Sabtu, 15 November 2014

Pengantar Forensik Tekologi Forensik (bagian 3)

ARFINISA 4IA07

Pengumpulan Data Volatil
            Data volatil dikumpulkan dari berbagai sumber, yakni register proses, memori virtual dan fisik, proses-proses yang sedang berjalan, maupun keadaan jaringan. Sumber informasi tersebut pada umumnya mempunyai informasi dalam periode yang singkat, sehingga waktu pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah terjadi insiden. Misalnya alamat MAC (Media Access Control) dari computer yang berkomunikasi dengan computer sasaran yang berada pada subnet yang sama , yang tersimpan pada ARP (Address Resolution Protocol) cache, segera dibuang setelah terjalin komunikasi dengan computer lainnya, sehingga data tersebut harus segera diambil.Sumber informasi volatil yang penting beserta instruksi-instruksi yang digunakan untuk menangkap informasi tersebut diantaranya:
·         Proses-proses yang sedang berjalan (ps atau /proc)
·         Hubungan jaringan yang aktif (nestat)
·         ARP cache (arp)
·         List of open file (lsop)

·         Memori Fisik dan Virtual (/dev/mem, /dev/kmem)

Melakukan Trap dan Trace
            Trap dan trace merupakan proses untuk memonitor header dari trafik internet tanpa memonitor isinya (tidaklah legal untuk memonitor isi dari suatu komunikasi data). Proses ini merupakan cara non intrusif untuk menentukan sumber serangan jaringan atau untuk mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCP/IP dan bukan isinya.Contoh di atas menggunakan panjang default 68 byte. Trap dan trace dapat digunakan oleh analis forensik untuk menjawap beberapa pertanyaan kritis, yakni:
  • Apakah alamat IP sumber mencurigakan?
  • Apakah alamat IP dan/ atau nomor port tujuan mencurigakan? Misal beberapa port yang sangat dikenal digunakan oleh Trojan adalah 31337 untuk Ba
  • ck Orifice dan 12345 untuk NetBus.
  • Apakah terdapat fragmentasi yang aneh? Fragmentasi sering digunakan untuk membingungkan IDS dan firewall.
  • Apakah TCP flag mencurigakan? Misal, beberapa flag tidak pernah terjadi bersama-sama, seperti R & F (reset & fin), F alone, dll. Penyerang menggunakan teknik ini untuk menentukan sistem operasi dari computer sasaran.
  • Apakah ukuran paket mencurigakan? Paket SYN awal seharusnya membawa data 0 byte.
  • Apakah tujuan port merupakan layanan yang valid? Layanan yang valid biasanya ditampilkan dalam dalam file /etc/services pada mesin Linux.
  • Apakah trafik mengikuti standar RFC ?
Terdapat materi lain nya tentang network forensi, silahkan kunjunggi :

(Oleh : Gilang Satria, 53411064)

(Oleh : Annas Primadiarso, 50411942)

(Oleh : Arfinisa Pratidina, 51411067)

(Oleh : Nadhofa Walannae, 55411067)

(Oleh : Mardian, 54411280)

(Oleh : Annas Primadiarso, 50411942)

Bagian 7: Contoh Kasus 2
(Oleh : Rifki Fernanda, 56411180)

Bagian 8: Tools Berbasis Command Line
(Oleh : Razib Kani Maulidan, 55411925)

(Oleh : Deny Santoso, 51411868)