Digital Forensic Tools: NMAP

Fadhli I. Siregar (171401006), M. Yulfah Reza (171401039), Arya D. Dias (171401117)

Jurusan Ilmu Komputer, Fakultas Ilmu Komputer dan Teknologi

Informasi, Universitas Sumatera Utara
Jalan Dr. Mansur No. 9 Kecamatan Medan Baru, Kota Medan, Sumatera Utara
20222

Abstrak
Digital forensik merupakan ilmu yang mempelajari teknik pemulihan dan investigasi
material yang terdapat pada perangkat digital. Salah satu tools yang berguna dalam digital
forensik adalah nmap. Nmap adalah aplikasi open source yang berguna untuk menjelajah
atau menyelidiki jaringan dan melakukan evaluasi keamanan terhadap jaringan tersebut.
Nmap memiliki fitur – fitur seperti zenmap, ncat, ndiff, dan nping. Zenmap adalah GUI
dari nmap. Ncat adalah fitur nmap untuk membaca, menulis, mengarahkan, dan
mengenkripsi data pada jaringan. Ndiff adalah fitur nmap untuk melakukan perbandingan
terhadap jaringan – jaringan hasil dari pemindaian. Nping adalah fitur nmap untuk
pembuatan paket jaringan, analisis respons, dan pengukuran waktu respons. Penggunaan
Nmap bermanfaat untuk memindai device yang terhubung dengan jaringan Wifi yang
sama dan bermanfaat untuk mengetahui layanan keamanan pada port yang digunakan
pada web.
Kata Kunci: Nmap, zenmap, Wifi, Port, Service, Web, Device

1. Pendahuluan
Perkembangan teknologi informasi memiliki dampak baik dan buruk terhadap kehidupan
manusia. Teknologi informasi memungkinkan manusia untuk dapat terhubung dari jarak
jauh melalui internet. Internet memudahkan manusia dalam melakukan koordinasi dalam
pekerjaan mereka. Tetapi internet sering disalahgunakan oleh oknum yang ingin mencuri
data untuk berbuat tindakan kriminal. Oleh karena itu, terbentuklah satu bidang ilmu yang
disebut digital forensik. Digital forensik merupakan ilmu yang mempelajari teknik
pemulihan dan investigasi material yang terdapat pada perangkat digital [1]. Software yang
digunakan dalam digital forensik salah satunya bernama nmap.
Nmap adalah aplikasi open source yang berguna untuk menjelajah atau menyelidiki jaringan
dan melakukan evaluasi keamanan terhadap jaringan tersebut. Nmap bermula pada tanggal 1
September 1997 dimana Gordon Lyon, seorang pakar keamanan jaringan merilis suatu
pemindai keamanan jaringan dalam edisi ke 51 majalah Phrack.[2] Kemudian banyak
administrator jaringan maupun sistem merasa nmap juga berguna untuk tugas – tugas seperti
 membuat inventaris jaringan, mengelola jadwal peningkatan layanan sistem, dan melakukan
pemantauan aktif terhadap host suatu jaringan atau layanan.
Nmap menggunakan paket – paket data dalam IP (Internet Protocol) untuk menentukan host
yang aktif atau tersedia dalam jaringan, kemudian menentukan layanan apa yang mereka
tawarkan, sistem operasi yang mereka jalankan, tipe firewall atau packet filter yang
digunakan, dan banyak karakteristik – karakteristik lainnya. Nmap didesain untuk memindai
jaringan berskala besar dengan cepat dan tetap berjalan dengan semestinya terhadap jaringan
yang hanya menggunakan host tunggal.
Nmap telah menjadi pemindai keamanan jaringan terpopuler di dunia, dengan jutaan
pengguna tersebar dimana – mana. Selama bertahun – tahun nmap terus menambahkan
fungsi – fungsi baru. Publikasi tentang nmap bahkan telah sampai ke dunia perfilman
dimana nmap telah ditampilkan dalam sembilan film diantaranya adalah The Matrix
Reloaded, The Girl with the Dragon Tattoo, The Bourne Ultimatum dan Die Hard 4.
Nmap adalah tool yang sangat powerful dan dapat dijalankan di berbagai sistem operasi
seperti windows, linux dan macintosh. Tetapi nmap juga bersifat kompleks. Terdapat lebih
dari 100 opsi perintah (command-line) yang bisa digunakan oleh para ahli jaringan, tetapi
dapat membingungkan bagi pemula. Beberapa opsinya bahkan belum didokumentasikan.[3]
2. Fitur – Fitur
2.1 Zenmap
Nmap biasanya digunakan oleh para pakar jaringan melalui Command Prompt. Tetapi
tampilan yang terdapat pada command prompt dirasa agak menyulitkan. Oleh karena itu,
terdapat fitur pada nmap yang disebut Zenmap.[4]
Zenmap merupakan GUI (Graphical User Interface) khusus untuk nmap. Dengan
adanya zenmap, tampilan nmap menjadi lebih baik sehingga nmap menjadi lebih mudah
digunakan. Berikut adalah tampilan dari zenmap.
2.2 Ncat
Fitur Nmap yang kedua adalah Ncat. Ncat adalah alat untuk membaca, menulis,
mengarahkan, dan mengenkripsi data pada jaringan. Ncat bisa melakukan hal – hal berikut.
 Bertindak sebagai klien TCP / UDP / SCTP / SSL sederhana untuk berinteraksi
dengan server web, server telnet, server email, dan layanan jaringan TCP / IP
lainnya. Seringkali cara terbaik untuk memahami layanan (untuk memperbaiki
masalah, menemukan kelemahan dalam keamanan, atau menguji perintah khusus)
adalah dengan berinteraksi menggunakan Ncat. Hal ini memungkinkan pengguna
nmap mengontrol setiap karakter yang dikirim dan melihat respons mentah tanpa
filter.
 Bertindak sebagai server TCP / UDP / SCTP / SSL sederhana untuk menawarkan
layanan kepada klien, atau hanya untuk memahami apa yang sedang dilakukan klien
yang ada dengan menangkap setiap byte yang di kirim.
 Mengalihkan atau sebagai proxy lalu lintas TCP / UDP / SCTP ke port atau host lain.
Hal ini dapat dilakukan dengan menggunakan pengalihan sederhana (semua yang
dikirim ke port secara otomatis diteruskan ke tempat lain yang Anda tentukan
sebelumnya) atau dengan bertindak sebagai proxy SOCKS atau HTTP sehingga
klien menentukan tujuan mereka sendiri. Dalam mode klien, Ncat dapat terhubung
ke tujuan melalui rantai proxy anonim atau terautentikasi.
 Mengenkripsi komunikasi dengan SSL, dan kirim melalui IPv4 atau IPv6.
 Bertindak sebagai gateway jaringan untuk menjalankan perintah sistem, dengan I / O
yang dialihkan ke jaringan. Dirancang untuk bekerja seperti Unix Utility Cat, tetapi
untuk jaringan.
 Bertindak sebagai perantara koneksi, mengizinkan dua (atau lebih) klien untuk
terhubung satu sama lain melalui server ketiga (perantara). Hal ini memungkinkan
 beberapa mesin yang tersembunyi di balik gateway NAT untuk berkomunikasi satu
sama lain, dan juga mengaktifkan mode obrolan Ncat sederhana.
Kemampuan ncat ini menjadi lebih powerful dan serbaguna saat digabungkan.[5]
2.3 Ndiff
Ndiff adalah alat untuk melakukan perbandingan terhadap jaringan – jaringan hasil
dari pemindaian Nmap. Secara khusus, ndiff mengambil dua file keluaran XML Nmap dan
mencetak perbedaan di antara mereka: host yang naik dan turun, port yang terbuka atau
tertutup, dan hal-hal seperti itu. Ndiff dapat menghasilkan keluaran dalam teks yang mudah
dibaca manusia atau format XML yang dapat dibaca mesin. Biasanya orang suka memindai
jaringan mereka secara teratur (harian, mingguan, dll.) dan kemudian menggunakan ndiff
untuk mendeteksi perubahan apa pun dengan mudah.[6] Hal – hal yang diobservasi oleh ndiff
adalah:
 Keadaan host (misalnya naik atau turun)
 Keadaan port (misalnya terbuka atau tertutup)
 Versi layanan
 Sistem Operasi
 Output Script[7]
2.4 Nping
Nping adalah fitur nmap untuk pembuatan paket jaringan, analisis respons, dan
pengukuran waktu respons. Nping dapat menghasilkan paket jaringan untuk berbagai
macam protokol, memungkinkan pengguna mengontrol penuh header dari protokol.
Meskipun Nping dapat digunakan sebagai ping scanner sederhana untuk mendeteksi host
yang aktif, Nping juga dapat digunakan sebagai generator paket mentah (raw packet) untuk
pengujian jaringan, ARP, serangan Denial of Service, pelacakan rute, dll. Mode echo pada
Nping memungkinkan pengguna untuk melihat bagaimana paket berubah dalam transit
antara host sumber dan tujuan. Sehingga memudahkan pengguna untuk memahami aturan
firewall, mendeteksi kerusakan paket, dan banyak lagi.[8]

3. Contoh Kasus
3.1 Melacak Device yang terhubung
Pada kasus ini, kita akan melacak device seperti smartphone, komputer, dan
sebagainya yang terhubung dengan pengguna Nmap melalui Router Wifi yang sama.. Hal
ini bertujuan untuk mengetahui fitur keamanan pada Router Wifi maupun Wifi pengguna
smartphone maupun komputer. Yang harus dipersiapkan terlebih dahulu yaitu mengetahui
IP address pengguna Nmap yang terhubung dengan Wifi. Kita bisa mendapatkannya dengan
cara membuka Command prompt untuk Windows dengan memasukkan perintah “ipconfig”,
perintah tersebut akan menampilkan adapter yang tersedia di device pengguna Nmap,
biasanya adapter yang terhubung dengan Wifi bernama Wireless LAN adapter Wi-Fi,
terletak pada IPv4 Address. Misal, IP address pengguna Nmap adalah 192.168.43.10.
Disini, kita akan menggunakan GUI Nmap bernama Zenmap. Masukkan IP pada
kolom Target. Tetapi nilai yang dibelakan IP harus 0/24. Hal ini bertujuan untuk memindai
device yang terhubung dengan pengguna Nmap melalui Router Wifi yang sama dari 0-255.
Misal, IP address pengguna Nmap adalah 192.168.43.10, kita memasukkan IP ke kolom
target adalah 192.168.43.0/24 untuk memindai device yang terhubung dari 192.168.43.0
hingga 192.168.43.255. selanjutnya, kita pilih profile scan yaitu Intense Scan untuk
memindai secara menyeluruh. Lalu klik tombol Scan.

Berdasarkan hasil pemindaian, terdapat 3 device yang saling terhubung melalui

jaringan Wifi yang sama, 2 device android 192.168.43.1 dan 192.168.43.89. Dan 1 device
Windows yang merupakan IP address pengguna Nmap, yaitu 192.168.43.10.
3.2 Melihat profil keamanan sebuah web
Tujuan kasus ini adalah mengetahui layanan keamanan pada port yang digunakan
pada web, port biasanya digunakan untuk memasukkan file malware atau backdoor dari para
hacker untuk mendapatkan informasi pengguna yang mengakses web. Untuk menangkal
serangan tersebut, kita harus memperhatikan layanan keamanan yang digunakan pada port
sebuah web apakah layanan keamanan tersebut masih up-to-date atau tidak, lalu kita akan
memberitahukannya pada back-end web tersebut untuk mengupdate jika layanan keamanan
belum di update.
Kita bisa melacaknya melalui Zenmap, yaitu memasukkan link website yang ingin di
scan. Misal, kita akan memindai portal.usu.ac.id pada kolom Target. Atau bisa juga kita
memasukkan IP address sebuah website dengan cara menggunakan Command Prompt, lalu
ketik perintah “ping portal.usu.ac.id”.

Disini, kita mendapatkan IP website portal.usu.ac.id . Yaitu 202.0.107.110.

Masukkan IP website ke kolom target. Setelah itu, pilih jenis scan pada profile. Misal,
kita ingin melakuakan pemindaian secara menyeluruh, gunakan Intense Scan. Lalu, klik
Scan.

Keterangan pada gambar:

Garis Merah: Port yang tersedia, layanan keamanannya terletak pada kolom
SERVICE dengan nama pada kolom VERSION. Disini, kita mengetahui bahwa website
tersebut menggunakan port 80 dengan layanan keamanan http dan port 443 dengan layanan
keamana ssl/http. Kedua port bersifat open.
 Garis Kuning: Detail dari layanan keamanan port.
Garis Biru: address link yang di pindai. Kita memindai portal.usu.ac.id dengan IP
address 202.0.107.110.
Gari Hitam: Sistem Operasi yang digunakan pada host. Disini, web yang di pindai
menggunakan Sistem Operasi Linux.

4. Kesimpulan
Dengan menggunakan nmap maka proses pemindaian jaringan dapat dengan mudah
dilakukan. Dengan adanya fitur - fitur seperti zenmap, ncat, ndiff, dan nping, maka
penggunaan nmap menjadi lebih powerful. Zenmap adalah GUI dari nmap. Ncat adalah fitur
nmap untuk membaca, menulis, mengarahkan, dan mengenkripsi data pada jaringan. Ndiff
adalah fitur nmap untuk melakukan perbandingan terhadap jaringan – jaringan hasil dari
pemindaian. Nping adalah fitur nmap untuk pembuatan paket jaringan, analisis respons, dan
pengukuran waktu respons. Masing – masing fitur tersebut dikombinasikan untuk
melakukan olah forensik digital oleh manusia.
Penggunaan Nmap bermanfaat untuk memindai device yang terhubung dengan jaringan
Wifi yang sama untuk melacak pengguna yang mencurigakan secara langsung di jaringan
yang sama. Nmap juga digunakan untuk mengetahui layanan keamanan pada port yang
digunakan pada web apakah keamanan port sudah update atau tidak untuk menangkal
serangan hacker.

Referensi
[1]. https://en.wikipedia.org/wiki/Digital_forensics

[2].https://en.wikipedia.org/wiki/Gordon_Lyon

[3]. https://nmap.org/book/preface.html#preface-intro

[4].https://nmap.org/zenmap/

[5].https://nmap.org/ncat/guide/

[6].https://nmap.org/ndiff/

[7].https://nmap.org/book/ndiff-man.html

[8]. https://nmap.org/nping/