Lompat ke konten Lompat ke sidebar Lompat ke footer
Beranda / Cyber Security / Wireshark

Mendeteksi Aktivitas Mencurigakan

Diposting oleh R Posting Komentar

Mendeteksi Aktivitas Mencurigakan dengan Wireshark

Pendahuluan

Wireshark bukan hanya alat untuk menganalisis jaringan secara umum, tapi juga bisa digunakan untuk mendeteksi aktivitas mencurigakan. Dengan pemahaman yang tepat, kamu bisa mengidentifikasi potensi serangan seperti SYN flood, port scanning, hingga komunikasi abnormal antara host.

Artikel ini akan membahas beberapa pola mencurigakan yang umum dan cara mengenalinya dengan Wireshark.

1. Pola Umum Aktivitas Mencurigakan

  • SYN Flood: Banyak paket SYN tanpa kelanjutan ACK
  • Port Scan: Banyak koneksi ke port berbeda dari satu IP sumber
  • Komunikasi Berulang ke IP Tidak Dikenal: Bisa jadi tanda malware melakukan koneksi ke server C2
  • DNS Request Tidak Wajar: Banyak permintaan DNS ke domain mencurigakan
  • Transfer Data Besar dari Internal ke Eksternal: Potensi data leak

2. Cara Mendeteksi Menggunakan Filter

Kamu bisa menggunakan Display Filter di Wireshark untuk mempersempit pencarian aktivitas mencurigakan.

Contoh Filter:

  • tcp.flags.syn == 1 and tcp.flags.ack == 0 → Untuk mendeteksi SYN flood
  • ip.src == 192.168.1.100 → Lihat semua aktivitas dari IP tertentu
  • dns.qry.name contains ".xyz" → Cari domain aneh atau mencurigakan

3. Gunakan Statistik untuk Konfirmasi

Manfaatkan fitur Statistics → Conversations atau Endpoints untuk melihat IP mana yang mengirim/terima traffic tidak wajar.

  • Lihat jumlah paket dikirim dan diterima
  • Identifikasi komunikasi satu arah
  • Temukan IP paling aktif atau dominan

4. Contoh Kasus: Deteksi SYN Flood

  1. Buka file capture atau lakukan live capture
  2. Gunakan filter: tcp.flags.syn == 1 and tcp.flags.ack == 0
  3. Lihat apakah ada IP yang mengirim ratusan bahkan ribuan SYN
  4. Konfirmasi dengan statistik Conversations

💡 Tips Tambahan

  • Simpan hasil filter sebagai profile atau ekspor ke file .pcap untuk analisis lebih lanjut
  • Selalu bandingkan aktivitas dengan baseline normal jaringanmu
  • Gunakan warna/warnaisasi di Wireshark untuk menandai pola berulang

🔗 Konten Terkait

Penutup

Mendeteksi aktivitas mencurigakan sangat penting dalam menjaga keamanan jaringan. Dengan Wireshark dan pemahaman pola serangan, kamu bisa mengambil tindakan sebelum ancaman menjadi besar. Selalu waspadai lalu lintas tidak biasa dan gunakan kombinasi filter + statistik untuk investigasi mendalam.

Lokasi:

Posting Komentar untuk "Mendeteksi Aktivitas Mencurigakan"