Monitor dan Memblok Trafik Virus/DDoS Pada Cisco Router

Print Friendly, PDF & Email

Pengantar
Router merupakan sebuah device yang berfungsi untuk meneruskan paket-paket dari sebuah network ke network yang lainnya (baik LAN ke LAN atau LAN ke WAN) sehingga host-host yang ada pada sebuah network bisa berkomunikasi dengan host-host yang ada pada network yang lain. Router menghubungkan network-network tersebut pada network layer dari model OSI, sehingga secara teknis Router adalah Layer 3 Gateway.

Selain itu juga router dapat menangkap dan melihat aktivitas trafik dalam jaringan, sehingga memudahkan kita untuk mengklasifikasikan trafik dan membuang paket-paket yang tidak diperlukan.

Berkembangnya virus-virus komputer yang sangat cepat, cukup merugikan para penyedia jaringan dan pengguna komputer. Serangan virus ini telah banyak mengkonsumsi bandwidth sehingga trafik aplikasi yang sebenarnya tidak bisa dilewatkan melalui jaringan karena jaringan telah dipenuhi oleh paket-paket virus.

Berikut ini tulisan yang menyajikan cara memonitor trafik dan memblok paket virus dengan menggunakan router Cisco.

Untuk menampung semua trafik yang keluar masuk, harus dibuatkan tempat yang biasanya disebut log.

Pada router cisco, buffer log tidak aktfi secara default. Oleh karena itu kita harus mengaktifkannya sebelum menampung trafik yang akan kita lihat.

Cara mengaktifkan log buffer pada Router Cisco:

Router(config)# logging buffered 4096
Router(config)# exit

Angka 4096 mempunyai satuan bytes, jadi tempat/memori yang disediakan untuk menangkat trafik sebesar 4096 Bytes.

Setelah itu, kita membuat profile untuk menangkap trafik dengan menggunakan Access Control List (ACL) extended.

Contoh :

Konfigurasi access-list 101

Router# config t
Router(config)# access-list 101 permit icmp any any log
Router(config)# access-list 101 permit tcp any any gt 0 log
Router(config)# access-list 101 permit udp any any gt 0 log
Router(config)# access-list 101 permit ip any any log

Pengertian permit berarti semua paket (icmp, tcp, udp, ip) diijinkan lewat

Selanjutnya terapkan Access-List yang sudah dibuat pada interface yang akan kita tangkap trafiknya.

Misal kita ingin menangkap trafik yang masuk ke port Fast Ethernet 0 : (dapat diterapkan di semua interface, seperti : E0, S0, S1.1, S2/0.1, ATM0/0.1, dll)

Router(config)# int fa0
Router(config-if)# ip access-group 101 in
Router(config-if)# exit

Agar hasil log dapat terlihat Tanggal dan Jam-nya, maka harus dikonfigurasi sebagai berikut:

Router(config)# service timestamps log datetime localtime
Router(config)# exit
Router#clock set 14:00:00 17 May 2004

Setelah selesai, kita dapat melihat semua trafik yang masuk ke Fast Ethernet 0:

Perintah yang digunakan adalah : show log

Router# show log
May 17 14:02:38: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 172.21.0.182(1019) -> 192.168.134.82(515), 2 packets

May 17 14:02:44: %SEC-6-IPACCESSLOGDP: list 101 permitted icmp 192.168.134.2 -> 192.168.134.42 (3/13), 6 packets
May 17 14:02:44: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 172.21.0.182(1019) -> 192.168.134.43(515), 1 packet
May 17 14:03:03: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 172.21.0.155(1014) -> 192.168.134.67(515), 2 packets
May 17 14:03:05: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 172.21.0.182(1005) -> 192.168.134.67(515), 2 packets

Dari data trafik baris pertama di atas, paket tcp port 1019 dengan IP 172.21.0.182 masuk ke port Fast Ethernet 0 dengan tujuan IP 192.168.134.82 menggunakan port 515 sebanyak 2 paket, terjadi pada tanggal 17 May 2004 jam 14:02:38.

Dari data trafik baris pertama di atas, paket tcp port 1019 dengan IP 172.21.0.182 masuk ke port Fast Ethernet 0 dengan tujuan IP 192.168.134.82 menggunakan port 515 sebanyak 2 paket, terjadi pada tanggal 17 May 2004 jam 14:02:38.Dari data trafik baris pertama di atas, paket tcp port 1019 dengan IP 172.21.0.182 masuk ke port Fast Ethernet 0 dengan tujuan IP 192.168.134.82 menggunakan port 515 sebanyak 2 paket, terjadi pada tanggal 17 May 2004 jam 14:02:38.Untuk melihat throughput atau utilisasi pada interface Fast Ethernet 0, dapat menggunakan perintah:

Router# sho int fa0

….
5 minute input rate 11264000 bits/sec, 2378 packets/sec
5 minute output rate 5203000 bits/sec, 3060 packets/sec
……

Virus/DDoS di Jaringan

PC yang terkena virus/DDoS akan selalu mengirimkan paket-paket ke jaringan dalam jumlah besar dalam waktu singkat.

Jika pada saat kita menangkap trafik pada suatu interface, terdapat pola paket yang sangat banyak dan menggunakan port TCP, UDP atau ICMP yang sama, kemungkinan jaringan ini terkena virus/DDoS.

Berikut contoh-contoh paket virus dalam jaringan :

Salah satu jenis Virus Blaster menggunakan TCP port 135, virus ini dapat memenuhi jaringan dan menyebabkan aplikasi di jaringan menjadi lambat atau bahkan hang. Paket ini akan terus memenuhi jaringan walaupun kondisi komputer sedang tidak melakukan aktivitas.

May 19 14:25:48: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.69(2865) -> 129.74.248.15(135), 1 packet

May 19 14:25:49: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.66(4283) -> 10.239.97.117(135), 1 packet

May 19 14:25:50: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.69(2897) -> 129.74.248.47(135), 1 packet

May 19 14:25:51: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.70(3832) -> 166.58.195.45(135), 1 packet

May 19 14:25:52: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.68(2189) -> 68.44.91.87(135), 1 packet

May 19 14:25:53: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.70(3864) -> 166.58.195.77(135), 1 packet

May 19 14:25:54: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.66(4335) -> 10.239.97.167(135), 1 packet

May 19 14:25:55: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.69(2947) -> 129.74.248.97(135), 1 packet

May 19 14:25:56: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.66(4369) -> 10.239.97.199(135), 1 packet

May 19 14:25:57: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.68(2239) -> 68.44.91.137(135), 1 packet

May 19 14:25:58: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.70(3914) -> 166.58.195.127(135), 1 packet

Jenis Virus Blaster yang lain menggunakan TCP port 445, 139 dan UDP port 137 (ada juga yang menggunakan port 138, tetapi tidak ditampilkan di sini)

May 25 15:46:46: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2774) -> 64.120.84.40(445), 1 packet

May 25 15:46:47: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2776) -> 64.120.84.41(445), 1 packet

May 25 15:46:48: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2778) -> 64.120.84.42(445), 1 packet

May 25 15:46:49: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2780) -> 64.120.84.43(445), 1 packet

May 25 15:46:50: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2782) -> 64.120.84.44(445), 1 packet

May 25 15:46:51: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2784) -> 64.120.84.45(445), 1 packet

May 25 15:46:52: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2787) -> 64.120.84.46(139), 1 packet

May 25 15:46:53: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2789) -> 64.120.84.47(139), 1 packet

May 25 15:46:54: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2790) -> 64.120.84.48(445), 1 packet

May 25 15:46:55: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2792) -> 64.120.84.49(445), 1 packet

May 25 15:46:56: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2794) -> 64.120.84.50(445), 1 packet

May 25 15:48:06: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2922) -> 64.120.84.111(139), 1 packet

May 25 15:48:07: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2924) -> 64.120.84.112(139), 1 packet

May 25 15:48:08: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2940) -> 64.120.84.119(139), 1 packet

May 25 15:48:10: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2944) -> 64.120.84.121(139), 1 packet

May 25 15:48:11: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2952) -> 64.120.84.125(445), 1 packet

May 25 15:48:12: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2955) -> 64.120.84.126(139), 1 packet

May 25 15:48:13: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2956) -> 64.120.84.127(445), 1 packet

May 25 15:48:14: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2959) -> 64.120.84.128(139), 1 packet

May 25 15:48:15: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2962) -> 64.120.84.129(139), 1 packet

May 25 15:48:16: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2964) -> 64.120.84.130(139), 1 packet

May 25 15:48:17: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2966) -> 64.120.84.131(139), 1 packet

May 25 15:48:18: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2968) -> 64.120.84.132(139), 1 packet

May 25 15:48:19: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2970) -> 64.120.84.133(139), 1 packet

May 25 15:48:21: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2974) -> 64.120.84.135(139), 1 packet

May 25 15:48:22: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2976) -> 64.120.84.136(139), 1 packet

May 25 15:48:23: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2978) -> 64.120.84.137(139), 1 packet

May 25 15:48:24: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2981) -> 64.120.84.138(139), 1 packet

May 25 15:48:25: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2984) -> 64.120.84.139(139), 1 packet

May 25 15:48:26: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2985) -> 64.120.84.140(445), 1 packet

May 25 15:48:27: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2979) -> 64.120.84.138(445), 1 packet

May 25 15:48:28: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2984) -> 64.120.84.139(139), 1 packet

May 25 15:48:29: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2992) -> 64.120.84.143(139), 1 packet

May 25 15:48:30: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2974) -> 64.120.84.135(139), 1 packet

May 25 15:48:32: %SEC-6-IPACCESSLOGP: list 107 permitted tcp 202.152.18.230(2978) -> 64.120.84.137(139), 1 packet

May 18 16:20:48: %SEC-6-IPACCESSLOGP: list 104 permited udp 10.49.100.230(1028) -> 19.135.133.55(137), 1 packet

May 18 16:20:49: %SEC-6-IPACCESSLOGP: list 104 permited tcp 10.49.12.124(4616) -> 10.14.44.151(445), 1 packet

May 18 16:20:50: %SEC-6-IPACCESSLOGP: list 104 permited tcp 10.49.148.98(2979) -> 10.49.181.197(445), 1 packet

May 18 16:20:51: %SEC-6-IPACCESSLOGP: list 104 permited tcp 10.49.20.116(4176) -> 10.49.239.149(445), 1 packet

May 18 16:20:52: %SEC-6-IPACCESSLOGP: list 104 permited udp 10.49.18.195(1030) -> 139.64.66.76(137), 1 packet

May 18 16:20:53: %SEC-6-IPACCESSLOGP: list 104 permited udp 10.49.12.34(1027) -> 120.134.165.57(137), 1 packet

May 18 16:20:54: %SEC-6-IPACCESSLOGP: list 104 permited udp 10.49.6.35(1031) -> 3.151.81.106(137), 1 packet

May 18 16:20:55: %SEC-6-IPACCESSLOGP: list 104 permited tcp 10.49.20.115(3517) -> 10.49.217.164(445), 1 packet

May 18 16:20:56: %SEC-6-IPACCESSLOGP: list 104 permited tcp 10.49.2.131(1903) -> 10.174.107.77(445), 1 packet

May 18 16:20:57: %SEC-6-IPACCESSLOGP: list 104 permited tcp 10.49.22.68(4704) -> 10.57.51.106(445), 1 packet

May 18 16:20:58: %SEC-6-IPACCESSLOGP: list 104 permited udp 10.49.5.99(1027) -> 132.70.123.242(137), 1 packet

May 19 14:25:48: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.69(2865) -> 129.74.248.15(135), 1 packet

May 19 14:25:49: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.66(4283) -> 10.239.97.117(135), 1 packet

May 19 14:25:50: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.69(2897) -> 129.74.248.47(135), 1 packet

May 19 14:25:51: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.70(3832) -> 166.58.195.45(135), 1 packet

May 19 14:25:52: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.68(2189) -> 68.44.91.87(135), 1 packet

May 19 14:25:53: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.70(3864) -> 166.58.195.77(135), 1 packet

May 19 14:25:54: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.66(4335) -> 10.239.97.167(135), 1 packet

May 19 14:25:55: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.69(2947) -> 129.74.248.97(135), 1 packet

May 19 14:25:56: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.66(4369) -> 10.239.97.199(135), 1 packet

May 19 14:25:57: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.68(2239) -> 68.44.91.137(135), 1 packet

May 19 14:25:58: %SEC-6-IPACCESSLOGP: list 102 permitted tcp 10.236.48.70(3914) -> 166.58.195.127(135), 1 packet

Paket Virus Welchia/Nachi:

Oct 22 10:59:50: %SEC-6-IPACCESSLOGDP: list 101 permitted icmp 202.152.13.98 -> 192.170.211.87 (8/0), 1 packet

Oct 22 10:59:51: %SEC-6-IPACCESSLOGDP: list 101 permitted icmp 202.152.13.98 -> 192.170.211.248 (8/0), 1 packet

Oct 22 10:59:52: %SEC-6-IPACCESSLOGDP: list 101 permitted icmp 202.152.13.98 -> 192.170.212.186 (8/0), 1 packet

Oct 22 10:59:53: %SEC-6-IPACCESSLOGDP: list 101 permitted icmp 202.152.13.98 -> 192.170.213.46 (8/0), 1 packet

Dengan menggunakan Router kita dapat memblok paket-paket tersebut diatas agar tidak menulari jaringan yang lain atau memenuhi jaringan WAN.

Bloking paket virus dilakukan di sisi router pada interface yang paling dekat dengan keberadaan jaringan yang bervirus.

Contoh cara melakukan Bloking Paket pada virus Blaster yang menggunakan TCP port 445 dan UDP port 137 adalah dengan menggunakan Access Control List (ACL) sebagai berikut :

Router# config t
Router(config)# access-list 104 deny tcp any any eq 445 log
Router(config)# access-list 104 deny udp any any eq 137 log
Router(config)# access-list 104 permit ip any any

Catatan : Jangan lupa di akhir command untuk selalu memasang permit ip any any , setelah anda melakukan bloking dengan perintah deny. Jika anda tidak memasang permit ip any any, maka semua paket akan diblok.

Selanjutnya kita pasang access-list 104 di atas, pada interface tempat masuknya virus, misal di interface ethernet0:

Router(config)# int e0
Router(config-if)#ip access-group 104 in
Router(config-if)# exit

Untuk melihat hasilnya adalah sebagai berikut :

Router# sho log

May 18 16:21:08: %SEC-6-IPACCESSLOGP: list 104 denied udp 169.254.166.50(137) -> 169.254.255.255(137), 1 packet

May 18 16:21:09: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.151.68(1339) -> 10.49.35.78(445), 1 packet

May 18 16:21:10: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.100.230(1028) -> 4.71.4.82(137), 1 packet

May 18 16:21:11: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.19.130(1027) -> 46.33.60.237(137), 1 packet

May 18 16:21:12: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.7.194(1028) -> 140.120.202.83(137), 1 packet

May 18 16:21:13: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.15.132(3882) -> 10.74.93.59(445), 1 packet

May 18 16:21:14: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.20.115(3562) -> 185.142.133.192(445), 1 packet

May 18 16:21:15: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.12.124(3058) -> 10.228.79.203(445), 1 packet

May 18 16:21:16: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.12.40(3571) -> 31.7.189.248(445), 1 packet

May 18 16:21:17: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.13.130(1026) -> 14.0.106.191(137), 1 packet

May 18 16:21:18: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.15.99(1029) -> 62.178.109.147(137), 1 packet

May 18 16:21:19: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.8.105(1027) -> 144.203.127.85(137), 1 packet

May 18 16:21:20: %SEC-6-IPACCESSLOGP: list 104 denied udp 10.49.8.6(1027) -> 119.123.155.124(137), 1 packet

May 18 16:21:21: %SEC-6-IPACCESSLOGP: list 104 denied tcp 10.49.20.116(4314) -> 17.101.32.39(445), 1 packet

Terlihat bahwa semua paket yang menggunakan TCP port 445 dan UDP port 137 akan di Deny (blok).Terlihat bahwa semua paket yang menggunakan TCP port 445 dan UDP port 137 akan di Deny (blok).Hal ini sangat bermanfaat jika jaringan kita menggunakan WAN.

Terlihat bahwa semua paket yang menggunakan TCP port 445 dan UDP port 137 akan di Deny (blok).Hal ini sangat bermanfaat jika jaringan kita menggunakan WAN.Misal kita menggunakan WAN Frame Relay dengan kecepatan 64 Kbps. Jika suatu LAN 100 Mbps di remote terkena virus seperti diatas, maka semua paket virus ini akan menyebar dan masuk ke WAN yang mempunyai kecepatan hanya 64 Kbps. Dapat dibayangkan pasti jaringan WAN yang 64 kbps ini akan penuh, dan user-user di remote tidak akan bisa melakukan hubungan ke jaringan pusat.

Dengan dilakukan bloking seperti cara di atas, maka jaringan WAN 64 Kbps ini akan bersih dan tetap terjaga pemakaian bandwidthnya.

Selamat mencoba!!!

Lampiran : Daftar Port TCP/UDP

67 thoughts on “Monitor dan Memblok Trafik Virus/DDoS Pada Cisco Router

  1. Sangat Informatif. Saya jadi ingin belajar ttg hal ini – lebih lanjut.
    Ilmu saya sudah “Obsolute”
    Wassalam Djati

  2. 104 itu adalah nomor Access Control List (ACL). Aturan nomernya sebagai berikut :
    1-99 = Access List Standard, hanya bisa memfilter berdasarkan source IP address
    100 – 199 = Extended Access List, bisa memfilter source IP address, destination IP address, source port TCP/UDP dan destination port TCP/UDP.

  3. numpang nanya

    dikantor kami selama ini memakai router 1841 dengan kapasitas bandwith kantor kamu 512 Kbps, dalam perkembanganya kantor kamu menaikkan bandwith sekarang menjadi 2 Mbps.
    pertanyaan saya, kenapa router 1841 waktu bandwith 512 Kbps sangat stabil, tapi begitu bandwith jadi 2 Mbps, router tersebut sering hung.

    atas jawaban saya ucapkan terimakasih

  4. hallow mas mudji,
    menarik juga artikelnya. ditunggu artikel berikutnya.
    oh iya dengan memasang accesst list untuk semua protokol tersebut,
    brapa persen cpu utilisasinya ya?

  5. To: Sdr. Hardiyanto
    Hang bisa disebabkan oleh banyak sebab. Dari cerita diatas, kemungkinan Memory router Anda tidak mampu menampung trafik sangat besar, yaitu sekitar 2 Mbps.
    Bisa juga disebabkan adanya serangan/attacker, atau virus.
    Saran:
    1. Sebaiknya ganti ke type router yang lebih tinggi, misal 2600 series. atau
    2. Monitor statu memory dan CPU Process, dengan command :
    router#show proc cpu history

    To: Sdr. endoch
    Hello Juga, CPU utilisasi tergantung dari besar kecilnya type router yang digunakan dan seberapa besar trafik yang lewat di Router tersebut.
    Untuk semua jenis router, silakan melihat status utilisasi processor dengan command seperti jawaban diatas, atau “show proc cpu”

  6. Salam kenal pak Mudji,
    Boleh numpang tanya pak, kantor kami selama ini pake router seri 3700, bandwidth 2 Mb tp akhir2 ini ada masalah selalu full dikarenakan ada aplikasi yg sedikit error tetapi aplikasi tersebut harus tetap online, sambil menunggu aplikasi tersebut selesai diperbaiki, bisakah dirouternya dipasang access-list dimana penggunaan bandwidth utk IP dimaksud (IP di server yg bermasalah) hanya 100Kbyte/sec.

    terima kasih sebelumnya.

  7. Dear Pak Mudji,
    Nambah pertanyaan lagi boleh kan pak? 🙂
    Berarti kalo pake fitur QoS maka setiap cabang remote (-/+ 40 cabang) juga harus disetting QoS-nya ya pak? Kalo bener seperti itu berarti capek bngt ya pak nyettingnya satu persatu…ato ada trik lain pak?
    terima kasih lagi pak… 🙂

  8. Jadi begini, trafik itu kan 2 arah.
    1. Dari Head Office (HO) ke Remote/cabang
    2. Dari Remote ke Head Office (HO)

    Jika QoS hanya dikonfigurasi di router HO, maka trafik dari Remote ke HO tetap bermasalah.
    Jadi harus dikonfigurasi End-to-End.

    Cara lain ada, bisa pake bandwidth limiter/compression, tapi harus beli lagi, dan harus dipasang juga di semua kantor anda.

  9. terima kasih banyak pak Mudji…
    boleh dong kapan2 bikin pengajaran tentang QoS versi bhs indonesia, he2x

    sebelum & sesudahnya, Matur nuwun pak….

  10. Ass.Wr.Wb
    Senang rasanya mendapatkan begitu banyak ilmu.Semoga Allah SWT membalasnya di Yaumil Akhir kelak
    Kebetulan di jaringan kita kemarin terkena virus blaster juga. Alhamdulillah sudah selesai.
    Dan dengan tulisan pak Mudji ini referensi kita semakin bertambah dalam menghadapinya. Pak Mudji maju terus…
    InsyaAllah kami akan menyusul langkah Bapak…

  11. Pak Mudji,bagus sekali artikelnya..namun saya ada sedikit pertanyaan yaitu : Bagaimana atau berapa sebaiknya memory dari router kita ( kapasitas ) untuk menerapkan ini. Saya berfikir kalau saja kapasitas memory router kita sudah sedikit akan terbebani nantinya..
    maaf pertanyaanya masih nubie sekali :D,terima kasih sebelumnya.
    .fonda

  12. Mr. Fonda,
    Memory cisco router itu 32 MB, 48 M, 64M, 128M, 256MB dst. Jadi agar router kita tidak terbebani oleh aktivitas ini, harus di set buffer spt command di atas.
    Router(config)# logging buffered 4096

    Artinya log trafik yang diambil router akan dimasukkan ke memory sebesar 4096 bytes. Tidak terlalu mengganggu aktivitas router. Direkomendasikan jika capture trafik sudah selesai, aktifitas log trafik ini segera di release/non aktif kan.
    Thanks

  13. Mr. Mudji, tanya dunk.
    i dah set seperti yg diatas. tp pas coba sh log
    portnya ga kelihatan. nol semua. ini contohnya.
    May 1 11:15:14: %SEC-6-IPACCESSLOGP: list 103 permitted udp 192.168.80.24(0) ->
    87.86.56.148(0), 1 packet
    May 1 11:15:16: %SEC-6-IPACCESSLOGP: list 103 permitted udp 192.168.80.17(0) ->
    65.161.97.69(0), 1 packet
    May 1 11:15:17: %SEC-6-IPACCESSLOGP: list 103 permitted tcp 192.168.80.8(0) ->
    192.168.80.2(0), 1 packet
    kenapa ya? mohon petunjuk

  14. Mungkin access-list nya kurang gt (greater than) 0
    Router(config)# access-list 101 permit tcp any any gt 0 log
    Router(config)# access-list 101 permit udp any any gt 0 log

    Harusnya port 0 , tidak perlu muncul/masuk ke log

  15. kang said mau nanya neh sebelumnya salam kenal dulu kang…..ada suatu pertanyaan yang membuat bingung yaitu dari log diatas bagaimana kita mengetahui jenis paket yang dikatakan bervirus karena dari keterangan diatas hanya sebagian port yang dianggap bervirus……mohon pencerahannya thanks before….

  16. Anomali virus adalah tiap detik mengirimkan broadcast packet, dan pada umumnya ip yang dituju adalah ip public yang diurut secara acak.

  17. Pak mo nanya nich..saya kan sedikit buta bgt nich soal jaringan, bgni Pak : sm seperti pertanyaan yg udh ada, saya masih bingung (bLom tau) mengetahui perbedaan jaringan yg kena virus sm yg ngga dari mananya y pak?klo dr konfigurasi di atas yg menandakan terdapatnya virus dalam jaringan itu di lihat apanya y Pak?maaf Pak dasar bgt nanyanya..mohon bimbingannya..!!

  18. Pak Ade,
    Ciri virus pada jaringan dari data log diatas adalah :
    1. Packet terkirim tiap detik dan berukuran kecil
    2. Packet menuju IP yang tidak ada dijaringan/random, dan biasanya IP Public
    3. Packet menuju port TCP/UPD yang sama, seperti salah satu contoh di atas , TCP Port 135, 139, 445, dll

  19. Pak, nanya lagi niy…
    Ini sebagian hasil percobaan saya, menurut Bapak, apakah protokol2 di bawah ini sudah termasuk virus??(hasilnya terus berulang2 Pak??)Tlg dijawab ya pak, n skalian penjelasanya ya..
    Maaf ya Pak kbanyakan nanya..Makasih sebelumnya….

    Jul 17 17:15:49:%SEC-6-IPACCESSLOGRP: list 101 permitted ospf 223.0.0.161->224.0.0.5, 1 packet

    Jul 17 17:17:14:%SEC-6-IPACCESSLOGDP: list 101 permitted icmp 223.0.0.162->223.0.0.162 (8/0), 1 packet

    Jul 17 17:18:23:%SEC-6-IPACCESSLOGDP: list 101 permitted icmp 223.0.0.161->223.0.0.129 (8/0), 1 packet

    Jul 17 17:19:13:%SEC-6-IPACCESSLOGDP: list 101 permitted icmp 223.0.0.129->223.0.0.129 (8/0), 1 packet

    Jul 17 17:19:48:%SEC-6-IPACCESSLOGDP: list 101 permitted icmp 223.0.0.161->223.0.0.162 (0/0), 1 packet

    Jul 17 17:20:02:%SEC-6-IPACCESSLOGDP: list 101 permitted icmp 223.0.0.165->223.0.0.162 (0/0), 1 packet

    Jul 17 17:20:27:%SEC-6-IPACCESSLOGRP: list 101 permitted ospf 223.0.0.161->224.0.0.5, 36 packet

    Jul 17 17:21:02:%SEC-6-IPACCESSLOGDP: list 101 permitted udp 223.0.0.130(138)->223.0.0.143(138), 1 packet

    Jul 17 17:22:02:%SEC-6-IPACCESSLOGDP: list 101 permitted udp 223.0.0.130(138)->223.0.0.143(138), 1 packet

    Jul 17 17:23:02:%SEC-6-IPACCESSLOGDP: list 101 permitted udp 223.0.0.130(138)->223.0.0.143(138), 1 packet

  20. Oya Pak’ satu lg nich..kalo cari virus yang tidak terlalu bahaya,tp bisa digunakan untuk menerapkan percobaan ini dmn y Pak?atau kali aja bapak punya,?
    Jika virus nya udah ada cara ngaktifin nya gimana Pak???apakah bisa dgn koneksi antara flasdisk yang telah bervirus dgn PC yang akan dimonitoring..??Apakah dgn cara itu virus sudah bisa masuk sehingga dpt dimonitoring..??

    Sorry ya Pak banyak nanya, makasih sbelumnya….

  21. Itu bukan virus, ip multicast digunakan oleh routing protocol untuk update ke neighbors-nya.

    untuk memonitor tdk perlu pake virus, paket data tcp/udp sembarang bisa dimonitor dan diblock, spt telnet, ftp, http, dll

    silakan dipraktekkan.

    thanks

  22. Makasih atas penjelasannya kmren….
    Tp,,,,Maaf Pak nanya lagi……
    Klo dilihat dari hasil monitoring yg saya praktekkan di atas sudah berhasil blom pak,,,???
    Trus bisa diartikan jaringan saya bebas virus donk Pak..??

    Ngomong2 klo banyak ngelakuin proses ping bukannya bisa memenuhi bandwidth dan bisa mengganggu jaringan ya Pak?????
    Masalahnya pas saya nge-ping dari komputer lain ke komputer yg saya monitoring, proses ping nya jd keluar banyak bgt dan itu dalam waktu yang sama (dan perdetik) padahal nge-ping nya cuma sekali…..
    Itu maksudnya apa Pak..????

    Tlg jelasin ya Pak,,Penting bgt niy….

    Makasih ya sebelumnnya….

  23. Ya, Anda sudah berhasil. Tidak ada indikasi virus dari log anda.

    Ping standard/default dari PC kan ngirimnya cuman 32 bytes, masih terlalu kecil dan tidak significant dibanding kecepatan ethernet yang 100/1000 M.

    Klo anda monitor di interface in/out, ya hasil log monitoring nya tinggal dikalikan 2, karena trafik ping itu kan bolak balik

  24. Saya punya masalah dengan komputer saya saat saya hidupkan computernya, muncul tampilan desktop, tidak lama kemudian restart berulang ulang. Apakah masalah nya dan gimana solusinya terhadap komputer saya. Thank you

  25. Hi Suherlan,
    Mungkin PC anda terkena virus, memang perlu di cek secara seksama, apakah ada masalah hardware atau software.
    Cara paling cepat adalah melakukan instalasi ulang Operating System-nya (Windows/Linux).
    Salam

  26. For Yaya,
    Silakan lihat point no.3 diatas.
    101 itu adalah nomor Access Control List (ACL). Aturan nomernya sebagai berikut :
    1-99 = Access List Standard, hanya bisa memfilter berdasarkan source IP address
    100 – 199 = Extended Access List, bisa memfilter source IP address, destination IP address, source port TCP/UDP dan destination port TCP/UDP.

  27. Hi Haryanto,
    Kecepatan transfer data pada jaringan hanya dipengaruhi oleh bandwidth/kecepatan jaringan. Sementara delay bisa terjadi pada setiap perangkat jaringan, spt Router, Switch, HUB, maupun Server atau PC Router. CPU process juga menentukan transfer data.
    Jadi IP tdk berpengaruh pada transfer data, hanya saja bisa mempengaruhinya jika terjadi IP routing loop, yg menyebabkan bandwidth penuh/lambat.

  28. Salam Kenal Pak Mudji

    Saya sdh mencoba melakukan blok port 135, tapi masih ada yg di permitted

    Mar 12 08:37:21: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 10.22.2.117
    > 10.22.30.93(135), 1 packet
    Mar 12 08:37:25: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 10.22.2.117
    > 10.22.30.109(135), 1 packet
    Mar 12 08:37:35: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 10.22.2.117
    > 10.22.30.148(135), 1 packet
    Mar 12 08:37:36: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 125.160.16.
    > 10.22.10.159(1173), 1 packet

  29. Hi Nizwar,
    Salam kenal juga,
    Coba cek di show run, kemungkinan anda meletakkan command DENY di bawah command PERMIT.
    Semua Command DENY harus diletakkan pada barisan paling atas.
    Salam

  30. assalamualaykum,mas Mudji… mo nanya,
    untuk penomoran access-list apa bisa diganti huruf/kata2? klo bisa gmana cara menentukan standard atau extended ?
    terima kasih sbelumnya

  31. wa’alaikum salam wr.wb. apip
    Anda bisa gunakan huruf/kata2 pada access-list standard maupun extended, sebagai berikut :

    Router(config)#ip access-list standard NAMA
    Router(config-std-nacl)#permit ?

    Hostname or A.B.C.D Address to match
    any – Any source host
    host – A single host address

    Router(config-std-nacl)#permit 10.1.1.1 ?

    A.B.C.D – Wildcard bits
    log – Log matches against this entry

    Router(config-std-nacl)#permit 10.1.1.1 0.0.0.255 ?

    log – Log matches against this entry

    Router(config-std-nacl)#permit 10.1.1.1 0.0.0.255
    =============

    Router(config)#ip access-list extended NAMA2
    Router(config-ext-nacl)#permit ?

    <0-255> – An IP protocol number
    ahp – Authentication Header Protocol
    eigrp – Cisco’s EIGRP routing protocol
    esp – Encapsulation Security Payload
    gre – Cisco’s GRE tunneling
    icmp – Internet Control Message Protocol
    igmp – Internet Gateway Message Protocol
    ip – Any Internet Protocol
    ipinip – IP in IP tunneling
    nos – KA9Q NOS compatible IP over IP tunneling
    ospf – OSPF routing protocol
    pcp – Payload Compression Protocol
    pim – Protocol Independent Multicast
    tcp – Transmission Control Protocol
    udp – User Datagram Protocol

    Router(config-ext-nacl)#permit ip ?

    A.B.C.D – Source address
    any – Any source host
    host – A single source host

    Router(config-ext-nacl)#permit ip 100.1.1.0 ?

    A.B.C.D – Source wildcard bits

    Router(config-ext-nacl)#permit ip 100.1.1.0 0.0.0.255 ?

    A.B.C.D – Destination address
    any – Any destination host
    host – A single destination host

    Router(config-ext-nacl)#permit ip 100.1.1.0 0.0.0.255 1.1.1.0 0.0.0.255

    ============
    Apply pada Interface, misal pada interface Serial 1/0
    Router(config)#int s1/0
    Router(config-if)#ip access-group ?

    <1-199> – IP access list (standard or extended)
    <1300-2699> – IP expanded access list (standard or extended)
    WORD – Access-list name

    Router(config-if)#ip access-group NAME ?

    in – inbound packets
    out – outbound packets

    Router(config-if)#ip access-group NAME in ?

    Router(config-if)#ip access-group NAME in

    Hasil dari konfigurasi di atas jika di SHOW RUN

    interface Serial1/0
    ip access-group NAME in

    ip access-list standard NAMA
    permit 10.1.1.0 0.0.0.255

    ip access-list extended NAMA2
    permit ip 100.1.1.0 0.0.0.255 1.1.1.0 0.0.0.255

  32. Nizwar, blok dilakukan pada port atau aplikasi yang tidak diinginkan spt artikel di atas. jadi perlu disesuaikan dengan kebutuhan.
    Atau konsepnya dibalik, agar jaringan kita bersih anda hanya mengijinkan (PERMIT) aplikasi tertentu saja, sisanya diblock.
    Misal anda ingin aplikasi yang lewat jaringan hanya web/http port 80 dan FTP port 20 & 21, maka lakukan PERMIT www dan ftp saja

  33. Pingback: Soekry
  34. Numpang nanya nih mas, saya punya warnet. tapi belakangan ini banyak PC yang tiba2 HANG. tapi klo LAN RJ45 nya dicabut gak hang2. kira-kira apa tuh masalahnya mas, tlg ya mas. thanks

  35. hi Nizwar,
    kenapa harus memblock download accelerator, jika diblock pada layer tcp sedangkan browser juga menggunakan tcp port 80, maka semua browser juga akan terblock.
    solusi utk ini harus menggunakan IPS yang bisa bekerja pada layer aplikasi.

  36. hello elson,
    kemungkinan PC anda kena virus jaringan, sehingga broadcast ke seluruh LAN yang menyebabkan Hang. Coba identifikasi satu2 pc anda, atau lakukan scan dengan anti virus, jika tidak bisa harus di format. pastikan juga bahwa kabel2 LAN dalam kondisi baik , termasuk Hub/switch nya juga.

    Apakah anda menggunakan DHCP?, muncul IP conflik karena ada orang yg coba mengganti IP pada pc, yg kebetulan IP terserbut sudah digunakan. silakan di double check lagi, karena system tidak akan bohong… 🙂

  37. Dear P Mudji,

    kalo hasil lognya seperti ini indikasi apa ya pak
    .Jan 20 17:45:30.852: %SEC-6-IPACCESSLOGP: list 121 permitted udp x.x.161.9(138) -> x.x.161.255(138), 1 packet
    .Jan 20 17:45:34.605: %SEC-6-IPACCESSLOGP: list 121 permitted udp x.x.161.222(137) -> x.x.161.255(137), 1 packet
    .Jan 20 17:45:38.921: %SEC-6-IPACCESSLOGP: list 121 permitted udp x.x.161.118(137) -> x.x.161.255(137), 1 packet
    .Jan 20 17:45:50.541: %SEC-6-IPACCESSLOGP: list 121 permitted udp x.x.161.40(1087) -> x.x.10.10(8081), 1 packet
    .Jan 20 17:45:56.129: %SEC-6-IPACCESSLOGP: list 121 permitted udp x.x.161.118(138) -> x.x.161.255(138), 1 packet
    .Jan 20 17:45:59.713: %SEC-6-IPACCESSLOGP: list 121 permitted udp x.x.161.201(137) -> x.x.161.255(137), 1 packet
    .Jan 20 17:46:08.977: %SEC-6-IPACCESSLOGP: list 121 permitted udp x.x.161.105(138) -> x.x.161.255(138), 1 packet
    .Jan 20 17:46:10.937: %SEC-6-IPACCESSLOGP: list 121 permitted udp x.x.161.105(137) -> x.x.161.255(137), 1 packet

    itu yang lewat port 137&138 kenapa mengarah ke ip broadcast ya pak?

  38. Hi memed,
    netbios-ns 137/udp NETBIOS Name Service
    netbios-dgm 138/udp NETBIOS Datagram Service
    Itu adalah service dari Windows, biasanya digunakan utk network neighborhood, sharing folder, printer dll.

    Trafik tsb adalah normal, anda bisa mendisable NetBios over TCP/IP pada TCP/IP Properties menu dari LAN Properties.

    salam

  39. mas mudji, mo tanya
    kebetulan di kantor saya pakai cisco 1720, dan terdiri dari kurang lebih 100 PC client, dari PC client kita ping ke DNS nya internet sering RTO, tapi klo dari Router kita ping ke DNS ,hasil nya baik, kira2 itu masalah nya dimana yah ………? dan apakah tutorial mas mudji ini bisa di implementasikan ke router kami (cisco 1720)

  40. Hi nurlembang, cek konfigurasi NAT di router anda; teknologi translasi mana yg anda gunakan, NAT static, PAT, NAT Overload, atau kombinasi ke-3, nya.
    Coba test ke DNS ini 202.152.0.2 atau 202.155.0.10

    Iya, tutorial ini bisa diterapakan di semua jenis cisco router

    salam

  41. Mas mudji terima kasih atas keterangannya , mas saya ada kendala dalam setting Voip dengan menggunanakan FXO di Router Cisco, kenapa yah suara nya kecil, dan menurut mas berapa besar ideal nya bandwith yang saya berikan untuk Voip

    dan 1 lagi mas boleh ngga saya minta ID YM dan alamat Email nya mas

    Terima Kasih mas

  42. salam mas mudji…
    mau tanya nie…
    kalo diterapkan disimulator (router sim ,CCNA,paket tracer,dll) kenapa yah…lognya ga mw ke detect….error terus…ataw emang ga bisa yah kalo di simulator…?

    terima kasih….

  43. Mas Mudji, saya telah merancang vlan dikantor. Tetapi saya masih memiliki kendala yaitu Pengguna tidak dapat login kedalam komputer yang menjadi anggota domain controller dan vlan. Mohon penjelasannya. Terima kasih.

  44. @dani, simulator itu memiliki banyak keterbatasan, spt packet tracer atau router simulator utk CCNA, dia tidak bisa menjalankan command2 yang ada di materi CCNP atau yg advanced.

  45. Mas Mudji, saya telah merancang vlan dikantor. Tetapi saya masih memiliki kendala yaitu Pengguna tidak dapat login ke dalam komputer padahal komputer tsb. telah tergabung ke dalam domain controller. Anehnya jika dilakukan ping dari pc ke server berjalan baik. Contohnya: PC Client A dengan ip=10.10.1.3 tidak dapat login ke Server dgn ip=10.10.0.1 Mohon penjelasannya. Terima kasih.

  46. mas mudji saya mau tanya saya sudah pasang access list, saya cek cache flow masih ada access ke sembarang ip sperti contoh berikut :

    SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
    Vl1 192.168.30.100 Null 41.202.185.23 01 0000 0800 1
    Vl1 192.168.30.100 Null 10.160.200.15 01 0000 0800 1
    Vl1 192.168.30.120 Null 192.168.173.235 01 0000 0800 1
    Vl1 192.168.30.120 Null 192.168.93.235 01 0000 0800 1
    Vl1 192.168.30.120 Null 192.168.125.240 01 0000 0800 1
    Vl1 192.168.30.120 Null 85.185.245.36 01 0000 0800 1
    Vl1 192.168.30.120 Null 32.15.207.76 01 0000 0800 1
    Vl1 192.168.30.120 Null 201.178.73.4 01 0000 0800 1
    Vl1 192.168.30.100 Null 144.24.15.118 01 0000 0800 1
    Vl1 192.168.30.100 Null 192.168.238.6 01 0000 0800 1
    Vl1 192.168.30.77 Null 192.168.126.49 01 0000 0800 1
    Vl1 192.168.30.77 Null 74.116.215.253 01 0000 0800 1

    ====
    *Mar 12 03:49:24: %SEC-6-IPACCESSLOGDP: list BLOK-ICMP denied icmp 200.200.200.6 -> 192.168.30.100 (0/0), 1 packet
    *Mar 12 03:49:25: %SEC-6-IPACCESSLOGDP: list BLOK-ICMP denied icmp 192.168.26.13 -> 192.168.30.115 (0/0), 1 packet
    *Mar 12 03:49:28: %SEC-6-IPACCESSLOGDP: list BLOK-ICMP denied icmp 192.168.26.13 -> 192.168.30.74 (0/0), 1 packet
    *Mar 12 03:49:32: %SEC-6-IPACCESSLOGDP: list BLOK-ICMP denied icmp 192.168.203.220 -> 192.168.30.72 (0/0), 1 packet
    *Mar 12 03:49:34: %SEC-6-IPACCESSLOGRL: access-list logging rate-limited or missed 153 packets
    *Mar 12 03:49:35: %SEC-6-IPACCESSLOGP: list 104 denied udp 192.168.30.70(137) -> 192.168.30.255(137), 1 packet
    *Mar 12 03:49:38: %SEC-6-IPACCESSLOGP: list 104 denied udp 192.168.30.17(137) -> 192.168.30.255(137), 1 packet
    *Mar 12 03:49:42: %SEC-6-IPACCESSLOGDP: list BLOK-ICMP denied icmp 192.168.26.103 -> 192.168.30.17 (0/0), 1 packet
    *Mar 12 03:49:45: %SEC-6-IPACCESSLOGP: list 104 denied udp 192.168.30.114(137) -> 192.168.30.255(137), 1 packet

Leave a Reply

Your email address will not be published. Required fields are marked *