Minggu, 20 November 2011

2.1 Akuisisi dan Pengintaian (Reconnaissance)


Tahap awal proses forensik merupakan hal yang kritis karena menentukan keberhasilan proses forensik. Tahap ini merupakan proses pengumpulan data dan pengintaian.

2.1.1 Pengumpulan Data Volatil

Data volatil dikumpulkan dari berbagai sumber, yakni register proses, memori virtual dan fisik, proses-proses yang sedang berjalan, maupun keadaan jaringan. Sumber informasi tersebut pada umumnya mempunyai informasi dalam periode yang singkat, sehingga waktu pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah terjadi insiden. Misalnya alamat MAC (Media Access Control) dari computer yang berkomunikasi dengan computer sasaran yang berada pada subnet yang sama , yang tersimpan pada ARP (Address Resolution Protocol) cache, segera dibuang setelah terjalin komunikasi dengan computer lainnya, sehingga data tersebut harus segera diambil.
Sumber informasi volatil yang penting beserta instruksi-instruksi yang digunakan untuk menangkap informasi tersebut diantaranya:
•Proses-proses yang sedang berjalan (ps atau /proc)
•Hubungan jaringan yang aktif (nestat)
•ARP cache (arp)
•List of open file (lsop)
•Memori Fisik dan Virtual (/dev/mem, /dev/kmem)
 2.1.2 Melakukan Trap dan Trace

Trap dan trace merupakan proses untuk memonitor header dari trafik internet tanpa memonitor isinya (tidaklah legal untuk memonitor isi dari suatu komunikasi data). Proses ini merupakan cara non intrusif untuk menentukan sumber serangan jaringan atau untuk mendeteksi kelainan trafik karena hanya mengumpulkan header paket TCP/IP dan bukan isinya.
Trap dan trace dapat digunakan oleh analis forensik untuk menjawap beberapa pertanyaan kritis, yakni:
•Apakah alamat IP sumber mencurigakan?
•Apakah alamat IP dan/ atau nomor port tujuan mencurigakan? Misal beberapa port yang sangat dikenal digunakan oleh Trojan adalah 31337 untuk Back Orifice dan 12345 untuk NetBus.
•Apakah terdapat fragmentasi yang aneh? Fragmentasi sering digunakan untuk membingungkan IDS dan firewall.
•Apakah TCP flag mencurigakan? Misal, beberapa flag tidak pernah terjadi bersama-sama, seperti R & F (reset & fin), F alone, dll. Penyerang menggunakan teknik ini untuk menentukan sistem operasi dari computer sasaran.
•Apakah ukuran paket mencurigakan? Paket SYN awal seharusnya membawa data 0 byte.
•Apakah tujuan port merupakan layanan yang valid? Layanan yang valid biasanya ditampilkan dalam dalam file /etc/services pada mesin Linux.
•Apakah trafik mengikuti standar RFC?

Widi Tri Cahyo Artono Nugroho
Dimas Nugeroho
Agung Maulana
Didit Tri Putra
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)