Institutional Repository | Satya Wacana Christian University: Analisa Serangan Bruteforce Menggunakan Metode IP Traceback
Analisa Serangan Bruteforce Menggunakan Metode IP
Traceback
Artikel Dmiah
Peneliti:
R. Angga A.P.H. (672009183)
lrwan Sembiring, S.T., M.Kom
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Desember 2014
Analisa Serangan Bruteforce Menggunakan Metode IP
Traceback
Artikel Dmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh Gelar Sarjana Komputer
Peneliti:
R. Angga A.P.H. (672009183)
Irwan Sembiring, S.T., M.Kom
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Desember 2014
ii
ANALISA SERANGAN BRUTEFORCE MENGGUNAKAN METODE IP
TRACEBACK
Oleh
R. Angga A.P.H.
NIM : 672009183
ARTIKEL ILMIAif
Diaj ukan K~pad
Program Studi Teknik lnforrnatika guna memenuhi sebagian dari persyaratan
untuk mencapai gelar Sarjana Komputer
Pembimbing
Diketahui oleh,
Ketua Program Studi
FAKULTAS TEKNOLOGI INFORMASI
UwVERSITAS KRJSTEN SATYA WACANA
SALATIGA
2014
iii
Lembar Pengesaban
Judul Tugas Akhjr
: Analisa Serangan Bruteforce Menggunaka Metode IP Traceback
Nama Mahasiswa
: R. Angga A.P.H.
NIM
:672009183
Program Studi
: Teknik Infonnatika
Fakultas
: Teknologi lnformasi
Mengcsahkan,
Dinya!akan Lulus jian tanggal: 3 Desember2014
Penguji:
Hin iyanto Dwi Pumomo, Ph.D
2. Teguh ndra Bayu, S.Kom., M.Cs
iv
Pernyataan
Tugas akhir yang berikut ini :
Judul
Analisa Serangan Bruteforce Menggunakan Metode IP
Traceback.
Pembimbing
lrwan Sembiring, ST., M.Kom.
Adalah benar hasil karya saya:
Nama Mahasiswa
R. Angga A.P.H.
NI
672009183
Saya tidak mengambil sebagian atau seluruhnya dari hasil karya orang lain kecuali
yang tertera pacta daftar pustaka. Pernyataan ini dibuat dengan sebenar-benarnya
sesuai dengan ketentuan yang berlaku dalam penulisan karya ilmiah.
Salatiga,
Desember
R. AnggaA.P.H.
v
PERPUSTAKAAN UNIVERSITAS
UNIVERSITAS KRI;TEN SATYA WACANA
Jl. Diponegoro 52 60 Salatiga 50711
JawaTengilh, l ndout:~ia
Td p. 029M- 121212, Fa>r. 0298 121433
E m ~ il : lihra~.uswed;tp
: /L
bnry.uksw
.edu
PERNYATAAN TIDAK PLAGIAT
Saya yang bertanda Iangan di bawah ini:
Nama
tb1 ,)(if)
NIM
Fakultas
f~LDOI
i'~3
Email
/IJI't:£A1.Mr
Program Studi
~7-61
JL Dip«11.of;oto $2-66, Salell,p ~l,doH!a
w-
l!ma!l: •> 6720091V@mndent llkrw.l!dt., 2l lrwan@slaft:ubw.eclo.
A6ltltul
Tbe procc14 of mal}'lia 111 otrcmive ~
to 6-+ wjue the 80Ul'CC of 1he
llllllob:r, to delcnni:Dizl,g l h o - oflhlllillllllbr luivo to do the «aaaysi.. 'beaed Oil the
~put
ialo IDS s:aott -'-• dlla ~
Wnlllsrt.lllld til• a lot: c IDS. Tbe lot:
Ill llln!:a&1beD vm-of 111 ~
tilo IDS \~sod
Tbe ~
pmceu allal:k v.dng a mlldtod of IP tracbd, mmely ualn,s
Prabalrililtic Pa.e.bt Mmd!!g (l'PM} on any mmm PPM ill pt"OIWrllity ~.,;
illfanna:tion ahoDt local rou1e1 to peclnrse lflrouP w!Uch 10 nOl)
kxllb8n, llllluk """""D'•hn celah dari sirtan bamanan 1ika Mc.br ~
eelah lei1Icbut, uub. mn mcmudlhbn abes AacJru IIIIIUk: memanipului
infomsui dm melalmlnw aktjfitwo.ektjfi!n llkgal. 1P l:ad!tm. }'11118 tdah di8C!'IIIll
dapat disa'fabjpm•kan unlUk melalqjqn tin4aklln biminal lainn.ya ..:pa1i
poni.IGkal1 dan pen=iazt dm lii8UpUI1 illflnmuj.illf'OIIIIali ponliug dari kDmptJI«
ll:olba.. ICm:bao. dati SOf8II&N1 i1li .mng lr.ali. kMD!ilall dalam. meade1obi. dan
melaw dmi ll1.llllber ac:r&n,!lllll tcrsebut ben.sal. Ulllllk im dibuiWJbn
sc'buah siJtem )'llllg mampv me '''1'''•11 aktifqs 1llu limas data p!lcl!a j"""&m aga:r
dapat soe:m meade1ebi. btika 111!1iadi. Slmlllgaii.1118.11Uk. Salah 8ldU bell1uk mtem
ini ada1ah l1117U1km DeJ8CtUm ~
(lDS) [S].
Dar! uralan tenebul Yllll8 me:nnmcull:m gaga•m dalam mlllllbengtln
llllrwu:m ~Q'/1
S;y:ttmt {IDS) Snort ymg berpna umuk mmcletebi &mmg1lll
ti:!U!Bm.!I.I!CI'!IDpl ~
pada -aanjari:Dgan. Bada.Bor I!CI'I!XI&"'luncbm
yang aQn dipila:h-pilah dan dianaliM 1II!IUk
berdasar bukti yq ada.
2
mont~!ka
!AIIIIber ponyoran,g
ti..dak. "'•iii}"'CC'lu&s BRa pe:mbabaun pad.a
/ntrw1Q11 ~
Synl!m (IDS) berba.ili& Suart.
801'1111g81111ya benJpa Brutflf(Hce dan DoS sebagai pem'btmditl,gllya, lidak
mem'behas pada penanggulsnpn Slllllll,8lllll tldak melakUbn pallsndlnpn
betb&pi macam ~lma
metodc IP t1'act!htu:k deDpn metode lain, dan
JIC'Dil""...., difolaU:an pad& prosc& mmcmubn Slllllber _...,.!P"'
'I\ijwm dari pCII!ol.iliaJI illi. adllah 1llliUk !!!C!!"'Jtnbn IAI!IIber peuyeuw*
m~
meloclo IP ~
dan memdaplltbn illf'o!:masi. Y11113 valid dan
mudah dipel!•mi Mmtiiat ymg ingin dicapai dari penelitilm. ini membamu.
~
jari:npn dai.m pem•hamm tm!Jmg 1f:!11118111l/mmif01r!l! dm DoS
apldlih D¥"iq.lndkan l!islcm kc:em-ja:rinpnnya.
A4epun bet•rpn mualsb agar
po!llll]iliall illi. yaiiU ~
2. Tln,l•... PutUa
Bmlaaar pmelitim )'liD,! tdlh dilokubn aebelumnya yang bajudu1 "Atltd
A.tt71btdirm fiR' DlsriNt~
DDUtd of Servia alfll w,_ A.tllld' membahaa
tentang 111.1111&0Qp101Ui m•aihm alrilnlri llmlll&ID clan 1ll.eii;IIISUlk bebonq'la
soi11Si yaag alam. membuat idutruklm tlrtmlet yaag le'bih aman. Dllll
memberlkan 101us:l atdbuai Sll:lllll,@IIIIIIII!Uk aet~pn
DUtri1Mt«l DeRilll ofSIIT'Iice
(DDoS) dm !ICIIIIIpD wtll'll'l [6]. ''Simului IP ~
dmp.n Algori1ma
E./ftdellt PrrJixibllsllc Padtta J.llriiJig paola S/;ltx>folg AJt4dC' .,.,.,},«)!•• 1111tang
~
SIIIDber ..,.....,..... DOS ~
tebik BPPM (FJ/Icleltl
ProNb/Utic Pact.et Mtriing) dan betbaail dalam ll!ellelltul:an sumb« aenmpn
yang me~gulbn
IP Spoofecl. [7]. "Siatem Detekal Dan Po!snganan Inttuls:l
MengsJmabn Snart dan Base [mplr:mm:1ui Pad. PT. Ouya Solui Tdmolosi"
mem'bahu ~
~mpl
~
~
~
(IDS)
betbuil Suolt yq mampu !I!C!!Idelobi ~
&enlll,pl1 clan !l!CJillllliPilkllll a1et14
~
teraebut melalui web BASE (8]. Dari penelitian1)efteli1Wl ymg telah
dilalrnbn aebelumaya y&ll8 mendeu:ri pmn6Mn ini
~
DeUcdtPI ~f!lt
(IDS) m~
aeb\Uih aplib.8i pcmnabt
hmak aiau perao,gDt kina Y11113 dapat m'""""""'ri akli1itu )'llll,g ~
dalam aebuah jarinpl IDS dapret met•lm!ran in!p"kai ldladap lalu lintas
i1lhmmd dan ouJ1JDtmd dalun IICbuah jllrinpn, mt'leknlgm 8!1•li.P• clan mencm:i
ldii da:ri percobam WNsfD11 [9]. IDS bergwla Ullluk mmgmhui ad.mya
emmgan )'IIIIi masuk.
DetmW dari Dml4l of~
(DoS) IDOIIIpalam 11p11ya 1llliUk me:neogah
pe:IIU1IIIII8II yang sah !!'lC!!)QDts 1ay&u&o. ymg tomdia. DoS lDCII1UI'IIIlkl killo:tja
sebuah 6tlf'llt11' deDsm ~enrua
mCDpbmg nJqUUt le ll:l!ti'IID'. 8mm,pn ini
menpkib« 117
t1S560-(2·17717) )EmThrm) syn Fklx~
SiniJiim
115561;HI718) IEmThrm ) Syn Fkllxlrg S im~ato
Jij68·1o os ;g 6941":
lb.
74124 67:21
: i;&tflJ
. £jil . li , ;ji it
2014-12.(11 15:111:48
s ·"'at1on ["
112.118.19.3:
ij~,·lrn\1&
I
117.74.124.67:1IXXXI
TCP
Pr\C"~Y
Gambar 15 bukti kesamaan antara alerts pada ACID BASE dan log fast_output pada Snort
Gambar 15 merupakan bukti file log yang dipilah-pilah berdasarkan IP
addresss, port pada Snort dan waktu serangan serangan itu tetjadi. Di gambar 13
terlihat waktu serangan dan jenis serangan yang sudah dikelompokan dengan ciriciri jenis serangan, serta destination address dan destination port korban. Alerts
serangan yang di-capture nantinya akan menjadi bahan analisa untuk
mendapatkan sumber dari penyerang (attacker), dan nilai Probability Packet
Marking (PPM) nantinya sebagai pembuktian kebenaran route yang digunakan
oleh attacker.
11
base_pac;ket 1- 7009.p lp
Pro file: Def ault
Gambar 17 lsi dari tcpdump pada Snort
Gambar 17 merupakan file log kumpulan paket yang ter-capture o1eh Snort.
Log ini berguna untuk menentukan log traffic dari attacker dan korban. Dari file
ini kita dapat menghitung perkiraan hop yang dilewati. Angka 1 merupakan
kolom keterangan alamat IP sumber dari paket pengirim dan alamat IP penerima
paket. Angka 2 merupakan kolom keterangan protocol dari sesi yang sedang
berlangsung. Angka 3 merupakan kolom keterangan informasi dari paket tersebut,
tentang informasi data yang dikirim atau diterima dari sesi yang sedang
berlangsung, pada kolom ini kita bisa melihat aktifitas dari serangan yang terjadi
dan menentukan apakah aktivitas itu adalah sebuah serangan atau bukan.
Penentuan jenis serangan bisa kita hitung dari banyaknya paket yang serupa, serta
13
data yang ter-capture merupakan salah satu ciri atau bentuk pola serangan. Angka
4 merupakan detail keseluruhan dari paket yang ter-capture. Angka 5 merupakan
MAC address attacker (Sumber pengirim serangan). Angka 6 merupakan MAC
address dari korban (penerima serangan). Angka 7 merupakan alamat IP Sumber
(attacker) yang digunakan oleh penyerang saat itu. Angka 8 merupakan alamat IP
tujuan yang menerima serangan dari perangkat penyerang. Angka 9 merupakan
TTL (Time To Live) atau hop limit dari maksimal hop yang bisa dilewati oleh
paket tersebut. Angka 10 merupakan source port dari alamat IP sumber pada sesi
yang sedang berlangsung. Angka 11 merupakan destination port dari IP tujuan
yang sedang menerima serangan dari perangkat penyerang (attacker).
3. Tahap Analysis
Pada tahap ini akan dilakukan tahap penelitian pada alerts Intrusion
Detection System (IDS) Snort dan capture Wireshark sebagai pembuktian
terhadap serangan yang telah te:tjadi. Tahap ini, dapat digunakan untuk menjawab
pertanyaan dalam investigasi forensik yaitu serangan apa yang te:tjadi, IP siapa
yang melakukan
IP siapa yang menjadi korban, melalui port apa
~·;.itu
im
2014-07-0:112:2:):04
2014-07.()512:24:42
2014-07-«1 12:24:42
74.125.68.15S:BO
192.1M.M.2:14 120
201wr.m 12:24:42
74.125.Ga.15eeo
,,2.1ea.•.z:14120
2014-07-0:)12:2 4"42
2014-07-0:112:24:41
2014-07-0:)12:24.4 1
2014-07-0:)12:24.00
2014-07-0:112:2 4:00
2014-{)7-0:112:23;:119
2014-07-0:112:23:59
2014-7«S:~u
14
74.12S.&a.1S&:eo
1!r.Z.16a.H.2:iE""'1:
Al4-UI
Traceback
Artikel Dmiah
Peneliti:
R. Angga A.P.H. (672009183)
lrwan Sembiring, S.T., M.Kom
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Desember 2014
Analisa Serangan Bruteforce Menggunakan Metode IP
Traceback
Artikel Dmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh Gelar Sarjana Komputer
Peneliti:
R. Angga A.P.H. (672009183)
Irwan Sembiring, S.T., M.Kom
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Desember 2014
ii
ANALISA SERANGAN BRUTEFORCE MENGGUNAKAN METODE IP
TRACEBACK
Oleh
R. Angga A.P.H.
NIM : 672009183
ARTIKEL ILMIAif
Diaj ukan K~pad
Program Studi Teknik lnforrnatika guna memenuhi sebagian dari persyaratan
untuk mencapai gelar Sarjana Komputer
Pembimbing
Diketahui oleh,
Ketua Program Studi
FAKULTAS TEKNOLOGI INFORMASI
UwVERSITAS KRJSTEN SATYA WACANA
SALATIGA
2014
iii
Lembar Pengesaban
Judul Tugas Akhjr
: Analisa Serangan Bruteforce Menggunaka Metode IP Traceback
Nama Mahasiswa
: R. Angga A.P.H.
NIM
:672009183
Program Studi
: Teknik Infonnatika
Fakultas
: Teknologi lnformasi
Mengcsahkan,
Dinya!akan Lulus jian tanggal: 3 Desember2014
Penguji:
Hin iyanto Dwi Pumomo, Ph.D
2. Teguh ndra Bayu, S.Kom., M.Cs
iv
Pernyataan
Tugas akhir yang berikut ini :
Judul
Analisa Serangan Bruteforce Menggunakan Metode IP
Traceback.
Pembimbing
lrwan Sembiring, ST., M.Kom.
Adalah benar hasil karya saya:
Nama Mahasiswa
R. Angga A.P.H.
NI
672009183
Saya tidak mengambil sebagian atau seluruhnya dari hasil karya orang lain kecuali
yang tertera pacta daftar pustaka. Pernyataan ini dibuat dengan sebenar-benarnya
sesuai dengan ketentuan yang berlaku dalam penulisan karya ilmiah.
Salatiga,
Desember
R. AnggaA.P.H.
v
PERPUSTAKAAN UNIVERSITAS
UNIVERSITAS KRI;TEN SATYA WACANA
Jl. Diponegoro 52 60 Salatiga 50711
JawaTengilh, l ndout:~ia
Td p. 029M- 121212, Fa>r. 0298 121433
E m ~ il : lihra~.uswed;tp
: /L
bnry.uksw
.edu
PERNYATAAN TIDAK PLAGIAT
Saya yang bertanda Iangan di bawah ini:
Nama
tb1 ,)(if)
NIM
Fakultas
f~LDOI
i'~3
/IJI't:£A1.Mr
Program Studi
~7-61
JL Dip«11.of;oto $2-66, Salell,p ~l,doH!a
w-
l!ma!l: •> 6720091V@mndent llkrw.l!dt., 2l lrwan@slaft:ubw.eclo.
A6ltltul
Tbe procc14 of mal}'lia 111 otrcmive ~
to 6-+ wjue the 80Ul'CC of 1he
llllllob:r, to delcnni:Dizl,g l h o - oflhlllillllllbr luivo to do the «aaaysi.. 'beaed Oil the
~put
ialo IDS s:aott -'-• dlla ~
Wnlllsrt.lllld til• a lot: c IDS. Tbe lot:
Ill llln!:a&1beD vm-of 111 ~
tilo IDS \~sod
Tbe ~
pmceu allal:k v.dng a mlldtod of IP tracbd, mmely ualn,s
Prabalrililtic Pa.e.bt Mmd!!g (l'PM} on any mmm PPM ill pt"OIWrllity ~.,;
illfanna:tion ahoDt local rou1e1 to peclnrse lflrouP w!Uch 10 nOl)
kxllb8n, llllluk """""D'•hn celah dari sirtan bamanan 1ika Mc.br ~
eelah lei1Icbut, uub. mn mcmudlhbn abes AacJru IIIIIUk: memanipului
infomsui dm melalmlnw aktjfitwo.ektjfi!n llkgal. 1P l:ad!tm. }'11118 tdah di8C!'IIIll
dapat disa'fabjpm•kan unlUk melalqjqn tin4aklln biminal lainn.ya ..:pa1i
poni.IGkal1 dan pen=iazt dm lii8UpUI1 illflnmuj.illf'OIIIIali ponliug dari kDmptJI«
ll:olba.. ICm:bao. dati SOf8II&N1 i1li .mng lr.ali. kMD!ilall dalam. meade1obi. dan
melaw dmi ll1.llllber ac:r&n,!lllll tcrsebut ben.sal. Ulllllk im dibuiWJbn
sc'buah siJtem )'llllg mampv me '''1'''•11 aktifqs 1llu limas data p!lcl!a j"""&m aga:r
dapat soe:m meade1ebi. btika 111!1iadi. Slmlllgaii.1118.11Uk. Salah 8ldU bell1uk mtem
ini ada1ah l1117U1km DeJ8CtUm ~
(lDS) [S].
Dar! uralan tenebul Yllll8 me:nnmcull:m gaga•m dalam mlllllbengtln
llllrwu:m ~Q'/1
S;y:ttmt {IDS) Snort ymg berpna umuk mmcletebi &mmg1lll
ti:!U!Bm.!I.I!CI'!IDpl ~
pada -aanjari:Dgan. Bada.Bor I!CI'I!XI&"'luncbm
yang aQn dipila:h-pilah dan dianaliM 1II!IUk
berdasar bukti yq ada.
2
mont~!ka
!AIIIIber ponyoran,g
ti..dak. "'•iii}"'CC'lu&s BRa pe:mbabaun pad.a
/ntrw1Q11 ~
Synl!m (IDS) berba.ili& Suart.
801'1111g81111ya benJpa Brutflf(Hce dan DoS sebagai pem'btmditl,gllya, lidak
mem'behas pada penanggulsnpn Slllllll,8lllll tldak melakUbn pallsndlnpn
betb&pi macam ~lma
metodc IP t1'act!htu:k deDpn metode lain, dan
JIC'Dil""...., difolaU:an pad& prosc& mmcmubn Slllllber _...,.!P"'
'I\ijwm dari pCII!ol.iliaJI illi. adllah 1llliUk !!!C!!"'Jtnbn IAI!IIber peuyeuw*
m~
meloclo IP ~
dan memdaplltbn illf'o!:masi. Y11113 valid dan
mudah dipel!•mi Mmtiiat ymg ingin dicapai dari penelitilm. ini membamu.
~
jari:npn dai.m pem•hamm tm!Jmg 1f:!11118111l/mmif01r!l! dm DoS
apldlih D¥"iq.lndkan l!islcm kc:em-ja:rinpnnya.
A4epun bet•rpn mualsb agar
po!llll]iliall illi. yaiiU ~
2. Tln,l•... PutUa
Bmlaaar pmelitim )'liD,! tdlh dilokubn aebelumnya yang bajudu1 "Atltd
A.tt71btdirm fiR' DlsriNt~
DDUtd of Servia alfll w,_ A.tllld' membahaa
tentang 111.1111&0Qp101Ui m•aihm alrilnlri llmlll&ID clan 1ll.eii;IIISUlk bebonq'la
soi11Si yaag alam. membuat idutruklm tlrtmlet yaag le'bih aman. Dllll
memberlkan 101us:l atdbuai Sll:lllll,@IIIIIIII!Uk aet~pn
DUtri1Mt«l DeRilll ofSIIT'Iice
(DDoS) dm !ICIIIIIpD wtll'll'l [6]. ''Simului IP ~
dmp.n Algori1ma
E./ftdellt PrrJixibllsllc Padtta J.llriiJig paola S/;ltx>folg AJt4dC' .,.,.,},«)!•• 1111tang
~
SIIIDber ..,.....,..... DOS ~
tebik BPPM (FJ/Icleltl
ProNb/Utic Pact.et Mtriing) dan betbaail dalam ll!ellelltul:an sumb« aenmpn
yang me~gulbn
IP Spoofecl. [7]. "Siatem Detekal Dan Po!snganan Inttuls:l
MengsJmabn Snart dan Base [mplr:mm:1ui Pad. PT. Ouya Solui Tdmolosi"
mem'bahu ~
~mpl
~
~
~
(IDS)
betbuil Suolt yq mampu !I!C!!Idelobi ~
&enlll,pl1 clan !l!CJillllliPilkllll a1et14
~
teraebut melalui web BASE (8]. Dari penelitian1)efteli1Wl ymg telah
dilalrnbn aebelumaya y&ll8 mendeu:ri pmn6Mn ini
~
DeUcdtPI ~f!lt
(IDS) m~
aeb\Uih aplib.8i pcmnabt
hmak aiau perao,gDt kina Y11113 dapat m'""""""'ri akli1itu )'llll,g ~
dalam aebuah jarinpl IDS dapret met•lm!ran in!p"kai ldladap lalu lintas
i1lhmmd dan ouJ1JDtmd dalun IICbuah jllrinpn, mt'leknlgm 8!1•li.P• clan mencm:i
ldii da:ri percobam WNsfD11 [9]. IDS bergwla Ullluk mmgmhui ad.mya
emmgan )'IIIIi masuk.
DetmW dari Dml4l of~
(DoS) IDOIIIpalam 11p11ya 1llliUk me:neogah
pe:IIU1IIIII8II yang sah !!'lC!!)QDts 1ay&u&o. ymg tomdia. DoS lDCII1UI'IIIlkl killo:tja
sebuah 6tlf'llt11' deDsm ~enrua
mCDpbmg nJqUUt le ll:l!ti'IID'. 8mm,pn ini
menpkib« 117
t1S560-(2·17717) )EmThrm) syn Fklx~
SiniJiim
115561;HI718) IEmThrm ) Syn Fkllxlrg S im~ato
Jij68·1o os ;g 6941":
lb.
74124 67:21
: i;&tflJ
. £jil . li , ;ji it
2014-12.(11 15:111:48
s ·"'at1on ["
112.118.19.3:
ij~,·lrn\1&
I
117.74.124.67:1IXXXI
TCP
Pr\C"~Y
Gambar 15 bukti kesamaan antara alerts pada ACID BASE dan log fast_output pada Snort
Gambar 15 merupakan bukti file log yang dipilah-pilah berdasarkan IP
addresss, port pada Snort dan waktu serangan serangan itu tetjadi. Di gambar 13
terlihat waktu serangan dan jenis serangan yang sudah dikelompokan dengan ciriciri jenis serangan, serta destination address dan destination port korban. Alerts
serangan yang di-capture nantinya akan menjadi bahan analisa untuk
mendapatkan sumber dari penyerang (attacker), dan nilai Probability Packet
Marking (PPM) nantinya sebagai pembuktian kebenaran route yang digunakan
oleh attacker.
11
base_pac;ket 1- 7009.p lp
Pro file: Def ault
Gambar 17 lsi dari tcpdump pada Snort
Gambar 17 merupakan file log kumpulan paket yang ter-capture o1eh Snort.
Log ini berguna untuk menentukan log traffic dari attacker dan korban. Dari file
ini kita dapat menghitung perkiraan hop yang dilewati. Angka 1 merupakan
kolom keterangan alamat IP sumber dari paket pengirim dan alamat IP penerima
paket. Angka 2 merupakan kolom keterangan protocol dari sesi yang sedang
berlangsung. Angka 3 merupakan kolom keterangan informasi dari paket tersebut,
tentang informasi data yang dikirim atau diterima dari sesi yang sedang
berlangsung, pada kolom ini kita bisa melihat aktifitas dari serangan yang terjadi
dan menentukan apakah aktivitas itu adalah sebuah serangan atau bukan.
Penentuan jenis serangan bisa kita hitung dari banyaknya paket yang serupa, serta
13
data yang ter-capture merupakan salah satu ciri atau bentuk pola serangan. Angka
4 merupakan detail keseluruhan dari paket yang ter-capture. Angka 5 merupakan
MAC address attacker (Sumber pengirim serangan). Angka 6 merupakan MAC
address dari korban (penerima serangan). Angka 7 merupakan alamat IP Sumber
(attacker) yang digunakan oleh penyerang saat itu. Angka 8 merupakan alamat IP
tujuan yang menerima serangan dari perangkat penyerang. Angka 9 merupakan
TTL (Time To Live) atau hop limit dari maksimal hop yang bisa dilewati oleh
paket tersebut. Angka 10 merupakan source port dari alamat IP sumber pada sesi
yang sedang berlangsung. Angka 11 merupakan destination port dari IP tujuan
yang sedang menerima serangan dari perangkat penyerang (attacker).
3. Tahap Analysis
Pada tahap ini akan dilakukan tahap penelitian pada alerts Intrusion
Detection System (IDS) Snort dan capture Wireshark sebagai pembuktian
terhadap serangan yang telah te:tjadi. Tahap ini, dapat digunakan untuk menjawab
pertanyaan dalam investigasi forensik yaitu serangan apa yang te:tjadi, IP siapa
yang melakukan
IP siapa yang menjadi korban, melalui port apa
~·;.itu
im
2014-07-0:112:2:):04
2014-07.()512:24:42
2014-07-«1 12:24:42
74.125.68.15S:BO
192.1M.M.2:14 120
201wr.m 12:24:42
74.125.Ga.15eeo
,,2.1ea.•.z:14120
2014-07-0:)12:2 4"42
2014-07-0:112:24:41
2014-07-0:)12:24.4 1
2014-07-0:)12:24.00
2014-07-0:112:2 4:00
2014-{)7-0:112:23;:119
2014-07-0:112:23:59
2014-7«S:~u
14
74.12S.&a.1S&:eo
1!r.Z.16a.H.2:iE""'1:
Al4-UI