Forensik Jaringan — Mengungkap Kejahatan dari Lalu Lintas Data

Pernah nggak lo bayangin kayak apa isi "jalan raya" internet?

Setiap detik, jutaan paket data berlalu-lalang di jaringan — request HTTP, response server, email, streaming video, chat WhatsApp, dan... traffic yang mencurigakan. Di antara lalu lintas yang padat itu, mungkin ada:

• Malware yang diam-diam mengirim data ke server attacker (C2 communication).
• Hacker yang sedang melakukan reconnaissance ke server lo.
• Data sensitif yang di-exfiltrate ke IP address asing.
• Atau karyawan yang diam-diam upload file perusahaan ke cloud pribadi.

Semua aktivitas ini meninggalkan jejak di jaringan. Dan tugas seorang network forensic investigator adalah menangkap, merekam, dan menganalisis jejak-jejak itu.

Di artikel ini, kita bakal kenalan dengan dunia forensik jaringan. Kita akan belajar basic network analysis, cara pakai Wireshark, membaca log, dan teknik mendeteksi aktivitas mencurigakan dari traffic data.

Apa Itu Forensik Jaringan?

Forensik jaringan (network forensics) adalah cabang forensik digital yang fokus ke monitoring, capturing, dan analisis traffic jaringan — baik untuk mendeteksi serangan, mengumpulkan bukti, maupun keperluan investigasi pasca-insiden.

Bedanya dengan jenis forensik lain:

Forensik jaringan unik karena datanya real-time dan volatile. Begitu session selesai atau koneksi putus, paket data lenyap — kecuali lo udah merekamnya.

Kapan Forensik Jaringan Digunakan?

Beberapa skenario di mana forensik jaringan jadi kritis:

1. Deteksi data exfiltration — lo curiga ada data yang bocor dari server. Network forensics bisa nunjukin traffic mencurigakan keluar ke IP asing di jam ganjil.

2. Analisis serangan DDoS — lo bisa identifikasi sumber serangan, tipe traffic (SYN flood, UDP flood, DNS amplification), dan mitigasi.

3. Investigasi malware — malware biasanya berkomunikasi dengan Command & Control (C2) server. Network forensics bisa mengidentifikasi pola komunikasi ini.

4. Rekonstruksi insiden — lo bisa replay traffic untuk memahami apa yang terjadi selama serangan berlangsung.

5. Pelacakan aktivitas insider threat — karyawan yang upload data ke cloud pribadi, akses situs terlarang, atau melakukan port scanning internal.

Sumber Data dalam Forensik Jaringan

Data forensik jaringan bisa berasal dari berbagai sumber:

1. Packet Capture (PCAP)

Ini yang paling komprehensif. Lo ngerekam semua packet yang lewat interface jaringan — full content, bukan cuma summary. Format standarnya: .pcap atau .pcapng.

Tools: tcpdump, Wireshark, dumpcap, netsniff-ng.

Kelebihan:

• Detail paket lengkap (header + payload).
• Bisa di-replay dan dianalisis ulang.

Kekurangan:

• Ukuran file bisa GEDE banget (traffic 1Gbps bisa menghasilkan puluhan GB per jam).
• Overhead untuk capture (CPU-intensive).
• Kalau data dienkripsi (HTTPS), lo nggak bisa baca payload-nya... kecuali lo punya private key.

2. NetFlow / IPFIX / sFlow

Bukan full packet capture, tapi ringkasan statistik traffic:

• Siapa ngomong ke siapa (source IP, destination IP)
• Kapan (timestamp)
• Berapa lama (duration)
• Berapa banyak data (bytes, packets)

Tools: nfcapd, ElastiFlow, pmacct.

Kelebihan: ukuran kecil, mudah disimpan lama.
Kekurangan: nggak ada payload detail — lo tau ada komunikasi aneh, tapi nggak tau isinya apa.

3. Log Firewall / IDS / IPS

• Firewall log — koneksi yang diizinkan/diblokir.
• IDS log (Snort, Suricata) — alert deteksi intrusi.
• Proxy log — URL yang diakses via proxy.

4. DNS Log

Domain apa aja yang di-resolve dari jaringan lo. Berguna untuk mendeteksi:

• DNS tunneling (malware yang pakai DNS untuk komunikasi C2).
• Akses ke domain mencurigakan (newly registered, typosquatting, DGA).

5. DHCP Log

Siapa dapet IP apa, kapan. Penting untuk mengaitkan IP address dengan perangkat fisik (MAC address) dan user.

Wireshark: Tools Andalan Forensik Jaringan

Wireshark adalah tools paling populer untuk analisis traffic jaringan. Gratis, open source, dan sangat powerful. Kalau lo serius di forensik jaringan, lo WAJIB kuasai Wireshark.

Interface Dasar

Begitu lo buka Wireshark, lo bakal liat:

1. Interface list — pilih interface mana yang mau lo capture.
2. Packet list pane — daftar paket yang tertangkap (baris per baris).
3. Packet details pane — detail dari paket yang dipilih (header, field).
4. Packet bytes pane — representasi hexadecimal dari paket.

Capture Filter vs Display Filter

Ini yang harus lo pahami:

• Capture filter — dipakai SEBELUM capture untuk membatasi paket yang direkam. Mengurangi ukuran file. Sintaks: Berkley Packet Filter (BPF).

  • Contoh: capture only HTTP traffic → port 80

• Display filter — dipakai SETELAH capture untuk menyaring tampilan. Data tetap ada di file, cuma yang ditampilkan saja yang difilter.

  • Contoh: http.request, dns.qry.name contains "malware", ip.src == 192.168.1.100

Display Filter yang Paling Berguna:

# HTTP request saja
http.request

# DNS query untuk domain tertentu
dns.qry.name contains "example.com"

# Traffic dari IP tertentu
ip.src == 10.0.0.5

# Traffic ke IP tertentu
ip.dst == 203.0.113.50

# Kombinasi
ip.src == 192.168.1.100 && http.request

# Deteksi SYN scan (port scanning)
tcp.flags.syn == 1 && tcp.flags.ack == 0

# Traffic ICMP
icmp

# Telnet/FTP (unencrypted — bisa baca password!)
telnet || ftp

Praktik: Analisis PCAP dengan Wireshark

Anggap lo udah dapet file PCAP dari server yang dicurigai kena hack. Ini langkah-langkah analisisnya:

Step 1: Overview dengan Statistics

Sebelum detail, liat gambaran besarnya dulu. Di Wireshark:

• Statistics → Protocol Hierarchy — protokol apa aja yang ada di capture? HTTP, DNS, TLS, SMB? Ini kasih gambaran jenis traffic yang dominan.
• Statistics → Endpoints — daftar IP address yang "ngobrol" di capture. Cek IP asing yang mencurigakan.
• Statistics → Conversations — "percakapan" antar IP. Siapa yang paling banyak ngirim traffic?

Step 2: Cari Anomali

Setelah dapet overview, cari yang nggak wajar:

• Traffic ke port yang nggak biasa — HTTP di port 4444? SSH di port 8080? Bisa jadi C2 communication yang nyamar.
• Volume traffic mencurigakan — upload gede ke IP asing di jam 2 pagi.
• Failed connection attempts — SYN packet ke banyak port = port scanning.

Step 3: Follow Stream

Kalau lo nemu komunikasi mencurigakan, klik kanan → Follow → TCP Stream atau HTTP Stream. Wireshark bakal nampilin isi percakapan lengkap — termasuk payload yang bisa dibaca kalau nggak dienkripsi.

Ini cara paling gampang buat liat isi komunikasi: apa yang dikirim, apa yang diterima, apakah ada file yang ditransfer.

Step 4: Export Objects

Wireshark bisa auto-extract file yang dikirim via HTTP:

• File → Export Objects → HTTP

Lo bisa liat daftar file yang dikirim/diterima lewat HTTP, termasuk ukuran, tipe konten, dan hostname. Tinggal pilih file mana yang mau di-save.

Ini berguna banget untuk nemuin malware yang di-download, atau data yang di-upload oleh attacker.

Step 5: Dokumentasi Temuan

Catat setiap temuan penting:

• Timestamp
• Source IP & Destination IP
• Protocol & port
• Isi komunikasi (kalau bisa dibaca)

Bikin timeline insiden dari data yang lo temuin. Timeline ini nanti jadi bagian penting dari laporan investigasi.

tcpdump: Capture dari Command Line

Wireshark bagus untuk analisis GUI, tapi untuk capture di server yang headless (nggak ada GUI), lo butuh tcpdump.

Command Dasar:

# Capture semua traffic di interface eth0, simpan ke file
sudo tcpdump -i eth0 -w capture.pcap

# Capture dengan filter: hanya port 80 dan 443
sudo tcpdump -i eth0 -w web_traffic.pcap port 80 or port 443

# Capture dengan limit ukuran file (rotasi setiap 100MB)
sudo tcpdump -i eth0 -w capture.pcap -C 100 -W 10

# Baca file pcap
sudo tcpdump -r capture.pcap

# Baca pcap dengan filter
sudo tcpdump -r capture.pcap host 192.168.1.100

Tips:

• Jangan capture di disk yang sama dengan server produksi — traffic capture bisa mengisi disk dengan cepat dan bikin server crash.
• Gunakan BPF filter untuk mengurangi ukuran file.
• Rotasi file untuk capture jangka panjang.

Analisis Log Server

Selain traffic capture, log server juga sumber data penting. Beberapa log yang harus lo periksa:

Web Server Log (Apache/Nginx)

Lokasi umum: /var/log/apache2/access.log, /var/log/nginx/access.log

Format (combined log):

192.168.1.100 - - [15/Aug/2025:03:15:42 +0700] "POST /admin/login.php HTTP/1.1" 200 1234 "-" "Mozilla/5.0..."

Yang bisa lo analisis:

• IP address — dari mana request datang? Ada pattern? (satu IP banyak request = possible brute force).
• Timestamp — jam berapa request terjadi? Di luar jam kerja? Tengah malam?
• Request method dan URL — endpoint apa yang diakses? Ada request ke /wp-admin, /admin, .env, /config.php?
• HTTP status code — 200 (sukses), 403 (ditolak), 404 (nggak ditemukan), 500 (server error). Pattern 403 yang banyak = possible attack.
• User-Agent — apa browser/tools yang dipakai? Tools scanning kayak sqlmap atau nmap punya User-Agent yang khas.

SSH Log

Lokasi: /var/log/auth.log (Debian/Ubuntu) atau /var/log/secure (CentOS/RHEL)

Cari:

• Failed password attempts → brute force.
• Accepted password → sukses login. Dari IP mana?
• Unknown user → attacker nyoba username random.

# Cek percobaan login gagal
grep "Failed password" /var/log/auth.log | tail -20

# Cek login sukses
grep "Accepted" /var/log/auth.log | tail -20

Firewall Log

Lokasi: tergantung firewall yang dipakai (iptables: /var/log/kern.log, UFW: /var/log/ufw.log, firewalld: /var/log/firewalld)

Berguna untuk melihat traffic yang diblokir — ini bisa jadi indikasi serangan.

Pola-Pola Serangan di Traffic Jaringan

Ini beberapa pola umum yang harus lo kenali pas analisis traffic:

1. Port Scanning

Banyak SYN packet ke port yang berbeda-beda, dengan response RST (port closed) atau no response (filtered).

Di Wireshark: tcp.flags.syn == 1 && tcp.flags.ack == 0 dalam jumlah banyak dari satu IP.

2. Brute Force

Banyak request ke halaman login dalam waktu singkat — HTTP POST ke /login atau SSH attempts.

3. Data Exfiltration

Upload volume besar ke IP eksternal di waktu yang nggak wajar. Bisa HTTP POST dengan payload besar, atau FTP upload.

4. Beaconing

Malware yang rutin "lapor" ke C2 server. Polanya: koneksi ke IP/domain tertentu dengan interval tetap (misal setiap 30 detik, setiap 5 menit).

5. DNS Tunneling

DNS query yang nggak normal — nama domain yang panjang banget (encoded data), query ke domain yang nggak pernah ada sebelumnya, atau volume DNS query yang nggak wajar.

6. Lateral Movement

Setelah attacker berhasil masuk, dia bergerak ke sistem lain di jaringan. Polanya: koneksi SMB/RDP/WinRM dari satu host internal ke host lain — yang seharusnya nggak ada.

Keterbatasan Forensik Jaringan

Forensik jaringan powerful, tapi ada batasannya:

1. Enkripsi — mayoritas traffic internet sekarang pakai TLS (HTTPS). Tanpa private key, lo nggak bisa baca payload-nya. Lo cuma bisa liat metadata: siapa konek ke siapa, kapan, berapa lama.

2. Volume data — jaringan enterprise bisa menghasilkan TB data per hari. Nggak feasible untuk capture semua.

3. False positive — banyak traffic normal yang keliatan mencurigakan. Butuh pengalaman untuk bedain.

4. Legal constraints — di Indonesia, penyadapan traffic (termasuk capture packet) tanpa izin bisa melanggar UU ITE. Pastikan lo punya dasar hukum yang kuat.

Penutup

Forensik jaringan adalah skill yang wajib dikuasai investigator digital modern. Di era di mana hampir semua serangan siber meninggalkan jejak di traffic network, kemampuan membaca dan menganalisis packet capture jadi pembeda antara investigator yang "mentah" dan yang jago.

Inti dari artikel ini:

1. Forensik jaringan fokus ke analisis traffic data — real-time dan volatile.
2. Wireshark adalah tools andalan, gratis dan sangat powerful.
3. Mulai dari overview, baru drill-down ke detail yang mencurigakan.
4. Kombinasikan packet capture dengan log server untuk gambaran yang lengkap.
5. Pahami keterbatasan — enkripsi, volume data, dan batasan hukum.

Di artikel berikutnya, kita bakal deep dive ke forensik memori (RAM) — gimana caranya menganalisis memory dump untuk nemuin malware, password, dan proses tersembunyi yang nggak kelihatan dari disk forensics. Stay tuned!

Kalau ada pertanyaan, silakan kontak via Kontak. Dan cek artikel terkait di kategori Forensik Digital!

Happy hunting di traffic network!

Oh iya, satu tips tambahan: biasakan bikin lab kecil buat latihan forensik jaringan. Install 2 VM (satu sebagai attacker, satu sebagai korban), generate traffic, capture dengan Wireshark, lalu analisis. Lo bisa simulate serangan sederhana seperti port scanning, brute force login, atau download file mencurigakan, dan lihat kayak apa jejaknya di traffic capture. Pengalaman langsung kayak gini jauh lebih efektif daripada cuma baca teori. Trust me, your future self will thank you for the practice hours you put in today.