Dasar Digital Forensik [3] Forensik ...

Dasar Digital Forensik [3] Forensik jaringan menggunakan wireshark


Akhirnya artikel ini jadi juga,bahwa penulis memulai kategori dan sesi baru di sub-bagian hacking yaitu forensik digital
yang tujuannya untuk menunjukkan kepada para penyelidik digital / digital investigator tentang apa yang dapat dilakukan
oleh seorang Hacker yang telah melakukan suatu tindak kejahatan di sebuah sistem komputer.

Bagi yang belum baca part 1 dan part 2 bisa lihat ke sini Dasar Digital Forensik [1] Menggunakan Volatility dan ke sini Dasar Digital Forensik [2] Membaca Prefetch Sebagai Jejak yang Di tinggalkan

Seperti yang kita ketahui,bahwa komputer tidak bisa begitu saja berjalan tanpa adanya sistem operasi
tanpa adanya software,tanpa adanya jaringan internet yang saling menghubungkan satu sama lain
dan seringnya,pada komputer yang peruntukannya server,akan selalu memfungsikan sebagai
web server dengan httpd protocolnya,mail server dimana smtpd sebagai servicenya
dan imap pop3 dovecot postfix sebagai 'agen' untuk menerima dan mengirimkan emailnya
namun,dari situlah akan menjadi 'pintu' bagi para peretas/hacker untuk memasuki sebuah sistem.

Nah,diantara sekian banyak pintu,seringnya yang jadi kegemaran bagi para hacker
adalah web application yang berada di bawah protocol http
tapi,jaringan dimana hacker itu berada,cukup menjadi bukti bahwa orang itu benar-benar melakukan tindak kriminal
jadinya,selain melakukan audit forensik pada sebuah komputer yang telah di masukinya
jaringan yang dia pakai juga sangat cocok untuk di selidiki lebih dalam
here we go...kita lakukan forensik pada sebuah jaringan internet.


Capture Paket dengan Wireshark

Wireshark adalah tools jaringan yang dapat melakukan capturing yang berada pada sebuah host
dari segala arah,termasuk client mana saja yang mengaksesnya
sederhananya begini,dengan wireshark kita bisa capture facebook.com
dari ip mana sajakah facebook ini di akses?
atau,di sebuah jaringan kantor,diantara sekian banyak penggunanya,apa aja yang dia akses?
Di sini penulis menggunakan kali linux,dan lagnsung saja kita capture
oh iya koneksi di sini pakai wired ya



Biasanya kalau ada yang nggak bisa di komputer kita,misal browser tiba-tiba suka ganti home pagenya
lalu terus-terusan memberi alert bahwa komputer kena virus
sementara kita juga harus beli antivirus yang di sarankan melalui popu-up di browser
pasti pernah kan ya kita ngalamin hal ini
impact apa yang umum terjadi? seringnya komputer jadi lemot
artinya memang ada sebuah program jahat yang berjalan (virus)
dari sini kita bisa cari tau
dengan cara sniff di network buat liat paket yang jalan



Di SS di atas,kita lihat ada 3 windows
yang pertama menampilkan tiap packet dan beberapa informasi dasar di aktifitas sistem itu
yang tengah,bisa membuat kita melihat nilai bit dan byte dari header paket itu sendiri
dan yang paling bawah,terdapat informasi dari isi paket berupa ASCII dan heksadesimal

Percobaan Remote

Di kolom sebelah kiri,menjelaskan beberapa package dengan urutan yang sesuai yang di capture
sebagai contoh,kita liat di paket 147 yang bawah ini
kita liat di package messenger dari device di nun jauh jaringan di luar sana
kita coba klik ya,buat liat detailnya seperti apa



Dari sini kita bisa verifikasi dengan lihat packaget selanjutnya
yang muncul tulisan ICMP "Destination Unreachable" packet sent back to the IP requesting a messenger connection
kalau ada tulisan begini,mesti kita waspada

Dengan segini banyak traffic,kita perlu filter supaya kita bisa memilah
dan melihat traffic yang menarik,misal kita klik traffic di ip 216.49.88.118,
bisa kita lihat kalau ini adalah ip dari update antivirus McAfee

Karena trafficnya nggak bahaya,jadi kita bisa hapus
dari display dengan melakukan filtrasi
dari sini kita mau lihat semua yang bukan dari IP 216.49.88.118.
kita bisa pilih di Window filter,lalu ketik perintahnya !ip.addr == 216.49.88.118
dan Windows Background berubah jadi warna hijau



DNS QUERY

Berlanjut ke DNS dengan cara lihat paket-paket lain,contoh di screenshot ini
kita lihat bahwa komputer ini dengan IP (216.148.227.68) yang menunjukkan "standard query"
dengan protokol DNS ke virtumonde.com



Kita scroll lagi ke bawah, kita dapat melihat host client ada koneksi outbound ke server virtumonde.com dan melakukan request downloading
Ketika kita mengklik pada paket ini dan expand di di http protocol ternyata nampak "updates.virtumonde.com\r\n." ngeselin anjir



Nah,di SS atas ini (yang warna merah) ada aktifitas yang aneh,komputer ini kayaknya kena rootkit atau spyware
terus dia report ke home server.

Seperti yang saya jelaskan di atas bahwa aktifitas monitoring jaringan menggunakan wireshark ini
cukup membutuhkan fokus yang menyeluruh di karenakan banyak paket data dari komputer kita yang keluar maupun masuk


Right menu
Tag Cloud