Network Analysis Packet Injection

Network Analysis Packet Injetion

Pengertian

Network Packet Injection adalah metode serangan yang akan memasukkan, mengubah, dan menyisipkan paket berbahaya. Injeksi paket paling banyak digunakan dalam serangan denial-of-service (DoS) dan man-in-the-middle.

Baca Juga: njRAT Windows Malware Analyst

Baca Juga: Yobi Add-Ons Detection for web browsers

Dampak

  • Menggangu komunikasi jaringan.
  • Berpotensi memasukan packet malware/phising.
  • Compromising wireless access points.
  • Dan lain lainya.

Bagaimana Cara Menganalisanya?

Dalam menganalisa sebuah insiden pada network file PCAP kita membutuhkan tools wireshark atau Caploader, walaupun sebenarnya masih banyak tools yang bisa digunakan tapi kali in kita berfokus pada 2 tools tersebut.

Wireshark kalian dapat download disini sedangkan Caploader dapat kalian download disini. Perlu diingat caploader yang saya pakai ini trial jadi ada batas waktu selama 30 hari. Pcap untuk analisa dapat kalian download disini.

Menganalisa pcap packet injection kalian harus melakukan beberapa pemeriksaan pada:

  • Apa yang diakses sebenarnya oleh user atau bisa disebut original request.
  • TTL(Time To Live).
  • TCP ACK Number, TCP Flags pada original request dan TCP SEQ Number, TCP Flags pada response destination.
  • CR+LF sebagai standar HTTP/1.1 request.
  • Melakukan testing monitoring traffic pada local jaringan kita sebagai analisa diluar jaringan perusahaan yang memiliki insiden untuk menemukan perbandingan response aslinya atau bukan.

Apa yang diakses sebenarnya oleh user atau bisa disebut original request

Pada file pcap kalian dapat melihat IP local 192.168.1.254 melakukan komunikasi Threeway handshake. Pada tanggal 2016/03/01 03:03:47 sampai 2016/03/01 03:03:48 menuju IP 122.225.98.197:80 (www.02995.com).

Three-way handshake
Threeway handshake

TTL(Time To Live)

Kita dapat memeriksa Time To Live(TTL) pada suatu komunikasi TTL dapat menjadi suatu perbandingan ketika melakukan analisa suatu packet. Didalam PCAP file terdapat original request TTL yaitu 128 dan mendapatkan response dari 2 packet berbeda sekaligus yang pertama memberikan TTL 95 sedangkan yang kedua memberikan response TTL 47. Pada response kedua cendrung tidak terlihat mencurigakan karena response TTL yang terlihat normal, sedangkan pada response TTL pertama yaitu 95 dapat dicurigai karena user sebenarnya hanya mengakses satu website tapi mendapatkan response dua sekaligus.

TTL Packet Injection
TTL Packet Injection

TCP ACK Number, TCP Flags pada original request dan TCP SEQ Number, TCP Flags pada response destination

Untuk memperkuat Analysis kita dan meyakinkan bahwa packet kedua tersebut adalah sebuah packet injection kalian juga harus melihat number ack, flags dari request dan hasil response.

TCP Ack, Flags, dan Seq Packet Injection
TCP Ack, Flags, dan Seq Packet Injection

Diatas kita dapat melihat dari user memiliki ack(acknowledgment) number 3820080905 pada 2 request memiliki seq(Sequence) Number sama 3820080905 dapat diartikan website www[.]hao123[.]com dan hao[.]360[.]cn sama sama hasil request user. Tapi jika kalian lebih detail pada flagsnya berbeda seharusnya response dan request memiliki flags yang sama karena tidak adanya hambatan ketika melakukan request yaitu AP (acknowledgment dan push) sedangkan pada website www[.]hao123[.]com memiliki flags berbeda yaitu E (Explicit Congestion Notification ( ECN )) yang artinya adanya pemberitahuan end-to-end tentang adanya kemacetan jaringan tanpa harus melakukan drop packet dan F (Fin) yang artinya tidak ada lagi data dari pengirim. Oleh karena itu, biasanya digunakan dalam packet terakhir yang dikirim dari pengirim. Tentu hal itu sangat aneh jika memang packet terakhir kenapa tcp pada pcap masih berjalan sedangkan user mengakses suatu website yang mana suatu komunikasi tidak akan berhenti dan adanya kemacetan jaringan menambah kecurigaan kita yaitu didalam PCAP respon yang diberikan tidak menunjukan lambatnya melakukan komunikasi dan hal itu hanya pada respon website www[.]hao123[.]com.

CR+LF sebagai standar HTTP/1.1 request

Setelah itu kita harus memeriksa penggunaan Standard HTTP/1.1 Request yaitu CR+LF. CR_LF biasanya yang kita kenal dengan \r\n dalam pemrograman dan CR+LF adalah jeda baris CR-LF (0x0d 0x0a) standard dalam respons HTTP/1.1 menerut RFC 2616.

 CR+LF Packet Injection
CR+LF Packet Injection

Terlihat pada response kedua yang seharusnya jika memang itu adalah response asli tidak akan memberikan penutup seperti itu dan tetap menggunakan standard request HTTP/1.1 0x0d dan 0x0a karena adanya hasil response lain.

Melakukan testing monitoring traffic pada local jaringan kita sebagai analisa diluar jaringan perusahaan yang memiliki insiden untuk menemukan perbandingan response aslinya atau bukan

Ketika saya melakukan testing untuk melihat hasil perbandingan atas analisa saya seperti melakukan testing membuka website lain contoh ketika melakukan request ke website threatlab.info akan hanya memiliki flags yang sama yaitu AP( acknowledgment dan Push).

AP Threatlab.info
AP Threatlab.info

Sedangakan ketika saya ingin mencoba website didalam pcap sayangnya website tersebut sudah tidak ada, jadi admin hanya mengambil screenshot dan hasil analisa dari sumbernya saja. Pada gambar ketika memang menggunakan request https://www.02995.com bukan http akan menghasilkan langsung ke website aslinya tanpa adanya injection yaitu hao[.]360[.]cn.

Maka dapat disimpulkan ketika user melakukan request ke domain www.02995.com menggunakan http terdapat packet injection berupa menyisipkan www[.]hao123[.]com kedalam packet komunikasi user.

Referensi lab: netresec.

Mitigasi

  • Pastikan mengakses situs yang memiliki enkripsi SSL/HTTPS.
  • Hindari menggunakan redirect http to https hal itu berpotensi dapat dilakukan packet injection.

One thought on “Network Analysis Packet Injection

Leave a Reply

%d bloggers like this: