Hardware Type : adalah tipe hardware/perangkat keras. Banyak bit dalam field ini adlah 16 bit. Sebagai contoh untuk Ethernet mempunyai tipe 1. Protocol Type : adalah tipe protokol di mana banyaknya bit dalam field ini 16 bit. Contohnya, untuk protokol IPv4 adalah 080016. Hardware Length : field berisi 8 bit yang mendefinisikan panjang alamat fisik. Contohnya, untuk Ethernet, panjang alamat fisik adalah 6 byte. • Protocol Length : field berisi 8 bit yang mendefinisikan panjang alamat logika dalam satuan byte. Contoh : untuk protokol IPv4 panjangnya adalah 4 byte. • Operation Request & Reply: field berisi 16 bit ini mendefinisikan jenis paket untuk ARP apakah itu berjenis ARP request atau ARP reply. • Sender Hardware Address : banyaknya field adalah variabel yang mendefinisikan alamat fisik dari pengirim. Untuk Ethernet panjang nya 6 byte. • Sender Protocol Address : field ini panjangnya juga variabel dan untuk mendefiniskan alamat logika (alamat IP) dari pengirim. • Target Hardware Address : field ini panjangnya juga variabel yang mendefiniskan alamat fisik daripada target. Pada paket ARP request, field ini isinya 0 semua. • Target Protocol Address : field ini panjangnya juga variabel dan mendefinisikan alamat logika (IP) dari target Analisis Paket ARP
Hasil Analisis : • Nilai 1 pada Hardware Type merupakan jenis Ethernet • Nilai 0x800 pada Protocol Type merupakan Protocol IP • Nilai 1 pada operational merupakan request
• Nilai Hlen pada Hardware Size • Nilai Plen pada Protokol Size • Sender MAC Address 00:50:da:ca:0f:33 • Sender IP Address10.64.0.164 • Target MAC Address00:00:00:00:00:00 • Target IP Address10.64.0.16 Statistik Hasil Analisis 1.2 ICMP (Internet Control Message Protocol) ICMP (Internet Control Message Protocol) adalah protokol yang bertugas mengirimkan pesan-pesan kesalahan dan kondisi lain yang memerlukan perhatian khusus. Pesan / paket ICMP dikirim jika terjadi masalah pada layer IP dan layer atasnya (TCP/UDP). Pada konsisi normal, protokol IP berjalan dengan baik. Namun ada beberapa kondisi dimana koneksi IP terganggu, misalnya karena Router crash, putusnya kabel, atau matinya host tujuan. Pada saat ini ICMP membantu menstabilkan kondisi jaringan, dengan memberikan pesan-pesan tertentu sebagai respons atas kondisi tertentu yang terjadi pada jaringan tersebut.
Jenis Pesan ICMP • ICMP Error Message (dihasilkan bila terjadi kesalahan Jaringan) • ICMP Query Message (dihasilkan bila pengirim paket mengirimkan informasi tertentu yang berhubungan dengan kondisi jaringan ICMP akan melaporkan informasi jaringan berikut: – Timeout (batas waktu habis) – Kemacetan jaringan – Kesalahan jaringan misalnya host atau jaringan tidak terjangkau • ICMP Error Message 1. Destination Unreachable a. Network Unreacheable, jika jaringan tujuan tak dapat dihubungi b. Host Unreacheable, jika host tujuan tak bisa dihubungi c. Protocol At Destination is Unreacheable, jika di tujuan tak tersedia protokol tersebut. d. Destination Host is Unknown, jika host tujuan tidak diketahui e. Destination Network is Unknown, jika network tujuan tidak diketahui 2. Time Exceeded 3. Parameter Problem 4. Source Quench 5. Redirect • ICMP Query Message 1. Echo dan Echo Reply, bertujuan untuk memeriksa apakah sistem tujuan dalam keadaan aktif. Program ping merupakan program pengisi paket ini. Respondet harus mengembalikan data yang sama dengan data yang dikirimkan. 2. Timestamp dan Timestamp Reply, menghasilkan informasi waktu yang diperlukan sistem tujuan untuk memproses suatu paket. 3. Address mask, untuk mengetahui beberapa netmask yang harus digunakan suatu host dalam suatu network. Arsitektur Paket ICMP
Analisis Paket ICMP
Hasil Analisis Data Statistik
1.3 DHCP & DNS Protocol 1.3.1 DHCP Dynamic Host Configuration Protocol adalah protokol yang berbasis arsitektur client/server yang dipakai untuk memudahkan pengalokasian alamat IP dalam satu jaringan. Sebuah jaringan lokal yang tidak menggunakan DHCP harus memberikan alamat IP kepada semua komputer secara manual. Jika DHCP dipasang di jaringan lokal, maka semua komputer yang tersambung di jaringan akan mendapatkan alamat IP secara otomatis dari server DHCP. Selain alamat IP, banyak parameter jaringan yang dapat diberikan oleh DHCP, seperti default gateway dan DNS server. Cara Kerja DHCP : Karena DHCP merupakan sebuah protokol yang menggunakan arsitektur client/server, maka dalam DHCP terdapat dua pihak yang terlibat, yakni DHCP Server dan DHCP Client 1. DHCP server merupakan sebuah mesin yang menjalankan layanan yang dapat "menyewakan" alamat IP dan informasi TCP/IP lainnya kepada semua klien yang memintanya 2. DHCP client merupakan mesin klien yang menjalankan perangkat lunak klien DHCP yang memungkinkan mereka untuk dapat berkomunikasi dengan DHCP Server DHCP server umumnya memiliki sekumpulan alamat yang diizinkan untuk didistribusikan kepada klien, yang disebut sebagai DHCP Pool. Setiap klien kemudian akan menyewa alamat IP dari DHCP Pool ini untuk waktu yang ditentukan oleh DHCP, biasanya hingga beberapa hari. Manakala waktu penyewaan alamat IP tersebut habis masanya, klien akan meminta kepada server untuk memberikan alamat IP yang baru atau memperpanjangnya DHCP Client akan mencoba untuk mendapatkan "penyewaan" alamat IP dari sebuah DHCP server dalam proses empat langkah berikut: o DHCPDISCOVER: DHCP client akan menyebarkan request secara broadcast untuk mencari DHCP Server yang aktif. o DHCPOFFER: Setelah DHCP Server mendengar broadcast dari DHCP Client, DHCP server kemudian menawarkan sebuah alamat kepada DHCP client.
o DHCPREQUEST: Client meminta DCHP server untuk menyewakan alamat IP dari salah satu alamat yang tersedia dalam DHCP Pool pada DHCP Server yang bersangkutan. o DHCPACK: DHCP server akan merespons permintaan dari klien dengan mengirimkan paket acknowledgment. Kemudian, DHCP Server akan menetapkan sebuah alamat (dan konfigurasi TCP/IP lainnya) kepada klien, dan memperbarui basis data database miliknya. Klien selanjutnya akan memulai proses binding dengan tumpukan protokol TCP/IP dan karena telah memiliki alamat IP, klien pun dapat memulai komunikasi jaringan DHCP Format Detail Header DHCP a. Opcode : Tipe opearasi yang dilakukan b. Hardware Type : Tipe perangkat keras yang digunakan c. Hardware Address Length : Panjang alamat perangkat keras
d. Hop Count : Jumlah Hop e. Transaction : Transaksi acak yang dilakukan oleh klien f. Number of seconds : Waktu yang dibutuhkan untuk mengeksekusi operasi g. Flag : Flag yang didasarkan pada RFC 1542 h. Client IP Address : Alamat IP Client i. Your IP Address: Alamat IP Anda j. Server IP Address Alamat IP Server k. Gateway IP Address: Alamat IP Gateway l. Client Hardware Address: Alamat perangkat keras client m. Server Hostname: Nilai server hostname Analisis Paket Pada hasil packet capture pada No.1, client mengirim secara broadcast ke 255.255.255.255 untuk mencari keberadaan server DHCP Ketika packet capture dibuka (double click) akan diperoleh tampilan packet header Pada hasil capture diatas terlihat bahwa nilai Client IP Address dan Your Client IP adalah 0.0.0.0, yang menunjukkan bahwa klien belum mempunyai alamat IP
Pada paket Nomor 2, klien telah menemukan server DHCP dengan alamat IP 10.0.0.1 dengan memperhatikan nilai DHCP Identifier. Pada paket Nomor 3, server DHCP menawarkan alamat IP 10.0.99.2 Pada paket Nomor 4, klien memberikan informasi kepada Server bahwa alamat IP 10.0.99.2 akan digunakan. Pada paket Nomor 4, klien sudah menggunakan alamat IP 10.0.99.2, hal ini dapat dilihat dengan memperhatikan nilai Your (Client) Ip Address pada paket Header DHCP nya. Data Statistik 1.3.2 DNS Domain Name System adalah sebuah sistem yang menyimpan informasi tentang nama host ataupun nama domain dalam bentuk basis data tersebar (distributed database) di dalam jaringan komputer, misalkan: Internet. DNS menyediakan alamat IP untuk setiap nama host dan mendata setiap server transmisi surat (mail exchange server) yang
menerima surel (email) untuk setiap domain. Menurut browser Google Chrome, DNS adalah layanan jaringan yang menerjemahkan nama situs web menjadi alamat internet. Cara Kerja DNS 1. DNS resolver melakukan pencarian alamat host pada file HOSTS. Jika alamat host yang dicari sudah ditemukan dan diberikan, maka proses selesai. 2. DNS resolver melakukan pencarian pada data cache yang sudah dibuat oleh resolver untuk menyimpan hasil permintaan sebelumnya. Bila ada, kemudian disimpan dalam data cache lalu hasilnya diberikan dan selesai. 3. DNS resolver melakukan pencarian pada alamat server DNS pertama yang telah ditentukan oleh pengguna. 4. Server DNS ditugaskan untuk mencari nama domain pada cache-nya. 5. Apabila nama domain yang dicari oleh server DNS tidak ditemukan, maka pencarian dilakukan dengan melihat file database (zones) yang dimiliki oleh server. 6. Apabila masih tidak ditemukan, pencarian dilakukan dengan menghubungi server DNS lain yang masih terkait dengan server yang dimaksud. Jika sudah ditemukan kemudian disimpan dalam cache lalu hasilnya diberikan 7. Jadi, jika apa yang dicari di server DNS pertama tidak ditemukan. Pencarian dilanjutkan pada server DNS kedua dan seterusnya dengan 6 proses yang sama seperti di atas.
8. Perlu dicatat, pencarian dari client ke sejumlah server DNS dikenal dengan istilah proses pencarian iteratif sedangkan proses pencarian domain antar server DNS dikenal dengan istilah pencarian rekursif. DNS Header
Analisis Paket Pada contoh hasil analisis yang telah didapatkan terdapat 57 data didalamnya, kemudian klik packet No.1 dimana Anda akan melihat Query DNS, untukmelihat detailnya double klik Domain Name System, sebagai berikut; Bagaimana kita dapat melihat respons dari data paket Nomor 1? Jawabannya adalah packet data nomor 2 yang merupakan respons dari paket data Nomor 1 sehingga akan diperoleh format Header DNS seperti gambar berikut;
1.4 IP Protocol Internet Protocol (IP) adalah protokol lapisan jaringan (network layer dalam OSI Reference Model) atau protokol lapisan internetwork (internetwork layer dalam DARPA Reference Model) yang digunakan oleh protokol TCP/IP untuk melakukan pengalamatan dan routing paket data antar host-host di jaringan komputer berbasis TCP/IP. Protokol IP merupakan salah satu protokol kunci di dalam kumpulan protokol TCP/IP. Sebuah paket IP akan membawa data aktual yang dikirimkan melalui jaringan dari satu titik ke titik lainnya. Metode yang digunakannya adalah connectionless yang berarti ia tidak perlu membuat dan memelihara sebuah sesi koneksi. IP protokol tidak menjamin penyampaian data dari host satu ke lainnya. Hal ini akan ditugaskan kepada protokol pada lapisan yang lebih tinggi (lapisan transport dalam OSI Reference Model atau lapisan antar host dalam DARPA Reference Model), yakni protokol Transmission Control Protocol (TCP). Datagram IP Paket-paket data dalam protokol IP dikirimkan dalam bentuk datagram Header IP: Ukuran header IP bervariasi, yakni berukuran 20 hingga 60 byte, dalam penambahan 4-byte. Header IP menyediakan dukungan untuk memetakan jaringan (routing), identifikasi muatan IP, ukuran header IP dan datagram IP, dukungan fragmentasi, dan juga IP Options. Muatan IP: Ukuran muatan IP juga bervariasi, yang berkisar dari 8 byte hingga 65515 byte.
Fragmentasi Paket IP Ketika sebuah host sumber atau router harus mentransmisikan sebuah datagram IP dalam sebuah saluran jaringan di mana nilai Maximum transmission unit (MTU) yang dimilikinya lebih kecil dibandingkan ukuran datagram IP, datagram IP yang akan ditransmisikan tersebut harus dipecah ke dalam beberapa fragmen. Proses ini disebut sebagai Fragmentation (fragmentasi). Ketika fragmentasi terjadi, muatan IP akan dibelah menjadi beberapa segmen, dan setiap segmen akan dikirimkan dengan header IP-nya masing-masing. Format Data IP
Analisis Paket
Referensi : http://rahmadani.net/lecturer/unpab/network-forensic-incident-response/
PERTEMUAN 15 1. Analisis Paket Jaringan 1.1 TCP & UDP Protocol 1.1.1 TCP (Transmission Control Protocol) Suatu protokol yang berada di lapisan transport (baik itu dalam tujuh lapis model referensi OSI atau model DARPA) yang berorientasi sambungan (connection-oriented) dan dapat diandalkan (reliable). TCP merupakan bagian inti penting dari Internet Protocol sehingga sering disebut TCP/IP. TCP menyediakan komunikasi yang dapat diandalkan dan mempunyai urutan yang rapi. TCP berada pada transport layer. Karakteristik TCP : Berorientasi sambungan (connection-oriented) Full-duplex Dapat diandalkan (reliable) Byte stream Memiliki layanan flow control Melakukan segmentasi Mengirimkan paket secara "one-to-one“ Segmen TCP Segmen-segmen TCP akan dikirimkan sebagai datagram-datagram IP (datagram merupakan satuan protocol data unit pada lapisan internetwork). Sebuah segmen TCP terdiri atas sebuah header dan segmen data (payload), yang dienkapsulasi dengan menggunakan header IP dari protokol IP. Sebuah segmen dapat berukuran hingga 65495 byte: 216 -(ukuran header IP terkecil (20 byte)+ukuran header TCP terkecil (20 byte)). Datagram IP tersebut akan dienkapsulasi lagi dengan menggunakan header protokol network interface (lapisan pertama dalam DARPA Reference Model) menjadi frame lapisan Network Interface.
Format Header TCP Port TCP Port TCP mampu mengindikasikan sebuah lokasi tertentu untuk menyampaikan segmen-segmen TCP yang dikirimkan yang diidentifikasi dengan TCP Port Number. Nomor-nomor di bawah angka 1024 merupakan port yang umum digunakan dan ditetapkan oleh IANA, sementara port UDP merepresentasikan sebuah antrean pesan UDP untuk protokol lapisan aplikasi Proses TCP Three-way handshake 1. Host pertama (yang ingin membuat koneksi) akan mengirimkan sebuah segmen TCP dengan flag SYN diaktifkan kepada host kedua (yang hendak diajak untuk berkomunikasi). 2. Host kedua akan meresponsnya dengan mengirimkan segmen dengan acknowledgment dan juga SYN kepada host pertama. 3. Host pertama selanjutnya akan mulai saling bertukar data dengan host kedua.
Analisis Paket TCP Masalah yang sering terjadi pada protocol TCP adalah jaringan yang tidak stabil terutama pada masalah handshake 1.1.2 UDP (User Datagram Protocol) UDP, singkatan dari User Datagram Protocol, adalah salah satu protokol lapisan transport TCP/IP yang mendukung komunikasi yang tidak andal (unreliable), tanpa koneksi (connectionless) antara host-host dalam jaringan yang menggunakan TCP/IP. UDP melakukan komunikasi secara sederhana dengan mekanisme yang sangat minimal. Ada proses checksum untuk menjaga integritas data. UDP digunakan untuk komunikasi yang sederhana seperti query DNS (Domain Name System), NTP (Network
Time Protocol) DHCP (Dinamic Host Configuration Protocol), dan RIP (Routing Information Protocol). Karakteristik UDP : Connectionless Unreliable (tidak andal) UDP menyediakan mekanisme untuk mengirim pesan-pesan ke sebuah protokol lapisan aplikasi atau proses tertentu di dalam sebuah host dalam jaringan yang menggunakan TCP/IP. Header UDP berisi field Source Process Identification dan Destination Process Identification Format Header UDP Port UDP
Analisis Paket UDP 1.2 HTTP & FTP 1.2.1 HTTP Hypertext Transfer Protocol (HTTP) adalah sebuah protokol jaringan lapisan aplikasi yang digunakan untuk sistem informasi terdistribusi, kolaboratif, dan menggunakan hipermedia. Penggunaannya banyak pada pengambilan sumber daya yang saling terhubung dengan tautan, yang disebut dengan dokumen hiperteks, yang kemudian membentuk World Wide Web pada tahun 1990 oleh fisikawan Inggris Tim BernersLee. HTTP adalah sebuah protokol meminta/menjawab antara klien dan server. Sebuah klien HTTP (seperti web browser atau robot dan lain sebagainya), biasanya memulai permintaan dengan membuat hubungan ke port tertentu di sebuah server Webhosting tertentu (biasanya port 80). Klien yang mengirimkan permintaan HTTP juga dikenal dengan user agent. Server yang meresponsnya, yang menyimpan sumber daya seperti berkas HTML dan gambar, dikenal juga sebagai origin server. Di antara user agent dan juga origin server, bisa saja ada penghubung, seperti halnya proxy, gateway, dan juga tunnel. HTTP Request/Response 1. Seorang pengguna mengunjungi URL dari sebuah situs web. 2. Hal ini menciptakan permintaan yang diarahkan ke web server melalui internet (jaringan DNS itu, router dan switch) melalui HTTP (Hypertext Transfer Protocol).
3. Web server menerima permintaan HTTP dan merespon pengguna dengan halaman web (atau isi) yang diminta. Anatomi Sesi Request Pada HTTP 2. OPTION Pilihan ini berguna untuk mencari tahu mana metode HTTP dapat diakses oleh klien.Tergantung pada bagaimana web server Anda mencoba untuk menyambung ke konfigurasi, administrator mungkin hanya memiliki POST dan GET metode HTTP diakses. • GET Sebuah permintaan GET mengambil data dari web server dengan menentukan parameter di bagian URL dari permintaan. • POST Sebuah permintaan HTTP POST memanfaatkan badan pesan untuk mengirim data ke server web. • PUT PUT mirip dengan POST memanfaatkan badan pesan untuk mentransfer data. • HEAD Metode HTTP HEAD gunakan untuk mengambil informasi tentang URL dari web server. Jadi misalnya jika Anda mengirim permintaan HEAD, Anda akan menerima respon dari server web yang berisi informasi yang sama seperti yang Anda lakukan dengan HTTP POST tidak termasuk data tubuh. • DELETE Metode HTTP DELETE dapat digunakan untuk menghapus sumber daya dari server.
• TRACE Jika Anda mencoba untuk menjalankan metode TRACE HTTP pada kebanyakan web server-Anda mungkin akan melihat pesan ini: Status: HTTP/1.1 501 Not Implemented • CONNECT HTTP CONNECT dapat digunakan untuk membuat sambungan jaringan ke server web melalui HTTP. Ini terutama digunakan dalam kasus di mana sebuah koneksi HTTP aman / terenkripsi (terowongan) perlu dibangun antara klien dan web server seperti koneksi SSL Analisis Paket HTTP • Paket 1 dan 2 merequest www.packet-level.com melalui protocol DNS • Pada 3-5◊ terjadi proses ACK pada protocol transport (TCP) • Pada paket nomor 6 ◊ ip 24.6.150.44 melakukan koneksi melalui protocol HTTP
Analisis HTTP Request Analisis HTTP Response 1.2.2 FTP Protokol pengiriman berkas (bahasa Inggris: File Transfer Protocol) adalah sebuah protokol Internet yang berjalan di dalam lapisan aplikasi yang merupakan standar untuk pengiriman berkas (file) komputer antar mesin-mesin dalam sebuah Antar jaringan. FTP merupakan salah satu protokol Internet yang paling awal dikembangkan, dan masih digunakan hingga saat ini untuk melakukan pengunduhan (download) dan penggugahan (upload) berkas-berkas komputer antara klien FTP dan server FTP. Sebuah server FTP diakses dengan menggunakan Universal Resource Identifier (URI)
dengan menggunakan format ftp://namaserver. Klien FTP dapat menghubungi server FTP dengan membuka URI tersebut. FTP menggunakan protokol Transmission Control Protocol (TCP) untuk komunikasi data antara klien dan server, sehingga di antara kedua komponen tersebut akan dibuatlah sebuah sesi komunikasi sebelum pengiriman data dimulai. Sebelum membuat koneksi, port TCP nomor 21 di sisi server akan "mendengarkan" percobaan koneksi dari sebuah klien FTP dan kemudian akan digunakan sebagai port pengatur (control port) untuk (1) membuat sebuah koneksi antara klien dan server, (2) untuk mengizinkan klien untuk mengirimkan sebuah perintah FTP kepada server dan juga (3) mengembalikan respons server ke perintah tersebut. FTP hanya menggunakan metode autentikasi standar, yakni menggunakan username dan password yang dikirim dalam bentuk tidak terenkripsi. Pengguna terdaftar dapat menggunakan username dan password-nya untuk mengakses, men-download, dan meng-upload berkas-berkas yang ia kehendaki. Cara Kerja FTP
Analisis Paket FTP 2 Pada packet Nomor 3-5, mula-mula IP 10.3,71.7 melakukan koneksi FTP melalui protocol TCP/IP. 3 Pada paket nomor 6 tampak response FTP Server mengirim packet data.
1.3 Mail Server Protocol Mail server adalah server yang memungkinkan pengguna (user) untuk dapat mengirim dan menerima surat elektronik atau e-mail satu sama lain dalam satu jaringan atau dengan internet. Layanan ini menggunakan arsitektur client-server, Protocol yang umum digunakan adalah protocol SMTP, POP3 ataupun IMAP. Mail Server biasanya dikelola oleh sistem yang biasanya dipanggil Post Master. Terdapat juga layanan Web Mail Server, yaitu sarana yang memungkinkan user dapat mengakses e-mail melalui website yang memiliki feature webmail. Protokol pada Mail Server • SMTP (Simple Mail Transfer Protocol) digunakan sebagai standar untuk menampung dan mendistribusikan email. • POP3 (Post Office Protocol v3) dan IMAP (Internet Mail Application Protocol) digunakan agar user dapat mengambil dan membaca email secara remote yaitu tidak perlu login ke dalam sistem shelll mesin mail server tetapi cukup menguhubungi port tertentu dengan mail client yang mengimplementasikan protocol POP3 dan IMAP. • Outgoing Server (Sending email) : Protocol server yang menangani adalah SMTP (Simple Mail Transfer Protocol) pada port 25. • Incoming Server (Receiving email) : Protocol server yang menangani adalah POP3 (Post Office Protocol) pada port 110 atau IMAP (Internet Message Access Protocol) pada port 143. Server pada Mail Server
SMTP Server : Saat anda mengirimkan email maka email anda akan ditangani SMTP Server dan akan dikirim ke SMTP Server tujuan, baik secara langsung maupun melalui beberapa SMTP Server dijalurnya. Apabila server tujuan terkoneksi maka email akan dikirim, namun apabila tidak terjadi koneksi maka akan dimasukan ke dalam queue dan di resend kembali berdsarkan waktu yang telah ditentukan dan apabila tidak ada perubahan maka akan diberikan undeliver notice ke inbox pengirim POP3 Server : Jika menggunakan POP3 Server, apabila akan membaca email maka email pada server di download sehingga email hanya akan ada pada mesin yang mendownload email tersebut (kita hanya bisa membaca email tersebut pada device yang mendownload email tersebut) IMAP Server : Jika menggunakan IMAP Server, email dapat dibuka kembali lewat device yang berbeda Analisis Paket SMTP Pada paket no. 1-3 merupakan paket TCP untuk melakukan koneksi dari klien ke server SMTP Setelah koneksi antara klien & server terhubung, server SMTP memberikan respons informasi mengenai server SMTP pada paket 4
Disini terlihat server memberikan respons dengan kode 220 (service ready) Pada paket nomor 5, klien mengirimkan perintah SMTP, yaitu EHLO dengan parameter vaio. Kemudian responsnya dapat dilihat pada paket nomor 6.
Analisis Paket POP3 Pada paket nomor 1-3 merupakan paket TCP untuk melakukan koneksi dari klien ke server. Setelah koneksi antara klien dan server terhubung, server POP memberikan respons informasi mengenai server POP pada paket no.4.
Disini dapat terlihat server memberikan respons +OK yang berarti siap untuk menerima perintah POP3 Pada paket nomor 5, klien mengautentikasi POP3 dengan mengirim perintah USER dan parameter nama pengguna, yaitu rgantry. Jika berhasil, server POP3 akan mengirim respons ke klien yang dapat dilihat pada paket nomor 6.
Dengan cara yang sama, klien mengirim password yang dilihat pada paket 7 dimana konten paket POP, disini terlihat bahwa password yang dikirim adalah abcdefgh Respons server dapat dilihat pada paket 8 dimana kontennya tampak terlihat server memberikan informasi jumlah pesan yaitu,1
Analisis Paket IMAP Pada paket no 1-3 merupakan paket TCP untuk melakukan koneksi dari klien ke server IMAP. Koneksi antara klien dan server dapat terjadi sehingga server IMAP memberikan respons informasi tentang server IMAP seperti pada paket 4
Disini dapat terlihat server memberikan respons kapasitas fitur yang dimiliki. • Pada paket no. 6 dapat terlihat klien mengirim perintah IMAP yaitu Login dengan nama pengguna fred flinstone Apabila berhasil, server IMAP akan mengirim responsnya seperti yang terlihat pada paket no.8.
1.4 SSL/TLS Dalam dunia web istilah SSL dan TLS terutama dalam konteks security sudah umum didengar dan diimplementasikan. SSL dan TLS dikembangkan oleh Netscape, SSL versi 3.0 dirilis pada tahun 1996, yang pada akhirnya menjadi dasar pengembangan Transport Layer Security, sebagai protocol standart IETF. Definisi awal dari TLS muncul pada RFC,2246: “The TLS Protocol Version 1.0″. Visa, MaterCard, American Express dan banyak lagi institusi finansial terkemuka yang memanfaatkan TLS untuk dukungan commerce melalui internet. Bahkan hampir semua website internet banking didunia menggunakan layanan pada kedua protocol tersebut. SSL (Secure Sockeet Layer) dan TLS (Transport Layer Security) adalah salah satu protokol pada jaringan komputer yang dapat menjaga kerahasiaan data yang dikirim oleh suatu client ke server ataupun juga sebaliknya sehingga Third-party (pihak ketiga) pada proses komunikasi tersebut tidak dapat menyadapnya. Protocol SSL dan TLS berjalan pada layer dibawah application protocol seperti HTTP, SMTP and NNTP dan di atas layer TCP transport protocol, yang juga merupakan bagian dari TCP/IP protocol. Selama SSL dan TLS dapat menambahkan keamanan ke protocol apa saja yang menggunakan TCP, keduanya terdapat pada metode akses HTTPS. HTTPS menyediakan keamanan web-pages untuk aplikasi seperti pada Electronic commerce. Analisis Paket
Perhatikan packet No.7 dapat ditampilkan server mengirim paket SSL versi 2 ke klien. (handshake proses) Kemudian pada paket 11 dan 12 keduanya saling bertukar kunci Paket 13, 15 dan 16 adalah contoh paket data yang dikirim melalui SSL. Misalnya, jika paket no.13 dibuka maka akan menampilkan sbb; Seperti kita lihat pada analisis paket data yang bertipe SSLv3 yang sedang melakukan handshake.
Setelah melakukan Handshake Client Hello, paket dilanjutkan dengan server Hello pada paket No.6. Kemudian sertifikat dikirim, dan tampilannya packetnya dapat dilihat sbb; Referensi : http://rahmadani.net/lecturer/unpab/network-forensic-incident-response/