Armin
Armin
Full Stack Developer System Administrator SEO Specialist Content Writer
Armin

Blog

Dasar Digital Forensik [3] Forensik jaringan menggunakan wireshark

Dasar Digital Forensik [3] Forensik jaringan menggunakan wireshark

Akhirnya artikel ini jadi juga,bahwa penulis memulai kategori dan sesi baru di sub-bagian hacking yaitu forensik digital
yang tujuannya untuk menunjukkan kepada para penyelidik digital / digital investigator tentang apa yang dapat dilakukan
oleh seorang Hacker yang telah melakukan suatu tindak kejahatan di sebuah sistem komputer.

Bagi yang belum baca part 1 dan part 2 bisa lihat ke sini Dasar Digital Forensik [1] Menggunakan Volatility dan ke sini Dasar Digital Forensik [2] Membaca Prefetch Sebagai Jejak yang Di tinggalkan

Seperti yang kita ketahui,bahwa komputer tidak bisa begitu saja berjalan tanpa adanya sistem operasi
tanpa adanya software,tanpa adanya jaringan internet yang saling menghubungkan satu sama lain
dan seringnya,pada komputer yang peruntukannya server,akan selalu memfungsikan sebagai
web server dengan httpd protocolnya,mail server dimana smtpd sebagai servicenya
dan imap pop3 dovecot postfix sebagai 'agen' untuk menerima dan mengirimkan emailnya
namun,dari situlah akan menjadi 'pintu' bagi para peretas/hacker untuk memasuki sebuah sistem.

Nah,diantara sekian banyak pintu,seringnya yang jadi kegemaran bagi para hacker
adalah web application yang berada di bawah protocol http
tapi,jaringan dimana hacker itu berada,cukup menjadi bukti bahwa orang itu benar-benar melakukan tindak kriminal
jadinya,selain melakukan audit forensik pada sebuah komputer yang telah di masukinya
jaringan yang dia pakai juga sangat cocok untuk di selidiki lebih dalam
here we go...kita lakukan forensik pada sebuah jaringan internet.

Capture Paket dengan Wireshark

Wireshark adalah tools jaringan yang dapat melakukan capturing yang berada pada sebuah host
dari segala arah,termasuk client mana saja yang mengaksesnya
sederhananya begini,dengan wireshark kita bisa capture facebook.com
dari ip mana sajakah facebook ini di akses?
atau,di sebuah jaringan kantor,diantara sekian banyak penggunanya,apa aja yang dia akses?
Di sini penulis menggunakan kali linux,dan lagnsung saja kita capture
oh iya koneksi di sini pakai wired ya

Di SS di atas,kita lihat ada 3 windows
yang pertama menampilkan tiap packet dan beberapa informasi dasar di aktifitas sistem itu
yang tengah,bisa membuat kita melihat nilai bit dan byte dari header paket itu sendiri
dan yang paling bawah,terdapat informasi dari isi paket berupa ASCII dan heksadesimal

Percobaan Remote

Di kolom sebelah kiri,menjelaskan beberapa package dengan urutan yang sesuai yang di capture
sebagai contoh,kita liat di paket 147 yang bawah ini
kita liat di package messenger dari device di nun jauh jaringan di luar sana
kita coba klik ya,buat liat detailnya seperti apa

DNS QUERY

Berlanjut ke DNS dengan cara lihat paket-paket lain,contoh di screenshot ini
kita lihat bahwa komputer ini dengan IP (216.148.227.68) yang menunjukkan "standard query"
dengan protokol DNS ke virtumonde.com

Kita scroll lagi ke bawah, kita dapat melihat host client ada koneksi outbound ke server virtumonde.com dan melakukan request downloading
Ketika kita mengklik pada paket ini dan expand di di http protocol ternyata nampak "updates.virtumonde.com\r\n." ngeselin anjir

Nah,di SS atas ini (yang warna merah) ada aktifitas yang aneh,komputer ini kayaknya kena rootkit atau spyware
terus dia report ke home server.

Seperti yang saya jelaskan di atas bahwa aktifitas monitoring jaringan menggunakan wireshark ini
cukup membutuhkan fokus yang menyeluruh di karenakan banyak paket data dari komputer kita yang keluar maupun masuk

 

Add Comment