Network Forensic

Nama : Sandi Syah Alam Nasution
NPM : 1414370264
M. Kuliah : Network Forensics & Incident Responses
Kelas : 5 Siang-A

A. Windows Server

B. Penggunaan Wireshark Untuk Network Forensics
1. Sniffing Password

   Sniffing adalah penyadapan terhadap lalu lintas data pada suatu jaringan komputer untuk mendapatkan informasi yang diinginkan. untuk melakukan Sniffing Password kita bisa menggunakan aplikasi-aplikasi yang dapat melihat lalu lintas jaringan seperti wireshark. untuk men-contoh-kan bagaimana cara kerja sniffing password kita mencoba cara yang di bawah ini.
Bahan :
1. Wireshark.
2. Koneksi Jaringan Internet.
3. Website Target (usahakan jangan website yang menggunakan enkripsi jaringan karena tentu saja akan sulit untuk melihatnya).

Cara :
1. Hubungkan dengan Koneksi Internet.
2. Buka Wireshark.
3. Pilih Interfaces jaringan yang ingin kita lihat lalu lintas jaringannya, lalu Klik Start.
4. Lalu Kita buka website target, coba masukkan Username dan Passwordnya di kolom form login.
5. Lalu kembali ke Wireshark, Klik Stop.
6. Lalu Ketik http pada kolom filter. Lalu Klik Edit -> Find Packet.
7. Pada Window Find Packet, Pilih "Find By: String", lalu "Search In Packet bytes", lalu ketik post pada Window Find Packet.
8. kemudian Klik "Follow TCP Stream".
9. Selesai.

2. Jitter dan Delay
a. Jitter

   Jitter adalah variasi waktu dari sinyal periodik dalam elektronik dan telekomunikasi, sering kali dalam kaitannya dengan sumber referensi jam. Jitter dapat diamati dalam karakteristik seperti frekuensi berturut-turut pulses, amplitude sinyal, atau fasa dari sinyal periodik.

b. Delay

   Delay adalah waktu tunda yang disebabkan oleh proses transmisi dari satu titik ke titik lain yang menjadi tujuannya.

C. Melihat Protocol Pada Jaringan Menggunakan Wireshark dan Analisanya
1. SSL dan TLS

 

   Protokol ini menyediakan authentikasi akhir dan privasi komunikasi di Internet menggunakan cryptography. Dalam penggunaan umumnya, hanya server yang diauthentikasi (dalam hal ini, memiliki identitas yang jelas) selama dari sisi client tetap tidak terauthentikasi.

Analisa : Hasil dengan dilakukannya analisis dan uji coba dalam penelitian ini menunjukkan

pada HTTPS atau HTTP yang menggunakan SSL data dilindungi sebelum dikirim ke

tujuan, perbedaanya sebelum menggunakan SSL cara kerjanya langsung mengirimkan

data dalam bentuk plaint-texttanpa adanya perlindungan lebih. Pada SSL juga terdapat beberapa bagian protokol seperti, handshake protocol,record protocol, alert, dan certificates.

 

2. ARP

Analisa : ARP adalah protokol yang bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC Address). Jumlah packet yang di display dengan filter ARP adalah 654 dari 45024 packet yang ter-capture. Pada tab Info dapat dilihat bahwa selalu ada kata “Who has … Tell ...” yang berarti Who adalah IP sebuah komputer sedangkan Tell adalah Gateway-nya. Disini kita ketahui IP 192.168.1.254 adalah IP router outdoor kita, dan gateway nya adalah komputer2 yang terhubung dengan router kita.

3. TCP

Analisa : Karena koneksi internet kebanyakan menggunakan protokol TCP maka hasilnya akan banyak paket TCP yang berhasil ditangkap. Dapat dilihat dari 45024 total packet yang ter-capture, sebanyak 42298 packet yang di display dari filter tcp. Disitu kita melihat terdapat method GET yang jika kita follow akan terlihat user membuka http://www.detik.com/.

4. HTTP

Protokol HTTP adalah implementasi dari TCP, tetapi disini http bertugas untuk melakukan tugas antara client dengan server, sehingga kita bisa melihat pada tab info banyak sekali method GET dan POST, bisa kita melihat dari 45024 packet kita mendapat 868 packet http.

Jika mencoba men-follow tcp streams pada salah satu packet, dapat kita lihat user mencoba mengetikkan hostpot.pancabudi.ac.id, namun sepertinya url tersebut salah dan ter-redirect menuju ke v3.mercusuar.uzone.id.

5. NBNS

Jika mencoba men-follow tcp streams pada salah satu packet, dapat kita lihat user mencoba mengetikkan hostpot.pancabudi.ac.id, namun sepertinya url tersebut salah dan ter-redirect menuju ke v3.mercusuar.uzone.id

D. Syntax Pada CMD untuk mengatur jaringan
1. ipconfig /?

ipconfig /? : berguna sebagai option / menu pada ipconfig untuk menampilkan help message atau pilihan-pilihan menu atau option yang tersedia pada ipconfig atau sebagai alat bantu untuk penggunaan ipconfig.

2. ipconfig /release

ipconfig /release : berguna untuk merilis atau menampilkan atau melepas dari Ipv4 address kita untuk spesifik adapter. Jika kita tidak menuliskan adapter yang ingin kita munculkan maka option ini akan merilis seluruh Ipv4 dari masing-masing adapter.

3. ipconfig /renew

ipconfig /renew : berguna untuk memperbaharui  address Ipv4 kita pada masing-masing adapter. Jika kita tidak menuliskan adapter yang ingin kita perbaharui maka option ini akan memperbaharui seluruh Ipv4 dari masing-masing adapter.

4. ipconfig /all

ipconfig /all :  berguna untuk menampilkan seluruh informasi dari konfigurasi jaringan kita secara menyeluruh dan lengkap.

5. getmac

Getmac : mendapatkan atau menampilkan mac address / physical address kita beserta transport name nya / hardware medianya.

6. ping /?

ping /? : berguna untuk menampilkan atau memunculkan menu-menu atau option yang ada pada program ping pada cmd yang bisa kita gunakan sebagai pilihan saat menggunakan ping.

7. ping -l 1000 -t 8.8.8.8

ping -l 1000 –t 8.8.8.8 : ini adalah penggunaan program ping dengan option –l dan option –t pada DNS 8.8.8.8 dimana itu DNS google. Option –l berguna untuk mengatur atau membuat besaraan buffer yang akan kita kirimkan pada target yang akan kita ping, sedangkan option –t berguna untuk mengirimkan request pada ip / domain target yang akan kita coba ping secara terus menerus sampai kita pause atau berhentikan, jika ingin pause kita ketik “Control-Break;”, jika ingin memberhentikan tekan “ctrl+c”. setelah kita berhentikan maka akan muncul ping statistic untuk alamat yang dituju yang berisi banyak paket terkirim, yang di terima, dan yang gagal.

8. tracert /?

tracert /? : berguna untuk menampilkan menu-menu atau option yang bisa kita gunakan pada tracert. Tracert sendiri adalah singkatan dari trace route, berarti yang berguna untuk melacak atau men trace rute dari jaringan yang ingin kita trace.

9. tracert google.com

tracert google.com : berguna untuk men trace route dari google.com , tracert akan menampilkan ip dari google.com dan hops yang terhubung dengan jaringan untuk menuju ke server google.com.

10. arp -a

arp –a : arp atau address resolution protocol berfungsi untuk menampilkan dan memodifikasi IP-to-Physical address translation atau MAC address yang di gunakan oleh arp sendiri yang terhubung dengan kita. Sedangkan menu atau option –a sendiri berguna untuk menampilkan seluruh barisan ARP yang ada dengan cara mengintrogasi protocol yang ada. Jika inet_addr sudah di spesifikasi, IP dan physical address atau mac address hanya untuk computer yang spesifik yang akan di munculkan, jika lebih dari satu interface jaringan yang menggunakan ARP, maka entri atau barisan dari tiap tabel ARP akan di munculkan.

11. netstat /?

netstat /? : netstat berguna untuk menampilkan statistik protokol dan koneksi jaringan TCP/IP sementara. Dan option /? Berguna untuk menampilkan menu help atau menampilkan menu-menu atau option yang terdapat pada netstat.

12. netstat -s 5

netstat -s 5 : menampilkan statistik per-protokol. Jika tidak ada pengaturan lebih maka netstat secara default akan memunculkan statistik dari IP, Ipv4, ICMP, ICMPv6, TCP, TCPv6, UDP, dan UDPv6. Statistik yang di munculkan dapat berupa data yang terkirim, header packet yang error, dll.

13. net use /?

net use /? : net use berguna untuk meng-hack atau meremote disk drive, option /? Berguna untuk menampilkan option-option yang bisa kita gunakan pada net use.