UAS Digital Forensic

(Soal Diskusi 1)
Oleh :
M.Fathurrahman – H1051211108
Barra Fadhil Afkar – H1051211095

PROGRAM STUDI REKAYASA SISTEM KOMPUTER

FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM
UNIVERSITAS TANJUNGPURA
2023
 A. Tujuan

1. WAP Joe sedang mengirim sinyal.Berdasarkan isi dari tangkapan paket tersebut, apa yang
dimaksud dengan:
a. SSID dari titik aksesnya?
b. BSSID dari titik aksesnya?
2. Berapa lama penangkapan paket, dari awal sampai akhir (dalam DETIK - mohon dibulatkan ke
detik penuh terdekat) ?
3. Berapa banyak frame data terenkripsi WEP yang ada di dalam tangkapan paket?
4. Berapa banyak vektor inisialisasi WEP (IV) yang *unik* secara TOTAL ada di dalam
tangkapan paket yang berhubungan dengan titik akses Joe?
5. Apa alamat MAC dari stasiun yang mengeksekusi serangan Layer 2?
6. Berapa banyak *unique* IV yang dihasilkan (berkaitan dengan akses point Joe):
a) Oleh stasiun penyerang?
b) Oleh semua stasiun *lainnya* yang digabungkan?
7. Apa kunci WEP dari WAP Joe?
8. Apa nama pengguna dan kata sandi administratif dari titik akses nirkabel yang ditargetkan?
9. Apa kode sandi administratif WAP diubah menjadi?

B. Proof Of Concept (POC)

Teori
1. Network Forensic
Network forensics adalah cabang spesialis dari forensik digital yang berfokus pada pemeriksaan dan
penyelidikan lalu lintas data yang mengalir melalui jaringan komputer. Tujuan utama dari network
forensics adalah untuk mengidentifikasi, mengumpulkan, menganalisis, dan menyajikan informasi dan
bukti yang relevan dengan kejadian keamanan jaringan, seperti serangan siber, pelanggaran data, atau
kejahatan online. Network forensics melibatkan penggunaan alat dan teknik yang dapat menangkap,
menyimpan, memfilter, dan memeriksa paket data yang merupakan unit dasar komunikasi jaringan.
Paket data dapat ditangkap baik secara pasif (tanpa mengganggu lalu lintas jaringan) maupun aktif
(dengan mengirimkan paket tambahan untuk memperoleh informasi tambahan). Paket data yang
ditangkap dapat dianalisis secara langsung (real-time) atau ditunda (offline) tergantung pada kebutuhan
dan sumber daya. Network forensics berbeda dari bidang forensik digital lainnya karena data jaringan
bersifat dinamis, tidak terstruktur, dan mudah berubah, sehingga memerlukan keterampilan dan alat
yang berbeda untuk mengekstrak informasi dan bukti yang valid dan andal.

2. Wireshark
Wireshark adalah alat forensik jaringan yang populer dan banyak digunakan untuk melakukan
penganalisisan paket data jaringan. Wireshark dapat menangkap dan menampilkan paket data yang
dikirim dan diterima oleh komputer atau perangkat jaringan lainnya dalam bentuk yang mudah dibaca
dan dipahami. Wireshark dapat menunjukkan berbagai informasi tentang paket data, seperti protokol,
alamat sumber dan tujuan, port, panjang, isi, checksum, dan lain-lain. Wireshark juga dapat melakukan
berbagai fungsi analisis, seperti filter, pencarian, statistik, grafik, dekripsi, dan lain-lain. Wireshark
merupakan alat sumber terbuka yang dapat diunduh dan digunakan secara gratis oleh siapa saja.
Wireshark mendukung berbagai platform sistem operasi, seperti Linux, Windows, dan Mac. Wireshark
juga mendukung berbagai format file paket data, seperti pcap, pcapng, erf, snoop, dan lain-lain.
Wireshark sangat berguna untuk melakukan berbagai tugas forensik jaringan, seperti memantau
aktivitas jaringan, mendeteksi anomali, mengidentifikasi serangan, mengumpulkan bukti, dan lain-lain.
Praktik

1).WAP Joe sedang mengirim sinyal.Berdasarkan isi dari tangkapan paket tersebut, apa yang
dimaksud dengan:
a. SSID dari titik aksesnya?
b. BSSID dari titik aksesnya?

1.a

Untuk mengetahui SSID,kita pergi ke bagian edit lalu cari pada bagian “Find Packet”.Selanjutnya,
menggunakan kata “Beacon” kemudian hasil pencarian terdapat pada baris ke-270 yang dimana
terdapat informasi mengenai SSID yaitu “SSID: “Ment0rNet”.

1.b

Untuk mengetahui BSSID,kita pergi ke bagian edit lalu cari pada bagian “Find Packet”.Selanjutnya,
menggunakan kata “Beacon” kemudian hasil pencarian terdapat pada baris ke-270 yang dimana
terdapat informasi mengenai BSSID yaitu “BSS Id: Cisco-Li_61:00:d0 (00:23:69:61:00:d0)”.
2).Berapa lama penangkapan paket, dari awal sampai akhir (dalam DETIK - mohon dibulatkan ke
detik penuh terdekat) ?

Untuk mencari berapa lama penangkapan paket,maka langkah pertama yang dilakukan yaitu dengan
menekan bagian statistics,kemudian pilih ke bagian Capture File Properties.

Setelah memilih bagian Capture File Properties,maka akan muncul mengenai informasi yang terlampir
diatas dan kita dapat melihat berapa lama penangkapan paket, dari awal sampai akhir pada Time
span,s kemudian lihat pada kolom “Captured”.Disini terdapat waktu 413,577 S yang kemudian
dibulatkan menjadi 414 S.
3.Berapa banyak frame data terenkripsi WEP yang ada di dalam tangkapan paket?

Untuk mencari berapa banyak frame data terenkripsi WEP yang ada di dalam tangkapan
paket.Maka langkah pertama yang dilakukan yaitu dengan menekan bagian statistics,kemudian pilih
ke bagian Capture File Properties.

Setelah memilih bagian Capture File Properties,maka akan muncul mengenai informasi yang terlampir
di atas dan kita dapat melihat berapa banyak frame data terenkripsi WEP yang ada di dalam
tangkapan paket pada Packets kemudian lihat pada kolom “Captured” dan “Displayed”.Disini
pada kolom “Captured” terdapat 133068 dan kolom “Display” terdapat 59274(44.5%).
4.Berapa banyak vektor inisialisasi WEP (IV) yang *unik* secara TOTAL ada di dalam tangkapan
paket yang berhubungan dengan titik akses Joe?

tshark -2 -r '(1) Hack Saya!.pcap' -R 'wlan.fc.protected eq 1' -T fields -e wlan.wep.iv:

Perintah ini menggunakan tshark untuk membaca file pcap '(1) Hack Saya!.pcap'.
-R 'wlan.fc.protected eq 1' digunakan untuk memfilter paket sehingga hanya menampilkan paket yang
dilindungi (WEP atau enkripsi lainnya).
-T fields -e wlan.wep.iv mengatur output agar hanya menampilkan nilai dari Initialization Vector (IV)
dalam setiap paket WEP.
sort:

Digunakan untuk mengurutkan nilai IV yang dihasilkan oleh perintah sebelumnya.

uniq:

Digunakan untuk menghitung jumlah IV yang unik dengan menghapus baris duplikat dari hasil
pengurutan.
wc -l:

Menghitung jumlah baris dalam output, yang setelah diolah oleh uniq merupakan jumlah IV unik yang
berhasil dikumpulkan.
Hasilnya, angka 29.719, menunjukkan bahwa ada 29.719 Initialization Vectors (IV) unik secara total
dalam tangkapan paket yang berhubungan dengan titik akses Joe pada jaringan Wi-Fi. Jumlah ini
mungkin relevan dalam konteks analisis keamanan atau pengujian jaringan untuk mengevaluasi atau
mengeksploitasi kelemahan keamanan pada jaringan tersebut.
5.Apa alamat MAC dari stasiun yang mengeksekusi serangan Layer 2?

.
Hasilnya, yaitu alamat MAC 1c:4b:d6:69:cd:07, menunjukkan bahwa stasiun dengan alamat MAC tersebut
terlibat dalam serangan Layer 2 pada jaringan Wi-Fi yang direkam dalam file pcap tersebut.
Tujuan dari perintah ini adalah untuk mengidentifikasi stasiun yang terlibat dalam serangan Layer 2 pada
jaringan Wi-Fi, dengan memfilter paket menggunakan kondisi bahwa Initialization Vector (IV) pada paket
tersebut memiliki nilai tertentu (0x1591fd).

6.Berapa banyak *unique* IV yang dihasilkan (berkaitan dengan akses point Joe):
a) Oleh stasiun penyerang?
b) Oleh semua stasiun *lainnya* yang digabungkan?

6.a

tshark -2 -R 'wlan.sa eq 1c:4b:d6:69:cd:07 && wlan.fc.protected eq 1 && wlan.bssid eq 00:23:69:61:00:d0' -r

'(1) Hack Saya!.pcap' -T fields -e wlan.wep.iv:

Perintah ini menggunakan tshark untuk membaca file pcap '(1) Hack Saya!.pcap'.
Filter -R digunakan untuk memilih paket Wi-Fi dengan kondisi:
wlan.sa eq 1c:4b:d6:69:cd:07: Source address (alamat sumber) harus sesuai dengan nilai yang diberikan.
wlan.fc.protected eq 1: Frame Control harus menunjukkan bahwa paket dilindungi (WEP atau enkripsi lainnya).
wlan.bssid eq 00:23:69:61:00:d0: BSSID (Basic Service Set Identifier) harus sesuai dengan nilai yang diberikan.
-T fields -e wlan.wep.iv mengatur output agar hanya menampilkan nilai dari Initialization Vector (IV) dalam
setiap paket WEP.
Hasilnya adalah daftar IV yang terkumpul dari paket yang sesuai dengan kriteria filter.
awk '!($0 in a) {a[$0];print}':

Menggunakan awk untuk menghapus baris duplikat dari output sebelumnya.

Baris-baris yang memiliki IV yang sama dihilangkan agar hanya ditampilkan satu kali.
wc -l:

Menghitung jumlah baris dalam output, yang setelah diolah oleh awk merupakan jumlah IV unik yang berhasil
dikumpulkan.
Hasilnya, angka 14133, menunjukkan bahwa ada 14.133 Initialization Vectors unik yang berhasil dikumpulkan
dari paket access point yang sesuai dengan kriteria filter yang diterapkan.

6.b

Hasilnya, angka 15.587, menunjukkan bahwa ada 15.587 Initialization Vectors unik yang berasal dari semua
stasiun lainnya (selain stasiun Joe) yang berhasil dikumpulkan dari paket access point yang memenuhi kriteria
filter yang diterapkan. Jumlah ini mungkin relevan dalam konteks analisis keamanan atau pengujian jaringan
untuk mengevaluasi atau mengeksploitasi kelemahan keamanan pada jaringan tersebut.
7.Apa kunci WEP dari WAP Joe?

aircrack-ng '(1) Hack Saya!.pcap':

aircrack-ng adalah alat untuk menguji keamanan jaringan nirkabel dan, dalam konteks ini, digunakan untuk
mencoba mendekripsi lalu lintas jaringan WEP.
'(1) Hack Saya!.pcap' adalah file pcap yang digunakan sebagai input.
Alat membaca 133.068 paket dari file pcap.
Menampilkan informasi tentang jaringan Wi-Fi yang ada dalam file pcap beserta jenis enkripsi yang digunakan.
Memilih jaringan pertama sebagai target untuk serangan WEP.
Menjalankan serangan dan menampilkan perkembangan dengan jumlah IV (Initialization Vectors) yang berhasil
dikumpulkan setiap 5 detik.
Setelah beberapa percobaan, aircrack-ng menemukan kunci WEP yang benar.
Hasil Serangan:

Aircrack-ng mencoba berbagai kombinasi kunci WEP selama serangan.

Setelah beberapa percobaan (dalam hal ini, setelah menguji 938 kunci dan mengumpulkan 26.805 IVs), alat ini
menemukan kunci WEP yang benar.
Kunci WEP yang ditemukan adalah D0:E5:9E:B9:04.

8.Apa nama pengguna dan kata sandi administratif dari titik akses nirkabel yang ditargetkan?

airdecap-ng -w D0E59EB904 '(1) Hack Saya!.pcap':

Perintah airdecap-ng digunakan untuk mendekripsi paket dalam file pcap '(1) Hack Saya!.pcap' yang
mengandung data WEP.
Opsi -w D0E59EB904 menyertakan kunci WEP yang digunakan untuk mendekripsi paket.
Output menunjukkan statistik terkait jumlah stasiun terlihat, jumlah paket yang dibaca, jumlah paket
data WEP, jumlah paket data WPA, jumlah paket data teks biasa (plaintext), jumlah paket WEP yang
berhasil didekripsi, dan beberapa statistik lainnya terkait WEP dan WPA.
tshark -2 -r '(1) Hack Saya!-dec.pcap' -R 'http.request&& http.authbasic' -T fields -e http.authbasic |
uniq:

Perintah tshark digunakan untuk menganalisis file pcap '(1) Hack Saya!-dec.pcap'.
Opsi -2 menunjukkan penggunaan mode penganalisis dua tahap.
Opsi -r '(1) Hack Saya!-dec.pcap' menentukan file pcap yang akan dianalisis.
Opsi -R 'http.request&& http.authbasic' membatasi output hanya pada permintaan HTTP yang
memiliki autentikasi basic.
Opsi -T fields -e http.authbasic digunakan untuk mengekstrak nilai field http.authbasic.
| uniq digunakan untuk menghapus baris duplikat dari output.
Output terakhir menunjukkan bahwa dalam komunikasi HTTP dalam file pcap tersebut, ada satu kasus
autentikasi basic dengan username "admin" dan password "admin". Autentikasi basic biasanya
melibatkan pengiriman informasi kredensial secara terenkripsi, namun di sini informasi tersebut telah
berhasil diekstrak dari file pcap.

9.Apa kode sandi administratif WAP diubah menjadi?

tshark -2 -r '(1) Hack Saya!-dec.pcap' -V -R 'http.request':

tshark: Perintah untuk mengaktifkan penganalisis paket Wireshark di baris perintah.
-2: Menyatakan untuk menggunakan mode penganalisis dua tahap. Ini membantu dalam analisis yang lebih
efisien.
-r '(1) Hack Saya!-dec.pcap': Menentukan file pcap yang akan dianalisis, yaitu '(1) Hack Saya!-dec.pcap'.
-V: Menyatakan untuk menampilkan informasi paket secara rinci (verbose).
-R 'http.request': Menyertakan filter display untuk membatasi output hanya pada permintaan HTTP.
| grep -i pass:

|: Operator pipa untuk mengalirkan keluaran (output) dari perintah sebelumnya ke perintah berikutnya.
grep: Perintah untuk mencari pola teks dalam sebuah teks.
-i: Parameter untuk membuat pencarian tidak bersifat case-sensitive (tidak memperhatikan huruf besar/kecil).
pass: Pola teks yang dicari, dalam hal ini mencari kata "pass" dalam keluaran tshark.
Output yang dihasilkan menunjukkan bahwa ada suatu formulir yang mengandung elemen dengan nama
"PassPhrase", dan nilai yang dikirimkan adalah "hahp0wnedJ00". Ini menunjukkan bahwa ada suatu pengiriman
data yang mencakup kata "passphrase" dengan nilai "hahp0wnedJ00" melalui permintaan HTTP dalam file pcap
tersebut.

C.KESIMPULAN

Dalam analisis forensik jaringan yang dilakukan menggunakan Wireshark, beberapa temuan dan
tindakan telah diidentifikasi:

1. SSID dan BSSID Titik Akses:

- SSID dari titik akses adalah "Ment0rNet".
- BSSID dari titik akses adalah "00:23:69:61:00:d0".

2. Durasi Penangkapan Paket:

- Penangkapan paket berlangsung selama 414 detik.

3. Frame Data Terenkripsi WEP:

- Dari 133.068 paket yang ditangkap, sebanyak 59.274 (44,5%) merupakan frame data terenkripsi
WEP.

4. Jumlah IV WEP Unik:

- Terdapat 29.719 Initialization Vectors (IV) unik yang terkumpul dari paket yang berhubungan
dengan titik akses Joe.
5. Alamat MAC Stasiun Pelaku Serangan Layer 2:
- Alamat MAC stasiun yang mengeksekusi serangan Layer 2 adalah "1c:4b:d6:69:cd:07".

6. IV Unik Berkaitan dengan Titik Akses Joe:

- Oleh Stasiun Penyerang: 14.133 IV unik dikumpulkan.
- Oleh Stasiun Lainnya: 15.587 IV unik dikumpulkan.

7. Kunci WEP dari WAP Joe:

- Kunci WEP yang berhasil diidentifikasi adalah "D0:E5:9E:B9:04".

8. Informasi Administratif WAP Joe:

- Nama pengguna dan kata sandi adalah admin.

9. Pemecahan Kode Sandi Administratif:

- Melalui serangan, berhasil mendapatkan kata sandi "hahp0wnedJ00" yang dikirim melalui
permintaan HTTP.

Dengan menggunakan Wireshark, analisis forensik jaringan dapat memberikan wawasan mendalam
tentang aktivitas yang terjadi dalam jaringan, termasuk identifikasi perangkat, lalu lintas data yang
terenkripsi, dan bahkan mendekripsi kunci dan kata sandi yang digunakan. Keseluruhan, analisis
semacam ini sangat berguna dalam konteks keamanan jaringan dan investigasi forensik digital.

D.REFERENSI
https://www.hackingarticles.in/network-packet-forensic-using-wireshark/
https://www.wireshark.org/docs/man-pages/tshark.html