BAB II DASAR TEORI
2.1. KAJIAN PUSTAKA
2.2.8. Tools XARP
XArp adalah aplikasi keamanan yang menggunakan teknik canggih untuk mendeteksi serangan berbasis ARP. Menggunakan modul aktif dan pasif, XArp mendeteksi peretas di dalam jaringan. Serangan spoofing ARP tidak terdeteksi oleh firewall dan keamanan sistem operasi [20]. Aplikasi XArp digunakan untuk mendeteksi dan memberikan peringatan apabila terjadi serangan ARP Spoofing.
XArp memberikan peringatan saat serangan ARP Spoofing terdeteksi dan memberikan IP Address Victim, IP Address Attacker dan waktu terjadinya serangan. XArp memberikan peringatan dini apabila terjadi serangan ARP Spoofing dengan memunculkan notifikasi [5].
Gambar 2.7 Tampilan Awal Xarp [5]
17 2.2.9. Tools Wireshark
Wireshark merupakan salah satu dari tools network analyzer yang banyak digunakan oleh network administrator untuk menganalisa kinerja jaringannya termasuk protokol didalamnya. Interface pada wireshark menggunakan Graphical User Interface (GUI) atau tampilan grafis. Wireshark mampu menangkap paket-paket data atau informasi yang melewati jaringan.semua jenis paket informasi dalam berbagai format protocol pun akan dengan mudah ditangkap dan dianalisa [21].
Gambar 2.8 Tampilan Awal Wireshark [22]
Wireshark sangat berguna dalam menyediakan jaringan dan protokol serta memberikan informasi tentang data yang tertangkap pada jaringan. Software wireshark dapat menganalisa transmisi paket data dalam jaringan, proses koneksi dan transmisi data antar komputer. Dapat mengumpamakan sebuah Network Packet Analyzer sebagai alat untuk memeriksa apa yang sebenarnya sedang terjadi di dalam kabel jaringan [22]. Beberapa fitur kelebihan Wireshark, diantaranya [21]:
1. Berjalan pada sistem operasi Linux dan Windows.
2. Menangkap paket ( Capturing Packet ) langsung dari network interface.
3. Mampu menampilkan hasil tangkapan dengan detail.
4. Dapat melakukan pemfilteran paket
5. Hasil tangkapan dapat di save, di import dan di export.
Wireshark berguna untuk pekerjaan analisis jaringan. Cara kerjanya yaitu dengan menangkap paket-paket data dari protokol-protokol yang berbeda dari berbagai tipe jaringan yang umum ditemukan di dalam trafik jaringan internet.
Paket-paket data tersebut ditangkap lalu ditampilkan di jendela
18
hasil capture secara real-time. Pada awal proses analisis jaringan menggunakan Wireshark, semua paket data yang berhasil ditangkap tadi ditampilkan semua tanpa pilih-pilih (promiscuous mode). Semua paket data tersebut bisa diolah lagi menggunakan perintah sorting dan filter [23].
Dalam persepsi yang negatif, Wireshark biasa digunakan oleh sebagian hacker untuk melakukan sniffing. Terminologi sniffing sebenarnya tidak jauh berbeda dengan capture paket data, namun dalam konotasi yang negatif, karena bisa jadi menimbulkan dampak yang merugikan untuk orang lain terutama dari sisi privasi.
Agar dapat bekerja dengan baik, Wireshark membutuhkan aplikasi bernama WinPcap atau Npcap sebagai pondasinya. WinPcap masih dapat digunakan sampai versi Windows 7, sedang untuk Windows 10 sudah tidak didukung lagi, seterusnya sudah dikembangkan Npcap. Berbeda dengan pcap sebagai libcap library pada sistem Linux, Windows hanya menggunakan sebuah port saja dari library libcap tersebut yaitu Npcap [23].
Pcap adalah sebuah API (application programming interface) untuk melakukan capture terhadap trafik jaringan internet. Pcap bukan sesuatu yang baru, Pcap adalah bagian core/inti dari program capture paket data pendahulunya, TCPdump. Wireshark menggunakan pcap untuk menangkap paket data, sehingga seorang analis jaringan yang menggunakan Wireshark hanya dapat melakukan penangkapan tipe-tipe paket data yang hanya didukung oleh pcap saja [24]. Pada hasil tangkapan wireshark, terdapat tiga bagian jendela, yaitu [24] :
1. Jendela packet list
Pada jendela ini, hasil tangkapan paket data disusun di dalam format tabel.
Setiap paket yang diterima ditampilkan dalam baris/row sesuai nomor korespondennya secara urut. Semakin lama proses capture, maka akan semakin banyak baris/row data paket yang ‘tertangkap’. Setiap baris akan memuat unit-unit informasi paket di antaranya sumber paket (source), destinasi (destination), protokol (protocol), length (panjang paket data dalam satuan bytes), dan info.
2. Jendela packet details
19
Jendela yang ini terletak di bagian tengah, fungsinya untuk menyajikan substansi informasi protokol-protokol dari baris paket data yang dipilih pada jendela packet list, data tersebut disajikan secara horizontal dan berhirarki.
3. Jendela packet bytes
Pada jendela yang paling bawah ini ditampilkan data raw dari paket data yang diseleksi pada jendela paling atas (packet list). Data raw tersebut tampil dalam format hexadesimal (hex). Data hex tersebut memuat 16 hexadecimal bytes dan 16 ASCII bytes.
20 BAB III
METODE PENELITIAN
3.1. TAHAP PENELITIAN
Gambar 3.1 Alur Penelitian 3.1.1. Studi Pustaka
Pada tahap studi pustaka, penulis mengumpulkan berbagai informasi dan teori-teori yang berkaitan dengan penelitian yang akan dilakukan. Pengumpulan teori ini dilakukan guna memperkuat referensi dari hasil penelitian sebelumnya.
21
Sumber teori yang didapatkan oleh penulis yaitu dari berbagai jurnal nasional, buku, dan situs web resmi. Dari berbagai sumber tersebut, penulis telah mendapatkan referensi-referensi yang berkaitan dengan penelitian yang akan dilakukan sehingga penulis dapat melakukan perancangan untuk menjalankan tahap-tahap dalam penelitian ini.
3.1.2. Alat Dan Perangkat
Dalam penelitian ini, perangkat-perangkat yang dibutuhkan terdiri dari perangkat keras (hardware) dan perangkat lunak (software), yaitu :
a. Perangkat keras (hardware) :
1. Satu unit PC untuk melakukan penarikan data dan analisis dengan spesifikasi
2. Satu unit PC sebagai client jaringan 3. 1 buah router mikrotik dengan spesifikasi 4. 1 buah switch dengan spesifikasi
b. Perangkat lunak (software)
1. Linux Ubuntu, digunakan sebagai sistem operasi untuk PC attacker dan PC target.
2. Winbox, untuk melakukan setting konfigurasi pada router mikrotik.
3. Ettercap, sebagai tool yang digunakan untuk melakukan serangan ARP poisoning dari PC attacker menuju PC target.
4. XArp, sebagai tool yang digunakan untuk melakukan deteksi serangan ARP yang akan dipasang di PC target.
5. Wireshark, sebagai tool yang digunakan untuk melakukan analisa forensik jaringan selama PC attacker mengirimkan serangan ARP poisoning menuju PC target.
3.1.3. Rancangan Simulasi
Rancangan simulasi pada penelitian ini yaitu menerapkan skenario serangan ARP poisoning yang akan di deteksi dengan menggunakan metode live forensic. Rancangan dalam penelitian ini terdiri dari 4 PC client, dimana 2 PC digunakan sebagai target untuk serangan ARP poisoning, kemudian 1 PC digunakan sebagai investigator yang didalam PC tersebut telah terpasang tool wireshark untuk memeriksa keadaan jaringan disaat pengujian serangan
22
dilakukan. Kemudian 1 PC digunakan sebagai PC attacker untuk melakukan serangan ARP poisoning ke PC target. 1 buah router juga digunakan untuk mengatur lalu lintas pengiriman data dan membagi jaringan internet antar host dan switch untuk membuat jaringan lokal antar host yang terhubung.
Gambar 3.2 Topologi Jaringan
Pada gambar 3.2, terdapat topologi dengan beberapa host user, investigator dan attacker yang menggunakan jaringan lokal yang sama. Pada pengujian serangan, attacker akan melakukan ARP poisoning ke PC target.
Dengan serangan ARP poisoning, attacker melancarkan serangan nya dengan mengirimkan broadcast ARP reply palsu dengan menggunakan tool Ettercap.
MAC address attacker akan menyamar menjadi IP address dari host yang menjadi target. Cara kerja dari ARP poisoning pada penelitian ini yaitu ketika PC target memiliki IP address dalam suatu jaringan yang sama, maka ketika attacker menjalankan ARP poisoning, IP address dari PC target akan berada pada alamat MAC attacker sehingga ketika PC target akan melakukan pengiriman data atau melakukan connect antar host, data tersebut juga akan diterima oleh attacker karena PC target dan PC attacker berada dalam alamat MAC yang sama. Pada rancangan simulasi ini, juga terdapat 1 host client yang bertugas sebagai investigator dimana pada PC tersebut telah dipasangkan tool wireshark untuk menginvestigasi lalu lintas jaringan yang terjadi pada jaringan lokal tersebut.
23 3.1.4. Pengujian Serangan ARP Poisoning
Pada tahap pengujian serangan, penulis melakukan pengujian terhadap PC target dari PC attacker. Pengujian ini dilakukan dengan melakukan serangan ARP poisoning dari PC attacker ke PC target menggunakan tool Ettercap. Langkah awal untuk melakukan serangan, yaitu melakukan scanning host untuk menampilkan IP address dan MAC address dari PC target, ketika telah muncul IP dan MAC address dari PC target maka selanjutnya host tersebut dipilih sebagai target untuk dilakukan pengujian serangan. Pada teknik serangan ARP poisoning, memanfaatkan paket ARP request dan membalasnya dengan ARP reply palsu dengan memanipulasi alamat MAC tujuan menjadi alamat MAC attacker.
Sehingga ketika target akan mengirimkan paket data ke host tujuan, maka sebenarnya paket data tersebut akan terkirim ke attacker terlebih dahulu sebelum ke tujuan aslinya karena attacker memanipulasi alamat MAC.
3.1.5. Monitoring Trafik Jaringan
Pada tahap monitoring trafik jaringan, tool wireshark akan digunakan sebagai alat untuk melakukan perekaman lalu lintas trafik data pada saat serangan ARP poisoning sedang berjalan. Setelah tool wireshark mampu menangkap aktivitas yang mencurigakan dalam trafik jaringan, maka hasil tersebut kemudian akan di analisa dengan menggunakan metode live forensic. Bukti-bukti yang dapat dihasilkan oleh wireshark adalah IP address list dari attacker yang mencoba untuk melakukan serangan dan log activity dari trafik jaringan sehingga bukti-bukti tersebut dapat diidentifikasi untuk kemudian dijadikan barang bukti-bukti atas tindakan serangan yang dilakukan oleh pihak attacker.
Namun, untuk memastikan bahwa serangan tersebut merupakan serangan dari uji coba serangan yaitu ARP poisoning maka sebelum melakukan monitoring menggunakan tool wireshark, dibutuhkan pendeteksian serangan terlebih dahulu menggunakan tool yang telah dipersiapkan sebelumnya yaitu tool Xarp. Dengan menggunakan tool Xarp, maka akan didapat berupa alert atau peringatan bahwa telah terjadi usaha sniffing atau penyadapan melalui port ARP. Setelah dapat dipastikan serangan ARP poisoning telah benar-benar masuk, maka langkah selanjutnya yaitu melakukan monitoring menggunakan wireshark untuk mengambil bukti-bukti serangan ARP poisoning.
24 3.1.6. Akuisisi Data Serangan
Dalam melakukan tahap akuisisi data serangan, kondisi utama yang harus dipenuhi untuk melakukan proses investigasi menggunakan metode live forensic adalah keadaan dimana suatu sistem sedang berjalan atau running dikarenakan informasi akan berubah atau hilang jika sistem tersebut dimatikan ataupun dilakukan restart, sehingga PC investigator harus terhubung dahulu sebagai client dalam jaringan yang sama untuk mendapatkan akses melakukan akuisisi data.
Tahapan akuisisi data adalah proses menganalisa data atau bukti-bukti yang sebelumnya telah didapatkan oleh investigasi menggunakan tool wireshark, dimana tahapan sebelumnya disebut dengan collection. Proses akuisisi data dilakukan dengan menganalisa hasil dari capture trafik jaringan sebelumnya yang didapat dari tool wireshark. Dalam capture trafik jaringan, akan didapat berupa filterisasi paket-paket dari tool wireshark sehingga investigator dapat mengetahui port mana saja yang telah dilakukan serangan dan file-file yang mencurigakan juga dapat diketahui.
3.1.7. Analisa Live Forensics
Pada tahap analisa live forensic, terdapat beberapa tahapan yang harus dipenuhi, yaitu :
Gambar 3.3 Tahapan Live Forensics
Pada tahap preparation dilakukan studi literatur terlebih dahulu kemudian juga melakukan identifikasi kebutuhkan untuk menyiapkan alat dan perangkat yang dibutuhkan. Pada tahap perancangan simulasi, dilakukan simulasi untuk uji coba serangan ARP poisoning. Kemudian tahap selanjutnya adala investigasi forensik, dalam proses investigasi forensik dilakukan tahap pendeteksian, pengumpulan data-data untuk dijadikan sebagai bukti, dan proses akuisisi data dari bukti-bukti yang telah didapat. Tahap selanjutnya yaitu analisis, proses analisis ini melakukan analisa data ketika monitoring trafik jaringan dilakukan dan analisa dari bukti capture trafik jaringan yang didapat dari tool wireshark.
25
Tahap terakhir adalah reporting yaitu tahap pelaporan dari proses analisa mengggunakan metode live forensic dan pelaporan dari barang bukti serangan ARP poisoning yang ditemukan.
26 BAB IV
HASIL DAN PEMBAHASAN
Dalam penelitian ini penulis sudah mempersiapkan rencana kegiatan selama pembuatan skripsi ini berlangsung. Hal ini bertujuan agar penelitian ini dapat ditargetkan sesuai dengan time line yang telah direncanakan, untuk lebih jelasnya dapat dilihat pada tabel berikut ini :
Tabel 4.1 Rencana Jadwal Pengerjaan
27
DAFTAR PUSTAKA
[1] “Asosiasi Penyelenggara Jasa Internet Indonesia.” https://www.apjii.or.id.
[2] G. Kamajaya, I. Riadi, and Y. Prayudi, “Analisa Investigasi Static Forensics Serangan Man in the Middle Berbasis Arp Poisoning,” JIKO (Jurnal Inform. dan Komputer), vol. 3, no. 1, pp. 6–12, 2020, doi:
10.33387/jiko.v3i1.1692.
[3] F. Ridho, A. Yudhana, and I. Riadi, “Analisis Forensik Router Untuk Mendeteksi Serangan Distributed Danial of Service (DDoS) Secara Real Time,” vol. 2, no. 1, pp. 111–116, 2016, [Online]. Available:
http://ars.ilkom.unsri.ac.id.
[4] F. Firmansyah, A. Fadlil, and R. Umar, “Analisis Forensik Metarouter pada Lalu Lintas Jaringan Klien,” Edu Komputika J., vol. 6, no. 2, pp. 54–59, 2019, doi: 10.15294/edukomputika.v6i2.35221.
[5] M. N. Hafizh, I. Riadi, and A. Fadlil, “Forensik Jaringan Terhadap Serangan ARP Spoofing menggunakan Metode Live Forensic,” J.
Telekomun. dan Komput., vol. 10, no. 2, p. 111, 2020, doi:
10.22441/incomtech.v10i2.8757.
[6] F. Sirait et al., “Jurnal Teknologi Elektro , Universitas Mercu Buana ISSN : 2086 ‐ 9479 Implementasi Metode Vulnerability Dan Hardening Pada Sistem Keamanan Jaringan Fadli Sirait Program Studi Teknik Elektro , Fakultas Teknik ISSN : 2086 ‐ 9479,” vol. 9, no. 1, pp. 16–22, 2018.
[7] S. Wongkar, A. Sinsuw, and X. Najoan, “Analisa Implementasi Jaringan Internet Dengan Menggabungkan Jaringan Lan Dan Wlan Di Desa Kawangkoan Bawah Wilayah Amurang II,” J. Tek. Elektro dan Komput., vol. 4, no. 6, pp. 62–68, 2015.
[8] I. SP, “Pengertian Protokol Jaringan Dan Jenis-Jenis Protokol Jaringan,” 2 Februari, 2013. http://www.pakirwan.web.id/2013/02/pengertian-protokol-jaringan-dan-jenis.html (accessed Jan. 06, 2021).
[9] Hardiana, “Jurnal Ilmiah d ’ ComPutarE Volume 5 Edisi Juni Fakultas Teknik Komputer Universitas Cokroaminoto Palopo | 18 Jurnal Ilmiah d ’ ComPutarE Volume 5 Edisi Juni Fakultas Teknik Komputer Universitas
28
Cokroaminoto Palopo | 19,” vol. 5, pp. 18–24, 2015.
[10] J. T. Elektro, F. Teknik, U. S. Kuala, J. Tgk, S. Abdurrauf, and B. Aceh,
“Pengujian keamanan jaringan terhadap serangan arp poisoning,” pp. 28–
29, 2016.
[11] “Data Link Layer Security,” 6 Juli, 2020.
https://hermanka.beta.web.id/2020/07/data-link-layer-security-intro.html (accessed Jan. 21, 2021).
[12] P. Studi, M. Teknik, I. Universitas, I. Indonesia, and K. Sleman,
“ANALISIS NETWORK FORENSICS MENGGUNAKAN HONEYPOT Winda Andrini Wulandari,” Anal. Netw. Forensics, pp. 18–25.
[13] I. W. Ardiyasa, “Aplikasi Analisis Network Forensic untuk Analisis Serangan pada Syslog Server,” Res. Comput. Inf. Syst. Technol. Manag., vol. 2, no. 2, p. 59, 2019, doi: 10.25273/research.v2i02.5220.
[14] R. U. Putri and J. E. Istiyanto, “Analisis Forensik Jaringan Studi Kasus Serangan SQL Injection pada Server Universitas Gadjah Mada,” IJCCS (Indonesian J. Comput. Cybern. Syst., vol. 7, no. 1, 2013, doi:
10.22146/ijccs.2157.
[15] A. Kurniawan and Y. Prayudi, “Teknik Live Forensics Pada Aktivitas Zeus Malware Untuk Mendukung Investigasi Malware Forensics,” HADFEX (Hacking Digit. Forensics Expo., no. June, pp. 1–5, 2014.
[16] I. Zuhriyanto, A. Yudhana, and I. Riadi, “Perancangan Digital Forensik pada Aplikasi Twitter Menggunakan Metode Live Forensics,” Semin. Nas.
Inform. 2008 (semnasIF 2008), vol. 2018, no. November, pp. 86–91, 2018.
[17] R. A. K. N. Bintang, R. Umar, and U. Yudhana, “Perancangan perbandingan live forensics pada keamanan media sosial Instagram, Facebook dan Twitter di Windows 10,” Pros. SNST ke-9 Tahun 2018 Fak.
Tek. Univ. Wahid Hasyim, pp. 125–128, 2018.
[18] M. N. Faiz, R. Umar, and A. Yudhana, “Analisis Live Forensics Untuk Perbandingan Kemananan Email Pada Sistem Operasi Proprietary,” Ilk. J.
Ilm., vol. 8, no. 3, pp. 242–247, 2016, doi: 10.33096/ilkom.v8i3.79.242-247.
[19] “Memindai jaringan wifi di Ubuntu dengan Ettercap.”
29
https://mucog.ru/id/na-kakih-portah-rabotaet-ettercap-skanirovanie-wifi-setei-v-ubuntu-s-ettercap/ (accessed Jan. 02, 2021).
[20] “XArp Advanced ARP Spoofing Detection.” http://www.xarp.net/
(accessed Jan. 10, 2021).
[21] D. Irawan, “Analisis dan Penyadapan Transmisi Paket Data Jaringan Komputer Menggunakan Wireshark,” Anal. dan Penyadapan Transm.
Paket Data Jar. Komput. Menggunakan Wireshark, vol. 7, no. 1, pp. 1–5, 2017.
[22] K. F. Digital, P. Studi, M. Teknik, P. Pascasarjana, F. Teknologi, and U. I.
Indonesia, “Metode Live Forensik Analisis Serangan Dos,” 2018.
[23] M. Ferdy Adriant and Is Mardianto, “Implementasi Wireshark Untuk Penyadapan (Sniffing) Paket Data Jaringan,” Semin. Nas. Cendekiawan, pp. 224–228, 2015.
[24] N. Saputro, “Pengertian Wireshark,” 14 Desember, 2019.
https://www.nesabamedia.com/pengertian-wireshark/ (accessed Jan. 02, 2021).