NETWORK FORENSIC - Budi Rahardjo @ ITB

standguideΔίκτυα και Επικοινωνίες

26 Οκτ 2013 (πριν από 3 χρόνια και 7 μήνες)

106 εμφανίσεις

NETWORK FORENSIC

Pengantar

Budi Rahardjo

2004

Net Forensic
-

Budi Rahardjo

2

Perbandingan OSI & TCP/IP

Network
Interface
Physical

Internet

Transport

Application

Physical

Data Link

Network

Transport

Session

Presentation

Application

TCP/IP

OSI

Net Forensic
-

Budi Rahardjo

3

Layer TCP/IP

Network
Interface
Physical

Internet

Transport

Application

PPP

IP

UDP

SMTP

.rlogin

.rsh

.rcp

ftp

telnet

DNS

bootp

RPC

NFS

XDR

TCP

SLIP

X.25

Ethernet

arp

Socket Interface

ICMP

Net Forensic
-

Budi Rahardjo

4

Header & Data


Header di sebuah layer menjadi data di
layer berikutnya

TCP
Header

Header

Data

IP
Datagram

Header

Data

Frame


Header

Data



Header

Data

Net Forensic
-

Budi Rahardjo

5

IP Header: 20 bytes

VER

TOS

Length in bytes

ID Field

Frag offset

TTL

Protocol

Header Checksum

Source IP Address

Destination IP Address

Net Forensic
-

Budi Rahardjo

6

Sample TCP/IP Packet

Frame
Header

14 bytes

IP Header

20 bytes

Protocol
Header

20 bytes

Protocol
Data

14 bytes

Ethernet Frame

IP Datagram

Embedded Packet TCP, UDP, ICMP

Net Forensic
-

Budi Rahardjo

7

TCPdump


Tools untuk menganalisa packet


Tersedia source code (untuk sistem UNIX)


http://www.tcpdump.org


Ada
WinDump

untuk MS Windows


http://windump.polito.it/


Harus pasang
WinPcap

yang dapat diperoleh
dari situs yang sama

Net Forensic
-

Budi Rahardjo

8

TCPdump Output

09:32:43:910000 nmap.edu.1173 > dns.net.21: S
62697789:62697789(0) win 512


09:32:43:910000
:

Time stamp


nmap.edu
:


Source host name


1173
:


Source port number


>




tanda arah paket


dns.net
:


Destination host name


21:



Destination port number


S:




TCP flag


62697789:62697789(0):

TCP sequence number
begin:end (data bytes)


win 512:

Receiving TCP buffer size (in bytes) of
nmap.edu

Net Forensic
-

Budi Rahardjo

9

TCP flags

di tcpdump


SYN “S”


ACK “ack”


FIN “F”


RESET “R”


PUSH “P”


URGENT “urg”


Placeholder “.”

Net Forensic
-

Budi Rahardjo

10

Tugas


Tangkap “sesi” ICPM (via
ping
)


Tangkap sesi
telnet

&
ftp
, khususnya
perhatikan 3
-
way handshaking


Tangkap sebuah sesi
nmap

yang
melakukan port scanning

(boleh bebas atau menggunakan flag tertentu, misalnya untuk
scanning dengan SYN saja)


Beri komentar