Network Forensik (Socket)

network forensik
Postingan kali ini akan membahas tugas tentang network forensik. dalam hal ini saya dapat kebagian jatah dari kelompok untuk membahas tentang socket.
Socket Programming adalah protokol yang mempunyai metode untuk membuat koneksi antar antara perangkat dalam jaringan. Terdapat dua tipe socket yang paling sering digunakan yaitu “Stream Socket” dan “Datagram Socket” yang lebih dikenal dengan “SOCK_STREAM” and “SOCK_DGRAM”. Datagram Socket disebut dengan “Connectionless socket” sedangkan Stream Socket lebih reliable dibandingkan Datagram Socket karena terciptanya komunikasi dua arah yang memungkinkan kecilnya data error pada saat transmisi data.
Datagram socket menggunakan IP untuk routing paket, tapi tidak menggunakan TCP tapi menggunakan “User Datagram Protocol atau “UDP”. Pada Datagram Socket tidak bisa menjaga koneksi secara terus-menerus, Data Socket hanya membangun paket, tentukan IP header berikut dengan informasi tujuan, dan kirim paket tanpa membuat koneksi seperti pada TCP. Biasanya Datagram Socket biasa digunakan pada aplikasi tftp (versi pertama dari FTP), dhcpd atau dhcp client, multiplayer games, streaming audio, video conferencing, dan lain-lain. Skrip arpret.c merupakan implementasi dari socket programming pada sistem operasi UNIX, BSD, dan keluarga Linux.
Sebuah arp(address resolution protocol) reply palsu (fake arp reply) kepada komputer target,dibuat menggunakan suatu script tertentu (arpret.c) dengan tujuan mengelabuhi arp cache pada komputer korban agar setiap paket yang masuk dan keluar ke komputer target bisa peneliti alihkan terlebih dahulu ke komputernya. Pada saat ini skrip yang digunakan untuk mengelabuhi korban hanya bisa di jalankan di sistem operasi unix, BSD, dan keluarga Linux.
Skrip tersebut menggunakan dua tipe “SOCK_STREAM” and “SOCK_DGRAM” tapi menggunakan tipe “SOCK_RAW”. SOCK_RAW dipilih karena peneliti bisa menentukan sendiri isi header paket seperti Ethernet, IP, TCP dan lain-lain. Lalu meng-injeksi paket dengan header yang sudah dimodifikasi lalu mengirimkannya ke tujuan selain itu SOCK_RAW mendukung packet filtering. PF_PACKET adalah software interface untuk mengirim atau menerima paket data pada lapisan 2 dari OSI, dan setiap paket yang sudah dimodifikasi headernya langsung dikirimkan. Skrip ini bekerja pada PF_PACKET interface untuk menciptakan raw sockets dan menggunakan protokol ETH_P_ALL untuk IP network.

untuk pembahasan network forensik lainnya silahkan mengunjungi link blog teman-teman kelompok saya :)
adios amigos
http://owii.co.cc/?p=77

http://ekobudiarso33.wordpress.com/2011/11/05/e-mail-forensic/
http://risa-purnama.blogspot.com/2011/11/network-forensik.html

http://rizkiekasatria.wordpress.com/2011/11/05/log-file-forensic

#sumber http://logsmylife.wordpress.com/2010/05/22/socket-programming-untuk-arp-poisoning/