Jurnal

EKSPLORA INFORMATIKA 1

RANCANG BANGUN APLIKASI NETWORK FORENSICSTUDI KASUS PENCURIAN DATA

Fandy Syaukati Putra, Roy Rudolf Huizen, Yohanes Priyo AtmojoSekolah Tinggi Manajemen Informatika dan Teknik Komputer (STMIK) STIKOM BALI

Jl. Raya Puputan No. 86 Renon – Denpasar, 0361-2444445Email : [email protected], [email protected], [email protected]

Abstrak

Seorang admin jaringan selalu memonitoring keadaan pada jaringannya tersebut. Seorang administrator dalam menganalisa hasil monitoring sebuah jaringan masih bersifat manual dengan melihat satu persatu hasil monitoring jaringan tersebut. Dengan cara manual tersebut dirasakan prosesnya sangat lama, sedangkan jika ada sebuah kejadian yang tidak diinginkan dibutuhkan kecepatan dalam proses menganalisa hasil monitoring jaringannya. Hal ini yang menjadi kendala karena bisa membuat lama proses investigasi kejadian pada sebuah jaringan. Metodologi yang digunakan dalam merancang sistem tersebut dimulai dengan meganalisa struktur paket data, menganalisa paket header dari paket data yang nantinya akan diubah menjadi informasi, setelah itu membuat analisa dari informasi yang didapatkan. Aplikasi yang dihasilkan dalam pembuatan program ini adalah Aplikasi untuk menganalisa file pcap yang didapatkan. Aplikasi ini dibuat dengan menggunakan bahasa pemrograman java, dengan library jpcap dengan menggunakan Netbean sebagai perangkat lunak untuk pembuatan program ini. Aplikasi yang dihasilkan ini adalah aplikasi yang dapat digunakan untuk menganalisa file pcap sehingga membantu admin jaringan dalam menganalisa hasil monitoring jaringannya.

Kata Kunci : Paket Data, JPCAP, SMB, Forensik Jaringan

Abstract

Network administrator always monitoring the network. Network administrator when analyzing file log monitoring, network administrator using system view log line per line. With that system be perceived not effective because it take’s a much time to doing that, but when there are a problem, need faster analyzing the logger. It’s make a problem when investigating some case in the network. The methodology used in designing this software are analyzing packet data structure, analyzing packet header for making parser the packet data, and then making analyze the information we get from that packet data. Application generated in the manufacture of this program are Application that can be used for analyzing pcap file. This Application created using java programming, with JPCAP as main library and using NetBean for development. The resulting application is a application that can used for analyzing pcap file so it can help network administrator when network administrator want to analyzing the network monitoring logger.

Keywords: Packet Data, JPCAP, SMB, Network Forensic

1. Pendahuluan

Komputer dari zaman dahulu sampai sekarang sudah banyak berkembang. Pada dahulunya teknologi komputer hanya digunakan oleh orang-orang yang mampu saja dan hanya untuk keperluan tertentu. Pada zaman sekarang Komputer sudah digunakan diseluruh tempat dan untuk banyak keperluan, contohnya di kantor-kantor dalam melakukan pekerjaan-pekerjaannya menggunakan komputer.

Jaringan komputer tercipta karena adanya kebutuhan komunikasi yang tak terbatas jarak dan waktu. Pada zaman sekarang, jaringan komputer sangat banyak digunakan untuk mempermudah komunikasi, contohnya pada kantor-kantor dalam berkomunikasi dalam 1 gedung dengan menggunakan jaringan komputer, sehingga tidak perlu lagi berjalan ke ruangan lain.

Semakin berkembangnya teknologi, semakin banyak juga ilmu-ilmu yang berkembang sesuai dengan teknologi tersebut. Hadirnya teknologi di dunia ini seperti pisau bermata dua yang dimana mempunyai segi positif dan segi negatifnya. Segi positifnya teknologi digunakan untuk mempermudah

L-2

pekerjaan kita, segi negatifnya kemajuan teknologi tersebut digunakan untuk melakukan kejahatan. Dalam perjalanan berkembangnya teknologi, berkembang juga ilmu-ilmu untuk mempelajari teknologi tersebut baik dalam mempelajari segi negatifnya dan mempelajari segi positifnya.

Salah satu segi negatif dari teknologi informasi adalah hadirnya ilmu-ilmu yang mengajarkan untuk melakukan kejahatan melalui bidang teknologi informasi ini. Salah satu contoh kejahatan dalam bidang teknologi informasi adalah mencuri informasi melalui media jaringan. Dalam menghadapi hal ini, berkembang juga ilmu untuk menanggulangi kejahatan melalu teknologi informasi. Ilmu yang mempelajari untuk menanggulangi kejahatan dalam bidang teknologi informasi adalah Computer Forensic.

Berdasarkan latar belakang permasalahan diatas penulis ingin membuat aplikasi yang digunakan untuk menganalisa log lalu lintas jaringan, sehingga ketika ada pencurian data, kita bisa menggunakan aplikasi ini untuk menganalisa log lalu lintas jaringan dan mencari tau siapa pelaku kejahatan tersebut.2. Tinjauan Pustaka

Tinjauan pustaka adalah literature-litelatur yang digunakan dalam melakukan penulisan paper ini. Berikut adalah litelatur tersebut:2.1 JPCAP

Dalam mengembangkan perangkat lunak untuk monitoring jaringan dengan bahasa pemrograman java, kita bisa menggunakan library JPCAP. Library JPCAP ini diciptakan oleh seorang seseorang yang bernama Keita Fujii. Library ini bersifat bebas digunakan dan bebas dikembangkan. Dalam mengembangkan perangkat lunak degan Library JPCAP ini kita harus mengikut sertakan perangkat lunak lainnya sebagai pendukung menjalankan perangkat lunak yang dibuat dengan JPCAP ini. Untuk windows kita harus menyertakan perangkat lunak lainnya yaitu WinPCAP [1]. 2.2 Paket Header

Paket header adalah bagian dari paket data yang merupakan isi dari packet tersebut. Isi dari paket header ini berupa pengalamatan dan data yang lainnya. Isi paket tersebut dibutuhkan untuk berkomunikasi dengan tujuannya.

Paket header ini digambarkan dengan datagram yang bertujuan untuk memudahkan pengembang perangkat lunak yang digunakan untuk menganalisa paket data. Dalam satu paket header menampung semua data dari layer physical sampai dengan layer applikasi yang di kumpulkan menjadi satu kesatuan. Urutan dalam pengenkapsulasian paket berdasarkan Osi layer yang direpresentasikan dalam TCP/IP. Berikut adalah urutan enkapsulasi dari paket header tersebut :

Gambar 2.1 Urutan Enkapsulasi Paket Data [2]

Jadi urutan paket data headernya dimulai dari menampung informasi tentang mac address yang digunakan, kemudian header berikutnya menampung versi ip yang digunakan, kemudian header berikutnya menampung informasi tentang ip protokol yang digunakan, dan yang terakhir menampung header yang berisi tentang aplikasi yang digunakan[3].

EKSPLORA INFORMATIKA Vol. x, No. x, Bulan 201x L-2

2

2.3 SMB HeaderSMB header diawali dengan header FF534D42. Paket SMB ini menampung lalu lintas data yang

melalui protokol SMB. Berikut adalah gambar diagram header paket SMB :

Gambar 2.2 SMB Header [4]- OxFF SMB Reserved : Informasi ini menampung magic number (FF534D42) dari paket

SMB. Jadi setiap ada paket SMB, maka pasti diawali dengan informasi ini. Informasi ini ditampung dalam 4 byte.

- Command : Informasi ini menampung command yang dikirim melalui paket SMB. Informasi ini ditampung dalam 1 byte. Setiap command yang berbeda-beda, akan melakukan aksi yang berbeda-beda pula. SMB command ada 3 macam yaitu core SMB command, core plus command, lanman SMB command.

- Error Code : Error code ini menampung pesan error dari SMB. Informasi ini ditampung dalam 2 byte.

- Flags : Flags ini menampung flags yang terdapat pada SMB ini. Informasi flags ini ditampung dalam 1 byte.

- Flags2 : Flags ini menampung flags2 dalam paket SMB. Informasi flags ini ditampung dalam 2 byte.

- Padding : Padding ini memang di biarkan zerro. Padding ini ditampung dalam 4 byte.- Tree Id : Tree id ini menampilkan tree id. Tree Id ini ditampung dalam 2 byte.- Proccess ID : Proccess id menampilkan procces id pada SMB. Process id ini ditampung

dalam 2 byte.- User Id : User id ini menampilkan user id pada SMB. User id ditampung dalam 2 byte [4].

3. Analisa dan HasilAnalisa dan hasil adalah tahapan dimana melakukan analisa desain dalam membangun aplikasi ini

dan mengimplementasikan hasil yang didapatkan dari penelitian ini.3.1 Analisa dan Perancangan

Dalam penelitian ini analisa dan perancangan aplikasi menggunakan UML karena aplikasi ini nantinya akan bersifat berorientasi object, berikut adalah analisa dan perancangan dari aplikasi dalam penelitian ini

a. Use Case DiagramUse case digunakan untuk menggambarkan dan menganalisa fungsi apa saja yang bisa dilakukan oleh system [5]. Berikut adalah use case diagram dari perancang aplikasi network forensic ini :

L-2 Title of manuscript is short and clear, implies research results (First Author)

3

System

user

Buka File

Analisa File

<<include>>

Informasi File

Report

<<extend>>

<<extend>>

InputInformasi User

edit informasiuser

Gambar 3.1 Usecase Diagram

b. Class DiagramClass diagram digunakan untuk menampilkan hubungan antara satu class dengan class lainnya [6]. Berikut adalah class diagram dari perancangan aplikasi network forensic ini

parser

Analisa File

+searchI P(String I P)+ArrayList I CMPAnalisa(ArrayList I CMPdata)+ArrayList FTPAnalisa(ArrayList FTPdata)+analisaPaketData()+simpanFileAnalisa()

MenuUtama

+ipI nput

+bukaFileActionPerforned()+analisaFileActionPerformed()+setI nputButtonActionPerformed()+addPacket()

Parser

+List<PaketData> read(File f)+getI nt(byte[] array, int i)+int positive(byte b)

PaketData

+byte[] getArray()+Object getRowData(int columnI ndex)+TableModel getTableModel()+TreeNode getTree()+hexSelectionChanged(int row, int col, J Tree tree, HexTable hexTable)+treeSelectionChanged(TreeNodeModel node, HexTable hexTable)+Packet getJ PCapPacket()+int getOriginalLength()+long getTime()

1..*

1

1..*

1..*

*1..*

1..*

1..*

Report

+ftpData+I CMPData+smbData

+kirimData(ArrayList I CMP, ArrayList FTP, ArrayList SMB)+buatReport()

1

1..*

Gambar 3.2 Class Diagramc. Analisa eksploitasi SMB

Dalam pencurian data melalui smb terdapat tanda-tanda terjadinya eksploitasi. Tanda-tanda ini akan dijadikan analisa pada paket SMB tersebut. Berikut adalah tabel tanda-tanda terjadinya exploitasi SMB :


4

NO Sesi Tanda

1 Session Setup and X User : Null

2 Session Setup and X Domain : .

3 Session Setup and X Host name : akan muncul host name secara acak

4 NT Create And X Mengakses file SRVSVC

5 NT Create And X Mengakses file Browser

Tabel 3.1 Tabel Tanda Eksploitasi SMB3.2 Implementasi Sistem

Berdasarkan perancangan yang telah digambarkan pada usecase dan class diagram, aplikasi ini dapat melakukan beberapa kegiatan, berikut adalah kegiatan-kegiatanya yang dapat dilakukan dengan aplikasi ini:

a. Tampilan menginputkan informasi kasusTampilan ini digunakan untuk menginformasikan nama user yang melakukan analisa paket data ini dan judul kasus yang terjadi pada paket data ini. Hal ini perlu dilakukan karena dalam melakukan forensik perlu dicantumkan nama orang yang bertanggung jawab dalam melakukan analisa tersebut dan judul kasus agar tidak tercampur dengan kasus yang lainnya. Berikut adalah tampilannya

Gambar 3.3 Form Input Informasi User dan kasus

b. Tampilan membuka fileDalam menampilkan informasi pada file pcap tersebut kita harus membuka file tersebut, berikut adalah tampilan membuka file :Dalam menu bar file, klik buka

Gambar 3.4 Tampilan Menu Buka File


5

Kemudian pilih file yang ingin buka, file yang bisa dipilih adalah file .*pcap

Gambar 3.5 Tampilan Pilih FileSetelah file terbuka maka akan ditampilkan informasi yang didapatkan dari file pcap yang telah terbuka itu.

Gambar 3.6 Tampilan Informasic. Tampilan menginputkan analisa IP

Analisa ini dilakukan setelah membuka file. Dalam menganalisa ini menggunakan tanda-tanda eksploitasi yang terjadi pada SMB. Pada form ini dimasukkan IP yang ingin dianalisa. Berikut adalah tampilan dari analisa IP:

Gambar 3.7 Tampilan Analisa IP


6

d. Tampilan hasil analisaSetelah analisa dilakukan maka akan tampil form hasil analisa. Dalam form ini menampilkan informasi hasil analisa. Jika ingin menganalisa lagi kita bisa mengklik button analisa, jika ingin membuat report maka klik report. Berikut adalah tampilannya :

Gambar 3.8 Tampilan Hasil Analisa

e. Tampilan ReportPada report ini berisi informasi tanggal terjadinya analisa, user yang menganalisa, judul kasus dari analisa tersebut, nama file, md5 checksum dan hasil analisanya. Report tersebut disimpan dalam format file pdf. Berikut adalah tampilan dari report tersebut :

Gambar 3.9 Tampilan Hasil Report

4. Kesimpulan

Setelah mengimplementasikan proses analisa file pcap dengan nama file exploit ke 192.168.56.1, maka dapat disimpulkan beberapa hal, yaitu :

1. Dengan dirancangnya sistem aplikasi network forensic ini dapat membantu admin jaringan

untuk menganalisa file pcap wireshark dengan cepat sehingga dapat menghemat waktu dalam

menganalisanya.

2. Sistem yang telah dibuat dapat membuat laporan secara otomatis sehingga pengguna tidak

perlu mencatat lagi hasil analisanya.

3. Dapat menganalisa paket data dengan protokol SMB, FTP, dan ICMP.

4. Aplikasi ini bisa digunakan di sistem operasi windows maupun linux.


7

Daftar PustakaJurnal

[1] Dhillon NK , Ansari Uzma, Enterprise Network Traffic Monitoring, Analysis and Reporting using

WINPCAP TOOL With JPCAP API. International Journal of Advanced Research in Computer Science

and Software Engineering. 2012. 2(11).

Buku

[2] Kozierok M, TCP/IP Guide. San Fransisco:No starch press. 2005: 195

[3] Held Gilbert, TCP/IP Professional Reference Guide. Florida:Aurbeach. 2000

[4] [MS-CIFS] – v20130118 Common Internet File System (CIFS) Protocol. Microsoft Corporation. 2013

[5] Bruegge Bernd, Dutoit A.H , Object-Oriented Software Engineering using UML, Patterns and Java

Third Edition. San Fransisco : Pretince Hall. 2010: 31

[6] Chonoles M.J , Schardt A.J , UML 2 for Dummies. New York :Willey Publishing, Inc. 2013


8

Documents

Jurnal