ARFINISA 4IA07
Pengumpulan Data Volatil
Data volatil dikumpulkan dari
berbagai sumber, yakni register proses, memori virtual dan fisik, proses-proses
yang sedang berjalan, maupun keadaan jaringan. Sumber informasi tersebut pada
umumnya mempunyai informasi dalam periode yang singkat, sehingga waktu
pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah terjadi
insiden. Misalnya alamat MAC (Media Access Control) dari computer yang
berkomunikasi dengan computer sasaran yang berada pada subnet yang sama , yang
tersimpan pada ARP (Address Resolution Protocol) cache, segera dibuang setelah
terjalin komunikasi dengan computer lainnya, sehingga data tersebut harus
segera diambil.Sumber informasi volatil yang penting beserta
instruksi-instruksi yang digunakan untuk menangkap informasi tersebut
diantaranya:
·
Proses-proses
yang sedang berjalan (ps atau /proc)
·
Hubungan
jaringan yang aktif (nestat)
·
ARP
cache (arp)
·
List
of open file (lsop)
·
Memori
Fisik dan Virtual (/dev/mem, /dev/kmem)
Melakukan Trap dan Trace
Trap dan trace merupakan proses
untuk memonitor header dari trafik internet tanpa memonitor isinya (tidaklah
legal untuk memonitor isi dari suatu komunikasi data). Proses ini merupakan
cara non intrusif untuk menentukan sumber serangan jaringan atau untuk
mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCP/IP dan
bukan isinya.Contoh di atas menggunakan panjang default 68 byte. Trap dan trace
dapat digunakan oleh analis forensik untuk menjawap beberapa pertanyaan kritis,
yakni:
- Apakah alamat IP sumber
mencurigakan?
- Apakah alamat IP dan/ atau
nomor port tujuan mencurigakan? Misal beberapa port yang sangat dikenal
digunakan oleh Trojan adalah 31337 untuk Ba
- ck Orifice dan 12345 untuk
NetBus.
- Apakah terdapat fragmentasi
yang aneh? Fragmentasi sering digunakan untuk membingungkan IDS dan
firewall.
- Apakah TCP flag
mencurigakan? Misal, beberapa flag tidak pernah terjadi bersama-sama,
seperti R & F (reset & fin), F alone, dll. Penyerang menggunakan
teknik ini untuk menentukan sistem operasi dari computer sasaran.
- Apakah ukuran paket
mencurigakan? Paket SYN awal seharusnya membawa data 0 byte.
- Apakah tujuan port merupakan
layanan yang valid? Layanan yang valid biasanya ditampilkan dalam dalam
file /etc/services pada mesin Linux.
- Apakah trafik mengikuti standar RFC ?
Terdapat materi lain nya tentang network forensi, silahkan kunjunggi :
(Oleh : Gilang Satria, 53411064)
(Oleh : Annas Primadiarso, 50411942)
(Oleh : Arfinisa Pratidina, 51411067)
(Oleh : Nadhofa Walannae, 55411067)
(Oleh : Mardian, 54411280)
(Oleh : Annas Primadiarso, 50411942)
Bagian 7: Contoh Kasus 2
(Oleh : Rifki Fernanda, 56411180)
Bagian 8: Tools Berbasis Command Line
(Oleh : Razib Kani Maulidan, 55411925)
(Oleh : Rifki Fernanda, 56411180)
Bagian 8: Tools Berbasis Command Line
(Oleh : Razib Kani Maulidan, 55411925)
(Oleh : Deny Santoso, 51411868)