1. Network Forensic
Aris Cahyadi Risdianto#1
#
School of Electrical Engineering and Informatics, Institute of Technology Bandung
Ganesa 10th, Bandung, Indonesia
1
aris.risdianto@gmail.com
Abstraksi— Dengan adanya perkembangan Internet di gathering, legal evidence dan intrusion detection. Proses ini
berbagai tempat seperti kantor, rumah, dan sebagainya, secara umum lebih praktis dilakukan dengan mengumpulkan
hal ini menunjukkan bahwa computing telah menjadi semua trafik dan menganalisa sebagian jika diperlukan. Proses
sesuatu yang network-centric dan data-data sangat ini sering disebut juga dengan reconstructive traffic analysis.
tersedia diluar bukti-bukti yang berbentuk disk digital.
Oleh karena ini untuk mendapatkan data-data tersebut
diperlukan proses untuk menangkap, menyimpan dan C. Computer Forensic versus Network Forensic
menganalisa event-event yang ada dalam jaringan, Network forensics dapat dilakukan sebagai investigasi
bahkan lebih jauh lagi harus dapat digunakan untuk terpisah atau bersama-sama dengan computer forensics
merekonstruksi event-event tersebut apabila dibutuhkan analysis (dimana biasanya digunakan untuk menemukan
untuk investigasi suatu kasus atau masalah. Proses yang hubungan antara beberapa perangkat digital atau
pro-active ini sering disebut dengan Network Forensic. merekonstruksi bagaimana kriminal tersebut dilakukan).
Dalam paper ini akan dijelaskan tentang apa itu network Apabila dibandingkan dengan computer forensics, yang pada
forensic, dan bagaimana suatu proses network forensic umumnya bukti tersimpan dalam suatu disk, network forensic
dalam mengumpulkan data-data trafik, menganalisa dan data lebih volatile (tidak tersimpan), unpredictable (tidak bisa
kemungkinan untuk melakukan rekonstruksi. Sebagai dipresiksi), dan dynamic information (informasinya sangat
studi kasus akan ditunjukkan bagaimana suatu network dinamis atau berubah-ubah). Trafik jaringan setelah
forensic tool dalam melakukan investigasi terhadap suatu ditransmisikan akan hilang dengan sendirinya, sehingga
koneksi TCP, dimana terdapat suatu nomor-nomor biasanya memerlukan suatu suatu pro-active investigation.
tertentu (TCP sequence number dan Acknowledgement Investigator biasanya hanya memiliki bahan-bahan untuk
number). investigasi apabila packet filters, firewalls, dan intrusion
detection systems telah sedemikian rupa dipersiapkan untuk
Kata Kunci— Forensic, Internet, Network Forensic, TCP, menghadapi serangan terhadap sistem keamanan.
sequence number, dan acknowledgement.
D. Penempatan dan Tujuan dari Network Forensic
I. PENDAHULUAN Seperti kita ketahui bahwa firewalls and intrusion-detection
systems (IDSs) merupakan perangkat jaringan yang sudah
terpasang dengan baik untuk memberikan keamanan pada
Α. Latar Belakang jaringan. Oleh karena itu apakah fungsi dan kegunaan dari
network forensic, akankah mengganti perangkat-perangkat ini
Tidak selamanya digital evidence yang ada dalam suatu
atau merupakan pelengkap?
disk atau memory komputer akan tersimpan secara aman
untuk jangka waktu tertentu atau mungkin yang sangat lama.
Network Forensic dapat bersinergi dengan beberapa perangkat
Bukti-bukti tersebut dapat dihilangkan dengan berbagai
IDS dan Firewall dalam dua cara, yaitu untuk menyediakan
macam cara baik secara sengaja atau tidak sengaja. Oleh
record dalam jangka panjang dari trafik jaringan dan
karena dibutuhkan suatu teknik atau mekanisme forensik baru
memberikan analisa yang cepat dari permasalahan yang
untuk melakukan rekonstruksi suatu event atau data-data yang
diidentifikasi dari kedua perangkat tersebut.
dihasilkan dari event tersebut, tanpa memerlukan disk atau
memory yang ada dalam suatu host atau komputer.
Sebagai komplemen dari sistem keamanan yang sudah ada,
network forensic harus mampu melakukan tiga hal sekaligus,
Β. Definisi yaitu harus mampu menangkap trafik (capture), menganalisa
trafik sesuai dengan kebutuhan pengguna (analysis), dan harus
Network forensics merupakan bagian dari digital forensics
mampu memberikan kemampuan kepada investigator untuk
yang berhubungan dengan monitoring dan analisa dari trafik
menemukan sesuatu yang berguna dan penting dari trafik yang
pada jaringan komputer dengan tujuan untuk information
dianalisa (discovery).
2. Network forensics memiliki dua jenis kegunaaan. Pertama, Untuk melakukan hal ini semua maka dibutuhkan suatu
yang berhubungan dengan keamanan, termasuk monitoring resource yang handal pada mesin forensic. Untuk capture
network untuk mengindentifikasi trafik yang anomalous dan paket yang reliable dari jaringan diperlukan interfaces
percobaan intrusi terhadap sistem keamanan. Seorang yang tidak memungkinkan adanya paket loss pada saat
attacker bisa saja memiliki kemampuan untuk menghapus jaringan mendekati saturasi. Untuk penyimpanan data
semua log files dari host yang telah diserangnya, sehingga trafik kedalam suatu disk diperlukan sistem bus dan sistem
bukti yang bersifat network-based mungkin hanya satu- storage yang mampu mengimbangi kecepatan dari jaringan
satunya bukti yang mampu digunakan sebagai bahan forensic itu sendiri. Kemudian ukuran besarnya storage akan
analysis. Kedua, kegunaan dari network forensic yang menentukan berapa lama data yang akan disimpan agar
berhubungan dengan penegakan hukum (law enforcement). nanti dapat direkonsruksi ulang apabila dibutuhkan.
Dalam situasi khusus, capturing paket untuk forensic dapat
diminimalisasi dengan menghilangkan beberapa informasi
yang tidak dibutuhkan dengan menggunakan filter.
II. CAPTURE TRAFIK Metode memberikan kemudahan dalam hal storage dan
cost namun ada cost yang harus dibayar yaitu seperti
lingkup yang kecil dalam melakukan analisa data hasil
Pertimbangan utama dalam melakukan network forensic capture, dan filtering memerlukan proses overhead yang
dalam suatu jaringan adalah traffic relevance (keterkaitan memungkinkan adanya paket lost.
trafik), data integrity (integritas dari data hasil capture), dan
packet capture rate (kecepatan capture data). Selain itu
sebelum melakukan traffic capture sebaiknya harus B. Perangkat Lunak Capture
dimengerti terlebih dahulu mengenai arsitektur jaringannya, Perangkat lunak untuk capture yang sangat populer
sehingga dapat diketahui dimana trafik yang akan dianalisa itu diantaranya adalah tcpdump dan ethereal (wireshark),
berada. Sebaiknya trafik yang diamati adalah trafik yang memberikan kepada pengguna baik Unix ataupun
komunikasi yang berhubungan dengan pihak luar, bukan trafik Windows. Perangkat lunak sangat berguna untuk
yang berada internal di dalam jaringan. Jaringan utama mengumpulkan trafik pada saat adanya sesuatu situasi
(backbone) memiliki volume transaksi yang sangat besar atau event yang menarik dalam jaringan atau kabel.
sehingga susah untuk dicapture maupun disimpan untuk Format dari tcpdump telah dijadikan standard sebagai
jangka waktu yang lama. Sehingga difokuskan didaerah akses format penyimpanan file untul trafik yang dicapture dalam
pihak luar dengan pihak dalam seperti di daerah DMZ (de- jaringan. Hal ini akan menyediakan kompatibilitas dari
militerized zone). beberapa macam perangkat network forensic yang ada,
ataupun memberikan kemampuan perangkat network
A. Performansi forensic untuk menganalisa paket yang dicapture dengan
menggunakan mesin standard dengan tcpdump.
Untuk mendapatkan network forensic yang efektif, Network Forensic juga harus mampu untuk melakukan
diperlukan kemampuan sistem untuk memaintain data FIFO deletion atau rolling up oldest data untuk
yang cukup lengkap dari trafik jaringan, termasuk harus memaintain jumlah dari sisa storage yang akan digunakan.
dipastikan semua trafik yang dicapture harus mampu
dikirim atau diproses oleh forensic enginer untuk
menghindari paket loss.
Selain itu kecepatan capture juga sangat penting, karena III. ANALISA TRAFIK
tidak seperti host pada umumnya yang bisa mengabaikan
paket yang ternyata dialamatkan bukan untuknya, mesin Proses untuk melalukan archiving dari trafik yang
forensic harus mampu mengcapture dan menyimpan trafik dihasilkan oleh level pertama informasi forensik disebut
dalam network yang cukup saturasi untuk analisa sebagai traffic load over time.
selanjutnya.
Salah satu kenyataan yang menyangkut integritas data
dalam network forensic adalah bahwa mesin forensic tidak A. Sessioning Trafik
boleh berpartisipasi dari trafik yang sedang dimonitor. Hampir semua tipe trafik dalam jaringan adalah two-way
Sebagai contoh dalam suatu TCP session yang normal, conversation. Namun pada saat capture dimungkinkan,
apabila salah satu host tujuan tidak menerima paket, maka paket yang tidak berhubungan akan muncul dalam trafik
dapat dimungkinkan bahwa paket akan dikirim kembali. yang diperoleh. Network Forensic bertugas untuk
Namun mesin forensic tidak boleh memiliki kemampuan mengorganisasi semua paket-paket tersebut kedalam
ini, untuk meminta paket untuk di kirim ulang, oleh karena sebuah transport-layer connection diantara beberapa
itu mesin forensic harus sangat memiliki kemampuan mesin yang ada (sering disebut sebagai sessionizing).
sebagai eavesdropper. Ada beberapa macam cara yang digunakan untuk
sessionizing ini, namun cara yang paling umum dan
3. terkenal adalah seperti yang digunakan dalam firewall atau yang bersangkutan. Dengan demikian, proses analisa
IDS dimana berdasarakan dengan IP address, nomor port, forensik dapat melakukan pencarian dan memahami data
dan signature data untuk masing-masing paket). Namun yang tadinya sangat tidak berguna untuk level paket
cara-cara kurang efektif untuk paket yang menggunakan sniffer.
port secara acak, paket yang terkodekan atau terenkripsi,
dan bahkan paket yang memiliki signature pada lebih dari C. Mengatasi Data Yang Terenkripsi
satu paket. Dalam lingkungan dengan tingkat keamanan yang cukup
Dengan melakukan sessionizing data, network forensic tinggi, tidak diperlukan lagi penggunaan protokol yang
melihat koneksi layer per layer termasuk protokol dan tidak dapat dimonitor atau diaudit. Namun dalam khusus,
kontennya. Dalam proses rekonstruksi paket, network akan diperlukan review terhadap suatu transaksi, yang
forensic dapat melihat atau mengetahui paket yang dapat dilakukan dengan cara menghilangkan enkripsi
mengalami retransmisi, atau adanya error dalam protokol konten di salah satu sisi endpoint. Namun hal ini sangat
transport layer. Apabila proses rekonstruksi paket berhasil jarang sekali dilakukan.
maka akan terlihat pattern komunikasi yang komplit yang Suatu perangkat Network Forensic harus mendukung
akan memberikan nilai lebih untuk keamanan dan permintaan ini dengan secara non-intrusive dan dengan
kepentingan investigasi. security impact yang sangat kecil. Untuk melakukan hal
ini setiap mesin server atau klien harus memodifikasi
B. Pemecahan (Parsing) Protokol dan Analisa perangkat lunak keamanannya dengan melengkapi key
Sebelumnya analisa protokol dilakukan dengan cara yang dimiliki oleh si perangkat Network forensic.
manual “by hand”, yaitu setelah paket dicapture maka Sehingga setiap kali server atau klien melakukan enkripsi
akan dicari trafik yang bersangkutan dengan menggunakan pada konten dengan key tertentu, mesin forensic akan
string-string khusus. Seperti untuk HTTP digunakan string melakukan dekripsi dan mampu untuk memonitor konten
“get”, FTP digunakan string “quit”, dan lain sebagainya. tersebut.
Pendekatan yang cukup efisien untuk melakukan hal ini
adalah analisa expert-system dalam trafik yang sudah ter-
sessionizing, yang memungkinkan untuk menganalisa dari
setiap layer jaringan. Expert-system menggunakan IV. STUDI KASUS : PACKET FORENSIC DENGAN TCP
berbagai macam fitur-fitur yang telah diketahui secara
umum dalam trafik untuk mengindentifikasi informasi- Seperti kita ketahui bahwa packet analyzer seperti tcpdump
informasi yang diinginkan. Tidak hanya itu expert-system atau wireshark telah melakukan pekerjaan yang bagus untuk
juga harus mampu mengkorelasikan antara koneksi satu membagi-bagi paket berdasarkan level protokolnya. Namun
dengan koneksi yang lainnya. mesin forensic dibutuhkan untuk memahami betul bagaimana
hubungan untuk antar paket satu dengan yang lain
berdasarkan packet metric-nya. Packet metric seperti TCP
sequence dan acknowledge number merupakan contoh yang
bagus untuk kasus ini, dimana adanya paket yang hilang bisa
diperoleh dengan memperhatikan aforementioned TCP packet
metrics.
Berikut akan dijelaskan bagaimana perangkat Network
Forensic akan melakukan paket forensic berdasarkan TCP.
Apabila TCP/IP three-way handshake telah selesai, maka akan
dilanjutkan dengan beberapa langkah. Paket yang dikirimkan
selanjutnya akan memiliki nomor acknowledgement pada
paket tersebut. Nomor ini yang dikirim akan dijadikan sebagai
nomor urutan TCP yang diharapkan.
Expert-system network traffic analysis harus memiliki
kemampuan untuk mengembangkan konsep model layer-7
ISO kedalam sebuah data stream. Dengan mengatur Nomor yang digaris bawahi disebut dengan “Initial Sequence
modul-modul ke dalam graph yang sesuai, maka sistem Number” atau ISN. Nomor ini selalu ada disetiap paket TCP
akan menemukan layer mana yang sesuai dengan konten SYN, dan merupakan langkap pertama dalam TCP three-way
4. handshake. Dapat diketahui bahwa paket diatas merupakan Pertama sekali, dalam paket ini kita memiliki kedua nomor
paket SYN, berdasarkan pada kode TCP-nya “S” atau nilai urutan TCP dan nomor "ack". Oleh karena itu diketahui
hexadecimal-nya yaitu 02. bahwa paket ini adalah mengkonfirmasi penerimaan data, dan
juga mengirim sesuatu sebagai balasan. Dalam hal ini, nomor
urut TCP didasarkan pada nomor "ack" dengan melihat dua
paket di atas kami. Hal ini juga persis seperti yang diharapkan.
Tetapi ingat, nomor "ack" paket adalah nomor urutan TCP
berikutnya yang diharapkan dari alamat IP yang lain. Oleh
karena dimiliki nomor "ack" yang sama diulang lagi di sini.
Kemudian langkah kedua dari handshaking adalah SYN/ACK.
Hal ini merupakan hal yang normal, dan ini nomor "ack"
Seperti dilihat bahwa dalam paket ini memiliki nomor sebesar
sekali lagi diharapkan berikutnya nomor urutan TCP dari
ISN+1 (seperti yang digaris bawahi). Selain itu terlihat juga
alamat IP lainnya (dalam hal ini 10.10.10.10).
bahwa TCP sequence-nya adalah 727167800 (juga yang
digaris bawahi).
Paket ini merupakan paket konfirmasi yang seperti
Paket diatas merupakan langkah terakhir dalam TCP/IP three-
ditunjukkan oleh "ack". Tidak ada nomor urut TCP disini
way handshaking. ACK diperlihat dengan tanda “.”, setelah
karena tidak ada data yang dikirim. Pada dasarnya 10.10.10.10
nomor port 25.
hanya berkata, "terima kasih 192.168.1.1, saya telah
menerima data Anda."
Sebuah konsep kunci untuk yang harus diingat di sini adalah
bahwa nomor "ack" yang diberikan adalah urutan TCP yang
diharapkan berikutnya dari alamat IP lainnya. Maka, perlu Dalam paket ini kita memiliki kedua nomor urutan TCP dan
dicatat bahwa memiliki nomor TCP urutan sini yang sesuai nomor "ack". Untuk memperjelas, sekali lagi ini nomor urut
dengan nomor "ack" paket, yang tercantum dua paket di atas. TCP paket didasarkan pada nomor "ack" dari paket dua paket
Paket di atas ini hanya merupakan penerimaan dari sebuah di atas yang paket ini. Hal ini sangat masuk akal, karena paket
paket, dan tidak seperti pada paket pengiriman data, maka di atas hanya merupakan konfirmasi penerimaan data, dan
kurang adanya nomor urut TCP, karena mengirim data akan bahwa nomor "ack" juga terlihat di sini dalam paket ini lagi.
memerlukan nomor urutan TCP. Kita bisa melihat bahwa di Oleh karena dapat diketahui bahwa betapa sulitnya untuk
atas. Seperti paket ini adalah mengirim data, ia memiliki benar-benar membajak sesi menggunakan TCP sequence
kedua nomor TCP urutan dan "ack" nomor juga. number prediction (yaitu dengan mempresiksi kemungkinan
nomor-nomor urutan yang mungkin dikirimkan oleh
pengirim).
Dalam paket ini alamat 192.168 merupakan penerimaan dari
paket di atasnya. Itulah mengapa tidak ada nomor urutan TCP
sana. Perhatikan nomor urut TCP dari paket di atas yang satu Sekali lagi, paket diatas hanya merupakan konfirmasi
ini, dan nomor TCP urutan berada di sebelah kanan. Paket ini penerimaan data. Diatas digunakan untuk melihat "S" untuk
dikenal melalui nomor "ack" paket. Pada intinya, paket ini menunjukkan sebuah paket SYN dan "P" untuk paket PSH.
mengatakan bahwa telah menerima data, dan siap untuk Perlu diingat bahwa "ACK" dinotasikan hanya sebagai sebuah
memprosesnya. "." Dalam hal ini, "." langsung ditunjukkan pada bagian
setelah alamat nomor port tujuan.
5. V. KESIMPULAN
Network Forensic dapat dijadikan sebagai bukti-bukti
yang dapat melengkapi computer forensic maupun menambah
kemampuan kepada sistem keamanan jaringan yang ada. Dari
paparan diatas terlihat bahwa menggunakan perangkat
forensik yang baik untuk mengcapture dan menganalisa, akan
diperoleh nomor-nomor ID yang menunujukkan bahwa
informasi atau data-data yang sangat berkaitan antara satu
dengan yang lainnya, meskipun data tersebut dikirimkan
secara terpisah atau menggunakan koneksi yang berbeda.
REFERENCES
[1] English Wikipedia, “Network Forensic”, 2011.
[2] Vicka Corey, Charles Peterman, Sybil Shearin, Michael S. Greenberg,
and James Van Bokkelen, "Network Forensic Analysis", Sandstorm
Enterprises, “On the Wire” IEEE Internet Computing, 2002.
[3] Don Parker and Mike Sues, “Packet Forensic using TCP”, Symantec,
Security Focus, 2010.