Analisa Serangan Bruteforce Menggunakan Metode IP Traceback

Artikel Dmiah

Peneliti: R. Angga A.P.H. (672009183)

lrwan Sembiring, S.T., M.Kom

Program Studi Teknik Informatika Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana Salatiga

Desember 2014

Analisa Serangan Bruteforce Menggunakan Metode IP Traceback

Artikel Dmiah

Diajukan kepada

Fakultas Teknologi Informasi

untuk memperoleh Gelar Sarjana Komputer

Peneliti: R. Angga A.P.H. (672009183)

Irwan Sembiring, S.T., M.Kom

Program Studi Teknik Informatika Fakultas Teknologi Informasi

Universitas Kristen Satya Wacana Salatiga

Desember 2014

ii

ANALISA SERANGAN BRUTEFORCE MENGGUNAKAN METODE IP

TRACEBACK

Oleh

R. Angga A.P.H.

NIM : 672009183

ARTIKEL ILMIAif

Diajukan K~pada Program Studi Teknik lnforrnatika guna memenuhi sebagian dari persyaratan

untuk mencapai gelar Sarjana Komputer

Pembimbing

Diketahui oleh,

Ketua Program Studi

FAKULTAS TEKNOLOGI INFORMASI

UwVERSIT AS KRJSTEN SATYA WACANA

SALATIGA

2014

iii

Lembar Pengesaban

Judul Tugas Akhjr : Analisa Serangan Bruteforce Menggunaka Metode IP Traceback

Nama Mahasiswa : R. Angga A.P.H.

NIM :672009183

Program Studi : Teknik Infonnatika

Fakultas : Teknologi lnformasi

Mengcsahkan,

Dinya!akan Lulus jian tanggal: 3 Desember2014

Penguji:

Hin iyanto Dwi Pumomo, Ph.D

2. Teguh ndra Bayu, S.Kom., M.Cs

iv

Pernyataan

Tugas akhir yang berikut ini :

Judul Analisa Serangan Bruteforce Menggunakan Metode IP

Traceback.

Pembimbing lrwan Sembiring, ST., M.Kom.

Adalah benar hasil karya saya:

Nama Mahasiswa R. Angga A.P.H.

NI 672009183

Saya tidak mengambil sebagian atau seluruhnya dari hasil karya orang lain kecuali

yang tertera pacta daftar pustaka. Pernyataan ini dibuat dengan sebenar-benarnya

sesuai dengan ketentuan yang berlaku dalam penulisan karya ilmiah.

Salatiga, Desember

R. AnggaA.P.H.

v

PERPUSTAKAAN UNIVERSITAS

UNIVERSITAS KRI;TEN SATYA WACANA Jl. Diponegoro 52 60 Salatiga 50711

JawaTengilh, lndout:~~ia Td p. 029M- 121212, Fa>r. 0298 121433

Em~il : lihra~.ulsw.edu;http: //Lbnry.uksw.edu

PERNY AT AAN TIDAK PLAGIAT

Saya yang bertanda Iangan di bawah ini:

Nama

NIM tb1 ,)(if) i'~3 Email

Fakultas ff~LDOI /IJI't:£A1.Mr Program Studi

Judul tugas akhir

Pembimbing

Dengan ini menyatakan bahwa:

~7-61<:\?9 rf?3@ .!llw:ltrtf · u~«w - ed..tJ

1"1!'1</J II< I ,..:Ff'o12. MAi 1/o A. .

1. Hasil karya yang saya serahkan ini adalah asli dan belum pernah diajukan unluk mendapalkan gelar

kesarjanaan baik di Universitas Kristen Satya Wacana maupun di institusi pendidikan lainnya.

2. Hasil karya saya ini bukan saduran/tetjemahan melainkan merupakan gagasan, rumusan, dan hasil

pelaksanaan penelitian/implementasi saya sendiri, tanpa bantuan pihak lain, kecuali arahan pembiQlbing

akademik dan narasumber penelitian.

3. Basil karya saya ini merupakan hasil revisi lerakhir selelah diujikan yang Ieiah diketahui dan disetujui oleb

pembimbing.

4. alarn karya saya ini tidak terdapat karya alau pendapat yang telah ditulis atau dipublikasikan orang lain,

kecuali yang digunakan sebagai acuan dalam naskah dengan menyebutkan nama pengarang dan dicantumkan dalarn daftar pustaka.

Pernyataan ini saya buat dengan sesungguhnya. Apabila di kemudian hari terbukti ada penyimpangan dan

ketidakbenaran dalam pernyataan ini maka saya bersedia menerima sanksi akademik berupa pencabuta.J;L gelar

yang telah diperoleh karena karya saya ini, serta sanksi lain yang sesuai dengan ketentuan yang berlaku di

Universitas Kristen Satya Wacana.

vi

FAKULTAS TEKNOLOGIINFORMASI UNIVERSITAS KRISTEN SATYA WACANA

Jalan Dlponagoro 52 - 60 Phone (0298) 321212 {Hunting)

Fax. (0298) 321433 E-mail·fu~

Salatiga 50711 -INDONESIA

Dengan mempertimbangk.an isi dari jurn~l mahasiswa :

Nama Mahasiswa

NIM

p. AP~tl- A- P. H

C:,7 o'2CCI!J lff3

Maka jumal ini dinyatakan :

Meaye\ujui,

Mcngotahui,

~ Penguji I

vii

( ............................... ) l'embimbing 2

.·'

PERPUSTAKAAN U NIVER S ITAS

UNIVERSITAS KRISTEN SATYA WACANA Jl. Oipooc:goro 51 - 60 ~latig.& 5071 1

J~w~ Tcngah, lndonc1ia T.,Jp.0298 l11212, f....,. 029S l21433

Email: library@adm.uksw.edu ; http://library.uksw.e<lu

PERNY AT AAN PERSETUJUAN AKSES

Saya yang bertanda Iangan di bawab ini:

Nama p . ,41->GG A. A. f'. H. (:,J .200911?3 Email

Fakultas Program Studi TFI<t->11< IIC'fO~MATI I<J..

Judul tugas akhir

Dengan ini saya menyerahkan hak non-e/rsk/w;;_r. kepada Perpustakaan Universitas- Universitas Kristen Satya

Wacana untuk menyimpan. mengatur akses serta melakukan pengelolaan terhadap karya saya ini dengan

mengacu pada ketentuan akses tugas akhir elektronik sebagai berikut (beri tanda pacta kotak yang sesuai):

~ Saya mengijinkan karya tersebut diunggah ke dalam aplikasi Repositori PerpustakaanUniversitas, dan/atau portal GARUDA

D b. Saya tidak mengijinkan karya tersebut diunggah ke dalam aplikasi Repositori Perpustakaan Universitas, dan/atau portal GARUDA **

1"*- Hak ya,g·;id~k·;;bQiQShanya bagi saiU/)ihak s"aJa. pe,;ga)af.: penehri. dan maiiaSiSWQy:;,:;g;;;enye~Qhta;;i;;;i-;;(;;;:et;/;;tj"TePddD·-i Repositori Perpustalwan Universita3 saat mengumpulkan hasil karya mereko masih memi/iki hak copyright atas karya tersebut. ! •• llanya alcon menampilkon halaman j udui dan abstrak. Pilihan ini htuu.~ diJampvi dengan perlje/asan! a/man terlulis dari pembimbing TAl

t __ dfl!!_f!.~t?:.'!'!{Pi'!_~pj!!!J?.f!!E!!IE!E!!.f!!...(1!~':!!!!Y.:._ ... -. _______ , __ , ___ ,_, _ ___ , ______ ,~-·-····-·-·-·····--·-·----·-·-----··~----~·-·····--.I

Demikian pernyataan ini saya buat dengan sebenamya.

Salatiga, Jl1 - f}an,uan - .Pol~ .

u~Afi+)

Mengetahui,

1l:mOO tcmg(RI &: nama terorrg[1Clflhimbittg II

viii

ANALISA SERANGAN BRUTEFORCE :MENGGUNAKAN METODE IP TRACEBACK

J)lL Aqp II. P. II, 2l lnRn s-:tltrtq Falwltaa Td:l:ol!QSi l'J!f....,•ri

~Kri1141DS&Iyl> w-JL Dip«11.of;oto $2-66, Salell,p ~ll,llldollH!a

l!ma!l: •> 6720091V@mndent llkrw.l!dt., 2l lrwan@slaft:ubw.eclo.

A6ltltul Tbe procc14 of mal}'lia 111 otrcmive ~ to 6-+ wjue the 80Ul'CC of 1he

llllllob:r, to delcnni:Dizl,g lho- oflhlllillllllbr luivo to do the «aaaysi.. 'beaed Oil the ~put ialo IDS s:aott -'-• dlla ~ Wnlllsrt.lllld til• a lot: c IDS. Tbe lot: tilo IDS \~sod Ill llln!:a&1beD vm-of 111 ~

Tbe ~ pmceu allal:k v.dng a mlldtod of IP tracbd, mmely ualn,s Prabalrililtic Pa.e.bt Mmd!!g (l'PM} on any mmm PPM ill pt"OIWrllity ~....,;., illfanna:tion ahoDt local rou1e1 to peclnrse lflrouP w!Uch 10 nO<B JlUiliOie lime~ ca11 rccomt1uct 1he colilj/ktt packqc impeneblc by eseminins tbe llisn with a matk on paekap recdoed. Proof of e"'idence file lop al<'Zt IDS, md arpture Wuahalk ~aDd W11RIIIIIIl)'ZGCI ill~ wi1h dlomelhocls UMd.

BII8Cid oo. dlo %Milia of -w. h.u bow. a.oeuled, m ll<'Zt IDS 111111 eapiW:'o ~ d.u bais "- lllllll~ can be llf«! to M*"''M the -of the~ !wed IIOII!CII port, deetjnotjm port, I01Il'C& ad~ md deetjftlfj(lll ~ All.d tho lo@ fllo cmlleli.Mid to~~ of an lllld:.

x.,-u: Nctworll: Fonmic, Intruoion Detcctioo SyitaD. IP TtacdJeck.

AIIGrU PlOiel BDBliia iCI'8DiJID ct;tmjlqm UDtuk 1MMDP00m IUIZLber' pcaytaD& umuk

m.eqclllaD llllllba'pcD,ym~~~&pa:lu melelrnlqg> llll.ll!ia badaalzkarl. dci bukti-bukli. yq diamlril dsli ., IDS SII.O!I; 4fll# ~ WIRIShsd<, dso fll~ log Pllda ms. Flk log IDS~ Ulllllk ~ bukd ... 1111'11D;g1111. ~ IIUllia -am mH!jp"'m metode IP 7No<Md; yal1u meqgaMkm

~Wk Plldet M~ (PPM). Pad& PPM NtiJp ,_. ICCara probebili!M mmdlftarbn iDfomlali taD1J8 jalur 1cbl kc pakct ~ mclahiio)>a aehi:Dga ~!He !Jiju.m dapetllll:nk~ jlllur !GDgbp Yllli cliiVWili oleh pWI deasm 1!!C!!!!'Ij!m tmda • llmda peda pllr;:t ~ di1crima. ll1lkli-ba1li dttrijiJe ltig. llkm IDS dm aJP.11W Wirolh8lk dillilili dill disnali• ~ dclnpl mdl)doY11!'&di..-kr

lkl\iaaoabn halll pcnel!t!BI! )'llll& li01ah .tl!aiubn, ~ IDS den eytwre ~ )'llll8 te1ah dl..,a!lp dt.~ 41JPm•bn lllllllk _.,Mm Sllllillll' ~ bcrdasar dari il:tni1'Ct pr»'t, t/'""""'Wt pM, .trM'OII e.U llfl dan~~~ a4tln.u. Den jiJe logdapltdiaunakm mdllk ~bukli edmya IIC!IIIIpl.

:X:.tablld :N~FIR'<WIIc,!Jrtrw.riMDd«ttDtt~ IP ~.1:

1) Mll!uilwt.F.tlalbo Teblologi Inf-•ri UI!Mnilos lt!il1oa Sol)'& w-2) SCaff!!'~ Nacloalllo!i:lmwl u~ Kdl1st. Sa!Jt. w"""""

ix

1. Pendahuluan Seiring dengan berkembangnya arus kemajuan teknologi aktifitas manusia

saat ini tidak lepas dari jaringan internet, dengan berkembangnya arus kemajuan teknologi, terutama pada kemajuan teknologi komputer meningkat pula kejahatan atau penyalahgunaan menggunakan komputer I jaringan komputer (cybercrime) tiap tahunnya. Mulai dari bekerja, hiburan, pendidikan, bisnis, dan pemerintahan. Beberapa contoh serangan tersebut diantaranya adalah serangan bruteforce. Serangan bruteforce algoritma yang memecahkan masalah dengan sangat sederhana, langsung, dan dengan cara yang jelas/lempang. Penyelesaian permasalahan password cracking dengan menggunakan algoritma bruteforce akan menempatkanan mencari semua kemungkinan password dengan masukan karakter dan panjangpassword tertentu tentunya dengan banyak sekali kombinasi password [1]. Selain serangan bruteforce ada juga serangan DoS yang merupakan jenis serangan bertujuan untuk mencegah pengguna menikmati layanan dari server. Serangan DoS menurunkan kinerja sebuah server, dengan terns mengulang request ke server sehingga server menjadi sibuk dan tidak mampu melayani request [7].

Top Impacts/Outcomes (All Entries)

• Unknown

• Den1al of Serv1ce SOL Injection

• Cross Site Scriptmg (XSS)

• Brute Force

• Predictable Resource l ocation

• Stolen Credentials

• Banking Trojan

• Unintentional Information Disci

• Credential/Session Prediction

• Cross S1te Request Forgery (C

• DNS HIJaCking

• Process Automation

• Misconfiguration

• Known Vulnerability

• Abuse of Funct ionality

• Content Spoofing

• Administration Error

• Cross-s1te Scripting (XSS)

• OS Commanding

Gambar 1 Top Impacts/Outcomes (All Entries) [1]

Berdasarkan pada Gambar 1, serangan bruteforce masuk kedalam serangan yang berbahaya dan dapat merugikan, yang masuk dalam urutan 5 untuk bruteforce.

Daily Trend of Attacks 2014 (Jan-Apr)

Gambar 2 Daily Trend of Attacks 2014 (Jan-Apr) [2]

1

~ gaWk clata pmher 2 yq diambil dari silwl H•clanae;o&loll.~ 80I'III,Illlll lllllblmyak ~adi. di 1Nlm a.Pril .2014, ~ periqll:at bl-2 lerjacli. dibulall. fe'bruari. 2014, dan peria&l:at D-3 berada di bulall Jmuari 2014.

lntrusiDft DuectiDII ~ (IDS) adalsh aebuah aptibB:i pcnm,slait hmalr. aim pa:IIXI&bt b:ras Y8lli dapat mcrwkteb:i llldM!a.s )'11118 mcncurigalam dalam se'buah sisCem alau j~ jadi IDS a1aU Siseem DeCobi l'ul.yu.rupan merupabJI se'buah sistem komputor )'&118 c1apat dikombinaailam. 1111tara 1strnlwtrre dall ~ )'&118 dspat mdak:1lbn JICilYUIUPIIII pada aebuah jmingm. IDS pada da.samya a.dalah S1llll1l. &istt:m ymg memi1\lri kcm.ampuan 1llltuk mmganali~a data seeara ~altiiM cla1lllll mcndelc:bi, mcreallt (lo&), IXII:I!Penlib:n ~ dan ~ IDS me:tllp8lcm tt1l:lli#JI ~Is }'1ll!,g ~ diglmakall11111U. me~~ghadapi aktivitaa 11od;;sn. bolt III01'Ilp8kan bagiall dari IDS d8l1 merupabn se'buah peru~gllllt hm11k tJpM soun:e. SDOrt lll.I!IIIKL melaku!rm ana1iaa rlltlltDrt.e trrtjfl& dan pdd 14ggw pada jai:D,pn lP dan dlpl1 mnpn•li88 pi"DtbcDD dall mela!qj!gm ~ variui ~ Snort jup memiliki kmnampum n!4l~ Q/m, dimalllt mekeni._ pelllliSUimll aWt dapet benJpa IUtlt' sy1'/og, file, llllil: aocka 8111Vpillmolalui t/rrtaMoe [3].

Seiillll!llil lmdtfmu a.daJah acbuah 1Eimilr: llC!8IIpll tcrhadap IICbllllh mlem koftnwnm lomputex yang meD,UIIIlllbn p!IRXI\Iaan ter'ha41p semua 1omci yaa rmmpjn PC!Idoblan illi pada awalD;ya ~ pada sdluah program kDmpmer yaug mll!!p!!de!bn ke'k!!a1an pemroaesan kowpu!er dibandill.@km keoerda.wl I!Wllllla. Sdl&gai ~ umuk menyeJeel!rpn aebuah p«aama88l kDadrat sepel1i x:"+'h:-44>-0, di 111m& x adalah sebush integer, dengm mengguoakm telmik. sc:nmpn btvtefilrce, ~ hmya ditumut II!IIUk membllll propm yanJ ~ba semJJa llilai illtogor yq rmmgtin II!IIUk po""'""''" tenebut 'hiDgga lli1ai x sebtgai jswaba!mya 1ll1iiiCIII. Istilab brute fon:e aendiri dipopulerbc oleh Ke!IDC1h bompson, dr:ngan mct1any11: "When in~ lliC lmlli>foroc• (jib. f118U, UIIJI)am bnito-foRe) 14].

Hr.tt:kN biaaauya melaiDikin pc~rt SCf1IUdllg te:rhadap lP (Inlenrtt l'rrMct>l) kxllb8n, llllluk """""D'•hn celah dari sirtan bamanan 1ika Mc.br ~ eelah lei1Icbut, uub. mn mcmudlhbn abes AacJru IIIIIUk: memanipului infomsui dm melalmlnw aktjfitwo.ektjfi!n llkgal. 1P l:ad!tm. }'11118 tdah di8C!'IIIll dapat disa'fabjpm•kan unlUk melalqjqn tin4aklln biminal lainn.ya ..:pa1i poni.IGkal1 dan pen=iazt dm lii8UpUI1 illflnmuj.illf'OIIIIali ponliug dari kDmptJI« ll:olba.. ICm:bao. dati SOf8II&N1 i1li .mng lr.ali. kMD!ilall dalam. meade1obi. dan melaw dmi - ll1.llllber ac:r&n,!lllll tcrsebut ben.sal. Ulllllk im dibuiWJbn sc'buah siJtem )'llllg mampv me '''1'''•11 aktifqs 1llu limas data p!lcl!a j"""&m aga:r dapat soe:m meade1ebi. btika 111!1iadi. Slmlllgaii.1118.11Uk. Salah 8ldU bell1uk mtem ini ada1ah l1117U1km DeJ8CtUm ~ (lDS) [S].

Dar! uralan tenebul Yllll8 me:nnmcull:m gaga•m dalam mlllllbengtln llllrwu:m ~Q'/1 S;y:ttmt {IDS) Snort ymg berpna umuk mmcletebi &mmg1lll

ti:!U!Bm.!I.I!CI'!IDpl ~ pada -aanjari:Dgan. Bada.Bor I!CI'I!XI&"'luncbm yang aQn dipila:h-pilah dan dianaliM 1II!IUk monont~!kan !AIIIIber ponyoran,g berdasar bukti yq ada.

2

A4epun bet•rpn mualsb agar ti..dak. "'•iii}"'CC'lu&s BRa pe:mbabaun pad.a po!llll]iliall illi. yaiiU ~ /ntrw1Q11 ~ Synl!m (IDS) berba.ili& Suart. 801'1111g81111ya benJpa Brutflf(Hce dan DoS sebagai pem'btmditl,gllya, lidak mem'behas pada penanggulsnpn Slllllll,8lllll tldak melakUbn pallsndlnpn betb&pi macam ~lma metodc IP t1'act!htu:k deDpn metode lain, dan JIC'Dil""...., difolaU:an pad& prosc& mmcmubn Slllllber _...,.!P"'

'I\ijwm dari pCII!ol.iliaJI illi. adllah 1llliUk !!!C!!"'Jtnbn IAI!IIber peuyeuw* m~ meloclo IP ~ dan memdaplltbn illf'o!:masi. Y11113 valid dan mudah dipel!•mi Mmtiiat ymg ingin dicapai dari penelitilm. ini membamu. ~ jari:npn dai.m pem•hamm tm!Jmg 1f:!11118111l/mmif01r!l! dm DoS apldlih D¥"iq.lndkan l!islcm kc:em-ja:rinpnnya.

2. Tln,l• ... PutUa Bmlaaar pmelitim )'liD,! tdlh dilokubn aebelumnya yang bajudu1 "Atltd

A.tt71btdirm fiR' DlslrliNt~ DDUtd of Servia alfll w,_ A.tllld' membahaa tentang 111.1111&0Qp101Ui m•aihm alrilnlri llmlll&ID clan 1ll.eii;IIISUlk bebonq'la soi11Si yaag alam. membuat idutruklm tlrtmlet yaag le'bih aman. Dllll memberlkan 101us:l atdbuai Sll:lllll,@IIIIIIII!Uk aeta~~pn DUtri1Mt«l DeRilll ofSIIT'Iice (DDoS) dm !ICIIIIIpD wtll'll'l [6]. ''Simului IP ~ dmp.n Algori1ma E./ftdellt PrrJixibllsllc Padtta J.llriiJig paola S/;ltx>folg AJt4dC' .,.,.,},«)!•• 1111tang ~ SIIIDber ..,.....,..... DOS ~ tebik BPPM (FJ/Icleltl ProNb/Utic Pact.et Mtriing) dan betbaail dalam ll!ellelltul:an sumb« aenmpn yang me~~ggulllbn IP Spoofecl. [7]. "Siatem Detekal Dan Po!snganan Inttuls:l MengsJmabn Snart dan Base [mplr:mm:1ui Pad. PT. Ouya Solui Tdmolosi" mem'bahu ~ ~mpl~ ~ ~~~ ~ (IDS) betbuil Suolt yq mampu !I!C!!Idelobi ~ &enlll,pl1 clan !l!CJillllliPilkllll a1et14 ~ teraebut melalui web BASE (8]. Dari penelitian1)efteli1Wl ymg telah dilalrnbn aebelumaya y&ll8 mendeu:ri pmn6Mn ini ~ DeUcdtPI ~f!ltf (IDS) m~ aeb\Uih aplib.8i pcmnabt

hmak aiau perao,gDt kina Y11113 dapat m'""""""'ri akli1itu )'llll,g ~ dalam aebuah jarinpl IDS dapret met•lm!ran in!p"kai ldladap lalu lintas i1lhmmd dan ouJ1JDtmd dalun IICbuah jllrinpn, mt'leknlgm 8!1•li.P• clan mencm:i ldii da:ri percobam WNsfD11 [9]. IDS bergwla Ullluk mmgmhui ad.mya emmgan )'IIIIi masuk.

DetmW dari Dml4l of~ (DoS) IDOIIIpalam 11p11ya 1llliUk me:neogah pe:IIU1IIIII8II yang sah !!'lC!!)QDts 1ay&u&o. ymg tomdia. DoS lDCII1UI'IIIlkl killo:tja sebuah 6tlf'llt11' deDsm ~enerua mCDpbmg nJqUUt le ll:l!ti'IID'. 8mm,pn ini menpkib«<kkin serwr kOiban mcnjadi aDuk -layani 'WJIIM ymg takirim dan berakhir dengan ~OIIIili:an aklivita& &tllu berbeati. dOIIgCI seDd:iriuya kAlmia tidak mampu m.o1ayalii. ~ [7]. Brutifr;rce .mt~ek adalah. sebuah mecodo 1lllllllc. mmjebol k.OOo rahada yaltu, mmdekripll! &obueh ll\b Y11113 telah tmmkripsl) denpn mtni:Obe. sem:aa knnnnpinm lamcl yq ada. FHJihility da:ri aebuah /wrmift~~r!e altlld: tc:lpntnng dllli panjlllljplya dp/ID' yang i:ngin dipecalikan, dan jumlah kompu1aai yang tertodia Ull!llk ~ Salah ..tu f'P•t•llmya l)(m!ama Cailt) ~ PliiiSI+'fH'd CNc.br m.OD.eOba &omUa :tombinasi. yaD,g lll1lllgtio.

3

dari karakter yang telah didefinisikan sebelum atau set karakter yang kustom melawan sebuah password yang telah terenkripsi di bruteforce dialog [ 4].

Teknik Investigasi yang digunakan adalah model proses forensik (The Forensic Process Model).

Gambar 3 The Forensic Process Model

Berikut ini merupakan tahapan dalam The Forensic Process Model yang menjadi dasar penelitan:

Tahap Collection, Pada tahap ini yang dilakukan adalah mencari bukti-bukti, pengenalan teibadap bukti.-bukti. penyusupan dan pengum.pulan bukti-bukti. IDS Snort d.igunakan untuk. mendeteksi adanya aktifitas yang mencurigakan pada jaringan. Pada Snort terdapat signature atau rule yang mengekstrak ciri dari paket data yang melewati jaringan, sehingga jika ada paket data yang mencurigakan dan sesuai dengan signature atau rule pada Snort, maka Snort engine akan meng­capture dan mengirimkan pesan alert untuk disimpan ke dalamfile log.

Tahap Examination, Pada tahap ini meliputi pemeriksaan dan pencarian informasi yang tersembunyi dari basil yang telah didapat dari tahap collection. Pemeriksaan dilakukan pada file log. access log dan data capture Wireshark yang telah dihasilkan oleh IDS Snort. Setelah terdeteksi adanya penyusup8J4 maka IDS Snort akan menyimpan ftle log sebagai alerts. Alerts pada file log inilah yang selanjutnya akan d.iteliti dan diperiksa. Selain itu, pemeriksaan juga di1akukan pada access log yang digunakan untuk menguatkan bukti adanya penyusupan.

Tahap Analysis, pada tahap ini akan terlihat basil pemeriksaan dan penelitian yang d.ilakukan pada ftle log. access log dan data capture Wireshark sebagai pembuktian adanya penyusupan. Tabap analysis ini, dapat digunakan untuk menjawab pertanyaan investigasi forensik yaitu serangan apa yang terjadi, IP siapa yang melakukan serangan, kapan serangan itu terjadi, dimana serangan itu terjadi dan berapa banyak serangan yang terjad.i.

Tahap Reporting, tahapan ini meliputi penulisan laporan dari tahap awal sampai tahap akhir dalam suatu penelitian. Dimulai dari proses pengumpulan bukti-bukti, pemeriksaan dan analisis data yang d.iperoleh dari semua penyelidikan. Dari basil analisis bukti-bukti pada file log. access log dan data capture Wireshark. dapat d.ibuat laporan tentang serangan yang terjad.i untuk selanjutnya dapat dilakukan rekonstruksi aliran data kejadian tersebut Tentunya tidak merusak: log yang sudah ada [11 ].

4

Du.a jcniB lltBma clari tdmik [p ~ tdah d;wdlmn clalam cilia dimmoi yaitu ~ IIUlrldng dlm.J'(ICI;et ft)pg. IP ~ bo!bW fXIC}:et muklllg 80I'il!,g diae'but sebagai. ~tic PIICUI Mtriitfg (PPM). PPM digollak:an untuli; memeoehbn m•saleb pllda IP lrl:u:ebacJr., Pada PPM aetlap TV/IJer -probabilicu mendoftarbn illformui tentq jalur lab! Ire pakr:t yang melaluinya """'in&P Mt!e tujwm dapet IIIIC!d!:<IIIBinlbi jlllm lmgtap )'8ll.lr dilc:wati ok:h pW:t deDgan mem.eriklla laDda • tallda pada pabt )'11138 ditorima. Peuc:Jelca1lm iDi mllllimbulkan sodikit ovorheed p&da router. Tap:i lalm!.a sifat p:rol>ab:ilirnk ia hanya dapatmenenlllbn I!IIDiberlalu 1iDlBa terdiri dsrijumlah psht [10].

3. Me1oclt Peneliti.u. 4u Peru .. npo Silte:m ~ )'llll,g ~adalab.IP ~ IP ~ ~

pell!dellata~ melrsnirmo benlaaa!km prohabili.stic p;kt l'lllR'iing (PPM). P• PPM ac:ti.ap 1'0'I.d6r -. pro!Uiliw mendldlarbn infoanui tmmn,g jalur lab! ke pakct }'lDIB melaluinya oclrin1111 'IIOik !$an daplt mcn:lr.cDilrubi jaJur 1en&bP )'IIIIi clilewlli oleh paUt dlmaan memerikJa flmd'-IIID4a p!lda palcet )'8111

dilerima [10].

Start

Flntsh

c-loor-' D:iapm Alir Pmoli!i.om Oamblr 4 menje'lukan slrolario ~ jarin,pn monU'ma!ran ~

lmlleff.lf'C4 dan DoS dan basil S«llllgao. abll. dilalcu!csn pro• ga!isa, jib ada 8el1lllBJIII }'lDIB lll88llk lntnt..!'iDn !RttiCiion ~...,_ (IDS) Snort berguna tmmk mcnyarina a.eran,pn lnwi!/Dn:l! dan DoS doJam &drwlh jllrinpn. Basil emmgBil

5

tersebut nantinya akan dilakukan investigasi berdasar dari alerts IDS Snort, log IDS, dan capture Wireshark. Berdasar dari alerts yang didapat dari serangan tersebut dianalisa menggunakan metode IP Traceback untuk menentukan sumber serangannya dan alur path serangan tersebut. hasil investigasi tersebut dapat menjadi bukti telah terjadi serangan untuk diserahkan kepada pihak yang berwajib.

Selanjutnya menentukan desain topologi jaringan, perangkat yang digunakan berupa laptop untuk IDS Snort, komputer sebagai attacker-nya, router hame sebagai modem, dan router mikrotik yang digunakan sebagai penghubung segmen perangkat yang berbeda dan berfungsi sebagai mirror dari attacker ke IDS Snort-nya. Untuk lebihjelas dapat dilihat pada gambar 5.

IP Add server: 172.168.1.2 Subnet mask : 255.255.255.252

Gateway: 172.168.1.1

Settingan modem HAME A2

I P Address Local : 192.168.2.1

Settingan Mikroutik

Settingan Attacker

IP address : 192.168.99.2 Subnet mask : 255.255.255.0

Gateway: 192.168.99.1

eth 1 (Internet) : 192.168.2.2

eth 3 (Attacker) : (1 192.168.99.1

0-------' Attacker

Gambar 5 Desain Topologi Jaringan

IDS Snort

Settingan IDS Snort

IP address : 192.168.88.2 Subnet mask : 255.255.255.0

Gateway : 192.168.88.1

Gambar 5 menjelaskan tentang topologi jaringan pada penelitian ini, skenarionya berupa attacker menyerang korban dan setiap packet yang dikirim attacker akan di-mirror pada IDS Snort. IDS Snort akan mendeteksi serangan berdasar pola serangan yang telah dimasukan ke dalam rules sebelumnya, jika serangan sesuai dengan pola yang sebelumnya telah dimasukan maka akan ditampilkan oleh IDS Snort terebut.

Selanjutnya dilakukan tahap instalasi dan konfigurasi pada IDS Snort. Dimulai dengan menginstal paket-paket yang dibutuhkan oleh sistem IDS. Setelah itu dilakukan instalasi paket-paket Snort, melakukan konfigurasi pada Snort engine. Rules yang digunakan adalah rules standar dari IDS Snort. Tahap persiapan IDS telah selesai, IDS siap digunakan untuk mendeteksi serangan jika gagal ulang lagi pada tahap proses konfigurasinya.

Tahapan konfigurasi router Mikrotik, agar alerts serangan yang dijalankan bisa masuk ke IDS Snort. Perlu diketahui router Mikrotik RB750 merniliki 5 ethering yang berfungsi untuk membentuk 5 segment network yang berbeda. Pada

6

etberl menuju ke modem huawei (internet), ether2 menuju ke IDS Snort, dan etber3 menuju ke jaringan local (attacker). Gambar 6 terlihat tampilan setingan address list setiap ether yang terhubung ke device masing-masing.

Addrt-ss Lrst ~ CJ

[ "

Gambar 6 TIIDlpilan setingan address liat dan ether yang terhubung lw masing-masing device

Pada gambar 6 terlihat tampilan konfigurasi address list dari setiap ether yang terhubung dengan masing-masing device, Interface ether 1 mewak:ili internet mempunyai ip address 192.168.2.2124 mengikuti konfigurasi di modem router HAME A2 yang memilik ip address 192.168.2.1, Interface ether2 yang mewak:ili Snort IDS mempunyai ip address 192.168.99.1/24, dan Interface ether3 mewakili local (Attacker) mempunyai ip address 192.168.88.1/24. Setelah melakukan konfigurasi address list dilanjutkan untuk melakukan konfigurasi firewall NAT agar setiap device dapat mengakses internet. Konfigurasi firewall NAT terdapat pada 7.

T ' R»tet ounter~ oo Reset AI Co\rlll!S

Src. Addre;; Dst Address'Prolo.. Src. P01t ]Dst. P01t --" -In Inter ... Out. Int ... I"'

etherl

Gambar 7 Tampilan konfigurasi NAT Firewall

Pada gambar 7 konfigurasi firewall NAT etherl di konfigurasi sebagai gateway menuju internet menggunakan action masquarade. Konfigurasi DHCP server agar mendapat ip secara otomatis. Dapat dilihat pada gambar 8.

7

DHCP Networks l""ses Qpt.,ns Alerts

N"'"" <h:pl <h:p2

'f DHCP Corlig

lntetf~e ether2 ether3

DHCP Sel141

A~ lease Tine [Adaess Pool 3d 00:00:00 dhcp.J>0011 3d 00.00:00 dhcp_pool2

AddAR ... no no

Gambar 8 Tampilan konfigurasi DHCP Server Pada gambar 8 merupakan konfigurasi DHCP Server untuk. interface ether I

dan etb.er2 agar mendapat ip secara otomatis. Hal yang dilakukan untuk konfigurasi akhir adalah konfigurasi port mirroring yang dapat dilihat pada gambar 8. K.on:figurasi port mirroring ini berguna untuk traffic sniffing dalam jaringan dengan melalrukan copy traffic dari inteiface asli (Mirror-Source) kemudian mengarahkan traffic tersebut u ke lain fMlirrr,•r-1arl7etJ . -. ''-__ . ----~

Switch Port Host VLAN Rcje

T

Gambar 9 konfigurasi port mirroring

Pada gambar 9 mirror source dikonfigurasi pada ether3 dan mirror target dikonfigurasi pada ether2 yang bertujuan untuk semua traffic dari ether3 (local) di-mirror ke ether2 (IDS Snort).

4. Basil dan Pembabasan Pada tah.ap sebelumnya telah dilakukan konfigurasi sistem untuk perangkat

keras yang digunakan sebagai IDS Snort, selain itu dilakukan konfigurasi dasar dan port miromng pada router Mikrotik RB 750. IDS Snort berguna menangkap alerts dari attacker yang telah di mirroring ke IDS Snort. Alerts data serangan dari IDS Snort, capture Wireshark. dan log Snort akan diteliti ketika melakukan investigasi. Kemudian alerts dari IDS Snort tersebut akan dikumpulkan dan dianalisa untuk dilakukan investigasi guna menentukan sumber penyerang.

8

Gambar 10 merupak:an serangan menggunakan Ncrack, Ncrack ini merupakan sa.lah satu tools Bruteforce yaitu tools pemecah kode I kunci password yang mencoba semua kemungkinan username dan password. Pada proses ini Ncrack memvalidasi username dan password korban melalui celah port ftp korban atau port. 21. Username dan password yang digunakan ketika login terlihat 10.

Gambar 11 senmgan DoS Gambar 11 merupakan serangan menggunakan hping3, hping3 ini

merupakan sa1ah satu tools dari back.track 5 r3, yang digunakan untuk membanjiri request k.orban, sehingga korban tidak dapat menikmati layanan dari server atau

d.ilihat 12.

9

Gambar 12 Dampak Serangan pada korban Gam bar 12 merupakan tampilan dampak dari serangan N crack, terlihat

kinetja komputer korban meningkat. Karena request yang terlalu banyak dari attacker untuk melakukan validasi username dan password yang dilakukan korban melalui port ftp, dan log korban menjadi semakin banyak karena aktifitas attacker yang mencoba va1idasi username dan password yang di-generate o1eh Ncrack dan log authentication korban mencatat aktifitas tersebut.

Untuk mengetahui sumber penyerang perlu dilakukan teknik investigasi forensik yang bertujuan untuk mendapatkan identitas penyerang yaitu dengan cara mengumpulkan bukti-bukti hasil serangan (Collection) berdasar alerts Intrusion Detection System (IDS) Snort dan capture pada Wireshark, setelah bukti-bukti terkumpul akan dilakukan tahap pemeriksaan (Examination) berdasar bukti-bukti yang ada pada alerts Intrusion Detection System (IDS) Snort dan capture pada Wireshark, setelah melakukan pemeriksaan (Examination) selanjutnya akan dilanjutkan pada proses penelitian (Analysis) untuk menemukan sumber penyerang dari bukti-bukti penyerangan, setelah menemukan sumber penyerang akan dilanjutkan ketahap laporan (Reporting) dalam bentuk: tabel berisi tentang kapan waktu penyerangan tetj adi, ip sumber serangan dan port yang digunakan, ip korban dan port yang telah diserang pelaku, informasi tentang nama serangannya dan semua hasil tahapan ini nantinya akan dimuat dalam bentuk: tabel reporting yang akan mempermudah informasi serangan telah tetjadi yang berguna untuk: pelaporan kepada pihak yang berwajib.

Menurut The US Department of Justice, dalam melakukan teknik investigasi forensik ada 4 tahap yaitu :

1. Collection I ) 121311-27154) lsnortJ1NFOweblllgOxO!if:i1EfiiP

121411-77009) 1Sil0f1J CCMIUNIIY SIP TCPnP message~ cn:tal\o SIP 1""Y 1215-i\-270101 lsnor\1 COMMUNITY SII']CP/IP _JI'OSsaQe i1<Xx11k! <!reeled to SIP [WOX'{

f2Mi1-27003) Jsnort) CCMIUNITY SIP TCPnP message lkxXIrg <!reeled lo SIP 1""Y

l15559il·ln86) JEmllueatsjSyn1'l<x!lfi)SOltlalioo

l15560il·lnl7) JEmlllreots)Syn~Simllml

2014-12.001~:00:48

2014-12.001~:00:48

2Q\4j)7.(!i12:23:59 74.12~61. 151:00 191161.9!.2:14119

20\.W.(!i 1Z1~:~1 192.161.9!.t.1J91~ 117.74.124.67:21

2014j)7.(!i 12:)~:~1

2014j)7.(!112:1~44

191161.9!.2:1391~

117.74.124.67:21

117.74.124.67:21

192.161.9!.2:13931

191161.9!.t21112

192.1111.9!.3:- .

117.74.124.67:11XXKl

1!7.74.124.67:11XXKl

11556112·\nlll) JEmlllreats)SynFkxici!JJSimjalioo 2014-12.001~:00:48 191161.9!.3181~ 1F.74.124.67:11XXKl

11556212·1n19) JEmn..als)SynFioolnjS- 2014-12.001~:00:48 191161.9!1.3:21118 117.74.124.67:11XXKl

Gambar 13 alerts pada IDS Snort

TCP

TCP

TCP

TCP

TCP

TCP

TCP

TCP

Gambar 13 merupakan bukti alerts yang muncul saat IDS Snort melakuk:an sniffing dan mendeteksi adanya serangan pada jaringan. Alerts ini kemudian akan

· · ke dalam database diambil dari Snort.

10

Gambar 14log Snort fast_output Gambar 14 merupakan file log asli dari Snort yang dihasilkan dalam format

teks. Semua aktifitas traffic serangan dari user pada jaringan lokal akan di-capture oleh Snort dan dilakuk:an logging. Selanjutnya bukti-bukti yang telah dikumpulkan tersebut akan diperiksa dan diteliti lebih lanjut pada tahap examination .

. 2 .. . T!IDap J!x~mination - 128J.iH7154l lsnortiiNFOwe!llx.QOxOiifatllii!IX ;!.114-0Hl51Z23:il 74.125.61.156 00 192.161.99.2:14119 CP

r f2M1H7~)[S11011J COMMUNITY SIP TCPnP lll!SSII}l lklxlrg IW:Ioo lo SIP J:10XY ;!.114-07.00·1Z15:51 192.161.99.2: 117.74.124.67 21 TCP

r Jml'\1•l/UIUJ IS11011jt;UMMUNIIT ~lr lm~mesSIIJliiiXXIIIJIIOOiiOIO~IrJ:IOXY . IIDIIB'JI)IIII

1\il.WH!llm:Jl l~L lbll.ll.ll~IJ ll l.ll.lll.bUI It;~

07 05 12 .15:51 3619;4 " : tom:to2: 1" . Cam 1ca:1on: Atte,pte Oen1a f Serv1ce 'P·1ont : 2' TCP 19: loS 99 2 > 117 74124 67:21

~~11-f,I;»P~,.ij:iii&I!M'I iiitiitiiiliiiiti:tillJ~:i;&iitfiiiliiiiJil&i.£jijl.lli, ;ji; itiiiij~,~·~·lirnli\~1&1 I

t1S560-(2·17717) )EmThrm) syn Fkllxl~ SiniJiim 2014-12.(11 15:111:48 112.118.19.3: 117.74.124.67:1IXXXI TCP

115561;HI718) IEmThrm ) Syn Fkllxlrg Sim~atioo

Jij68·1o os ;g 6941": " , 11 1eeeee2 e· :,o F\oc~;rg s ·"'at1on [" Pr\C"~Y

. J] r·:o ) 11" ·; ::; o' ::oee

Gam bar 15 bukti kesamaan antara alerts pada ACID BASE dan log fast_ output pada Snort Gambar 15 merupakan bukti file log yang dipilah-pilah berdasarkan IP

addresss, port pada Snort dan waktu serangan serangan itu tetjadi. Di gambar 13 terlihat waktu serangan dan jenis serangan yang sudah dikelompokan dengan ciri­ciri jenis serangan, serta destination address dan destination port korban. Alerts serangan yang di-capture nantinya akan menjadi bahan analisa untuk mendapatkan sumber dari penyerang (attacker), dan nilai Probability Packet Marking (PPM) nantinya sebagai pembuktian kebenaran route yang digunakan oleh attacker.

11

base_pac;ket 1- 7009.p<;ap [W~reshar1c 1.10.8 (v1.10.8-2-g52<)5244 from master- 1.10)1 file (dit ~- ~ 'apture Analyze ~oJtistics TelephOOX !ools jntemals Jjelp

0 ® • i!3 Ill IC 2 •• oQI 'I' "' I!;;Jie<l e. El. <ll. P"l II ~ ~ 0 Filter.

No. Time Sourtt 10.000000 192 .168.99. 2

OHtinoJtion 117.74.124.67

Expression ... Clear Apply S.Ve

Protocol length Info 1-'TP 68 Request: US£R discuss

!II uhernet II, src: 11:22:33:44:55:66 (11:22:33:44:55:66), ost: de:ad:ca:fe:ba:be (de :ad:ca:fe:ba:be) S internet Protocol versi on 4, src: 192.168.99. 2 (192.168.99. 2), ost: 117.74.124.67 (117.74 .124.67)

version: 4

Header length : 20 bytes !II Differe ntiated s er vices Fi eld: oxoo (OSCP OxOO: Default; £CN : OxOO: Not-£CT (Not £01-Capabl e Transport))

Total Length: 54 Identification: Ox02la {570 )

t' !-'lags: OxOO Fragment offset: 0 Time to live: 128 Protocol: TCP (6) Header checksu11 : Oxel<lf [validatiOf! disabled] Source: 192.168. 99.2 (192.168. 99. 2) Destination: 117. 74 . 1-'24 . 6 7 (117- 74 . 124.67) (so urce GeoiP: unknown] (Destinat ion Ge.oiP: unknown]

·m Trans.-ission Control Protocol, Src Port: 1391 5 (1 3915) , Ost Port: 8 File Transfer Protocol ( FTP)

USER discuss\ r \ n Request con.and: USER

0000 0010 0020 0030 00<0

Request arg: discuss

9 111!' Fr&me (frame),68 es

IUUi Filter:

No. Time source

"" - X c ~ Q.

Expression ...

Destination Protocol Length Info

10.000000 192.168.99.3 117.74. 124. 67 TCP 54 lbt-.-easure > ndmp [SYN] Se~r=O Wm=S12 Len"O

• Fn.-e 1: 54 bytes on wire (432 bits), S4 bytes taptured (432 bits) • Ethernet II, Src 11:22:33:44:55:66(11 :22:33:44:55:6!1,.Dst : de:ad:ca:fe :ba :be(de:ad: ca : fe :ba :be)

"lnternetProtocolVersion4, Src: 192.16B.99.3(192. 168.99.3).Dst: 117.74.124.67(117.74.124.67)

Vers1on: 4

Headerlength :f;2q,.._Dytes • D1fferent1ated Services Fleld~ o~OQ (OSCP o~oo :- ~fault ; ECN: OxOO: Not-ECT (~ot ECN-Capable Transpor t) )

' bal;e_pach!,_:t-17787.pcap"selected(94bytes)

Gambar 16 Sample alert yang terdeteksi oleh Snort diambil dari Acid Base Gambar 16 merupakan sample alert dari Snort yang didapat dari Acid Base.

Pada sample ini kita bisa mendapatkan informasi alamat IP sumber, alamat IP yang dituju, lSI paket yang dikirim, MAC address dari perangkat yang mengirimkan paket serangan (attacker), MAC address perangkat yang menerima paket serangan (korban), dan menampilkan data transaksi yang sedang berlangsung. Tampilan yang sedang berlangsung pada gambar 16 merupakan sesi aplikasi file transfer protocol (FTP) yang dilakukan oleh penyerang (attacker) dalam hal ini adalah sesi yang dilakukan oleh aplikasi bruteforce dan DoS.

12

file fdit ~iew ~

o® • .a i'OD X ;;, Filter. ftp

Time Source Protocol length Info FTP 9 Respons e: 331 PassWOI"d r equi red f or s.anzui k. 5875 5532. 1650 117. 74 . 124. 67

5902 5592.4374 117.74.124 . 67

DHtination 192. 168. 99. 2 192 . 168.99.2 12 Response: 220 proxy FTP ser ver (version 6 . 4/ o pensso/ Linux-f tpd-0.17) ready.

9694 11726. 818 192. 168. 99. 2 9703 11788. 429 117. 74 . 124 . 67 9 72011848. 968 117.74 . 124 . 67 9731 11898. 129 192. 168. 99.2 9812 12485. 627 117. 74 . 124 . 67 981512509. 407 117.74.124.67

982712627. 574 117. 74.124.67 985012746. 454 117.74 .124.67 987412815. 65 117. 74 . 124.67

117 . 74.124 . 61 192.168. 99. 2 192. 168. 99.2 117.74.124 . 6 192.168. 99. 2 192.168.99.2

192.168.99.2 192 .168.99.2 192.-1.68. 99. 2

Request : USER usermune Response: 530 Login incorrect .

8 Response: 331 PassWOf"d r equired f or vuln 6 Request : PASS 123456 7 Response: 530 Login incorrect. 1 Response: 530 L09in incorrec t.

fn i n rr

3

~ ~~~=~::~ &;t~~: ~:~~t:c4~\;~~f~92~~~~~~~ll~!~ ~~~S. ~t : Rout~r~ ~~~~~~=~67d4~~;~ ~~ ~~~;~~~e0 6 4 version: 4 Header length: 20 byt.es 7 ~

w ~~~:~r~~~~~~d~ervices F'ield: o xoo (DSCP OxOO: oe~ult ; ECN : OKOO: Not-ECT ot ECN-capable Transport) )

Identifi ca t i on: OxOHa (570) lB Flags : Ox02 (oon ' t Fragr~ent)

Fra -ent offset: 0

Pr otoco : TCP 9 • Header checksu111: o xel4f [ vali dat ion disabled]

sour ce: 192. 168.99. 2 (192.168.99.2) Dest ination: 117.74 . 124.67 {117 . 7471.24.67)

~~~~~~a~~~~P ~e~~~~~lnQW.T1) 1 Q • Trans•ission control Pr otocol src POrt: 13915 13915

[

0000 d4 ca 6d d8 c 7 eO 10 bf 48 31 3c f1 08 00 45 00 0010 00 36 02 la 40 00 80 06 el 4f cO aS 6 3 02 75 4a 0020 7c 4 3 l6 Sb 00 15 83 aa 2b 82 dB b2 fl de 50 18 OQ30 01 00 de e9 00 00 55 5l 45 52 20 64 69 73 63 7 5 0040 73 7l Od Oa

11 ost Port: ft 21 s e : 1 Ack : 1 Len: 14

. . . . . ... H1< .. . E.

. 6 . :0 .. .o . . c. uJ IC6 [ ... + ... . . P.

.US ERdi s cu

Q~ Filf:: "J:\sno"\tcpdump.tog.1404S31591r24881 Pack<!t!i:I01S2.· 0.~pl~13({).1%) ·loadtomf:: Qil0.404 Profi lt;

n hp1ng [Wireshark 1 6 7] t%1 ~::. t, ... l r " J. XO <() {}

F le Ed1t V ( Anl , t>p~on, lool\ lntt>rndl\ Ht> lp

Pro file: Default

Gambar 17 lsi dari tcpdump pada Snort Gambar 17 merupakan file log kumpulan paket yang ter-capture o1eh Snort.

Log ini berguna untuk menentukan log traffic dari attacker dan korban. Dari file ini kita dapat menghitung perkiraan hop yang dilewati. Angka 1 merupakan kolom keterangan alamat IP sumber dari paket pengirim dan alamat IP penerima paket. Angka 2 merupakan kolom keterangan protocol dari sesi yang sedang berlangsung. Angka 3 merupakan kolom keterangan informasi dari paket terse but, tentang informasi data yang dikirim atau diterima dari sesi yang sedang berlangsung, pada kolom ini kita bisa melihat aktifitas dari serangan yang terjadi dan menentukan apakah aktivitas itu adalah sebuah serangan atau bukan. Penentuan jenis serangan bisa kita hitung dari banyaknya paket yang serupa, serta

13

data yang ter-capture merupakan salah satu ciri atau bentuk pola serangan. Angka 4 merupakan detail keseluruhan dari paket yang ter-capture. Angka 5 merupakan MAC address attacker (Sumber pengirim serangan). Angka 6 merupakan MAC address dari korban (penerima serangan). Angka 7 merupakan alamat IP Sumber (attacker) yang digunakan oleh penyerang saat itu. Angka 8 merupakan alamat IP tujuan yang menerima serangan dari perangkat penyerang. Angka 9 merupakan TTL (Time To Live) atau hop limit dari maksimal hop yang bisa dilewati oleh paket terse but. Angka 10 merupakan source port dari alamat IP sumber pada sesi yang sedang berlangsung. Angka 11 merupakan destination port dari IP tujuan yang sedang menerima serangan dari perangkat penyerang (attacker).

3. Tahap Analysis Pada tahap ini akan dilakukan tahap penelitian pada alerts Intrusion

Detection System (IDS) Snort dan capture Wireshark sebagai pembuktian terhadap serangan yang telah te:tjadi. Tahap ini, dapat digunakan untuk menjawab pertanyaan dalam investigasi forensik yaitu serangan apa yang te:tjadi, IP siapa yang melakukan IP siapa yang menjadi korban, melalui port apa ~~·~·~;~.itu im

14

2014-07-0:112:2:):04

2014-07.()512:24:42

2014-07-«1 12:24:42 74.125.68.15S:BO 192.1M.M.2:14 120

201wr.m 12:24:42 74.125.Ga.15eeo ,,2.1ea.•.z:14120 2014-07-0:)12:24"42

2014-07-0:112:24:41

2014-07-0:)12:24.4 1

2014-07-0:)12:24.00

2014-07-0:112:2 4:00

2014-{)7-0:112:23;:119

2014-07-0:112:23:59 74.12S.&a.1S&:eo

2014-07-«S12:1~::u 1!r.Z.16a.H.2:iE""'1: All4-UI-<J:Il.o!:l~:;,1

TCP

TCP

117.74.12U7:1(IOC(I TCP

11555712-17784) [EmThreatsJSynFioodlngSimi.AaiiOn 2014-12.(1615:06:48 117.74.124.67:1(IOC(I TCP

11555&-(2-17785) [EmThraats] Syn FlOOding Slll'UaiOn 2014-12~ 15:0!1:43 192.168.9U:2612 117.74.124.67:1(IOC(I TCP

115559-(2-17786) [EmThreats] SynFioodlrJJSirnJatiOn 2014-1Nlll15:06:48 192.168.99.3:2612 117.7i.124.67:1(IOC(I TCP

lf!15560;2-17787) JEmThreatlj Syn Aocdog SlmtJallon 2014-12-08 15:06:46 192.168.99.3: 117.74.124.67:1(IOC(I TCP

115561-(2·11733) IEffiThreatsl Syo Floodl~ Slrruatioo 2014-12-0815:06:46 192.1A.99.3:2615 117.74.124.67:10000 TCP

115562'{2·117SII [EmThreats)SynFIO!xlrJJS!rrUaiiOn 2014-12-08 1:i06:46 192.1611.99.3:2616 117.74,124.67:10000 TCP

11S56312-tmo) [EmThreatsJ Syn Flooding SimUatioo 2014-12-0815:06:48 192.168.99.3:2818 117.74.124.67:1(IOC(I TCP

115584i2·17791) [EmThrutsJSynFioodngSirrUation 2014-12-08 15:06:48 192.168.99.3:2821 117.74.124.67:10000 TCP

'155fi5-{2·tn92) [EmTrnats] Syn FlOoding Slr!UatiOn 2014-12-08 15JJ6:48 192.168.!1!1.3:2821 117.74.124.67:10000 TCP

11551&-(2·17793) [EmThrtats] SynFIOodlng SinUallon 2014-12-()fl t5:01U3 112.1611.99.3:2624 117.74.124.67:t(IOC(I TCP

Gam bar 18 Analisa Data Acid Base dan fast_ output Snort

Pada Gambar 18 merupakan log alert dari Acid Base dan fast_ output dari aplikasi Snort. Data dari hasil tahap examination yang diambil akan dikumpulkan untuk dianalisis lebih lanjut, dari hasil pengamatan log yang dikumpulkan oleh aplikasi SNORT dari gambar 18 terlihat frekuensi waktu dan jenis serangan beserta IP dan port yang terjadi secara cepat dan terus - menerus. Dapat disimpulkan bahwa log tersebut merupakan salah satu pola dari sebuah serangan Bruteforce dan SYN flooding ini terbukti dari pola serangan yang diterima atau ter-capture oleh korban yang dalam hal ini sudah dilakukan monitoring paket yang diterima oleh korban dengan ketentuan yang sudah ditetapkan oleh aplikasi Snort.

file ! dO ~- li•

0 ® • filtft': hp

No. Tiopt Sou1ct Dtstin.tion 5875 5592.1650 117. 74.124.67 192.168.99.2

lmo Response: 331 Password required for s11anzuik.

5902 5592.4374 117.74.124.67 192.188.99.2 Response: 220 proxy FTP server (version 6.4..-opensso/Linux-f tpd-0.17) ready.

9694 1172 • 818 192.168.99.2 9703 11788. 4 29 117. 74.124.67 972011848.968 117.74.124 . 67 9731 11898. 129 192.168.99. 2 9812 12485 . 627 117.74.124. 67 981 5 12509.407 117.74.124.67 9820 12563.707 192.1,68.99.2 9827 12627.574 117. 74 . .124.67 9850 12746.454 117. 74. 124.67 9874 12815 . 65 117. 74.124.67

117.74.124.6 192. 168.99.2 191.168.99. 2 11!.74 . 124,6 192. 168. 99. "2 192.168. 99. 2 117.74 . 124.6 HP

192.168. 99. 2 ,. 192.168. 99. 2 192.168.99.2

Request: USER irewa Response: 510 Login i ncorrect. Response: ll1 Password required for darren. Request: USER username Response: 530 Logi n incorrect. Response: ll1 Password required for vu1n Request: PASS 123456 Response.: 510 Login i ncorrect. Response: 510 Login i ncorrect.

in in rr ct.

~ ~~~=~~=~ l);t~~~: ~:~!t:c/\~~~f~9/o:~~~~31:lc~!l . Rout~r~ ~8~~~ :~ d4:~~~!~~~/~~eo 6 4 version: 4 Header lenqt:h: 20 bytes 7 A

~, Differentiated services ield : OxOO (OSCP 0~00: Default; ECN: OxOO: Not-ECT ~ot ECN-Capable Transport)) Total Length: 54 Iden"t.1fication: Ox023a (570)

t Flags: Ox02 (DOn't F.ragment) Fra ment offset: 0

Protoco : TCP 9 • Header checksu111: Oxel4f (val idation disable:d)

source:: 192.168. 99. 2 ( 192.168. 99. 2) Destination: 117.74.124.67 (117. 74. 12.4.67)

~~~~~~a~~~~P~e~~~~tlOWn] 1 Q 11 J1 Trans111ission control Protocol Src Port: 11915 1 3915 Dst Port: t=t:

~0000 d4 ca 6d d8 c7 eO 10 bf 48 l1 lc f1 08 00 4 5 00 .. • · .... H1< .. . L 0010 00 36 02 3a 40 00 80 06 e3 4f cO aS 63 02 75 4a . 6. :0 .... o .. c . uJ 0020 7c 43 36 5b 00 15 83 aa 2b 82 d8 b2 f3 de 50 18 IC6( ... + ..... P. 0010 01 00 de e9 00 00 55 53 45 52 20 64 69 73 6] 75 .us ER discu 0040 73 73 Od Oa

OM F~e 'J:\snort\t<pdump.log.l404m590"24881 PKkcts:l01S2 · 0isplfyt"d:13(0.1%)-Lo•dtome0:00.404

Gambar 19 Analisa capture data tcpdump dari snort serangan bruteforce Profile

Gambar 19 merupakan salah satu serangan yang ter-capture oleh aplikasi Wireshark yang sudah di-filter dengan jenis protocol-nya (FTP). Nomor 1

15

memperlihatkan IP attacker dan IP korban, di gambar 19 tercantum IP address 192.168.99.2 dan 117.74.124.67 sedang terjadi sebuah transaksi pertukaran data dengan menggunakan protocol FTP yang terjadi secara terus - menerus. IP 192.168.99.2 berlaku sebagai IP penyerang (attacker) karena melakukan koneksi ke ip address 117.74.124.67 dengan port yang dituju adalah port 21 (FTP). Nomor 2 adalah protocol yang saat itu digunakan yaitu FTP. Nomor 3 memperlihatkan informasi dari traffic yang melintas dijaringan termasuk aktifitas attacker dan korban dari gambar 19 terlihat aktifitas yang sedang terjadi yaitu aktifitas request dan respon antara komputer penyerang dan korban, komputer penyerang mengirimkan request kepada korban dengan isi data yang berisikan request autentikasi dari salah satu service yang tersedia pada IP korban, lalu korban membalas dengan request tersebut dengan data yang berisikan suatu kesalahan login. Nomor 5 memperlihatkan MAC address dari komputer penyerang (attacker). Nomor 6 adalah perangkat router yang meneruskan serangan dari komputer penyerang (attacker). Nomor 7 IP penyerang (attacker) yaitu 192.168.99.2. Nomor 8 adalah IP yang sedang diserang (korban) yaitu 117.74.124.67. Nomor 9 adalah TTL (Time To Live) yang mengindikasikan jumlah link maksimum dimana paket 1Pv4 dapat berjalan sebelum ia dibuang. Nomor 10 menunjukan source port dari pelaku (attacker) yaitu melalui port 13915. Dan nomor 11 adalah port dari korban yang diserang yaitu melalui port 21. n hplng [W1reshark 1 6 7] ~ "~ t1 oi'l) o ~2 PM 1 '~">xn {!J-

Fde ephony Tool~ lnU" 1d llclp

Transmission control Protocol (tc... Packets: 18687 Displayed: 18687 Marked:OLoad tim~ O:q2.361 Profile: Default

Gambar 20 Analisa capture data tcpdump dari snort serangan SYN flooding Gambar 20 merupakan salah satu serangan yang ter-capture oleh aplikasi

Wireshark yang sudah di-filter dengan jenis protocol-nya (FTP). Nomor 1 memperlihatkan IP attacker dan IP korban, di gambar 20 tercantum IP address 192.168.99.3 dan 117.74.124.67 sedang terjadi sebuah transaksi pertukaran data dengan menggunakan protocol FTP yang terjadi secara terus - menerus. IP 192.168.99.3 berlaku sebagai IP penyerang (attacker) karena melakukan koneksi

16

ke ip a.ddr:ess 117.74.124.67 dengan port yang dituju ada1ah port 10000. Nomor 2 adalah protocol ya:og saat itu digunabn yaitu FI'P. Nomor 3 m.empe:rlibalku infonnasi dari traffic yang m.clintas dijaringan tmnasuk aktifitas attacker dan korban dari gambar 20 terlihst aktifitas yang sedang tetjadi yaitu aktifitas request dan respon amara komputer pen:yerang dan kOJ:ban, komputer penyerang mengirimkan SYN flooding kepada korban yang bertujuan 1.mtuk membanjiri request Ire korban. Nom.or 5 memperlihatkan MAC address dari komputer penyerang (attacker). Nomor 6 adalah peran~t routu yang meneruskan serangan dari kompater ponyerang (attacker). Nomor 7 IP penyerang (attm:ku) yaiiu 192.168.99.3. Nomor 8 adalah IP yang sedaug disora~~g (.Kmban) yaitu 117.74.124.67. Nomor 9 adaJah 'ITL (7ime To Live) ya:og mengindjkasikan jumlah link maksimum ctimana paket IPv4 dapat bcrjalan scbelum dibUIIDg. Nomor 10 memmjulain source port dari pclsku (attacker) yaitu mcJalui port 2815. Dan nom.or 11 adalah port dari korban yang dilenmg yaitu m.elalui port 10000.

Gambar 21 mempakaD IP adiJNsa dari router yang dilewati oleh paket serangan yang dikirimkaD oleh penycnmg (t11tacker). Dari basil trflCm tenlebut hiss. didapatkan benlpa jumlah lwpa yang harus dilewati. dan informasi IP addre.ss dari router yang dilewati oleb paket yang dikirimkan oleh komputer penyerang (attacker). Dalum hal ini route pada gamber 21 me:rupakan route se'be:aamya yang digunaksn olch penyerang (attaclrer) yang sedang berlamgwng pada saat itu.

4. Tahap Reporting Dari basil invcstigasi forenaik mu1ai. dari tahap collection. examination,

analys/a bcrisi ten1ang infor:masi - infOlllliiSi peruing untang attaclrer. Informaai dari jejsk attacker ini didapat dari alerts lnti'Usion Detection System (IDS) Snort dan data captwe Wiresbalt. Alerts Intrusion Detectitm System (IDS) Snort diteliti dan diperiksa lebih ~ut untuk mendapatkan informasi te:ntang timebaae, sOUI'Ce IP, destination IP, sorJFce port dan destination port. Sedanp pada data capture

17

Wiic&hakjup. di!almlrm hal )'llll8 eama UDIIlk mcn4a;.ed.•n infoml.ll8i-infomwi euna m~ blltti. ,,.,,.,., ~ peayuupau.. Dlll:i. proee~ ~ iDi. 8liDlber dari l""ngm ekm dibtalnJi. Haail. akhir dari invoeliprii illi dapat d:ilihat pt1da Tabell.

T.WlRuil '}'""""""'

s ........ DaomoliOil No T'UDO !tot

IP .A.clclrcol ~ IP~ """ 1 Pli Jul s 2014 192.161.99.2 139U 117.74.124.67 ll Ill ill h-oc 12:15:51

Moll Dee 8 2014 2 1S:<I3:48

192.168.99.3 2.1m 117.74.124.67 10000 SY!I

EoodiD,a

Tllbel I menjc!JWam clata yma berbosi! 4ilmmpqlbn ''=""'"& ha.si1 ~ lbm!sik dari tm11g111 brut.tforce )'Illig b~ pacla Fliday S July .2014 jllll12:1S:Sl dalfp.profile peeyem!!8 be!ual dari IP fltltlral191.168.99.2 clan tujwm 11C!1111pD b: IP at/Jireu kmban 117.74.124.67. Adqlln 1Ja111181111 tcnrebut mcnpnoh pllda port 21 dcnjpm pola IICI1IIIpl hl'tlbfo;u, dan &enrllpll

SYN ~g )'Illig~ pada M011day 8 J)eQc:mbet 2014 j1111 15:08:48 d"''p' proftle penyerang berasal dari IP addre.sl 192.168.99.3 d8ll tl!juall ~ ko IP ~ tanan 117.74.124.67. Adapuo. ~ terscbut mengamh pada port 10000 dcn,pn pola &l'!lllll81lll SYN fi-ling.

Poft!if!mgan PPM dig~ma!qm 1JIIIUk m..,.W.bn maNiab IP ~ Probabilistic Pac:klot Merkillg (PPM) lDOlllplkall. HasiJ perhilllllpl PPM Y8ll8 dije.dilmn aeuan apibh beDIII' paht tmlebut mel~ n1ll1e ~ dimabudlam. Bila nilai dari bui1 perbillmpn ch:npn """''B'mWm nllllliA Pm(d) • p(l-¥)4

men,lhuilbn nilai ~ dari I maka pak:et ..... bonar melewldi rouk itu clan bemilai baik. l'ellemu baik clan 'IIIIINk nilai PPM be:rgall~ pacJa jaat hop yang cliujilam adalah sama etaulebih dari jumlah 1tap yang sebeumya mel:a nilai PPM Y8llB dlhullka.tl adaleh buruk. PPM }'llllg baDIIa1 bliNk ksmla tidak seiiUil denpn jarak 1top )'liiiiJ selx:!wuya e.lllu mnnpin melebihi dari hop }'11118 nbonamya atau donpn kala lain basil akhir dari Pm ~ I.

Tabel pedtif!~~~p~ PPM : p- Probabili:tu p•IJh d = ji1111k hop ko-...

hPm(= prugd) • aa,gp(l ho)r - ·p

18

Pm • Ha.sil pcrbi11mgan PPM )'IID8 4ijadilam 8C11AD apabh benar pebt 1e!Nbllt menaa twU yq m.ab1i4IDm. Bila Dilai. dari hlllil pe:rbil'ollpD. ~ ~ 1'llllllltl Pm(d) = p(l·p)11 !M!gbaailka!l.llilai. ~ dari. 1 mab pllket Ull'llebut be!lar melewati route !tu dan benillai b6lk. Hso!U PPM terllbat pada lllhcl2.

TaiHI2 hu:il PPM Mu. o!o) p d Pm Hco (lamkboo)

30 14 0.0714215714 1 0.9948979.5918367400 30 14 0.0714215714 2 0.99963$S68SUl2000 30 14 0.0714285114 3 0.99991396911950900 30 14 0.07142$5114 4 0.99999814065567900 30 14 0.07142115714 5 0.999999887189119100 30 14 o.0714285114 6 0.999999990SU54900 30 14 0.0714285114 7 0.99999999932239600 30 14 o.0714215714 e 0.999999999515160000 30 14 0.0714285714 9 0.99999999999654300 30 14 0.0714215714 10 0.999999999999'7S300 30 14 0.0714285114 11 0.999999999999:98200 30 14 O.CY114285114 12 0.99999999999999900 30 14 0.07142SS114 ll 1.000000000000000 30 14 0.07142115714 14 1.000000000000000 30 14 0.0714215714 IS 1.000000000000000 30 14 o.0714285114 16 1.000000000000000 30 14 0.0714285114 17 1.000000000000000 30 14 0.0714285114 18 1.000000000000000 30 14 0.0714215714 19 1.000000000000000 30 14 0.0714285114 20 1.000000000000000 30 14 0.0714285114 21 1.000000000000000 30 14 0.07142SS114 22 1.000000000000000 30 14 0.0714285114 2) 1.000000000000000 30 14 0.0714285114 24 1.000000000000000 30 14 0.0714285114 2S 1.000000000000000 30 14 O.o7142S5114 26 1.000000000000000 30 14 0.0714285114 27 1.000000000000000 30 14 0.0714285114 28 1.000000000000000 30 14 0.07142115714 29 1.000000000000000 30 14 0.0714285114 30 1.000000000000000

Tllblo 2 meujolaslalll jumlah lomp«tan lltJp dari tNct!l'tJIIU yang tolah dj!abbzl licJak berbeda ja'oh dari huil pe~~tmmgan PPM yang beral:ti pelakD tll:lbukti II'!Oll\8l"mabn rml IP.

19

~: l'lll{l) = O.o714:W714(l..O.o7142S5714)'= ~S918367400 (bemi1ai baik) l'lll{2) = 0.0714:W714(l..O.o7142S5714j'= o.99963S568SI312000 (bemi1al baik) l'lll{3) • 0.0714UI5714(l..0.07142SS114)'• 0.999973969179:S0900 {bcmilai beii) l'lll{4)-0.0714UI5714(l..O.o7142SS114f-0.9999981406S567900 {bcmilai beii) l'lll{S) • 0.07142&S714(1..0.o7142SS114)5• 039999986718969100 {bcmilai beii) l'lll{6) = 0.0714:W714(1..0.07142SS114)'= 0.99:99:9999051354900 ~ balk) l'lll{7) = O.o714:W714(1..0.07142SS114)1= 0.99:999999932239600 (Mm!1al balk) l'lll{8) = 0.0714283714(l..0.07142S5714)'= 0.99:99:9!199995160000 (Mm!1al balk) l'lll{9) = 0.0714:W714(l..O.o7142SS114)" 0.999999999996S4300 {bemi1ai baik) Pill{ tO)~ 0.07142SS714(1..0.0714:W714)'"-0.9!199999999997S300 (banilai baik) Pm(l1) • O.o7142SS114(1..0.07142&S7l4)11• 0.999999:999:99998200 (banillli baik) Pm(12) • O.o7142iS114(1..0.07142&S714)..._ 0.~ (bGali1lli 'baik) Pm(U) = 0.07142iS114(1..0.07142SS714)~ 1.000000000000000 (ba:aillli.lraruk) Pm(14); 0.07142iS114(1.0.07142SS714)14; 1.000000000000000 (bamil.li.lraruk) l'lll{lS) = 0.07142SS114(1.0.0714283714)"'= 1.000000000000000 <h-llalltoaak) l'lll{l6) = 0.07142iS114(1.0.07142SS714)16= 1.000000000000000 (bamilai lraruk) Pm(17) ~ O.o7142SS114(1..0.0714:W714)11~ 1.000000000000000 (bamilai lrarak) Pm(l8) • 0.07142SS714(1..0.07142&S714)1._ 1.000000000000000 (banillli blllllk) Pm(l9) • O.o7142SS114(1.0.07142&S7l4).,• 1.000000000000000 (bemihi 1Taruk) Pm(20)-0.07142iS114(1.0.07142SS714)20- 1.000000000000000 (belllillli lraruk) Pm(21)-o.07142SS114(t-omt4:ZSS7t4f-t.ooooooooooooooo (bemilli.lraruk) Pm(22) = 0.07142iS114(1.0.071428$714}'2= 1.000000000000000 <h-llallraruk) Pm(23) = O.o7142iS114(1.0.071428S714)"'= 1.000000000000000 (bamilai lrarak) Pm(24) = 0.07142SS114(1..0.0714:W714)"= 1.000000000000000 (Mmllallraruk) Pm(25)-0.07142SS114(1..0.07142&S714)"- 1.000000000000000 (banillli buruk) Pm(26) • O.o7142lS114(1..0.07142&S7l4~ 1.000000000000000 (bcmilai blllllk) Pm(27) • 0.07142SS114(1.0.07142&S714f'• 1.000000000000000 (baDilai lraruk) Pm(28); 0.07142iS114(l.O.o71428$714)2'; 1.000000000000000 (beml1a!lraruk) Pm(29); 0.07142iS114(1.0.071428$714~ 1.000000000000000 (bcmi1lli lraruk) Pm(30) = 0.07142S5714(1.0.071428S714)"'= 1.000000000000000 <h-llallraruk)

,. ICtlll:mpuliiD Dari boheem pc:mbah••m beb.Nb BCbdunmya, a.ya clap.lt menpmbil

kcaimpn!nn ~ebapi 'beri1wt kcalaJnlllm tcknik 1P ~ 4a1lan DliCIIa11ubn Slllllber pcG)'OmJg meDC:Ip8i 80%. SemnJcjn kecil jaW: ~ yaag dileweli. r.emakjn besar peiUID8 !Mkuratmnya. DaJam Jl""@'glll181111 hlknik 1P .77~}; -,sat berguM Ullluk 111&'11e!ltukan Slilllber ~ dalam aemJI8SIIImlll!/f.ll'r:e dan DoS karma clapst mmenlllbn aumber pen)'12'111l3 dm allll' piJIIt dati 8a'llllg&n

mm:but atl!iniiP ~ dlpat dikt:lllhlli k:d!emdaanyL Sanm }'illg dapat dibo:ribnllD1Uk lebih mmjnpatbm kualitu pccoliliall. iDi.

kedepenya adalah dalam mel•m·m proaea illml1ipai pada fi1tJ Jog dapet di!.knkan secam otmnldis dmgan m~ sebuah aplikiLIIi yang b:ila m~lnlat p:ttinan R'konstnlklri IIUIIIber: 8a1IDg1lll dm ,_ yang clilcwa!inyll. Silllem IDS SDOrt yq diblmgu;u. tidak hallya dji'ma'bn dalam ~tlbi. senm,gBII saja, tetapijaga llanls clapst menmggul•ngi Be1'8llgall. unelnrt. Sfflingga simm yang dl"buat iDi. dapst mempe:rmudah t.gi IUIIT umo1 m.eugelllb:ui IIWII'ber 8CI'IIIIpll, maDberilam noli:fikasi 8Cl'll2l3 NtlltJme l'!'binga scna!p! clapst aegcra clitansaulan.iP supaya lidak sampai mcnwn,p si3tcm }'lllll acdmg ~

20

21