Network Forensic dengan TCPDUMP

543 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
543
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
56
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Network Forensic dengan TCPDUMP

  1. 1. Network Forensic Aris Cahyadi Risdianto#1 # School of Electrical Engineering and Informatics, Institute of Technology Bandung Ganesa 10th, Bandung, Indonesia 1 aris.risdianto@gmail.comAbstraksi— Dengan adanya perkembangan Internet di gathering, legal evidence dan intrusion detection. Proses iniberbagai tempat seperti kantor, rumah, dan sebagainya, secara umum lebih praktis dilakukan dengan mengumpulkanhal ini menunjukkan bahwa computing telah menjadi semua trafik dan menganalisa sebagian jika diperlukan. Prosessesuatu yang network-centric dan data-data sangat ini sering disebut juga dengan reconstructive traffic analysis.tersedia diluar bukti-bukti yang berbentuk disk digital.Oleh karena ini untuk mendapatkan data-data tersebutdiperlukan proses untuk menangkap, menyimpan dan C. Computer Forensic versus Network Forensicmenganalisa event-event yang ada dalam jaringan, Network forensics dapat dilakukan sebagai investigasibahkan lebih jauh lagi harus dapat digunakan untuk terpisah atau bersama-sama dengan computer forensicsmerekonstruksi event-event tersebut apabila dibutuhkan analysis (dimana biasanya digunakan untuk menemukanuntuk investigasi suatu kasus atau masalah. Proses yang hubungan antara beberapa perangkat digital ataupro-active ini sering disebut dengan Network Forensic. merekonstruksi bagaimana kriminal tersebut dilakukan).Dalam paper ini akan dijelaskan tentang apa itu network Apabila dibandingkan dengan computer forensics, yang padaforensic, dan bagaimana suatu proses network forensic umumnya bukti tersimpan dalam suatu disk, network forensicdalam mengumpulkan data-data trafik, menganalisa dan data lebih volatile (tidak tersimpan), unpredictable (tidak bisakemungkinan untuk melakukan rekonstruksi. Sebagai dipresiksi), dan dynamic information (informasinya sangatstudi kasus akan ditunjukkan bagaimana suatu network dinamis atau berubah-ubah). Trafik jaringan setelahforensic tool dalam melakukan investigasi terhadap suatu ditransmisikan akan hilang dengan sendirinya, sehinggakoneksi TCP, dimana terdapat suatu nomor-nomor biasanya memerlukan suatu suatu pro-active investigation.tertentu (TCP sequence number dan Acknowledgement Investigator biasanya hanya memiliki bahan-bahan untuknumber). investigasi apabila packet filters, firewalls, dan intrusion detection systems telah sedemikian rupa dipersiapkan untukKata Kunci— Forensic, Internet, Network Forensic, TCP, menghadapi serangan terhadap sistem keamanan.sequence number, dan acknowledgement. D. Penempatan dan Tujuan dari Network Forensic I. PENDAHULUAN Seperti kita ketahui bahwa firewalls and intrusion-detection systems (IDSs) merupakan perangkat jaringan yang sudah terpasang dengan baik untuk memberikan keamanan padaΑ. Latar Belakang jaringan. Oleh karena itu apakah fungsi dan kegunaan dari network forensic, akankah mengganti perangkat-perangkat ini Tidak selamanya digital evidence yang ada dalam suatu atau merupakan pelengkap?disk atau memory komputer akan tersimpan secara amanuntuk jangka waktu tertentu atau mungkin yang sangat lama. Network Forensic dapat bersinergi dengan beberapa perangkatBukti-bukti tersebut dapat dihilangkan dengan berbagai IDS dan Firewall dalam dua cara, yaitu untuk menyediakanmacam cara baik secara sengaja atau tidak sengaja. Oleh record dalam jangka panjang dari trafik jaringan dankarena dibutuhkan suatu teknik atau mekanisme forensik baru memberikan analisa yang cepat dari permasalahan yanguntuk melakukan rekonstruksi suatu event atau data-data yang diidentifikasi dari kedua perangkat tersebut.dihasilkan dari event tersebut, tanpa memerlukan disk ataumemory yang ada dalam suatu host atau komputer. Sebagai komplemen dari sistem keamanan yang sudah ada, network forensic harus mampu melakukan tiga hal sekaligus,Β. Definisi yaitu harus mampu menangkap trafik (capture), menganalisa trafik sesuai dengan kebutuhan pengguna (analysis), dan harus Network forensics merupakan bagian dari digital forensics mampu memberikan kemampuan kepada investigator untukyang berhubungan dengan monitoring dan analisa dari trafik menemukan sesuatu yang berguna dan penting dari trafik yangpada jaringan komputer dengan tujuan untuk information dianalisa (discovery).
  2. 2. Network forensics memiliki dua jenis kegunaaan. Pertama, Untuk melakukan hal ini semua maka dibutuhkan suatuyang berhubungan dengan keamanan, termasuk monitoring resource yang handal pada mesin forensic. Untuk capturenetwork untuk mengindentifikasi trafik yang anomalous dan paket yang reliable dari jaringan diperlukan interfacespercobaan intrusi terhadap sistem keamanan. Seorang yang tidak memungkinkan adanya paket loss pada saatattacker bisa saja memiliki kemampuan untuk menghapus jaringan mendekati saturasi. Untuk penyimpanan datasemua log files dari host yang telah diserangnya, sehingga trafik kedalam suatu disk diperlukan sistem bus dan sistembukti yang bersifat network-based mungkin hanya satu- storage yang mampu mengimbangi kecepatan dari jaringansatunya bukti yang mampu digunakan sebagai bahan forensic itu sendiri. Kemudian ukuran besarnya storage akananalysis. Kedua, kegunaan dari network forensic yang menentukan berapa lama data yang akan disimpan agarberhubungan dengan penegakan hukum (law enforcement). nanti dapat direkonsruksi ulang apabila dibutuhkan. Dalam situasi khusus, capturing paket untuk forensic dapat diminimalisasi dengan menghilangkan beberapa informasi yang tidak dibutuhkan dengan menggunakan filter. II. CAPTURE TRAFIK Metode memberikan kemudahan dalam hal storage dan cost namun ada cost yang harus dibayar yaitu seperti lingkup yang kecil dalam melakukan analisa data hasil Pertimbangan utama dalam melakukan network forensic capture, dan filtering memerlukan proses overhead yangdalam suatu jaringan adalah traffic relevance (keterkaitan memungkinkan adanya paket lost.trafik), data integrity (integritas dari data hasil capture), danpacket capture rate (kecepatan capture data). Selain itusebelum melakukan traffic capture sebaiknya harus B. Perangkat Lunak Capturedimengerti terlebih dahulu mengenai arsitektur jaringannya, Perangkat lunak untuk capture yang sangat populersehingga dapat diketahui dimana trafik yang akan dianalisa itu diantaranya adalah tcpdump dan ethereal (wireshark),berada. Sebaiknya trafik yang diamati adalah trafik yang memberikan kepada pengguna baik Unix ataupunkomunikasi yang berhubungan dengan pihak luar, bukan trafik Windows. Perangkat lunak sangat berguna untukyang berada internal di dalam jaringan. Jaringan utama mengumpulkan trafik pada saat adanya sesuatu situasi(backbone) memiliki volume transaksi yang sangat besar atau event yang menarik dalam jaringan atau kabel.sehingga susah untuk dicapture maupun disimpan untuk Format dari tcpdump telah dijadikan standard sebagaijangka waktu yang lama. Sehingga difokuskan didaerah akses format penyimpanan file untul trafik yang dicapture dalampihak luar dengan pihak dalam seperti di daerah DMZ (de- jaringan. Hal ini akan menyediakan kompatibilitas darimiliterized zone). beberapa macam perangkat network forensic yang ada, ataupun memberikan kemampuan perangkat networkA. Performansi forensic untuk menganalisa paket yang dicapture dengan menggunakan mesin standard dengan tcpdump. Untuk mendapatkan network forensic yang efektif, Network Forensic juga harus mampu untuk melakukan diperlukan kemampuan sistem untuk memaintain data FIFO deletion atau rolling up oldest data untuk yang cukup lengkap dari trafik jaringan, termasuk harus memaintain jumlah dari sisa storage yang akan digunakan. dipastikan semua trafik yang dicapture harus mampu dikirim atau diproses oleh forensic enginer untuk menghindari paket loss. Selain itu kecepatan capture juga sangat penting, karena III. ANALISA TRAFIK tidak seperti host pada umumnya yang bisa mengabaikan paket yang ternyata dialamatkan bukan untuknya, mesin Proses untuk melalukan archiving dari trafik yang forensic harus mampu mengcapture dan menyimpan trafik dihasilkan oleh level pertama informasi forensik disebut dalam network yang cukup saturasi untuk analisa sebagai traffic load over time. selanjutnya. Salah satu kenyataan yang menyangkut integritas data dalam network forensic adalah bahwa mesin forensic tidak A. Sessioning Trafik boleh berpartisipasi dari trafik yang sedang dimonitor. Hampir semua tipe trafik dalam jaringan adalah two-way Sebagai contoh dalam suatu TCP session yang normal, conversation. Namun pada saat capture dimungkinkan, apabila salah satu host tujuan tidak menerima paket, maka paket yang tidak berhubungan akan muncul dalam trafik dapat dimungkinkan bahwa paket akan dikirim kembali. yang diperoleh. Network Forensic bertugas untuk Namun mesin forensic tidak boleh memiliki kemampuan mengorganisasi semua paket-paket tersebut kedalam ini, untuk meminta paket untuk di kirim ulang, oleh karena sebuah transport-layer connection diantara beberapa itu mesin forensic harus sangat memiliki kemampuan mesin yang ada (sering disebut sebagai sessionizing). sebagai eavesdropper. Ada beberapa macam cara yang digunakan untuk sessionizing ini, namun cara yang paling umum dan
  3. 3. terkenal adalah seperti yang digunakan dalam firewall atau yang bersangkutan. Dengan demikian, proses analisa IDS dimana berdasarakan dengan IP address, nomor port, forensik dapat melakukan pencarian dan memahami data dan signature data untuk masing-masing paket). Namun yang tadinya sangat tidak berguna untuk level paket cara-cara kurang efektif untuk paket yang menggunakan sniffer. port secara acak, paket yang terkodekan atau terenkripsi, dan bahkan paket yang memiliki signature pada lebih dari C. Mengatasi Data Yang Terenkripsi satu paket. Dalam lingkungan dengan tingkat keamanan yang cukup Dengan melakukan sessionizing data, network forensic tinggi, tidak diperlukan lagi penggunaan protokol yang melihat koneksi layer per layer termasuk protokol dan tidak dapat dimonitor atau diaudit. Namun dalam khusus, kontennya. Dalam proses rekonstruksi paket, network akan diperlukan review terhadap suatu transaksi, yang forensic dapat melihat atau mengetahui paket yang dapat dilakukan dengan cara menghilangkan enkripsi mengalami retransmisi, atau adanya error dalam protokol konten di salah satu sisi endpoint. Namun hal ini sangat transport layer. Apabila proses rekonstruksi paket berhasil jarang sekali dilakukan. maka akan terlihat pattern komunikasi yang komplit yang Suatu perangkat Network Forensic harus mendukung akan memberikan nilai lebih untuk keamanan dan permintaan ini dengan secara non-intrusive dan dengan kepentingan investigasi. security impact yang sangat kecil. Untuk melakukan hal ini setiap mesin server atau klien harus memodifikasiB. Pemecahan (Parsing) Protokol dan Analisa perangkat lunak keamanannya dengan melengkapi key Sebelumnya analisa protokol dilakukan dengan cara yang dimiliki oleh si perangkat Network forensic. manual “by hand”, yaitu setelah paket dicapture maka Sehingga setiap kali server atau klien melakukan enkripsi akan dicari trafik yang bersangkutan dengan menggunakan pada konten dengan key tertentu, mesin forensic akan string-string khusus. Seperti untuk HTTP digunakan string melakukan dekripsi dan mampu untuk memonitor konten “get”, FTP digunakan string “quit”, dan lain sebagainya. tersebut. Pendekatan yang cukup efisien untuk melakukan hal ini adalah analisa expert-system dalam trafik yang sudah ter- sessionizing, yang memungkinkan untuk menganalisa dari setiap layer jaringan. Expert-system menggunakan IV. STUDI KASUS : PACKET FORENSIC DENGAN TCP berbagai macam fitur-fitur yang telah diketahui secara umum dalam trafik untuk mengindentifikasi informasi- Seperti kita ketahui bahwa packet analyzer seperti tcpdump informasi yang diinginkan. Tidak hanya itu expert-system atau wireshark telah melakukan pekerjaan yang bagus untuk juga harus mampu mengkorelasikan antara koneksi satu membagi-bagi paket berdasarkan level protokolnya. Namun dengan koneksi yang lainnya. mesin forensic dibutuhkan untuk memahami betul bagaimana hubungan untuk antar paket satu dengan yang lain berdasarkan packet metric-nya. Packet metric seperti TCP sequence dan acknowledge number merupakan contoh yang bagus untuk kasus ini, dimana adanya paket yang hilang bisa diperoleh dengan memperhatikan aforementioned TCP packet metrics. Berikut akan dijelaskan bagaimana perangkat Network Forensic akan melakukan paket forensic berdasarkan TCP. Apabila TCP/IP three-way handshake telah selesai, maka akan dilanjutkan dengan beberapa langkah. Paket yang dikirimkan selanjutnya akan memiliki nomor acknowledgement pada paket tersebut. Nomor ini yang dikirim akan dijadikan sebagai nomor urutan TCP yang diharapkan. Expert-system network traffic analysis harus memiliki kemampuan untuk mengembangkan konsep model layer-7 ISO kedalam sebuah data stream. Dengan mengatur Nomor yang digaris bawahi disebut dengan “Initial Sequence modul-modul ke dalam graph yang sesuai, maka sistem Number” atau ISN. Nomor ini selalu ada disetiap paket TCP akan menemukan layer mana yang sesuai dengan konten SYN, dan merupakan langkap pertama dalam TCP three-way
  4. 4. handshake. Dapat diketahui bahwa paket diatas merupakan Pertama sekali, dalam paket ini kita memiliki kedua nomorpaket SYN, berdasarkan pada kode TCP-nya “S” atau nilai urutan TCP dan nomor "ack". Oleh karena itu diketahuihexadecimal-nya yaitu 02. bahwa paket ini adalah mengkonfirmasi penerimaan data, dan juga mengirim sesuatu sebagai balasan. Dalam hal ini, nomor urut TCP didasarkan pada nomor "ack" dengan melihat dua paket di atas kami. Hal ini juga persis seperti yang diharapkan. Tetapi ingat, nomor "ack" paket adalah nomor urutan TCP berikutnya yang diharapkan dari alamat IP yang lain. Oleh karena dimiliki nomor "ack" yang sama diulang lagi di sini.Kemudian langkah kedua dari handshaking adalah SYN/ACK. Hal ini merupakan hal yang normal, dan ini nomor "ack"Seperti dilihat bahwa dalam paket ini memiliki nomor sebesar sekali lagi diharapkan berikutnya nomor urutan TCP dariISN+1 (seperti yang digaris bawahi). Selain itu terlihat juga alamat IP lainnya (dalam hal ini 10.10.10.10).bahwa TCP sequence-nya adalah 727167800 (juga yangdigaris bawahi). Paket ini merupakan paket konfirmasi yang sepertiPaket diatas merupakan langkah terakhir dalam TCP/IP three- ditunjukkan oleh "ack". Tidak ada nomor urut TCP disiniway handshaking. ACK diperlihat dengan tanda “.”, setelah karena tidak ada data yang dikirim. Pada dasarnya 10.10.10.10nomor port 25. hanya berkata, "terima kasih 192.168.1.1, saya telah menerima data Anda."Sebuah konsep kunci untuk yang harus diingat di sini adalahbahwa nomor "ack" yang diberikan adalah urutan TCP yangdiharapkan berikutnya dari alamat IP lainnya. Maka, perlu Dalam paket ini kita memiliki kedua nomor urutan TCP dandicatat bahwa memiliki nomor TCP urutan sini yang sesuai nomor "ack". Untuk memperjelas, sekali lagi ini nomor urutdengan nomor "ack" paket, yang tercantum dua paket di atas. TCP paket didasarkan pada nomor "ack" dari paket dua paketPaket di atas ini hanya merupakan penerimaan dari sebuah di atas yang paket ini. Hal ini sangat masuk akal, karena paketpaket, dan tidak seperti pada paket pengiriman data, maka di atas hanya merupakan konfirmasi penerimaan data, dankurang adanya nomor urut TCP, karena mengirim data akan bahwa nomor "ack" juga terlihat di sini dalam paket ini lagi.memerlukan nomor urutan TCP. Kita bisa melihat bahwa di Oleh karena dapat diketahui bahwa betapa sulitnya untukatas. Seperti paket ini adalah mengirim data, ia memiliki benar-benar membajak sesi menggunakan TCP sequencekedua nomor TCP urutan dan "ack" nomor juga. number prediction (yaitu dengan mempresiksi kemungkinan nomor-nomor urutan yang mungkin dikirimkan oleh pengirim).Dalam paket ini alamat 192.168 merupakan penerimaan daripaket di atasnya. Itulah mengapa tidak ada nomor urutan TCPsana. Perhatikan nomor urut TCP dari paket di atas yang satu Sekali lagi, paket diatas hanya merupakan konfirmasiini, dan nomor TCP urutan berada di sebelah kanan. Paket ini penerimaan data. Diatas digunakan untuk melihat "S" untukdikenal melalui nomor "ack" paket. Pada intinya, paket ini menunjukkan sebuah paket SYN dan "P" untuk paket PSH.mengatakan bahwa telah menerima data, dan siap untuk Perlu diingat bahwa "ACK" dinotasikan hanya sebagai sebuahmemprosesnya. "." Dalam hal ini, "." langsung ditunjukkan pada bagian setelah alamat nomor port tujuan.
  5. 5. V. KESIMPULAN Network Forensic dapat dijadikan sebagai bukti-buktiyang dapat melengkapi computer forensic maupun menambahkemampuan kepada sistem keamanan jaringan yang ada. Daripaparan diatas terlihat bahwa menggunakan perangkatforensik yang baik untuk mengcapture dan menganalisa, akandiperoleh nomor-nomor ID yang menunujukkan bahwainformasi atau data-data yang sangat berkaitan antara satudengan yang lainnya, meskipun data tersebut dikirimkansecara terpisah atau menggunakan koneksi yang berbeda. REFERENCES[1] English Wikipedia, “Network Forensic”, 2011.[2] Vicka Corey, Charles Peterman, Sybil Shearin, Michael S. Greenberg, and James Van Bokkelen, "Network Forensic Analysis", Sandstorm Enterprises, “On the Wire” IEEE Internet Computing, 2002.[3] Don Parker and Mike Sues, “Packet Forensic using TCP”, Symantec, Security Focus, 2010.

×