2932-Article Text-11808-1-18-20221208_24_01_2023
2932-Article Text-11808-1-18-20221208_24_01_2023
ABSTRAK- Produk Virtual Private Server(VPS) PT Kodinglab Integrasi Indonesia mensyaratkan standar
dengan kualitas baik termasuk aspek keamanan. Tantangannya yang muncul masih sering terjadi gangguan
pada keamanan terhadap VPS milik pelanggan PT Kodinglab dimana sulit mengidentifikasi sumber serangan.
Network Forensic berupa dead forensic dan live forensic menggunakan metode NIST dengan tahapan collection,
examination, analysis, reporting digunakan untuk menemukan sumber serangan. Data umtuk dead forensic
bersumber dari tools snort dan data untuk live forensic bersumber dari capture wireshark.Tahapan collection
yakni pengambilan data serangan menggunakan tools snort yakni pada log snort dan juga pada wireshark untuk
life forensic.Sedangkan tahapan examination dataset dianalisis lebih lanjut serta dipetakan. Pemeriksaan
lanjutan aktivitas lainnya pada pada server melalui syslog pada snort.Pada tahap analysis
Dari pengujian serangan yang dilakukan untuk mendapatkan Informasi berupa IP Address penyerang, IP Address
tujuan, tanggal terjadi serangan, waktu server dan jenis serangan Dari ujicoba serangan TCP Flooding dan UDP
Flooding semua serangan pada VPS pelanggan dapat diidentifikasi. Informasi yang di dapat terkait penyerang
berupa tanggal dan waktu terjadi serangan, IP Address penyerang dan IP Address korban serta protocol yang
digunakan.
Kata kunci : Network Forensic, Dead Forensic, Live Forensic, Virtual Private Server, DDos, TCP Flooding,
UDP Flooding.
2.2 Alur Penelitian Dari gambar diatas di tampilkan versi snort yang
Untuk melakukan proses penelitian sehingga telah berhasil di install yaitu snort versi 2.9.7.0.
mendapatkan hasil yang di inginkan maka peneliti
membuat alur penelitian seperti yang ditunjukan
pada Gambar 2 Pada Snort terdapat rule sebagai kecerdasaan
Snort.. Rules yang di set memberikan kecerdasan
Mulai pada saat proteksi, sehingga proses investigasi
sangat tergantung dari kecerdasan rule. Script
Pengumpulan dibawah merupakan konfigurasi dari penyimpanan
Data rules, ketika terdapat serangan pada server maka log
dari serangan tersebut akan tersimpan pada rule.
Implementasi Selanjutnya menambah rules serangan DDoS
Sistem dengan script seperti di bawah ini
=> Menambah rules snort
Pengujian Pengujian
Sistem Serangan alert icmp any any -> $HOME_NET any
(msg:"ICMP Flooding"; detection_filter:tracks
Network by_src, count 30, second 60; sid1000006; rev2;)
Forensic alert tcp any any -> $HOME_NET any
(msg:ada serangan"TCP Flooding";
Laporan detection_filter:tracks by_src, count 30, second 60;
sid1000006; rev2;)
alert udp any any -> $HOME_NET any
Selesai (msg:"UDP Flooding"; detection_filter:tracks
by_src, count 30, second 60; sid1000003; rev1;)
Gambar 2 Alur Penelitian
Dari script di atas, berikut adalah hasil pembahan
2.3 Implementasi Sistem
script konfigurasi rules snort pada ubuntu server,
Tahapan ini dilakukan dengan menyewa jasa
Gambar 4 merupakan konfigurasi rules snort
layanan VPS dari provider herza.id. Sistem yang
disewa ialah VPS KVM dengan sistem operasi
Ubuntu 20.04. Adapun spesifikasi VPS yang di sewa
dapat dilihat pada Tabel 1
1. TCP Flooding
Sebuah serangan yang mengarah pada
protokol TCP memanfaatkan koneksi protokol yang
terhubung dengan server dengan membanjirinya
(Flooding), percobaan dalam membuat koneksi TCP
yang ditampung oleh server dalam buffer memang
berbeda-beda tetapi daya tampungnya tidak lebih
dari beberapa ratus koneksi, dengan mengirimkan
banyaknya paket kedalam TCP, lokasi buffer akan
mengalami kepenuhan dan mengakibatkan server
Gambar 5 Tampilan Wireshark menjadi tidak bekerja dengan baik. Gambar 7
merupakan pengujian serangan TCP Flooding.
2.4 Pengujian Serangan
Setelah melakukan implementasi sistem dan
dikonfigurasi selanjutnya melakukan pengujian
serangan untuk melihat respon snort dalam
memonitoring paket data. Untuk pengujian hanya
menggunakan serangan Distributed Denial of
Service (DDoS) TCP Flooding dan UDP Flooding
menggunakan aplikasi LOIC. Sebelumnya
melakukan pengujian berikut Kondisi kinerja CPU
dalam keadaan awal pada tab overview VPS
ditunjukan pada Gambar 6
Gambar 7 Serangan jenis TCP Flooding
2. UDP Flooding
2.5 Network Forensic
Pengujian serangan yang kedua dilakukan
dengan menguji serangan DDoS dengan jenis UDP Network Forensic mencakup tahapan collection,
flooding menggunakan aplikasi LOIC. Gambar 9 untuk menangani kejahatan yang dilakukan
merupakan pengujian serangan UDP Flooding sebelumnya, fokusnya untuk mencegah kejahatan di
masa depan.
2.3.1 Collection
Pengambilan data serangan menggunakan tools
snort yakni pada log snort dan juga pada wireshark
untuk life forensik
Dari pengujian serangan yang dilakukan untuk
mendapatkan Informasi berupa IP Address
penyerang, IP Address tujuan, tanggal terjadi
serangan, waktu server dan jenis serangan
2.3.2 Analisis
Dari tahapan collection telah didapat bukti dari
serangan, serangkaian informasi yang didapat
menjadi bukti bahwa terdapat serangan terhadap
server, alamat IP server boleh dibilang sebagai akses
untuk mendapatkan layanan internet yang eksklusif
dan tidak boleh disebar. Untuk itu menjaga
kerahasian terhadap IP salah satu hal kecil dal1am
meminimalisir kejahat siber. Analisis yang
dilakukan pada tahapan ini yaitu mengenai
bagaimana perbandingan kinerja CPU dalam
keadaan awal ketika belum dilakukan serangan dan
juga bagaimana kinerja server setelah serangan
dilakukan, dimana pada tahapan analisis ini
dilakukan pada CPU dan kondisi awal snort.
Gambar 18 Paket data pengujian serangan UDP
Flooding kedua 1. Kondisi Server pada ubuntu pada keadaan
awal
Dari gambar di atas dapat dilihat bahwa ip Untuk melihat kondisi CPU pada server dapat
penyerang pada no 1 adalah 192.168.252.6, ip tujuan dilakukan dengan perintah “top”, setelah perintah
adalah 103.160.63.239 dan protocol nya adalah tersebut dimasukkan maka kita akan melihat hasil
TCP. seperti gambar 20 di bawah ini.
2.3.2 Examination
Data yang diperoleh membentuk dataset dan dapat
dianalisis serta dipetakan. Pemeriksaan tidak hanya
dilakukan terhadap data serangan yang didapat
sebelumnya menggunakan tools melainkan
memeriksa aktivitas yang dilakukan pada server
melalui syslog seperti yang ditunjukan pada Gambar
19
3 KESIMPULAN
Gambar 21 Kondisi server pada ubuntu setelah Kesimpulan
pengujian serangan Beberapa kesimpulan sebagai berikut :
1. Network forensic dalam pengumpulan bukti-
Dengan demikian dapat disimpulkan bahwa bukti serangan pada log snort telah dapat
peningkatan kondisi cpu sebelum dilakukan mengidentifikasi penyerang berupa tanggal
serangan dan sesudah dilakukan serangan adalah terjadi serangan, waktu terjadi serangan, IP
43,6 %. Address penyerang, IP Address korban, ID,
protocol dapat tersaji dengan cepat dan tepat,
2.3.2 Laporan sehingga dapat membantu investigator dalam
Pada tahap ini diperoleh laporan dari hasil pengambilan keputusan terhadap serangan yang
investigasi dan analisis dari simulasi kasus yang terjadi pada Virtual Private Server (VPS).
telah dilakukan. Beberapa informasi data yang 2. Pengumpulan bukti-bukti serangan pada log data
disajikan oleh snort IP Address penyerang, tanggal wireshark berupa waktu terjadi serangan, IP
terjadi serangan,ip tujuan, waktu server, id dan Address penyerang, IP Address korban, dan
protocol . untuk hasil laporan nya dapat di lihat pada Protocol.
Tabel 4
Tabel 4 Detail paket data dari Snort
No Ip Tang Ip Wak ID Prot
Penyere gal Tujuan tu ocol
4 PENUTUP
Pada penelitian ini penulis memberikan saran-saran
ng terja Serv
yang perlu dalam pengembangan berikutnya, ialah
di er
sebagai berikut :
sera
1. Penelitian juga diharapkan dapat memberikan
ngan
rekomendasi tools yang digunakan dalam
1 114.5.1 9 103.160. 09:5 46 TCP
mendeteksi dan mengidentifikasi serangan dan
44.36 Juni 63.239 0:00 40
penyerang.
7
2. Penelitian kedepan juga meneliti cara menangani
2 36.72.1 16 103.160. 16:5 64 TCP
dan pencegahan dari serangan keamanan pada
72.243 Juni 63.239 8:45 31
Virtual Private Server (VPS).
8
3 36.72.1 16 103.160. 17:1 62 UD
72.243 Juni 63.239 9:55 48 P
4
4 114.5.1 18 103.160. 12:3 20 UD
DAFTAR PUSTAKA
[1] Dewi, E. K. (2017). Analisis Log Snort
47.54 Juni 63.239 2:03 26 P
Menggunakan Network Forensic. JIPI
4
(Jurnal Ilmiah Penelitian Dan
JUSIKOM PRIMA (Jurnal Sistem Informasi dan Ilmu Komputer Prima)
Vol. 6 No. 18, Agustus 2022
E-ISSN : 2580- 2879