45

Bab 4

Hasil dan Pembahasan

4.1 Hasil Sistem Jaringan

Pada tahap implementasi sistem, dilakukan konfigurasi sistem

pada laptop yang digunakan sebagai IDS Snort. Selain itu, dilakukan

pula konfigurasi dasar dan port mirroring pada router Mikrotik.

Sistem IDS Snort ini nantinya akan dikenai serangan sesuai dengan

skenario yang ada dalam penelitian. Dari hasil penyerangan tersebut

nantinya akan dihasilkan alerts yang disimpan di file log Snort.

Selanjutnya file log Snort yang dihasilkan akan diambil dan diteliti

untuk kemudian dilakukan proses investigasi agar sumber serangan

dapat diketahui. Dalam melakukan investigasi juga akan meneliti

data yang dihasilkan Squid access log. File access log digunakan

untuk menguatkan bukti adanya penyusupan dan menangani

bilamana ada kasus false negative pada IDS Snort.

Gambar 4.1 Topologi Jaringan IDS Snort

46

Gambar 4.1 merupakan topologi jaringan IDS Snort lengkap

dengan IP address yang digunakan oleh masing-masing perangkat.

Router Mikrotik berfungsi sebagai penghubung diantara segmen

jaringan yang berbeda. Pada Mikrotik, eth1 dengan IP 192.168.1.100

terhubung dengan modem ADSL Speedy, eth2 dengan IP

192.168.2.1 terhubung dengan IDS Snort dan eth3 dengan IP

192.168.0.1 terhubung dengan jaringan lokal. Sesuai dengan

skenario pengujian yang ada pada Bab 3, akan dilakukan serangan

dari jaringan lokal.

4.2 Pengujian Sistem Jaringan

Dalam mendeteksi serangan, IDS Snort bekerja sesuai dengan

signature yang ada pada rules Snort. Artinya IDS Snort hanya akan

bekerja jika pola serangan yang masuk sesuai dengan pola atau

signature yang ada pada rules Snort. Oleh karena itu, sangatlah

penting dalam menyiapkan rules agar IDS Snort dapat bekerja

secara maksimal. Sesuai dengan skenario penelitian, akan

ditambahkan rules yang dapat digunakan dalam mendeteksi

serangan SQL Injection dan Cross Site Scripting (XSS).

47

Gambar 4.2 Rules Default SQL Injection

Gambar 4.2 merupakan rules default dari SQL Injection. Rule

default tersebut belum bisa mendeteksi serangan sesuai dengan

skenario yang dilakukan, maka akan ditambahkan beberapa rules

sehingga serangan yang masuk dapat dideteksi oleh IDS Snort.

Rule 1

alert tcp $EXTERNAL_NET any -> $HOME_NET

$HTTP_PORTS (msg:"SQL union select - possible sql injection";

content:"union"; fast_pattern; nocase; http_uri; content:"select";

nocase; http_uri; pcre:"/union\s+(all\s+)?select\s+/Ui";

metadata:policy security-ips drop; classtype:misc-attack;

sid:1399000; rev:11;)

Rule tersebut digunakan untuk mendeteksi serangan SQL

Injection, bilamana ada trafik data dari jaringan EXTERNAL_NET

dari port berapa pun menuju ke jaringan HOME_NET dengan port

48

tujuan HTTP_PORTS, dan dengan payload content mengandung

kata union select, maka Snort akan menganggap trafik data ini

sebagai serangan. Selanjutnya Snort akan menampilkan alert sesuai

message yang ada pada rule, yaitu “SQL union select - possible sql

injection”.

Rule 2

alert tcp $EXTERNAL_NET any -> $HOME_NET

$HTTP_PORTS (msg:"Cross Site Scripting Attempt";

flow:to_server, established; content:""; fast_pattern:only;

nocase; http_uri; pcre:"/((\%3C)|)/i"; reference:url,ha.ckers.org/xss.html;

classtype:web-application-attack; sid:2009714; rev:6)

Rule tersebut digunakan untuk mendeteksi serangan Cross Site

Scripting (XSS), bilamana ada trafik data dari jaringan

EXTERNAL_NET dari port berapa pun menuju ke jaringan

HOME_NET dengan port tujuan HTTP_PORTS, dan dengan

payload content mengandung kata , maka Snort akan

menganggap trafik data tersebut sebagai serangan.

49

Gambar 4.3 Rules Pada Local.rules

Gambar 4.3 merupakan rules baru yang telah ditambahkan ke

dalam rules Snort. Penambahan rules baru dilakukan pada

local.rules supaya lebih mudah dalam mengelolanya. Selanjutnya

IDS Snort perlu dilakukan proses restart supaya Snort me-load

ulang konfigurasinya sehingga rules yang baru saja ditambahkan

dapat bekerja jika ada serangan yang polanya sesuai dengan rules

tersebut.

4.2.1 Serangan SQL Injection

SQL Injection merupakan sebuah teknik serangan yang

memanfaatkan celah keamanan pada sisi website yang mengizinkan

attacker untuk menginputkan malicious code. Celah keamanan

tersebut ditunjukkan pada saat attacker memasukkan nilai string dan

karakter-karakter control lainnya yang ada dalam instruksi SQL

dengan cara memodifikasi perintah SQL yang ada di memori

aplikasi client sehingga memungkinkan attacker untuk memasukkan

50

kode-kode SQL untuk mendapatkan informasi dan akses ke

database server. Dampak yang ditimbulkan jika serangan ini tidak

segera terdeteksi adalah memungkinkan seorang attacker dapat login

ke dalam sistem tanpa harus memiliki account. Selain itu, attacker

juga dapat mengubah, menghapus, maupun menambahkan data yang

berada dalam database. Lebih parah lagi jika sampai mematikan

database itu sendiri, sehingga database tidak bisa memberikan

layanan kepada web server.

Gambar 4.4 Serangan SQL Injection dengan Havij

Gambar 4.4 merupakan skenario serangan SQL Injection yang

dilakukan dari jaringan lokal melalui sebuah laptop menggunakan

software Havij. Dalam percobaan, attacker akan memasukan sebuah

URL dari website yang sebelumnya telah diketahui vulnerable

51

terhadap serangan SQL Injection. Setelah URL website dimasukkan,

kemudian attacker tinggal meng-click tombol analyze untuk

melakukan serangan. Dampak dari serangan ini, attacker bisa

mendapatkan data-data penting dari website yang diserang. Adapun

pada IDS Snort, (Gambar 4.5) akan muncul alerts yang kemudian

akan disimpan pada file log. File log yang dihasilkan ini akan

dikumpulkan untuk diteliti dan diperiksa lebih lanjut sebagai bukti

adanya penyusupan.

Gambar 4.5 Alert pada IDS Snort

4.2.2 Serangan Cross Site Scripting (XSS)

Cross Site Scripting (XSS) merupakan salah satu jenis

serangan injeksi code (code injection attack). XSS dilakukan oleh

attacker dengan cara memasukkan kode HTML atau client script

code lainnya ke suatu situs. Serangan ini akan seolah-olah datang

dari situs tersebut. Dampak dari serangan ini jika tidak segera

dideteksi antara lain: attacker dapat mem-bypass keamanan di sisi

client, mendapatkan informasi sensitif, mendapatkan cookie dari

user atau menyimpan aplikasi berbahaya.

52

Gambar 4.6 Cross Site Scripting (XSS)

Gambar 4.6 merupakan skenario serangan Cross Site Scripting

(XSS) menggunakan web Damn Vulnerability Web Aplication

(DVWA) yang sebelumnya telah dipersiapkan. Website tersebut

ditanam di IP public dengan alamat 103.26.128.84/Web. Dalam

skenario attacker mengakses alamat 103.26.128.84/Web, kemudian

attacker akan memasukan script “alert(„This is a XSS

Attack‟) ” ke dalam text area. Efek yang dihasilkan dari

script yang dimasukan tersebut dapat dilihat pada gambar 4.7 berikut.

Gambar 4.7 Cross Site Scripting (XSS)

53

Gambar 4.7 merupakan tampilan website setelah script

dieksekusi. Script yang dimasukkan oleh attacker akan disimpan

oleh server dan secara permanen ditampilkan saat website tersebut

diakses kembali sehingga terlihat seolah-olah serangan tejadi karena

kesalahan pada website itu sendiri. Untuk memanfaatkan celah ini

lebih lanjut, umumnya celah ini akan di kombinasikan dengan jenis

serangan lain seperti phishing atau social engineering terhadap user

yang sah.

Gambar 4.8 Alert Cross Site Scripting (XSS)

Gambar 4.8 menunjukan alerts yang muncul pada IDS Snort

saat attacker melakukan serangan Cross Site Scripting (XSS)

menuju ke alamat 103.26.128.84/Web.

4.3 Pembahasan

Pembahasan penulisan ini mengacu pada hasil skenario

serangan yang telah dilakukan. Dari serangan tersebut dihasilkan

alerts pada file log yang selanjutnya digunakan sebagai bukti untuk

54

melakukan investigasi serangan. Dari bukti yang didapat nantinya

akan diambil informasi-informasi penting yang berhubungan dengan

penyusupan, sehingga sumber serangan dapat diketahui.

4.3.1 Investigasi Serangan SQL Injection dan XSS

Menurut The U.S Department of Justice, dalam melakukan

investigasi forensik ada 4 tahap yang harus dilakukan:

1. Tahap Collection

Pada tahapan ini yang dilakukan yaitu mencari dan

mengumpulkan semua bukti-bukti yang berhubungan dengan

penyusupan. Bukti-bukti ini diambil dari file log Snort dan access

log pada Squid.

Gambar 4.9 Alert Pada IDS Snort

Gambar 4.9 merupakan bukti alerts yang muncul saat IDS

Snort melakukan sniffing dan mendeteksi adanya serangan pada

jaringan. Alerts ini kemudian akan disimpan ke dalam file log Snort.

55

Gambar 4.10 Access Log

Gambar 4.10 merupakan file access log yang dihasilkan saat

terjadi serangan. Semua aktifitas dari user pada jaringan lokal akan

ter-capture pada Squid access log ini. Selanjutnya bukti-bukti yang

telah dikumpulkan tersebut akan diperiksa dan diteliti lebih lanjut

pada tahap examination.

2. Tahap Examination

Pada tahap ini dilakukan pemeriksaan dan penelitian terhadap

bukti-bukti yang telah dikumpulkan. Bukti-bukti yang didapat

dipilah-pilah sesuai dengan karateristik dari serangan. File log Snort

akan dipilah-pilah berdasarkan source address, source port,

destination address dan destination port. Selain itu, file log Snort

juga akan dipilah-pilah berdasarkan karakteristik dari serangan, yaitu

penggunaan keyword union select sesuai dengan signature pada

rules Snort.

56

Gambar 4.11 Analisa File Log berdasar IP dan Port

Gambar 4.11 menunjukkan bukti file log Snort yang dipilah-

pilah berdasarkan source address, source port, destination address

dan destination port.

Gambar 4.12 File Log Snort Serangan SQL Injection

57

Gambar 4.12 menunjukkan file log Snort yang dibuka dengan

Wireshark agar mudah dalam pembacaanya. Pemeriksaan dimulai

dengan melakukan filter protokol HTTP. Angka 1 menunjukkan

tentang HTTP GET Query, angka 2 menunjukkan tentang source

address dan destination address, angka 3 menunjukkan source port

dan destination port dan angka 4 menjelaskan tentang HTTP GET

Header serangan SQL Injection dengan parameter union select.

Sedangkan untuk serangan Cross Site Scripting (XSS) juga

dilakukan hal yang sama, yaitu dengan melakukan pemeriksaan pada

file log dengan cara memilah-milah file log berdasarkan source

address, source port, destination address dan destination port.

Selain itu, file log Snort juga akan dipilah-pilah berdasarkan

karakteristik dari serangan XSS, yaitu penggunaan keyword

sesuai dengan signature yang ada pada rules Snort.

Gambar 4.13 Analisa File Log berdasarkan IP dan Port

58

Gambar 4.13 menunjukkan file log Snort dari serangan Cross

Site Scripting (XSS). File log ini dipilah-pilah berdasarkan source IP,

destination IP, source port dan destination port.

Gambar 4.14 File Log Snort Serangan XSS

Gambar 4.14 menunjukkan file log Snort yang dibuka dengan

Wireshark agar mudah dalam pembacaanya. Pemeriksaan dimulai

dengan melakukan filter protokol HTTP. Angka 1 menunjukkan

HTTP POST Query, angka 2 menunjukkan source address dan

destination address, angka 3 menunjukkan source port dan

destination port, dan angka 4 menunjukkan tentang HTTP POST

Header. Hasil pada tahap examination ini, akan dianalisis lebih

lanjut pada tahapan berikutnya.

Selanjutnya untuk file access log akan dipilah-pilah

berdasarkan elemen-elemennya. Penjelasan tersebut dapat dilihat

pada Gambar 4.15 berikut.

59

Gambar 4.15 Elemen Access Log

Pada Gambar 4.15 menunjukkan file acces log yang dipilah-

pilah sesuai dengan elemen dan fungsi masing-masing. Angka 1

menjelaskan informasi tentang waktu (timestmap), angka 2

menjelaskan tentang durasi waktu milidetik dalam transaksi, angka 3

menjelaskan tentang informasi IP address yang melakukan request,

angka 4 menjelaskan tentang result code, angka 5 menjelaskan

tentang informasi ukuran byte data yang dihantarkan ke client, angka

6 menjelaskan tentang metode request untuk mendapat objek dan

angka 7 menjelaskan informasi website yang diakses.

3. Tahap Analysis

Pada tahap ini akan terlihat hasil pemeriksaan dan penelitian

yang dilakukan pada file log dan access log sebagai pembuktian

terhadap serangan yang ada. Tahap ini, dapat digunakan untuk

menjawab pertanyaan dalam investigasi forensik yaitu serangan apa

yang terjadi, IP siapa yang melakukan serangan, dimana serangan itu

terjadi dan kapan serangan itu terjadi.

60

Gambar 4.16 Analisa File Log Serangan SQL Injection dengan Wireshark

Pada Gambar 4.16 menunjukkan analisa file log Snort

serangan SQL Injection yang dibuka dengan Wireshark. Angka 1

menunjukan source address dan destination address. Source

addrees berasal dari IP 192.168.0.49 dan destination address

menuju ke IP 110.4.46.62 yang merupakan IP dari host

www.telesensory.com. Angka 2 menjelaskan tentang source port

dan destination port. Adapun angka 3 menjelaskan tentang data

HTTP GET Header serangan SQL Injection dengan parameter union

select. Payload yang ter-capture tersebut sesuai dengan signature

atau rules yang ada pada rules Snort sehingga paket data tersebut

dianggap sebagai serangan.

61

Gambar 4.17 Analisa File Log Snort Serangan XSS dengan Wireshark

Pada Gambar 4.17 menunjukkan analisa bukti serangan XSS

yang dibuka dengan Wireshark. Angka 1 menunjukkan source

address dan destination address. Source addrees berasal dari IP

192.168.0.49 dan destination address menuju ke IP 103.26.128.84.

Selanjutnya angka 2 menunjukan source port berasal dari 59157 dan

destination port menuju ke port 80 atau HTTP. Adapun angka 3

menjelaskan tentang data HTTP POST Header dan angka 4

menunjukkan payload dari serangan XSS dengan parameter sebagai

berikut:

%3Cscript%3E%28%27This+XSS+Attack%27%29%3C%2Fscript%3E

Payload yang ter-capture tersebut masih dalam bentuk

hexadesimal sehingga harus dikonvert ke dalam chart agar mudah

dalam pembacaannya.

62

Gambar 4.18 Hasil Konvert ke Dalam Chart

Pada Gambar 4.18 menunjukkan hasil payload yang telah

dikonvert ke dalam chart, yaitu alert(‘This XSS

Attack’). Tentunya hasil tersebut sesuai dengan

signature yang ada pada rules Snort sehingga Snort menganggap

paket data tersebut sebagai serangan. Hasil yang didapat dari tahap

analysis dapat dilihat pada Tabel 4.1 berikut.

Tabel 4.1 Hasil Analisa File Log Snort

No Source Destination Ket

IP Address Port IP Address Port

1 192.168.0.49 58436 110.4.46.62

(www.telesensory.com)

80 SQLi

2 192.168.0.49 59157 103.26.128.84 80 XSS

Pada Tabel 4.1 menunjukkan hasil analisa yang didapat file log

Snort yang dibuka dengan Wireshark. Hasil yang didapat ini

nantinya akan dicocokkan dengan hasil analisa file access log.

Pada tahap analysis, file access log akan dipilah-pilah

berdasarkan waktu akses, IP address yang melakukan request dan

website yang di-request untuk mendapatkan data-data yang

diperlukan dalam penelitian.

63

Gambar 4.19 Analisa Access Log serangan SQL Injection

Gambar 4.19 menunjukkan analisa access log serangan SQL

Injection yang telah dipilah-pilah berdasarkan waktu akses, IP

address yang melakukan request dan website yang di-request.

Terlihat IP address 192.168.0.49 sedang sedang mengkases situs

www.telesensory.com.

Gambar 4.20 Analisa Access Log Serangan XSS

Pada Gambar 4.20 menunjukkan analisa access log serangan

XSS yang dipilah-pilah berdasarkan waktu akses, IP address yang

64

melakukan request dan website yang diakses. Terlihat IP address

192.168.0.49 sedang mengkases ke alamat 103.26.128.84. Hasil

akhir dari analisa file access log dapat dilihat pada Tabel 4.2 berikut.

Tabel 4.2 Hasil Analisa Access Log

No Time Source Address Destination Address Ket

1 Thu Mar 27 2014

00:46

192.168.0.49 www.telesensory.com SQLi

2 Thu Mar 27 2014

01:02

192.168.0.49 103.26.128.84 XSS

Tabel 4.2 menunjukkan hasil analisa file access log yang

diambil pada Squid. Setelah dilakukan pencocokan, hasil yang

didapat dari analisa file access log cocok dengan hasil analisa file

log IDS Snort yang telah dianalisa sebelumnya sehingga file access

log dapat digunakan sebagai penguat bukti adanya serangan atau

penyusupan pada jaringan.

4. Tahap Reporting

Dari hasil investigasi forensik pada tahap collection sampai

tahap analysis didapat informasi-informasi penting tentang attacker.

Informasi dari jejak attacker ini didapat dari file log Snort dan file

access log yang ada pada Squid. File log Snort diteliti dan dianalisa

lebih lanjut untuk mendapatkan informasi tentang attacker

berdasarkan source address, destination address, source port dan

destination port. Sedangkan file access log juga diteliti dan dianalisa

sebagai penguat bukti tentang adanya serangan atau penyusupan.

Berdasarkan proses investigasi yang telah dilakukan, informasi

65

tentang sumber serangan dapat ditemukan. Hasil akhir dari

investigasi forensik ini dapat dilihat pada Tabel 4.3.

Tabel 4.3 Hasil Investigasi Forensik

No Time Source Desination Ket

IP Address Port IP Address Port

1

2

Thu Mar 27 2014

00:46

Thu Mar 27 2014

01:02

192.168.0.49

192.168.0.49

58463

59157

110.4.46.62

(telesensory.com)

103.26.128.84

80

80

SQLi

XSS

Tabel 4.3 menunjukkan hasil investigasi forensik yang

dilakukan berdasarkan bukti-bukti yang diambil pada file log pada

IDS Snort dan file access log pada Squid. Serangan SQL Injection

terjadi pada Thursday 27 Maret 2014 pada jam 00:46 dengan profile

penyerang berasal dari IP address 192.168.0.49 menuju ke alamat

110.4.46.62 (www.telesensory.com). Adapun serangan Cross Site

Scripting (XSS) terjadi pada Thursday 27 Maret 2014 pada jam

01:02 dengan profile penyerang berasal dari IP address 192.168.0.49

menuju ke alamat 103.26.128.84.