Forensik Digital

Pertemuan 10

Forensik Jaringan

Mata Kuliah: Digital Forensic for Military Purposes | 3 SKS

🎯 Capaian Pembelajaran

Setelah pertemuan ini, mahasiswa mampu:

  1. Menjelaskan prinsip dasar forensik jaringan dan metodologi traffic analysis
  2. Mengidentifikasi jenis-jenis bukti jaringan (PCAP, flow data, logs)
  3. Melakukan analisis protokol TCP/IP, HTTP, DNS, dan SMTP
  4. Menganalisis artefak IDS/IPS dan firewall logs
  5. Menerapkan teknik wireless network forensics
  6. Melakukan rekonstruksi serangan dan deteksi covert channels
  7. Memahami tantangan encrypted traffic dan aspek hukum

📋 Agenda Hari Ini

Bagian 1 — Teori

  • Prinsip Forensik Jaringan
  • Network Evidence: PCAP, Flow, Logs
  • Analisis Protokol (TCP, DNS, HTTP)
  • IDS/IPS & Firewall Logs
  • Wireless Forensics

Bagian 2 — Teknik & Praktik

  • Rekonstruksi Serangan
  • Covert Channels & Exfiltration
  • Encrypted Traffic Analysis
  • Tools Forensik Jaringan
  • Studi Kasus Militer

🌐 Apa itu Forensik Jaringan?

Forensik Jaringan (Network Forensics) adalah cabang forensik digital yang berfokus pada pemantauan, penangkapan, pencatatan, dan analisis lalu lintas jaringan untuk tujuan pengumpulan bukti, deteksi intrusi, dan investigasi insiden keamanan.

Dua pendekatan utama (Marcus Ranum):

  • 📹 "Catch-it-as-you-can" — Tangkap semua paket, analisis nanti
  • 👁️ "Stop, look, and listen" — Analisis real-time, simpan yang relevan

🎖️ Relevansi Militer

Forensik jaringan dalam konteks pertahanan Indonesia:

🔍 Deteksi Intrusi
Monitoring jaringan Kodam, Lantamal, Mabes TNI
📤 Investigasi Kebocoran
Analisis egress traffic untuk data exfiltration
🎯 Atribusi Serangan
Identifikasi aktor ancaman pada infrastruktur kritis
🛡️ Intelijen Siber
Operasi Cyber Intelligence dan Information Operations

Forensik Komputer vs Forensik Jaringan

Aspek Forensik Komputer Forensik Jaringan
Sumber Data Hard disk, memori, registry Packet captures, logs, flow data
Sifat Data Statis (data at rest) Dinamis (data in motion)
Volatilitas Rendah-sedang Sangat tinggi
Cakupan Satu sistem/perangkat Seluruh segmen jaringan
Waktu Post-mortem analysis Real-time / near real-time

🏗️ Arsitektur Pengumpulan Bukti

Komponen kunci infrastruktur forensik jaringan:

Komponen Fungsi Kelebihan
Network TAP Perangkat inline, kopi semua traffic Passive, full-duplex, fail-safe
SPAN/Mirror Port Fitur switch, mirror traffic ke port monitoring Tanpa biaya tambahan, mudah dikonfigurasi
Inline IDS/IPS Deteksi dan pencegahan intrusi Alert otomatis, real-time protection

📍 Posisi Strategis Sensor

[Internet] ── [Firewall] ── [DMZ] ── [IDS/IPS] ── [Core Switch] ── [Endpoints]
                   │                         │                │
                 TAP #1                    TAP #2          SPAN Port
             (Perimeter)             (Pre-Firewall)    (Internal Traffic)

Konteks Militer: Pada jaringan pangkalan, sensor wajib dipasang minimal di gateway internet (semua traffic eksternal), antara DMZ dan LAN (lateral movement), dan segmen classified (full audit).

📦 Tiga Jenis Bukti Jaringan

Full Packet Capture
✅ Informasi paling lengkap
❌ ~10 TB/hari (1 Gbps)
📄 Format: PCAP/PCAPNG
Flow Data
✅ Ringan, metadata saja
✅ ~20 GB/hari (1 Gbps)
📄 NetFlow, sFlow, IPFIX
Log Files
✅ Sudah ada di perangkat
⚠️ Detail bervariasi
📄 Syslog, JSON, CSV

💡 Tips: Untuk anggaran terbatas, prioritaskan flow data — fitur bawaan router, storage minimal, cakupan memadai.

📼 Full Packet Capture (PCAP)

Gold standard forensik jaringan — merekam keseluruhan paket termasuk header dan payload.

Informasi yang dapat diekstrak:

  • Konten komunikasi HTTP yang tidak terenkripsi
  • File yang ditransfer melalui jaringan
  • Kredensial yang dikirim dalam plain text
  • Query DNS dan respons
  • Metadata komunikasi terenkripsi (TLS handshake, certificate info)

⚠️ Estimasi Storage: Jaringan 100 Mbps, utilisasi 30% → ~325 GB/hari. Gunakan retention policy!

📊 Flow Data (NetFlow/sFlow/IPFIX)

Flow Data — ringkasan metadata komunikasi: siapa berkomunikasi dengan siapa, kapan, protokol apa, berapa banyak data — tanpa isi komunikasi. 
Source IP       : 192.168.1.100
Destination IP  : 203.0.113.50
Source Port     : 49152
Destination Port: 443
Protocol        : TCP (6)
Bytes           : 1,245,678
Packets         : 847
Start Time      : 2025-01-15 08:23:45
TCP Flags       : SYN, ACK, PSH, FIN

Rasio storage PCAP vs Flow ≈ 500:1 — sangat efisien untuk monitoring jangka panjang.

📝 Sumber Log Jaringan

Sumber Informasi Kunci
Firewall Koneksi allow/deny, rule terpicu
IDS/IPS Alert keamanan, signature match
Proxy Server URL diakses, user agent, response code
DNS Server Query & response, NXDOMAIN
DHCP Server IP assignment, MAC address
VPN Gateway Koneksi VPN, autentikasi user

🔒 Preservasi Bukti Jaringan

Chain of custody tetap berlaku (Pertemuan 2) dengan adaptasi khusus:

  1. Hitung hash file PCAP segera setelah capture selesai
  2. Buat salinan forensik (min 2 copy pada media terpisah)
  3. Dokumentasikan metadata: tool, versi, filter, interface
  4. Simpan dengan aman di media write-protected
  5. Catat setiap akses terhadap file bukti
Nomor Bukti   : NF-2025-001
Jenis         : Full Packet Capture (PCAP)
Sumber        : TAP pada gateway utama Kodam IX/Udayana
Hash SHA-256  : 1234abcd5678efgh...
Tool Capture  : tcpdump 4.9.3 / libpcap 1.10.1

🔬 Analisis Protokol: TCP/IP

Setiap layer TCP/IP memberikan informasi forensik yang berbeda:

Layer Protokol Informasi Forensik
Application (7) HTTP, DNS, SMTP, FTP Konten, URL, email, file transfer
Transport (4) TCP, UDP Port number, session, flags
Internet (3) IP, ICMP IP sumber/tujuan, TTL, routing
Network Access (2) Ethernet, Wi-Fi MAC address, VLAN tags

🤝 TCP Three-Way Handshake

Client (192.168.1.100)          Server (10.0.0.1:80)
         |                              |
         |---- SYN (seq=1000) -------->|    ← Inisiasi
         |                              |
         |<--- SYN-ACK (seq=2000, ------|    ← Konfirmasi
         |     ack=1001)                |
         |                              |
         |---- ACK (seq=1001, -------->|    ← Established
         |     ack=2001)                |

Implikasi Forensik: Banyak SYN tanpa ACK = SYN scan/SYN flood. SYN+SYN-ACK+RST = stealth port scanning.

🚩 TCP Flags & Signifikansi Forensik

Flag Signifikansi Forensik
SYN Inisiasi koneksi; banyak SYN tanpa ACK = SYN scan/flood
ACK Koneksi established; ACK scan untuk bypass firewall
FIN Terminasi normal; FIN scan untuk stealth scanning
RST Koneksi direset; port tertutup atau filtered
PSH Push data; indikasi transfer data aktif 
# Wireshark: Deteksi SYN scan
tcp.flags.syn == 1 && tcp.flags.ack == 0

🔎 Contoh: Deteksi Port Scanning

203.0.113.50 → 10.0.0.5:22   [SYN] → [RST,ACK]      Port TERTUTUP
203.0.113.50 → 10.0.0.5:80   [SYN] → [SYN,ACK] → RST Port TERBUKA ⚠️
203.0.113.50 → 10.0.0.5:443  [SYN] → [SYN,ACK] → RST Port TERBUKA ⚠️
203.0.113.50 → 10.0.0.5:3389 [SYN] → [RST,ACK]      Port TERTUTUP
203.0.113.50 → 10.0.0.5:3306 [SYN] → [SYN,ACK] → RST Port TERBUKA ⚠️

⚠️ Temuan Kritis: Port MySQL (3306) terbuka dan dapat diakses dari luar — risiko keamanan tinggi pada jaringan Kodam!

Pola: Satu IP sumber → banyak port pada satu target = TCP SYN Scan

🌍 Forensik DNS

DNS — salah satu sumber bukti paling berharga karena hampir semua aktivitas internet dimulai dengan query DNS.
Elemen DNS Nilai Forensik
Query name Domain yang diakses oleh host
NXDOMAIN Domain tidak ada — banyak NXDOMAIN = DGA malware
TXT records Sering digunakan untuk DNS tunneling
TTL rendah Indikator C2 fast-flux 
# Wireshark: DNS response NXDOMAIN
dns.flags.rcode == 3
# DNS TXT records (potential tunneling)
dns.qry.type == 16

🚇 DNS Tunneling

DNS Tunneling — menyalahgunakan protokol DNS untuk mengirim data melalui query/response, sering digunakan untuk data exfiltration karena DNS jarang diblokir. 
Query DNS Normal:
  www.example.com                        → 15 karakter

Query DNS Tunneling:
  dGhpcyBpcyBhIHRlc3Q.data.evil.com     → 34 karakter
  (Base64 "this is a test" sebagai subdomain)

Indikator: ✅ Query name panjang (>30 char) ✅ Volume tinggi ke satu domain ✅ Tipe TXT/NULL ✅ Entropy tinggi ✅ Pola periodik

🔍 Analisis DNS: Mana yang Mencurigakan?

Query 1: www.google.com                              (A record) ✅
Query 2: mail.kemhan.go.id                            (MX record) ✅
Query 3: dGhpcyBpcyBhIHRlc3Q.data.xyz123.net          (TXT)      ❌
Query 4: c2VjcmV0IGZpbGUgY29udGVudA.data.xyz123.net   (TXT)      ❌
Query 5: www.bing.com                                 (A record) ✅
Query 6: ZW5jcnlwdGVkIGRhdGEgaGVyZQ.data.xyz123.net   (TXT)      ❌

Temuan: Query 3, 4, 6 = DNS Tunneling. Base64-encoded data dalam subdomain, semua menuju xyz123.net via TXT record. Decode: "this is a test", "secret file content", "encrypted data here".

🌐 Forensik HTTP

HTTP (clear-text) memberikan informasi sangat kaya:

POST /upload.php HTTP/1.1
Host: file-share.suspicious-site.net
Content-Type: multipart/form-data
Content-Length: 15728640
User-Agent: curl/7.68.0
filename="laporan_operasi_q4.xlsx"

🚨 Data Exfiltration terdeteksi!
curl (bukan browser) → transfer disengaja
• File: "laporan_operasi_q4.xlsx" → dokumen operasional militer
• 15 MB ke domain eksternal mencurigakan

🔐 HTTPS: Tantangan & Apa yang Tersisa

✅ Masih Tersedia

  • IP sumber & tujuan
  • SNI (domain tujuan)
  • Certificate details
  • Ukuran data transfer
  • Pola timing koneksi
  • TLS version & cipher

❌ Terenkripsi

  • URL lengkap (path)
  • Konten request/response
  • Header HTTP
  • Cookie & kredensial
  • Body payload
  • Query string
# Wireshark: SNI (domain yang diakses via HTTPS)
tls.handshake.extensions_server_name
# Certificate info
tls.handshake.certificate

🚨 Analisis IDS/IPS Artifacts

Jenis IDS berdasarkan metode deteksi:

Jenis Metode Pro/Con
Signature-based Cocokkan pola yang diketahui ✅ Akurat, ❌ Tidak deteksi zero-day
Anomaly-based Deteksi penyimpangan dari baseline ✅ Deteksi serangan baru, ❌ False positive tinggi
Hybrid Kombinasi signature + anomaly ✅ Cakupan luas, ❌ Kompleksitas tinggi

📢 Contoh: Snort/Suricata Alert

[**] [1:2024217:3] ET MALWARE Trickbot CnC Beacon [**]
[Classification: A Network Trojan was Detected] [Priority: 1]
01/15/2025-08:23:45.123456
192.168.1.100:49152 -> 203.0.113.50:443
TCP TTL:128 TOS:0x0 ID:12345

Interpretasi:
ET MALWARE Trickbot CnC Beacon — komunikasi C2 malware Trickbot
Priority: 1 — level kritis
• Host internal 192.168.1.100 berkomunikasi dengan C2 server eksternal

🔗 Korelasi Log: Rekonstruksi Serangan

08:20:00 [DNS]     192.168.1.100 → exploit-kit.malware.net
08:20:01 [FW]      ALLOW → 203.0.113.50:80 (HTTP)
08:20:02 [IDS]     ET EXPLOIT Kit Landing Page detected
08:20:05 [Proxy]   GET /payload.exe → 200 OK
08:20:10 [FW]      ALLOW → 198.51.100.25:443 (HTTPS)
08:20:11 [IDS]     ET MALWARE CnC Beacon Activity
08:21:00 [FW]      ALLOW → 198.51.100.25:443 (5.2 MB)
08:21:30 [IDS]     ET POLICY Large Outbound Data Transfer

Kill Chain: Delivery → Exploitation → Installation → C2 → Exfiltration — dalam ~90 detik!

⚔️ Mapping Cyber Kill Chain

Waktu Event Kill Chain
08:20:00 DNS resolve exploit kit Delivery
08:20:02 Exploit kit landing page Exploitation
08:20:05 Download payload.exe Installation
08:20:10 Koneksi HTTPS ke C2 Command & Control
08:21:00 Transfer 5.2 MB keluar Actions on Objectives

📶 Wireless Network Forensics

Tantangan khusus forensik jaringan nirkabel:

Tantangan Penjelasan
Broadcast medium Sinyal bisa ditangkap siapa saja dalam jangkauan
Encryption WPA2/WPA3 mengenkripsi payload
Attribution MAC address dapat di-spoof
Legal issues Intersepsi wireless perlu otorisasi

📡 Probe Requests: Tracking Perangkat

Probe Request — frame yang dikirim perangkat untuk mencari jaringan yang pernah terhubung. Mengandung SSID dan MAC address. 
Device MAC: 11:22:33:44:55:66
Probe for SSID: "HOTEL-WIFI-FREE"
Probe for SSID: "AIRPORT-GUEST"
Probe for SSID: "KODAM-INTERNAL"    ← Pernah di jaringan militer
Probe for SSID: "HOME-NETWORK-Admin"

Implikasi: Probe request mengungkap riwayat koneksi perangkat — pernah di hotel, bandara, Kodam, dan rumah. Informasi pergerakan pemilik!

👿 Rogue Access Point Detection

Scan Wi-Fi di area markas:
============================================================
SSID                 BSSID              CH  Encryption
KODAM-WIFI-SECURE    AA:BB:CC:DD:EE:FF   6  WPA2-Enterprise ✅
KODAM-WIFI-SECURE    11:22:33:44:55:66   1  WPA2-PSK        ⚠️ ROGUE!
GUEST-NETWORK        AA:BB:CC:DD:EE:01  11  WPA2-PSK        ✅
FREE-WIFI-KODAM      99:88:77:66:55:44   6  Open            ⚠️ ROGUE!

Indikator Rogue AP:
• SSID sama tapi BSSID berbeda ← Evil Twin
• Enkripsi berbeda (PSK vs Enterprise)
• AP Open di area keamanan ← Honeypot

🔄 Metodologi Rekonstruksi Serangan

  1. Collection — Kumpulkan semua PCAP, logs, flow data
  2. Filtering — Filter noise; fokus IP/port/timeframe relevan
  3. Correlation — Korelasikan event dari berbagai sumber
  4. Timeline — Susun timeline kronologis
  5. Analysis — Identifikasi teknik dan taktik penyerang
  6. Attribution — Kaitkan dengan aktor ancaman yang dikenal
  7. Reporting — Dokumentasi temuan dan rekomendasi

🦈 Teknik Wireshark untuk Rekonstruksi

Teknik Menu/Filter Kegunaan
Follow TCP Stream Klik kanan → Follow → TCP Lihat keseluruhan sesi
Export Objects File → Export Objects Ekstrak file yang ditransfer
Conversations Statistics → Conversations Ringkasan semua komunikasi
IO Graph Statistics → I/O Graph Visualisasi volume traffic
Expert Info Analyze → Expert Info Warning & error otomatis

⚡ Deteksi Serangan Umum via Wireshark

# Port Scanning (SYN Scan)
tcp.flags.syn == 1 && tcp.flags.ack == 0

# SSH Brute Force
tcp.dstport == 22 && tcp.flags.syn == 1

# HTTP Login Brute Force
http.request.method == "POST" && http.request.uri contains "login"

# DNS Exfiltration
dns.qry.name.len > 50

# ICMP Tunneling
icmp.type == 8 && data.len > 64

# C2 Beaconing (HTTP)
http.user_agent == "" || http.user_agent contains "curl"

🕵️ Covert Channels

Covert Channel — metode komunikasi menggunakan saluran/protokol yang tidak dimaksudkan untuk transfer data, untuk menyembunyikan komunikasi dari deteksi.
Metode Teknik Deteksi
DNS Tunneling Data encoded dalam subdomain Query panjang, volume tinggi
ICMP Tunneling Data dalam payload ping Payload > 64 bytes
HTTP Tunneling Data dalam header/URL kustom Header non-standar
Steganography Data dalam gambar/file Analisis statistik file

🏓 Contoh: Deteksi ICMP Tunneling

Temuan: Host 192.168.1.50 mengirim 200 ICMP echo request/menit ke 203.0.113.100, payload rata-rata 512 bytes.

Parameter Normal Ping Temuan Ini
Frekuensi 1-4/siklus 200/menit
Payload 32-64 bytes 512 bytes
Durasi Beberapa detik 24 jam terus-menerus

Estimasi Exfiltration: 512 bytes × 200/menit × 60 × 24 = ~140.6 MB dalam 24 jam!

🔑 Analisis Encrypted Traffic

Meskipun payload terenkripsi, metadata tetap bernilai:

TLS SNI
Domain yang diakses (dari Client Hello)
Certificate
Identitas server; self-signed = mencurigakan
JA3 Hash
TLS fingerprint — identifikasi malware family
Traffic Pattern
Timing & volume — deteksi beaconing

🔏 JA3 TLS Fingerprinting

JA3 — fingerprinting TLS berdasarkan Client Hello parameters, menghasilkan hash MD5 unik per implementasi TLS. 
JA3 Hash Examples:
Malware Trickbot  : e7d705a3286e19ea42f587b344ee6865
Cobalt Strike     : 72a589da586844d7f0818ce684948eea
Chrome Browser    : b32309a26951912be7dba376398abc3b
Firefox Browser   : 839bbe3ed07fed922ded5aaf714d6842
curl tool         : 456523fc94726331a4d5a2e1d40b2cd7

Kegunaan: Identifikasi malware yang menyamar sebagai browser, deteksi tool otomatis, dan membedakan tipe klien berdasarkan implementasi TLS.

📋 Studi Kasus: C2 di Jaringan Kodam

Latar Belakang: Anomali terdeteksi di jaringan Kodam XII/Tanjungpura — IDS alert berkala dari satu workstation, outbound traffic meningkat di luar jam kerja.

[IDS] 02:00:03 ET MALWARE CnC Activity 192.168.10.45 → 185.100.87.XXX
[IDS] 02:05:02 ET MALWARE CnC Activity 192.168.10.45 → 185.100.87.XXX
[IDS] 02:10:04 ET MALWARE CnC Activity 192.168.10.45 → 185.100.87.XXX

Pola Beaconing: Alert setiap ~5 menit pada jam 02:00 dini hari → komunikasi C2 terjadwal.

🔎 Temuan Investigasi

Temuan Detail
Malware Cobalt Strike beacon (JA3 match)
C2 Server 185.100.87.XXX (cloud-sync[.]net)
Beaconing Interval 5 menit via HTTPS
Exfiltration ~45 MB data pada jam 02:30
Host WS-INTEL-007 (unit Intelijen Kodam)
Certificate Self-signed, CN=localhost ← Red flag!

🛠️ Tools Forensik Jaringan

Tool Tipe Keunggulan
Wireshark GUI Analyzer Visual, interaktif, fitur lengkap
tcpdump CLI Capture Ringan, cepat, semua Linux
TShark CLI Analyzer Scriptable, automatable
NetworkMiner NFAT Auto-extract files & credentials
Zeek NSM Framework Log terstruktur, analisis mendalam

🔄 Workflow Investigasi

tcpdump          → Capture (ringan, cepat)
     ↓
NetworkMiner     → Quick Triage (auto-extract)
     ↓
Zeek             → Automated Logs (conn, dns, http, ssl)
     ↓
TShark           → Scripted Extraction (batch processing)
     ↓
Wireshark        → Deep Analysis (per-paket, Follow Stream)

💡 Pro Tip: Untuk PCAP besar (>1 GB), jangan langsung buka di Wireshark! Gunakan Zeek/TShark terlebih dahulu untuk filtering, baru analisis subset di Wireshark.

⚖️ Pertimbangan Hukum

Regulasi monitoring jaringan di Indonesia:

Regulasi Ketentuan
UU No. 1/2024 (ITE) Intersepsi perlu perintah pengadilan/penegak hukum
UU No. 3/2002 Wewenang pertahanan dalam pengamanan informasi
PP No. 71/2019 Kewajiban logging pada penyelenggaraan sistem elektronik

Konteks Militer: Monitoring pada jaringan TNI memerlukan otorisasi komandan, prinsip proporsionalitas, banner login yang menginformasikan monitoring, dan penyimpanan sesuai tingkat klasifikasi.

📌 Key Takeaways

  1. Forensik jaringan fokus pada data in motion — sangat volatile, perlu capture segera
  2. Tiga jenis bukti: Full PCAP (lengkap), Flow Data (efisien), Log Files (tersedia)
  3. DNS adalah goldmine — hampir semua aktivitas dimulai dari DNS query
  4. Korelasi multi-sumber menghasilkan gambaran serangan yang lengkap
  5. Encrypted traffic tetap mengandung metadata yang berharga (SNI, JA3, certificate)
  6. Wireshark + Zeek + tcpdump = toolkit inti forensik jaringan

📅 Pertemuan Berikutnya

Pertemuan 11: Forensik Malware

  • Klasifikasi malware: virus, worm, trojan, ransomware, APT
  • Static analysis: file properties, strings, imports
  • Dynamic analysis: sandbox dan behavioral monitoring
  • Memory forensics untuk malware detection
  • Indicators of Compromise (IOC) documentation

📚 Referensi

  1. Davidoff, S. & Ham, J. (2022). Network Forensics: Tracking Hackers through Cyberspace. 2nd Ed. Prentice Hall. Chapter 1-8
  2. Sanders, C. (2023). Practical Packet Analysis. 4th Ed. No Starch Press. Chapter 1-8
  3. Casey, E. (2022). Digital Evidence and Computer Crime. 4th Ed. Academic Press. Chapter 11.
  4. NIST SP 800-86: Guide to Integrating Forensic Techniques into Incident Response
  5. Bejtlich, R. (2013). The Practice of Network Security Monitoring. No Starch Press.
  6. RFC 3227: Guidelines for Evidence Collection and Archiving

❓ Sesi Tanya Jawab

Quick Quiz: Sebutkan tiga jenis covert channel yang dapat digunakan untuk data exfiltration, dan jelaskan bagaimana masing-masing dapat dideteksi menggunakan Wireshark!

Hint: Pikirkan tentang DNS tunneling, ICMP tunneling, dan HTTP tunneling — masing-masing memiliki pola anomali yang unik.

Terima Kasih

🔍 Forensik Digital untuk Keperluan Militer

Pertemuan 10: Forensik Jaringan


Ada pertanyaan?