Tahap awal proses forensik merupakan
hal yang kritis karena menentukan keberhasilan proses forensik. Tahap ini
merupakan proses pengumpulan data dan pengintaian.
2.1.1 Pengumpulan Data Volatil
Data volatil dikumpulkan dari
berbagai sumber, yakni register proses, memori virtual dan fisik, proses-proses
yang sedang berjalan, maupun keadaan jaringan. Sumber informasi tersebut pada
umumnya mempunyai informasi dalam periode yang singkat, sehingga waktu
pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah terjadi
insiden. Misalnya alamat MAC (Media Access Control) dari computer yang
berkomunikasi dengan computer sasaran yang berada pada subnet yang sama , yang
tersimpan pada ARP (Address Resolution Protocol) cache, segera dibuang setelah
terjalin komunikasi dengan computer lainnya, sehingga data tersebut harus
segera diambil.
Sumber informasi volatil yang
penting beserta instruksi-instruksi yang digunakan untuk menangkap informasi
tersebut diantaranya:
•Proses-proses yang sedang berjalan
(ps atau /proc)
•Hubungan jaringan yang aktif
(nestat)
•ARP cache (arp)
•List of open file (lsop)
•Memori Fisik dan Virtual (/dev/mem,
/dev/kmem)
2.1.2 Melakukan Trap dan Trace
Trap dan trace merupakan proses
untuk memonitor header dari trafik internet tanpa memonitor isinya (tidaklah
legal untuk memonitor isi dari suatu komunikasi data). Proses ini merupakan
cara non intrusif untuk menentukan sumber serangan jaringan atau untuk
mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCP/IP dan
bukan isinya.
Trap dan trace dapat digunakan oleh
analis forensik untuk menjawap beberapa pertanyaan kritis, yakni:
•Apakah alamat IP sumber
mencurigakan?
•Apakah alamat IP dan/ atau nomor
port tujuan mencurigakan? Misal beberapa port yang sangat dikenal digunakan
oleh Trojan adalah 31337 untuk Back Orifice dan 12345 untuk NetBus.
•Apakah terdapat fragmentasi yang
aneh? Fragmentasi sering digunakan untuk membingungkan IDS dan firewall.
•Apakah TCP flag mencurigakan?
Misal, beberapa flag tidak pernah terjadi bersama-sama, seperti R & F
(reset & fin), F alone, dll. Penyerang menggunakan teknik ini untuk
menentukan sistem operasi dari computer sasaran.
•Apakah ukuran paket mencurigakan?
Paket SYN awal seharusnya membawa data 0 byte.
•Apakah tujuan port merupakan
layanan yang valid? Layanan yang valid biasanya ditampilkan dalam dalam file
/etc/services pada mesin Linux.
•Apakah trafik mengikuti standar
RFC?
Agung Maulana
Tidak ada komentar:
Posting Komentar