Tools network forensik adalah aplikasi yang digunakan untuk
oleh ahli forensik yang digunakan untuk melakukan hal-hal yang berhubungan
dengan forensik seperti melakukan pemantauan dan audit pada jaringan. Tool kit
untuk pengujian forensik memungkinkan untuk mengumpulkan dan analisis data
seperti E-Detective, NetFlow v5/9, NetCat, NetDetector, TCPdump,
Wireshark/Ethereal, Argus, NFR, tcpwrapper, sniffer, nstat, dan tripwire.
Dalam pengelompokannya untuk tools itu dibagi menjadi 2 yaitu GUI dan Command
Line.
Dibawah ini beberapa penjelasan tools network forensik yang
berbasis GUI :
1. Wireshark/ethereal
merupakan penganalisis dan monitoring network yang populer. Fitur-fitur pada
wireshark yaitu:
·
dapat memerika ratusan protokol secara mendalam
·
dapat menangkap langsung dan dianalisis secara offline
· multi platform, dapat dijalankan pada
windows, linux, Mac OS X, Solaris, FreeBSD, NetBSD, dan lain-lain.
· data
jaringan yang telah ditangkap dapat ditampilkan melalui GUI atau melalui
TTY-mode pada utilitas Tshark.
·
dapat memfilter tampilan dengan banyak pilihan filter.
·
dapat membaca dan menyimpan format yang berbeda.
2. NetCat merupakan sebuah
utiliti tool yang digunakan untuk berbagai hal yang berkaitan dengan protokol
TCP atau UDP. Yang dapat membuka koneksi TCP, mengirimkan paketpaket UDP,
listen pada port port TCP dan UDP, melakukan scanning port, dan sesuai dengan
IPV4 dan IPV6. Biasanya netcat ini digunakan oleh para hacker atau peretas
untuk melakukan connect back pada sistem target agar hacker mendapatkan akses
root melalui port yg telah di tentukan oleh hacker tersebut.
3. E-Detective adalah sebuah sistem yang
melakukan proses intersepsi internet secara real-time, monitoring, dan sistem
forensik yang menangkap, membaca kode ( dengan menguraikan isi sandi / kode ),
dan memulihkan kembali beberapa tipe-tipe lalu lintas internet. Sistem ini
biasanya digunakan pada perusahan internet dan memantau tingkah laku, audit,
penyimpanan record, analisis forensik, dan investigasi yang sama baiknya dengan
hukum, serta intersepsi yang sah menurut hukum untuk penyenggaraan badan usaha
yang sah menurut hukum seperti Kepolisian Intelijen, Kemiliteran Intelijen,
Departemen Cyber Security, Agen Keamanan Nasional, Departemen Investigasi
Kriminal, Agen Pembasmian Terorisme, dan lainnya. E-Detective mampu untuk
membaca kode ( dengan menguraikan isi sandi / kode ), reassembly, dan
memulihkan kembali berbagai jenis Aplikasi-Aplikasi Internet dan servis-servis misalnya Email (POP3, IMAP dan SMTP), Webmail (Yahoo Mail, Windows Live
Hotmail, Gmail), Instant Messaging (Yahoo, MSN, ICQ, QQ, Google Talk, IRC, UT
Chat Room, Skype), File Transfer (FTP, P2P), Online Games, Telnet, HTTP (Link,
Content, Reconstruct, Upload dan Download, Video Streaming), VOIP (modul
opsional), dan lain-lainnya.
4.
TCPdump sering digunakan
sebagai paket sniffer yang digunakan untuk OS yang mirip seperti UNIX,
contohnya Linux, BSD, dan lain-lain. TCPdump menghasilkan deskripsi dari konten
paket network yang sesuai dengan ekspresi boolean yang dapat ditentukan oleh
user.
5.
TCPflow adalah program untuk
menangkap transmisi data seperti pada koneksi TCP (flows), dan menyimpan data
dengan cara yang memudahkan untuk analisa dan debugging protokol.
6.
Kismet adalah aplikasi untuk
sniffer dan sistem deteksi penyusup untuk layer 2 pada jaringan wireless.
Fitur-fitur pada kismet yaitu:
·
compatible dengan pencatatan data wireshark dan TCPdump.
·
Mendeteksi range IP network.
·
Menghasilkan grafik pemetaan dari network.
·
Arsitektur client/server mengijinkan banyak client untuk satu server
Kismet secara simultan.
7.
Xplico memiliki fungsi utama untuk isi data yang dikirim
melalui jaringan dari suatu aplikasi. Xplico dapat menangkap email yang dikirip
menggunakan protokol POP dan SMTP. Xplico juga dapat menangkap semua data yang
dikirim menggunakan protokol HTTP. Berikut beberapa fitur dari Xplico :
·
Multithreading
·
Dapat mengenali
protokol dari port yang berbeda menggunakan Port Independent Protocol
Identification (PIPI)
·
Menghasilkan
data dan informasi dalam bentuk basis data SQLite atau MySQL
·
Data yang dapat
disimpan tidak terbatas, yang membatasi hanyalah kapasitas harddisk
8.
Chkrootkit
Chkrootkit merupakan
sebuah tool untuk memeriksa tanda-tanda adanya rootkit secara lokal. la akan
memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa sekitar 60
rootkit dan variasinya
Dibawah ini beberapa penjelasan tools
network forensik yang berbasis Command Line:
1.
TCPdump
sering digunakan
sebagai paket sniffer yang digunakan untuk OS yang mirip seperti UNIX,
contohnya Linux, BSD, dan lain-lain. TCPdump menghasilkan deskripsi dari konten
paket network yang sesuai dengan ekspresi boolean yang dapat ditentukan oleh
user.
2.
ARP
Address Resolution
Protocol disingkat ARP adalah sebuah protokol dalam TCP/IP Protocol Suite yang
bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media
Access Control (MAC Address).
ARP adalah protocol
yang berfungsi memetakan ipaddress menjadi MAC address. Dia adalah penghubung
antara datalink layer dan ip layer pada TCP/IP. Semua komunikasi yang berbasis
ethernet menggunakan protocol ARP ini. Intinya setiap komputer atau device yang
akan berkomunikasi pasti akan melakukan transaksi atau tukar menukar informasi
terkait antara IP dan MAC address. Setiap transaksi akan disimpan di dalam
cache OS Anda. Bisa dilihat menggunakan perintah arp (baik di Windows atau
Linux).
3.
Ifconfig
Ifconfig atau Interfacae Confiurator adalah sebuah perintah pada linux yang digunakan untuk mengkonfigurasi
interface jaringan. Ifconfig banyak dipakai untuk initialize antarmuka jaringan
dan untuk mengaktifkan atau menonaktifkan antarmuka. Digunakan untuk
melihat alamat IP dan Mac anda.
4.
Ping
Ping adalah sebuah
utilitas yang digunakan untuk memeriksa konektivitas antar jaringan melalui
sebuah protokol Transmission Control Protocol/Internet Protocol (TCP/IP) dengan
cara mengirim sebuah paket Internet Control Message Protocol (ICMP) kepada
alamat IP yang hendak diuji coba konektivitasnya. Ping digunakan untuk mengirim paket untuk
menyelidiki mesin remote.
5.
Snoop digunakan untuk
menangkap paket dari jaringan dan menampilkan isinya (Solaris).
6.
Gnetcast - GNU menulis
ulang dari netcat.
7.
Nmap (Network Mapper)
Nmap adalah sebuah
aplikasi atau tool yang berfungsi untuk melakukan port scanning.
Nmap dibuat oleh Gordon Lyon, atau lebih dikenal dengan nama Fyodor Vaskovich.
Aplikasi ini digunakan untuk meng-audit jaringan yang ada. Dengan menggunakan
tool ini, kita dapat melihat host yang aktif, port yang terbuka, Sistem Operasi
yang digunakan, dan feature-feature scanning lainnya. Nmap digunakan
untuk utilitas untuk eksplorasi jaringan dan audit keamanan.
8.
Xplico
Xplico memiliki fungsi
utama untuk isi data yang dikirim melalui jaringan dari suatu aplikasi. Xplico
dapat menangkap email yang dikirip menggunakan protokol POP dan SMTP. Xplico
juga dapat menangkap semua data yang dikirim menggunakan protokol HTTP.
Tidak ada komentar:
Posting Komentar