan HTML.
an attacker can operate on. Tools
5
akan
dirancang
Data di web interface ini
(3) Penyerangan akan dilakukan dari
didasarkan pada kode dari konsol
database
analissi
intrusion
beberapa
yang
komputer
menggunakan
IP
beberapa
scanning,
ditangkap. Aplikasi ini menyediakan
seperti
web front-end untuk query dan
sccaning, dan flooding,
menganalisa alert yang berasal dari
dengan
tools
port
(4) Setelah itu dilihat mampukah IDS
sistem IDS.
snort memberikan peringatan dan
Sekilas Tentang PHP dan MYSQL
honeypot sebagai server bayangan
PHP adalah bahasa server-
mampu bekerja dengan baik,
side scripting yang menyatu dengan
(5) Sebagai tambahan alert yang
hypertext markup language (HTML)
ditangkap tadi akan ditampilkan
untuk membuat halaman web yang
dalam halaman web interface
dinamis. Pada penelitian ini PHP
yang telah dirancang sebelumnya.
digunakan
untuk
membangun
Skenario Penyerangan
Graphic User Interface (GUI).
MySQL
adalah
Skenario pengujian serangan
database
akan digambarkan dan dijelaskan
multiuser yang menggunakan bahasa
dalam skenario dibawah ini
structured query language (SQL).
MySQL
dalam
client-server
melibatkan server daemond MySQL
disisi server dan berbagai macam
program serta library yang berjalan di
sisi client.
Requirement Analysis
(1) Jaringan di-setup PT. Citra Media
Solusindo,
(2) Software pendeteksian IDS snort
dan honeypot diistall di komputer
server
dengan
IP
address
Gambar 3 Diagram alir sistem
192.168.19.128,
6
Skenario pengujian didasarkan
Dari komputer dengan IP
terhadap dua hai, yaitu mampukah
192.168.19.129/24
sistem
memberi
dilakukan exploitasi server, hal
peringatan saat terjadi serangan dan
ini bertujuan melihat informasi
waktu yang dibutuhkan sistem untuk
yang
merespon serangan, berikut skenario
membuat server menjadi hang
yang dilakukan :
atau
merespon
dan
(1) IP Scanning
rusak,
dilakukan
Langkah
pengujian
awal
akan
scanning
ada
range
akan
server
dan
TCP
dan
juga
akan
dan
UDP
flooding.
dari
Setup Jaringan dan Sistem
dilakukan
dari
pada
juga
IP
Sistem diinstal pada server
192.168.19.10-150, scanning ini
dengan sistem operasi Ubuntu 12.04 di
digunakan untuk mencari IP yang
jaringan PT. Citra Media Solusindo
aktif,
dengan IP address 192.168.19.128/24.
(2) DoS attack
Dan untuk honeypot dikonfigurasi
Kemudian dengan intruder
dengan beberapa server bayangan
yang sama akan dilakukan DoS
sebagai berikut :
attack terhadap server dengan IP
Sistem operasi Windows XP SP 1
address 192.168.19.128/24 dan
IP address 192.168.19.10
server
bayangan
honeypot
Port terbuka 80, 22, 113, dan 1 TCP
reset
192.168.19.10/24,
(3) Port scanning
Router Cisco 7206 IOS 11.1(24)
IP address 192.168.19.124
Dari komputer lain dengan
IP
address
192.168.19.129
dilakukan port scanning terhadap
serverdengan
192.168.19.128
IP
Allopen 1
address
dan
NetBSD 1.5.2 running on commodore
server
honeypot 192.168.19.10/24,
Amiga
(4) Exploit attack
IP address 192.168.19.20/24
Port terbuka 80,133 dan 1 TCP reset
7
Template
Firewall-1.4.0 SP-5
port terbuka 80 dan 22
port block 23
Selain
itu
terdapat
dua
intruder, yaitu computer X dengan IP
address
192.168.19.129
Gambar 4 Install dan konfigurasi
dan
snort sukses
computer Y dengan IP address
192.168.19.135.
Installasi
Konfigurasi Snort dan Snort Rules
Honeypot
dan
Konfigurasi
Penginstallan honeyd dapat
Snort bukanlah program kecil,
menggunakan perintah,
fitur manajemen dan fitur lainnya
senantiasa berubah (dibuang atau
# apt-get install honeyd-common
Honeyd
ditambah) pada setiaprilisnya. [15]
perlu
suatu
berhasil
konfigurasi dalam membuat host-host
akan
virtual, semuanya diletakan dalam
menampilkan pemberitahuaan seperti
subdirectory script yang terletak pada
di bawah ini.
folder /etc/honeypot/honeyd.conf.
snort
Jika
dikonfigurasi
maka
Sedangkan untuk arsitektur
honeypot honeyd akan dijelaskan
Gambar 3 Installasi dan konfigurasi
pada gambar berikut ini,
snort sukses
Snort rules berfungsi sebagai
pengoptimal dan mengkondinisikan
alert
rules
serangan yang terjadi, snort
diletakkan
di
folder
/etc/snort/rules.
Gambar 5 Arsitektur honeyd [16]
8
Perancangan Database
Gambar 4 menjelaskan ketika
daemon honeypot honeyd menerima
Database
MySQL
yang
paket, dispatcher akan merespon
digunakan untuk menyimpan semua
Daemon
serangan yang terdeteksi snort dan
paket
yang
diminta.
honeypot honeyd hanya mengetahui
honeypot
tiga protocol yaitu ICMP, TCP dan
mengunakan
UDP.
relationship diagram seperti berikut
Dispatcer
query
database
akan
disimulasikan
skema
entity
ini.
akan menampilkan informasi honeyd
yang
telah
dikonfigurasi
sesuai
dengan alamat IP kepada intruder.
Kemudian
paket
akan
diproses oleh personality engine, hal
ini bertujuan menyesuaikan isi paket
sehingga tampaknya berasal dari
server yang sesungguhnya.
Perancangan Honeynet
honeynet
Arsitektur
membuat
suatu
terkontrol,
dan
dapat
mengamati
aktifitas
yang
terjadi
semua
dalamnya,
akses
ini
berikut
jaringan
di
Gambar 7 Entity relationship
perancangan
diagram
honeynet :
Membuat Database
Langkah
awal
dalam
pembuatan database snort masuk ke
direktori MySQL dengan perintah
mysql –u root –h localhost –p,
kemudian membuat user dan table
dalam database snort dalam MySQL,
Gambar 6 Contoh perancangan
seperti gambar di bawah ini,
honeynet[17]
9
ditangkap
dan
disimpan
dalam
database diperlukan sebuah table
untuk
menampilkan
dalan
web
interface yang dirancang, berikut
table yang perlu dibuat,
Gambar 8 Membuat user database
Gambar 11 Database tabel snort
Gambar 9 Membuat database snort
database
dibuat
Perancagan
penghubung
untuk
Interface
Setelah
diperlukan
Antar
Muka/Web
dengan
Untuk mempermudah dalam
MySQL, konfigurasinya terletak di
pembacaan pola serangan yang terjadi
folder /etc/snort/snort.conf
maka dirancang sebuah
snort
mengkoneksikan
program
berbasis web. Rancangan tampilan
utama
dari
web
interface
ini
ditunjukkan pada gambar berikut,
Gambar 12 Perancangan halaman
Gambar 10 Konfigurasi database
utama web interface
snort
Pada gambar 10 diperlihatkan
bagian gambar dengan nomor 1 adalah
identitas dari web interface, nomor 2
Kemudian
menampilkan
alert
untuk
yang
telah
10
adalah judul dari web interface, nomor
3 adalah informasi tentang basisdata
snort, nomor 4 merupakan profil
serangan berdasarkan waktu dan
nomor 5 merupakan footer dari web
interface.
Pengujian Fungsional
Hasil yang telah dicapai dari
penelitian ini dapat disimpilkan tiap
penambahan jumlah client maka
semakin bertambah pula jumlah alert
yang didapatkan. Hal ini dikarenakan
sistem yang saling berhubungan, dan
masing-masing
sistem
tersebut
memberikan alert terhadap serangan,
lebih jelasnya dapat dilihat pada
gambar berikut,
Gambar 13 Perancangan tampilan
profil serangan
Pada gambar 13 diperlihatkan
nomor 1 adalah waktu terjadinya
serangan, nomor 2 adalah jumlah
serangan dan nomor 3 merupakan
grafik total serangan yang ditangkap.
Profil
serangan
yang
ditunjukkan pada pada gambar 13
akan dijabarkan lebih rinci pada
halaman berikutnya saat waktu
serangan diklik, berikut rancangan
tabel informasi serangan,
Gambar 14 Perancangan tampilan
informasi serangan
Pada gambar 14 diperlihatkan
nomor 1 merupakan ID alert, nomor
Gambar 15 Serangan yang ditangkap
2 adalah nama serangan, nomor 3
web interface
adalah waktu terjadinya serangan,
Pada gambar 15 terjadi
serangan pada tanggal 22-12-2013 dan
23-12-2013, pada tanggal 22-12-2013
percobaan serangan menggunakan 1
intruder selama kurang lebih 1 jam,
serangan yang ditangkap sebanyak
812 serangan, dan pada tanggal 23
menggunakan 2 intruder ditangkap
1798 serangan dalam kurun waktu
kurang lebih 1 jam. Lebih jelasnya
dapat dilihat pada tabel 1.
nomor 4 adalah IP sumber, nomor 5
adalah IP sasaran, dan nomor 6
adalah layer yangdiserang.
Hasil dan Pembahasan
Metode pengujian didasarkan
pada
dua
hal
yaitu
pengujian
fungsional dan respon time saat
menangapi serangan.
11
Tabel 1 Tabel jumlah alert terhadap
client
Grafik :
Gambar 18 Grafik kinerja server
mesindengan serangan intensitas
tinggi
Gambar
17
dan
18
menunjukkan sistem snort lebih besar
dalam penggunaan CPU, memori dan
bandwitch, yaitu kinerja CPU yang
mencapai nilai tertinggi 78,6 %,
memori terpakai 32,4 % dan bandwitch
40,65 Mbps, dibandingkan dengan
honeyd yang hanya memakai memakai
memori 46,6 % dan kinerja CPU 30,7
% dan bandwitch 27 Mbps. Hal ini
dikarenakan snort mempunyai rules
yang bekerja untuk mendeteksi
serangan, dan rules itu harus selalu diupdate, agar signature baru dapat
diperoleh untuk menangkap jenis
serangan baru.
Respon Time
Gambar 16 Grafik jumlah alert
berdasar jumlah client
Selain itu perbandingan juga
dilihat seberapa besar CPU bekerja,
memori yang dipakai sistem, dan
bandwitch yang terpakai saat berjalan
dan menangkap serangan.
Tabel 2 Tabel kinerja mesin server
Grafik :
Salah
satu
parameter
kehandalan dari suatu sistem harus
dapat
melayani
beberapa
client
sekaligus. Serangan ini menggunakan 2
intruder dan akan dilakukan secara
Gambar 17 Grafik kinerja mesin
bersamaan. Berikut tabel dan grafik
server dengan serangan intensitas
yang menujukkan pengujian respon
rendah
time :
12
Tabel 3 Tabel respon time berdasar
membanjiri request data pada
jaringan, dan apabila dilakukan
penyerangan secara bersamaan oleh 2
intruder, maka jaringan semakin
penuh
sehingga
menyebabkan
kemampuan
sistem
menjadi
terganggu.
Kesimpulan
jumlah client
Grafik:
High interaction honeypot
honeynet
lebih
besar
dalam
penggunaan
sumber
daya
dibandingkan
dengan
intrusion
detection system snort maupun low
interaction honeypot honeyd saat
dijalankan sebagai sistem tunggal,
dan semakin banyak client client
yang mengakses suatu jaringan maka
semakin lambat respontime sistem.
Sistem yang dibangun pada
lingkungan
Ubuntu
dijalankan
melalui terminal, sehingga diperlukan
pihak
ketiga,
sebagai
solusi
webinterface dirancang sebagai alat
untuk mempelajari serangan yang
ditangkap
Gambar 19 Grafik respon time
berdasar jumlah client
Dari hasil pengujian dapat
dilihat bahwa dengan bertambahnya
jumlah client akan berpengaruh
terhadap performa sistem, ini
ditunjukkan dengan semakin lamanya
respon time yang dihasilkan sistem,
semua disebabkan karena serangan
paket flooding yang dikirimkan
DAFTAR PUSTAKA
[1]Sofana, Iwan, 2008, “Membangun Jaringan Komputer”, Bandung: Informatika.
[2]Raharjo, 2002, “Keamanan Sistem Informasi Berbasis Internet” Bandung: PT.
Insan Indonesia.
[3]Stallings, William, 2005, “Intrusion Cryptography and Network Security.pdf
version”, diunduh dari www.ebookily.org jam 19.00 wib, 25 juli2013.
[4]Sukmaji, Anjik, S.Kom dan Rianto, S.Kom, 2008. “Jaringan Komputer”,
Yogyakarta: Andi.
[5]Andrew R Baker, Joe Esler dan Jay Beale, 2007, “Snort IDS and IPS Toolkid”,
Syngress Publishing.
13
[6]Zulkarnaen, Disky, 2010, “Implementasi Honeypot Sebagai Alat Bantu Deteksi
Keamanan Jaringan Pada Kantor Pengawasan dan Pelayanan Bea dan Cukai
Tipe A”, Palembang: STIMIK PalCom Tech.
[7]Prasetyo, Milano Hardi, 2011, “Analisa Performansi Implementasi IDS
Berbasis Snort, Honeypot honeyd, Honeypot Honeynet di PT. X di Surabaya”,
Surabaya: Institut Teknologi Surabaya.
[8]Sukmaji, Anjik S. Kom dan Rianto S.Kom, 2008, “Jaringan Komputer”,
Yogyakarta: Andi Offset.
[9]Ur Rehman, Raffiq, 2003, “Intrusion Detection System With Snort”, Prentice
Hall PTR.
[10]Snort, “What Is Snort” dikutip dari www.snort.org, diakses pada tanggal 26
juli 2013, jam 20.29 wib.
[11]Gullet, David, “Snort Install guide”, Symmetrix Tecnologies, diunduh dari
www.symmetrixtech.com, jam 14.00 wib, tanggal 6 Agustus 2013.
[12]Spitzer, Lance dan Addison Wesely, 2002, “Jurnal Honeypots, Tracking
Hacker pdf version”, diunduh dari www.waet.org/journals/waset/v24/v2444.pdf, jam 14.00 wib, tanggal 6 Agustus 2013.
[13]Firar, Udirartatmo, 2005, “Trik Menjebak Hacker Dengan Honeypot”,
Yogyakarta: Andi, Hal 60.
[14]Jurnal Internasional, “Hybrid Honeypot System For Network Security.pdf
version”, diunduh dari www.waset.org/journals/waset/v24/v24-44.pdf, jsm
07.30 wib, tanggal 6 Agustus 2013.
[15]Rahmat, Rafiudin, 2010, “Menganyang Hacker Dengan Snort”, Yogyakarta:
Andi, Hal 37.
[16]Firar, Utdirartatmo. 2005, “Trik Menjebak Hacker Dengan Honeypot”,
Yogyakarta, Andi, Hal 101.
[17]David, Annual Workshop, Wasten, 2011, “Over View of Recent Honeypot
Research and Development”, diunduh dari http://www.ukhoneynet.org/wastonhoneynetproject.pdf, jam 08.32 wib, tanggal 7 Agustus 2013.
14