EKSPLORA INFORMATIKA

RANCANG BANGUN APLIKASI NETWORK FORENSIC

STUDI KASUS PENCURIAN DATA
Fandy Syaukati Putra, Roy Rudolf Huizen, Yohanes Priyo Atmojo
Sekolah Tinggi Manajemen Informatika dan Teknik Komputer (STMIK) STIKOM BALI
Jl. Raya Puputan No. 86 Renon Denpasar, 0361-2444445
Email : fandy.sp@gmail.com, roy@stikombali.ac.id, yohanes@stikombali.ac.id
Abstrak
Seorang admin jaringan selalu memonitoring keadaan pada jaringannya tersebut. Seorang
administrator dalam menganalisa hasil monitoring sebuah jaringan masih bersifat manual dengan melihat
satu persatu hasil monitoring jaringan tersebut. Dengan cara manual tersebut dirasakan prosesnya sangat
lama, sedangkan jika ada sebuah kejadian yang tidak diinginkan dibutuhkan kecepatan dalam proses
menganalisa hasil monitoring jaringannya. Hal ini yang menjadi kendala karena bisa membuat lama
proses investigasi kejadian pada sebuah jaringan. Metodologi yang digunakan dalam merancang sistem
tersebut dimulai dengan meganalisa struktur paket data, menganalisa paket header dari paket data yang
nantinya akan diubah menjadi informasi, setelah itu membuat analisa dari informasi yang didapatkan.
Aplikasi yang dihasilkan dalam pembuatan program ini adalah Aplikasi untuk menganalisa file pcap yang
didapatkan. Aplikasi ini dibuat dengan menggunakan bahasa pemrograman java, dengan library jpcap
dengan menggunakan Netbean sebagai perangkat lunak untuk pembuatan program ini. Aplikasi yang
dihasilkan ini adalah aplikasi yang dapat digunakan untuk menganalisa file pcap sehingga membantu
admin jaringan dalam menganalisa hasil monitoring jaringannya.
Kata Kunci : Paket Data, JPCAP, SMB, Forensik Jaringan
Abstract
Network administrator always monitoring the network. Network administrator when analyzing file
log monitoring, network administrator using system view log line per line. With that system be perceived
not effective because it takes a much time to doing that, but when there are a problem, need faster
analyzing the logger. Its make a problem when investigating some case in the network. The methodology
used in designing this software are analyzing packet data structure, analyzing packet header for making
parser the packet data, and then making analyze the information we get from that packet data.
Application generated in the manufacture of this program are Application that can be used for analyzing
pcap file. This Application created using java programming, with JPCAP as main library and using
NetBean for development. The resulting application is a application that can used for analyzing pcap file
so it can help network administrator when network administrator want to analyzing the network
monitoring logger.
Keywords: Packet Data, JPCAP, SMB, Network Forensic
1.

Pendahuluan

Komputer dari zaman dahulu sampai sekarang sudah banyak berkembang. Pada dahulunya
teknologi komputer hanya digunakan oleh orang-orang yang mampu saja dan hanya untuk keperluan
tertentu. Pada zaman sekarang Komputer sudah digunakan diseluruh tempat dan untuk banyak keperluan,
contohnya di kantor-kantor dalam melakukan pekerjaan-pekerjaannya menggunakan komputer.
Jaringan komputer tercipta karena adanya kebutuhan komunikasi yang tak terbatas jarak dan
waktu. Pada zaman sekarang, jaringan komputer sangat banyak digunakan untuk mempermudah
komunikasi, contohnya pada kantor-kantor dalam berkomunikasi dalam 1 gedung dengan menggunakan
jaringan komputer, sehingga tidak perlu lagi berjalan ke ruangan lain.
Semakin berkembangnya teknologi, semakin banyak juga ilmu-ilmu yang berkembang sesuai
dengan teknologi tersebut. Hadirnya teknologi di dunia ini seperti pisau bermata dua yang dimana
mempunyai segi positif dan segi negatifnya. Segi positifnya teknologi digunakan untuk mempermudah
pekerjaan kita, segi negatifnya kemajuan teknologi tersebut digunakan untuk melakukan kejahatan.
L-2

Dalam perjalanan berkembangnya teknologi, berkembang juga ilmu-ilmu untuk mempelajari teknologi
tersebut baik dalam mempelajari segi negatifnya dan mempelajari segi positifnya.
Salah satu segi negatif dari teknologi informasi adalah hadirnya ilmu-ilmu yang mengajarkan
untuk melakukan kejahatan melalui bidang teknologi informasi ini. Salah satu contoh kejahatan dalam
bidang teknologi informasi adalah mencuri informasi melalui media jaringan. Dalam menghadapi hal ini,
berkembang juga ilmu untuk menanggulangi kejahatan melalu teknologi informasi. Ilmu yang
mempelajari untuk menanggulangi kejahatan dalam bidang teknologi informasi adalah Computer
Forensic.
Berdasarkan latar belakang permasalahan diatas penulis ingin membuat aplikasi yang digunakan
untuk menganalisa log lalu lintas jaringan, sehingga ketika ada pencurian data, kita bisa menggunakan
aplikasi ini untuk menganalisa log lalu lintas jaringan dan mencari tau siapa pelaku kejahatan tersebut.
2. Tinjauan Pustaka
Tinjauan pustaka adalah literature-litelatur yang digunakan dalam melakukan penulisan paper ini.
Berikut adalah litelatur tersebut:
2.1 JPCAP
Dalam mengembangkan perangkat lunak untuk monitoring jaringan dengan bahasa pemrograman
java, kita bisa menggunakan library JPCAP. Library JPCAP ini diciptakan oleh seorang seseorang yang
bernama Keita Fujii. Library ini bersifat bebas digunakan dan bebas dikembangkan. Dalam
mengembangkan perangkat lunak degan Library JPCAP ini kita harus mengikut sertakan perangkat lunak
lainnya sebagai pendukung menjalankan perangkat lunak yang dibuat dengan JPCAP ini. Untuk windows
kita harus menyertakan perangkat lunak lainnya yaitu WinPCAP [1].
2.2 Paket Header
Paket header adalah bagian dari paket data yang merupakan isi dari packet tersebut. Isi dari paket
header ini berupa pengalamatan dan data yang lainnya. Isi paket tersebut dibutuhkan untuk
berkomunikasi dengan tujuannya.
Paket header ini digambarkan dengan datagram yang bertujuan untuk memudahkan pengembang
perangkat lunak yang digunakan untuk menganalisa paket data. Dalam satu paket header menampung
semua data dari layer physical sampai dengan layer applikasi yang di kumpulkan menjadi satu kesatuan.
Urutan dalam pengenkapsulasian paket berdasarkan Osi layer yang direpresentasikan dalam TCP/IP.
Berikut adalah urutan enkapsulasi dari paket header tersebut :

Gambar 2.1 Urutan Enkapsulasi Paket Data [2]

Jadi urutan paket data headernya dimulai dari menampung informasi tentang mac address yang
digunakan, kemudian header berikutnya menampung versi ip yang digunakan, kemudian header
berikutnya menampung informasi tentang ip protokol yang digunakan, dan yang terakhir menampung
header yang berisi tentang aplikasi yang digunakan[3].

L-2

Title of manuscript is short and clear, implies research results (First Author)

2.3 SMB Header

SMB header diawali dengan header FF534D42. Paket SMB ini menampung lalu lintas data yang
melalui protokol SMB. Berikut adalah gambar diagram header paket SMB :

Gambar 2.2 SMB Header [4]

OxFF SMB Reserved : Informasi ini menampung magic number (FF534D42) dari paket
SMB. Jadi setiap ada paket SMB, maka pasti diawali dengan informasi ini. Informasi ini
ditampung dalam 4 byte.
Command : Informasi ini menampung command yang dikirim melalui paket SMB.
Informasi ini ditampung dalam 1 byte. Setiap command yang berbeda-beda, akan melakukan
aksi yang berbeda-beda pula. SMB command ada 3 macam yaitu core SMB command, core
plus command, lanman SMB command.
Error Code : Error code ini menampung pesan error dari SMB. Informasi ini ditampung
dalam 2 byte.
Flags : Flags ini menampung flags yang terdapat pada SMB ini. Informasi flags ini
ditampung dalam 1 byte.
Flags2 : Flags ini menampung flags2 dalam paket SMB. Informasi flags ini ditampung
dalam 2 byte.
Padding : Padding ini memang di biarkan zerro. Padding ini ditampung dalam 4 byte.
Tree Id : Tree id ini menampilkan tree id. Tree Id ini ditampung dalam 2 byte.
Proccess ID : Proccess id menampilkan procces id pada SMB. Process id ini ditampung
dalam 2 byte.
User Id : User id ini menampilkan user id pada SMB. User id ditampung dalam 2 byte [4].

3.

Analisa dan Hasil

Analisa dan hasil adalah tahapan dimana melakukan analisa desain dalam membangun aplikasi ini
dan mengimplementasikan hasil yang didapatkan dari penelitian ini.
3.1 Analisa dan Perancangan
Dalam penelitian ini analisa dan perancangan aplikasi menggunakan UML karena aplikasi ini
nantinya akan bersifat berorientasi object, berikut adalah analisa dan perancangan dari aplikasi dalam
penelitian ini
a. Use Case Diagram
Use case digunakan untuk menggambarkan dan menganalisa fungsi apa saja yang bisa
dilakukan oleh system [5]. Berikut adalah use case diagram dari perancang aplikasi network
forensic ini :

L-2

Title of manuscript is short and clear, implies research results (First Author)

System

edit informasi
user

Input
Informasi User

Informasi File
user
<<extend>>

Buka File

<<include>>

Analisa File

<<extend>>

Report

Gambar 3.1 Usecase Diagram

b.

Class Diagram
Class diagram digunakan untuk menampilkan hubungan antara satu class dengan class lainnya
[6]. Berikut adalah class diagram dari perancangan aplikasi network forensic ini
MenuUtama

Parser
parser

+ipI nput

+List<PaketData> read(File f)
+getI nt(byte[] array, int i)
+int positive(byte b)

+bukaFileActionPerforned()
+analisaFileActionPerformed()
+setI nputButtonActionPerformed()
+addPacket()

1..* *

1..*
1

1..*

1..*
Analisa File

1..*

+searchI P(String I P)
+ArrayList I CMPAnalisa(ArrayList I CMPdata)
+ArrayList FTPAnalisa(ArrayList FTPdata)
+analisaPaketData()
+simpanFileAnalisa()
1..*
1

1..*
PaketData
+byte[] getArray()
+Object getRowData(int columnI ndex)
+TableModel getTableModel()
+TreeNode getTree()
+hexSelectionChanged(int row, int col, J Tree tree, HexTable hexTable)
+treeSelectionChanged(TreeNodeModel node, HexTable hexTable)
+Packet getJ PCapPacket()
+int getOriginalLength()
+long getTime()

Report
+ftpData
+I CMPData
+smbData
+kirimData(ArrayList I CMP, ArrayList FTP, ArrayList SMB)
+buatReport()

Gambar 3.2 Class Diagram

Analisa eksploitasi SMB
Dalam pencurian data melalui smb terdapat tanda-tanda terjadinya eksploitasi. Tanda-tanda ini
akan dijadikan analisa pada paket SMB tersebut. Berikut adalah tabel tanda-tanda terjadinya exploitasi
SMB :
c.

EKSPLORA INFORMATIKA Vol. x, No. x, Bulan 201x

L-2

5
NO

Sesi

Tanda

Session Setup and X

User : Null

Session Setup and X

Domain : .

Session Setup and X

Host name : akan muncul host

name secara acak

NT Create And X

Mengakses file SRVSVC

NT Create And X

Mengakses file Browser

Tabel 3.1 Tabel Tanda Eksploitasi SMB

3.2 Implementasi Sistem
Berdasarkan perancangan yang telah digambarkan pada usecase dan class diagram, aplikasi ini dapat
melakukan beberapa kegiatan, berikut adalah kegiatan-kegiatanya yang dapat dilakukan dengan aplikasi
ini:
a. Tampilan menginputkan informasi kasus
Tampilan ini digunakan untuk menginformasikan nama user yang melakukan analisa paket data
ini dan judul kasus yang terjadi pada paket data ini. Hal ini perlu dilakukan karena dalam
melakukan forensik perlu dicantumkan nama orang yang bertanggung jawab dalam melakukan
analisa tersebut dan judul kasus agar tidak tercampur dengan kasus yang lainnya. Berikut adalah
tampilannya

Gambar 3.3 Form Input Informasi User dan kasus

b.

Tampilan membuka file

Dalam menampilkan informasi pada file pcap tersebut kita harus membuka file tersebut, berikut
adalah tampilan membuka file :
Dalam menu bar file, klik buka

Gambar 3.4 Tampilan Menu Buka File

L-2

Title of manuscript is short and clear, implies research results (First Author)

6
Kemudian pilih file yang ingin buka, file yang bisa dipilih adalah file .*pcap

Gambar 3.5 Tampilan Pilih File

Setelah file terbuka maka akan ditampilkan informasi yang didapatkan dari file pcap yang telah
terbuka itu.

c.

Gambar 3.6 Tampilan Informasi

Tampilan menginputkan analisa IP
Analisa ini dilakukan setelah membuka file. Dalam menganalisa ini menggunakan tanda-tanda
eksploitasi yang terjadi pada SMB. Pada form ini dimasukkan IP yang ingin dianalisa. Berikut
adalah tampilan dari analisa IP:

Gambar 3.7 Tampilan Analisa IP

EKSPLORA INFORMATIKA Vol. x, No. x, Bulan 201x

L-2

7
d.

Tampilan hasil analisa

Setelah analisa dilakukan maka akan tampil form hasil analisa. Dalam form ini menampilkan
informasi hasil analisa. Jika ingin menganalisa lagi kita bisa mengklik button analisa, jika ingin
membuat report maka klik report. Berikut adalah tampilannya :

Gambar 3.8 Tampilan Hasil Analisa

e.

Tampilan Report
Pada report ini berisi informasi tanggal terjadinya analisa, user yang menganalisa, judul kasus
dari analisa tersebut, nama file, md5 checksum dan hasil analisanya. Report tersebut disimpan
dalam format file pdf. Berikut adalah tampilan dari report tersebut :

Gambar 3.9 Tampilan Hasil Report

4.

Kesimpulan

Setelah mengimplementasikan proses analisa file pcap dengan nama file exploit ke 192.168.56.1,
maka dapat disimpulkan beberapa hal, yaitu :
1. Dengan dirancangnya sistem aplikasi network forensic ini dapat membantu admin jaringan
untuk menganalisa file pcap wireshark dengan cepat sehingga dapat menghemat waktu dalam
2.

menganalisanya.
Sistem yang telah dibuat dapat membuat laporan secara otomatis sehingga pengguna tidak

3.
4.

perlu mencatat lagi hasil analisanya.

Dapat menganalisa paket data dengan protokol SMB, FTP, dan ICMP.
Aplikasi ini bisa digunakan di sistem operasi windows maupun linux.

Daftar Pustaka
L-2

Title of manuscript is short and clear, implies research results (First Author)

8
Jurnal
[1] Dhillon NK , Ansari Uzma, Enterprise Network Traffic Monitoring, Analysis and Reporting using
WINPCAP TOOL With JPCAP API. International Journal of Advanced Research in Computer Science
and Software Engineering. 2012. 2(11).
Buku
[2] Kozierok M, TCP/IP Guide. San Fransisco:No starch press. 2005: 195
[3] Held Gilbert, TCP/IP Professional Reference Guide. Florida:Aurbeach. 2000
[4] [MS-CIFS] v20130118 Common Internet File System (CIFS) Protocol. Microsoft Corporation. 2013
[5] Bruegge Bernd, Dutoit A.H , Object-Oriented Software Engineering using UML, Patterns and Java
Third Edition. San Fransisco : Pretince Hall. 2010: 31
[6] Chonoles M.J , Schardt A.J , UML 2 for Dummies. New York :Willey Publishing, Inc. 2013

EKSPLORA INFORMATIKA Vol. x, No. x, Bulan 201x

L-2