(Soal Diskusi 1)
Oleh :
M.Fathurrahman – H1051211108
Barra Fadhil Afkar – H1051211095
1. WAP Joe sedang mengirim sinyal.Berdasarkan isi dari tangkapan paket tersebut, apa yang
dimaksud dengan:
a. SSID dari titik aksesnya?
b. BSSID dari titik aksesnya?
2. Berapa lama penangkapan paket, dari awal sampai akhir (dalam DETIK - mohon dibulatkan ke
detik penuh terdekat) ?
3. Berapa banyak frame data terenkripsi WEP yang ada di dalam tangkapan paket?
4. Berapa banyak vektor inisialisasi WEP (IV) yang *unik* secara TOTAL ada di dalam
tangkapan paket yang berhubungan dengan titik akses Joe?
5. Apa alamat MAC dari stasiun yang mengeksekusi serangan Layer 2?
6. Berapa banyak *unique* IV yang dihasilkan (berkaitan dengan akses point Joe):
a) Oleh stasiun penyerang?
b) Oleh semua stasiun *lainnya* yang digabungkan?
7. Apa kunci WEP dari WAP Joe?
8. Apa nama pengguna dan kata sandi administratif dari titik akses nirkabel yang ditargetkan?
9. Apa kode sandi administratif WAP diubah menjadi?
2. Wireshark
Wireshark adalah alat forensik jaringan yang populer dan banyak digunakan untuk melakukan
penganalisisan paket data jaringan. Wireshark dapat menangkap dan menampilkan paket data yang
dikirim dan diterima oleh komputer atau perangkat jaringan lainnya dalam bentuk yang mudah dibaca
dan dipahami. Wireshark dapat menunjukkan berbagai informasi tentang paket data, seperti protokol,
alamat sumber dan tujuan, port, panjang, isi, checksum, dan lain-lain. Wireshark juga dapat melakukan
berbagai fungsi analisis, seperti filter, pencarian, statistik, grafik, dekripsi, dan lain-lain. Wireshark
merupakan alat sumber terbuka yang dapat diunduh dan digunakan secara gratis oleh siapa saja.
Wireshark mendukung berbagai platform sistem operasi, seperti Linux, Windows, dan Mac. Wireshark
juga mendukung berbagai format file paket data, seperti pcap, pcapng, erf, snoop, dan lain-lain.
Wireshark sangat berguna untuk melakukan berbagai tugas forensik jaringan, seperti memantau
aktivitas jaringan, mendeteksi anomali, mengidentifikasi serangan, mengumpulkan bukti, dan lain-lain.
Praktik
1).WAP Joe sedang mengirim sinyal.Berdasarkan isi dari tangkapan paket tersebut, apa yang
dimaksud dengan:
a. SSID dari titik aksesnya?
b. BSSID dari titik aksesnya?
1.a
Untuk mengetahui SSID,kita pergi ke bagian edit lalu cari pada bagian “Find Packet”.Selanjutnya,
menggunakan kata “Beacon” kemudian hasil pencarian terdapat pada baris ke-270 yang dimana
terdapat informasi mengenai SSID yaitu “SSID: “Ment0rNet”.
1.b
Untuk mengetahui BSSID,kita pergi ke bagian edit lalu cari pada bagian “Find Packet”.Selanjutnya,
menggunakan kata “Beacon” kemudian hasil pencarian terdapat pada baris ke-270 yang dimana
terdapat informasi mengenai BSSID yaitu “BSS Id: Cisco-Li_61:00:d0 (00:23:69:61:00:d0)”.
2).Berapa lama penangkapan paket, dari awal sampai akhir (dalam DETIK - mohon dibulatkan ke
detik penuh terdekat) ?
Untuk mencari berapa lama penangkapan paket,maka langkah pertama yang dilakukan yaitu dengan
menekan bagian statistics,kemudian pilih ke bagian Capture File Properties.
Setelah memilih bagian Capture File Properties,maka akan muncul mengenai informasi yang terlampir
diatas dan kita dapat melihat berapa lama penangkapan paket, dari awal sampai akhir pada Time
span,s kemudian lihat pada kolom “Captured”.Disini terdapat waktu 413,577 S yang kemudian
dibulatkan menjadi 414 S.
3.Berapa banyak frame data terenkripsi WEP yang ada di dalam tangkapan paket?
Untuk mencari berapa banyak frame data terenkripsi WEP yang ada di dalam tangkapan
paket.Maka langkah pertama yang dilakukan yaitu dengan menekan bagian statistics,kemudian pilih
ke bagian Capture File Properties.
Setelah memilih bagian Capture File Properties,maka akan muncul mengenai informasi yang terlampir
di atas dan kita dapat melihat berapa banyak frame data terenkripsi WEP yang ada di dalam
tangkapan paket pada Packets kemudian lihat pada kolom “Captured” dan “Displayed”.Disini
pada kolom “Captured” terdapat 133068 dan kolom “Display” terdapat 59274(44.5%).
4.Berapa banyak vektor inisialisasi WEP (IV) yang *unik* secara TOTAL ada di dalam tangkapan
paket yang berhubungan dengan titik akses Joe?
Perintah ini menggunakan tshark untuk membaca file pcap '(1) Hack Saya!.pcap'.
-R 'wlan.fc.protected eq 1' digunakan untuk memfilter paket sehingga hanya menampilkan paket yang
dilindungi (WEP atau enkripsi lainnya).
-T fields -e wlan.wep.iv mengatur output agar hanya menampilkan nilai dari Initialization Vector (IV)
dalam setiap paket WEP.
sort:
Digunakan untuk menghitung jumlah IV yang unik dengan menghapus baris duplikat dari hasil
pengurutan.
wc -l:
Menghitung jumlah baris dalam output, yang setelah diolah oleh uniq merupakan jumlah IV unik yang
berhasil dikumpulkan.
Hasilnya, angka 29.719, menunjukkan bahwa ada 29.719 Initialization Vectors (IV) unik secara total
dalam tangkapan paket yang berhubungan dengan titik akses Joe pada jaringan Wi-Fi. Jumlah ini
mungkin relevan dalam konteks analisis keamanan atau pengujian jaringan untuk mengevaluasi atau
mengeksploitasi kelemahan keamanan pada jaringan tersebut.
5.Apa alamat MAC dari stasiun yang mengeksekusi serangan Layer 2?
.
Hasilnya, yaitu alamat MAC 1c:4b:d6:69:cd:07, menunjukkan bahwa stasiun dengan alamat MAC tersebut
terlibat dalam serangan Layer 2 pada jaringan Wi-Fi yang direkam dalam file pcap tersebut.
Tujuan dari perintah ini adalah untuk mengidentifikasi stasiun yang terlibat dalam serangan Layer 2 pada
jaringan Wi-Fi, dengan memfilter paket menggunakan kondisi bahwa Initialization Vector (IV) pada paket
tersebut memiliki nilai tertentu (0x1591fd).
6.Berapa banyak *unique* IV yang dihasilkan (berkaitan dengan akses point Joe):
a) Oleh stasiun penyerang?
b) Oleh semua stasiun *lainnya* yang digabungkan?
6.a
Perintah ini menggunakan tshark untuk membaca file pcap '(1) Hack Saya!.pcap'.
Filter -R digunakan untuk memilih paket Wi-Fi dengan kondisi:
wlan.sa eq 1c:4b:d6:69:cd:07: Source address (alamat sumber) harus sesuai dengan nilai yang diberikan.
wlan.fc.protected eq 1: Frame Control harus menunjukkan bahwa paket dilindungi (WEP atau enkripsi lainnya).
wlan.bssid eq 00:23:69:61:00:d0: BSSID (Basic Service Set Identifier) harus sesuai dengan nilai yang diberikan.
-T fields -e wlan.wep.iv mengatur output agar hanya menampilkan nilai dari Initialization Vector (IV) dalam
setiap paket WEP.
Hasilnya adalah daftar IV yang terkumpul dari paket yang sesuai dengan kriteria filter.
awk '!($0 in a) {a[$0];print}':
Menghitung jumlah baris dalam output, yang setelah diolah oleh awk merupakan jumlah IV unik yang berhasil
dikumpulkan.
Hasilnya, angka 14133, menunjukkan bahwa ada 14.133 Initialization Vectors unik yang berhasil dikumpulkan
dari paket access point yang sesuai dengan kriteria filter yang diterapkan.
6.b
Hasilnya, angka 15.587, menunjukkan bahwa ada 15.587 Initialization Vectors unik yang berasal dari semua
stasiun lainnya (selain stasiun Joe) yang berhasil dikumpulkan dari paket access point yang memenuhi kriteria
filter yang diterapkan. Jumlah ini mungkin relevan dalam konteks analisis keamanan atau pengujian jaringan
untuk mengevaluasi atau mengeksploitasi kelemahan keamanan pada jaringan tersebut.
7.Apa kunci WEP dari WAP Joe?
aircrack-ng adalah alat untuk menguji keamanan jaringan nirkabel dan, dalam konteks ini, digunakan untuk
mencoba mendekripsi lalu lintas jaringan WEP.
'(1) Hack Saya!.pcap' adalah file pcap yang digunakan sebagai input.
Alat membaca 133.068 paket dari file pcap.
Menampilkan informasi tentang jaringan Wi-Fi yang ada dalam file pcap beserta jenis enkripsi yang digunakan.
Memilih jaringan pertama sebagai target untuk serangan WEP.
Menjalankan serangan dan menampilkan perkembangan dengan jumlah IV (Initialization Vectors) yang berhasil
dikumpulkan setiap 5 detik.
Setelah beberapa percobaan, aircrack-ng menemukan kunci WEP yang benar.
Hasil Serangan:
8.Apa nama pengguna dan kata sandi administratif dari titik akses nirkabel yang ditargetkan?
Perintah airdecap-ng digunakan untuk mendekripsi paket dalam file pcap '(1) Hack Saya!.pcap' yang
mengandung data WEP.
Opsi -w D0E59EB904 menyertakan kunci WEP yang digunakan untuk mendekripsi paket.
Output menunjukkan statistik terkait jumlah stasiun terlihat, jumlah paket yang dibaca, jumlah paket
data WEP, jumlah paket data WPA, jumlah paket data teks biasa (plaintext), jumlah paket WEP yang
berhasil didekripsi, dan beberapa statistik lainnya terkait WEP dan WPA.
tshark -2 -r '(1) Hack Saya!-dec.pcap' -R 'http.request&& http.authbasic' -T fields -e http.authbasic |
uniq:
Perintah tshark digunakan untuk menganalisis file pcap '(1) Hack Saya!-dec.pcap'.
Opsi -2 menunjukkan penggunaan mode penganalisis dua tahap.
Opsi -r '(1) Hack Saya!-dec.pcap' menentukan file pcap yang akan dianalisis.
Opsi -R 'http.request&& http.authbasic' membatasi output hanya pada permintaan HTTP yang
memiliki autentikasi basic.
Opsi -T fields -e http.authbasic digunakan untuk mengekstrak nilai field http.authbasic.
| uniq digunakan untuk menghapus baris duplikat dari output.
Output terakhir menunjukkan bahwa dalam komunikasi HTTP dalam file pcap tersebut, ada satu kasus
autentikasi basic dengan username "admin" dan password "admin". Autentikasi basic biasanya
melibatkan pengiriman informasi kredensial secara terenkripsi, namun di sini informasi tersebut telah
berhasil diekstrak dari file pcap.
|: Operator pipa untuk mengalirkan keluaran (output) dari perintah sebelumnya ke perintah berikutnya.
grep: Perintah untuk mencari pola teks dalam sebuah teks.
-i: Parameter untuk membuat pencarian tidak bersifat case-sensitive (tidak memperhatikan huruf besar/kecil).
pass: Pola teks yang dicari, dalam hal ini mencari kata "pass" dalam keluaran tshark.
Output yang dihasilkan menunjukkan bahwa ada suatu formulir yang mengandung elemen dengan nama
"PassPhrase", dan nilai yang dikirimkan adalah "hahp0wnedJ00". Ini menunjukkan bahwa ada suatu pengiriman
data yang mencakup kata "passphrase" dengan nilai "hahp0wnedJ00" melalui permintaan HTTP dalam file pcap
tersebut.
C.KESIMPULAN
Dalam analisis forensik jaringan yang dilakukan menggunakan Wireshark, beberapa temuan dan
tindakan telah diidentifikasi:
Dengan menggunakan Wireshark, analisis forensik jaringan dapat memberikan wawasan mendalam
tentang aktivitas yang terjadi dalam jaringan, termasuk identifikasi perangkat, lalu lintas data yang
terenkripsi, dan bahkan mendekripsi kunci dan kata sandi yang digunakan. Keseluruhan, analisis
semacam ini sangat berguna dalam konteks keamanan jaringan dan investigasi forensik digital.
D.REFERENSI
https://www.hackingarticles.in/network-packet-forensic-using-wireshark/
https://www.wireshark.org/docs/man-pages/tshark.html