1 Pengumpulan Data Volatil
Data volatil dikumpulkan dari berbagai
sumber, yakni register proses,
memori virtual dan fisik, proses-proses
yang sedang berjalan, maupun
keadaan jaringan. Sumber informasi tersebut pada umumnya mempunyai informasi dalam periode yang singkat, sehingga
waktu pengumpulan bersifat kritis dan harus sesegera mungkin diambil setelah
terjadi insiden. Misalnya
alamat MAC (Media Access Control)
dari computer yang berkomunikasi dengan computer sasaran yang berada pada
subnet yang sama , yang tersimpan pada ARP (Address Resolution Protocol)
cache, segera dibuang setelah terjalin komunikasi
dengan computer lainnya, sehingga
data tersebut harus segera diambil.
1.2 Melakukan Trap dan Trace
Trap dan trace merupakan
proses untuk memonitor header dari trafik internet tanpa memonitor isinya (tidaklah legal untuk memonitor
isi dari suatu komunikasi data).
Proses ini merupakan cara non
intrusif untuk menentukan sumber serangan jaringan atau
untuk mendeteksi kelainan trafik
karena hanya mengumpulkan
header paket TCP/IP dan bukan isinya.
Trap dan trace
dapat digunakan oleh analis forensik
untuk menjawap beberapa pertanyaan kritis ,yakni :
• Apakah
alamat IP sumber mencurigakan?
• Apakah
alamat IP dan/ atau nomor port tujuan mencurigakan?
Misal beberapa
port yang sangat dikenal digunakan
oleh Trojan adalah 31337 untuk Back Orifice dan12345 untuk
NetBus.
• Apakah
terdapat fragmentasi yang aneh?
Fragmentasi sering digunakan untuk membingungkan
IDS dan firewall.
• Apakah TCP
flag mencurigakan?
Misal, beberapa
flag tidak pernah terjadi bersama-sama, seperti R & F (reset
& fin), F alone, dll.
Penyerang menggunakan teknik ini
untuk menentukan sistem operasi dari
computer sasaran.
• Apakah
ukuran paket mencurigakan?
Paket
SYN awal seharusnya membawa data 0 byte.
• Apakah
tujuan port merupakan layanan
yang valid?
Layanan yang valid biasanya ditampilkan dalam
dalam file /etc/services pada mesin
Linux.
• Apakah
trafik mengikuti standar RFC?
• Apakah timestamp trafik?
Tidak ada komentar:
Posting Komentar