1

VISUALISASI LALU LINTAS DATA PADA JARINGANDENGAN MENGGUNAKAN LIBRARY SHARPPCAP

Agustinus Noertjahyana 1), Haryanto Tunggary 2), Justinus Andjarwirawan 3)

Teknik Informatika, Universitas Kristen Petraagust@peter.petra.ac.id, m26406155@john.petra.ac.id, justin@peter.petra.ac.id

AbstractNetwork technology is developing very

rapidly nowadays. Almost all computers connected tothe network. Therefore, a network administrator isrequired to constantly monitor network activity inorder to detect any irregularities in the network asearly as possible. By using the library for packetcapture (library used by packet sniffer to capturepackets on the network), can be made an applicationthat can capture packets will then be visualized toshow data that is easy to understand.

The aim of this project is to createapplications that can monitor data packets bothincoming and outgoing network, interpreting,displaying such data in forms that are easier tounderstand (visualize it), and also at the same timemonitor the packages so it can detect the discrepancy(the virus). Application is using VB.Net programminglanguage, Library SharpPcap, SQL Server, ClamAV,and Snort.

The test results showed that the application systemcan detect the virus and intrusion, it can captureincoming and outgoing packets on an interface in realtime, and can visualize it using line charts, pie charts,column charts, and also the timeline.

Keywords— Packet Capture, Packet Sniffer, VirusDetection

1. PENDAHULUAN

Tak dapat dipungkiri bahwa teknologi jaringankomputer berkembang sangat pesat dimasa sekarangini. Hampir semua komputer terhubung ke jaringan.Bahkan hampir semua aplikasi sudah memintakoneksi ke jaringan baik untuk melakukan autentikasi(register), update, dan lain sebagainya.

Terkadang seorang administrator jaringandituntut untuk dapat memonitor paket-paket yangterdapat didalam jaringannya baik paket yang masukmaupun paket yang keluar dari jaringan. Hal ini

dilakukan agar seorang administrator jaringan dapattetap memonitor keadaan jaringan yang berada dibawah tanggung jawab administrasinya.

Cara untuk memonitor keadaan jaringan sangatmungkin dilakukan dengan adanya aplikasi packetsniffer. Packet sniffer digunakan untuk melihat paket-paket yang keluar maupun masuk kedalam jaringan.Namun masih dibutuhkan skill dari seorangadministrator jaringan agar penggunaan packet snifferini bisa bekerja secara optimal sehingga dapat melihatpaket yang diinginkan.

Dengan memanfaatkan library untuk packetcapture (library yang digunakan oleh packet snifferuntuk menangkap paket di jaringan), maka padapenelitian ini dikembangkan sebuah aplikasi yangdapat menangkap paket data yang keluar dan masukserta memvisualisasikannya, sehingga dapatmenampilkan data yang menarik, tidakmembingungkan, dan mudah untuk dimengerti.

Diharapkan dengan adanya aplikasi ini dapatmembantu pekerjaan seorang administrator jaringansebab tidak perlu lagi melihat data-data yangmembingungkan dan susah dimengerti.

2. METODE PENELITIAN

Metode penelitian yang dilakukan pada penelitianini meliputi : studi literature tentang packet sniffer,packet capture serta library yang digunakan dalamaplikasi, melakukan analisis dan desain aplikasi sertamelakukan pengujian aplikasi.

2.1 Packet SnifferAgar suatu aplikasi dapat melihat paket-paket

data baik yang masuk maupun keluar jaringandibutuhkan sebuah packet sniffer [1]. Denganpacket sniffer, dapat dilihat paket pada jaringandalam detail real-time. Dengan Ethernet, dapatdilihat traffic komputer. Ethernet adalah busjaringan. Ketika satu mesin mengirim sebuahpaket ke mesin lain pada sebuah Ethernet, paket

PDF Creator - PDF4Free v3.0 http://www.pdf4free.com

2

dapat dilihat di sepanjang kabel Ethernet.Dengan, menaruh card Ethernet dalam mode

khusus yang disebut Promiscuous Mode, cardakan melewatkan paket ke sistem operasi, tidakpeduli alamat tujuan dari paket. Sistem operasikemudian akan melewatkan paket ke aplikasipacket sniffer [1].2.1.1 Promiscuous Mode

Modus promiscuous atau mode promisc adalahkonfigurasi kartu jaringan yang membuat kartumeloloskan semua traffic jaringan yang diterima kekernel, bukan hanya ditujukan ke frame (Fitur yangbiasanya digunakan untuk mengendus paket), danjaringan dijembatani untuk virtualisasi hardware.

Setiap frame termasuk perangkat keras MACaddress (Media Access Control) bila kartu jaringanmenerima frame, biasanya membuangnya kecuali jikaframe ditujukan ke kartu itu. Dalam moduspromiscuous, kartu itu memungkinkan semua framediloloskan, sehingga memungkinkan komputer untukmembaca frame yang ditujukan untuk mesin lain atauperangkat jaringan.

Banyak sistem operasi membutuhkan hak aksessuperuser untuk mengaktifkan modus promiscuous.Sebuah simpul non-routing dalam moduspromiscuous umumnya hanya dapat memonitor trafficke dan dari node lain di dalam collision domain yangsama (untuk Ethernet dan Wireless LAN) atau ring(untuk Token Ring atau FDDI). Komputer padajaringan hub yang sama memenuhi kebutuhan ini,oleh karena itu jaringan switch digunakan untukmelawan penggunaan berbahaya mode promiscuous.router dapat memantau semua lalu lintas yangdirutekan olehnya.

Promiscuous mode sering digunakan untukmendiagnosa masalah jaringan konektivitas. Adabeberapa program yang memanfaatkan fitur ini untukmenunjukkan pengguna semua data yang di-transfermelalui jaringan. Beberapa protokol seperti FTP danTelnet transfer data dan password dalam bentuk clearteks, tanpa enkripsi, dan scanner jaringan dapatmelihat data ini. Oleh karena itu, pengguna komputerdisarankan untuk menjauh dari protokol tidak amanseperti menggunakan telnet dan yang lebih amanseperti SSH.

2.1.2 SharpPcapSharpPcap adalah packet capture framework

untuk .NET environment yang didasarkan darikomponen WinPcap yang terkenal [2]. Tujuan darilibrary ini adalah untuk menyediakan sebuah APIuntuk menangkap, memasukkan, menganalisis dan

membangun paket menggunakan bahasa .NET SepertiC # dan VB.NET.

Berikut adalah fitur yang saat ini didukung olehSharpPcap [1] :- Menghitung dan menampilkan rincian tentang

interface jaringan fisik pada mesin Windows.- Menangkap paket jaringan tingkat rendah yang

melalui interface yang diberikan.- Menganalisis dan melakukan parsing protokol

berikut: Ethernet, ARP, IP, TCP, UDP, ICMP,IGMP.

- Memasukkan paket jaringan tingkat rendah padainterface tertentu.

- Penanganan (membaca dan menulis) file paketoffline.

- Memasukkan paket menggunakan Antrian Kirim.- Mengumpulkan statistik jaringan pada antarmuka

jaringan yang diberikan.

Pada SharpPcap v3.0.0 API menandakanperubahan besar dari seri 2.x. Semua class parsingpaket SharpPcap telah dihapus. Fungsi paket parsingtelah diganti dengan Packet.Net v0.3.0. Alasan untukmemisahkan fungsi paket parsing menjadi libraryyang terpisah adalah untuk menghapus fungsi yangtidak terkait dengan pcap dari SharpPcap untuktujuan modularitas dan untuk meninjau kembalirancangan paket parsing kode.

2.1.3 Intrusion Detection SystemIntrusion Detection digunakan untuk

mengidentifikasi akses individu yang menggunakansebuah sistem komputer tanpa hak. Percobaan untukmasuk secara paksa juga harus teridentifikasi.Intrusion Detection System (IDS) mengatasi masalahintrusi dengan mengamati traffic jaringan padamedium atau pada host tertentu, mencari pola darikejadian atau request yang mungkin mengindikasikansebuah penyerangan. IDS memiliki database dariattack signature (pola aktivitas yang sudah dilihatoleh manajer jaringan sebelumnya).

Pola ini disimpan di dalam database dalamsebuah bahasa spesifikasi yang sederhana. Sebagaicontoh, sebuah signature untuk worm Sircam (yangdibawa oleh e-mail) pada sebuah ISD adalah:

alert TCP $EXTERNAL any - > $INTERNAL 80(msg: “IDS552/web-iis_IISISAPI Overflow ida”;dsize: > 239, flags: A+, content: “.ida?”;).

Dilihat dari cara kerja dalam menganalisa apakahpaket data dianggap sebagai penyusupan atau bukan,IDS dibagi menjadi 2 [3]:

1. Knowledge Based atau Misuse Detection

PDF Creator - PDF4Free v3.0 http://www.pdf4free.com

3

Knowledge-Based IDS dapat mengenali adanyapenyusupan dengan cara menyadap paket datakemudian membandingkannya dengan database ruleIDS (berisi catatan paket serangan). Jika paket datamempunyai pola yang sama dengan salah satu ataulebih pola di database rule IDS, maka paket tersebutdianggap sebagai serangan, dan demikian jugasebaliknya, jika paket data tersebut sama sekali tidakmempunyai pola yang sama dengan pola di databaserule IDS, maka paket data tersebut dianggap bukanserangan.

2. Behavior Based atau Anomaly Based.Behavior Based (Anomaly) dapat mendeteksi

adanya penyusupan dengan mengamati adanyakejanggalan-kejanggalan pada sistem, atau adanyapenyimpangan-penyimpangan dari kondisi normal,sebagai contoh ada penggunaan memory yangmelonjak secara terus menerus atau ada koneksiparallel dari 1 buah IP dalam jumlah banyak dandalam waktu yang bersamaan. Kondisi-kondisitersebut dianggap kejanggalan yang kemudian olehIDS jenis anomaly based dianggap sebagai serangan.

Sedangkan dilihat dari kemampuan mendeteksipenyusupan pada jaringan, IDS dibagi menjadi 2yakni: host based dan network based. Host basedmampu mendeteksi hanya pada host tempatimplementasi IDS, sedangkan network based IDSmampu mendeteksi seluruh host yang berada satujaringan dengan host implementasi IDS tersebut.

2.2 Virus komputerPerkembangan virus sudah terjadi sejak tahun

1983 [4]. Menurut catatan, pada tahun tersebut telahada virus yang bernama Elk Cloner yang menyerangApple dengan metode penyebaran melalui Flash Disk.Tidak diketahui siapa pembuat virus ini. Pada tahunyang sama, Fred Cohen memberikan sebuah seminaryang berjudul “Computer Virus-Theory andExperiments” yang menunjukkan teori sertademonstrasi tentang bagaimana virus komputer bisadiciptakan.

Semenjak itu, perkembangan virus terus terjadiseperti epidemi. Muncul sebuah virus yang dibuat diPakistan yang berhasil menyerang MS DOSkemudian virus Lehigh yang juga menyerang MSDOS dengan menginfeksi file ‘Command.com’ yangmerupakan file wajib untuk sistem operasi MS DOS.Pada tahun 1988, virus Machintos yang pertama lahirdengan nama MacMag dan pada tahun yang samapula, jaringan internet sempat mendapatkan gangguanhebat akibat dari worm yang diciptakan oleh RobertMoris.

Untuk menghindari deteksi, virus mulaiberevolusi seperti layaknya sebuah virus yang mampu

mengubah dirinya sendiri. Virus polymorphic pertamadiperkenalkan di Switzerland dengan virus yangdinamakan Tequila. Pada tahun yang sama, yaitu1992, Dark Avenger Mutation Engine (DAME)diperkenalkan dan merupakan sebuah engine pertamayang mampu mengubah segala jenis virus menjadipolymorphic dan pada tahun ini pula diperkenalkanVirus Creation Laboratory (VCL) yang menjadisebuah software pembuat virus yang pertama didunia.

Jika sebelumnya virus selalu menyerang file-fileexecutable seperti .COM, .EXE, dan .SYS, kali inivirus mulai melakukan penyerangan terhadap file datayang sebelumnya tidak pernah menjadi sasaran. VirusLaroux dan Staog merupakan virus macro pertamayang menyerang Microsoft Excel. Virus macrodilanjutkan oleh kemunculan virus Melissa yangmemanfaatkan Microsoft Word sebagai mediapenyebaran yang berhasil menginfeksi jutaankomputer-komputer didunia serta dilanjutkan lagioleh virus macro Corner yang menginfeksi MicrosoftProject.

Penyebaran dan penyerangan virus semakinmenyebar dan pada tahun 2000, bahkan ditemukansebuah virus bernama Timofonica yang menyerangsistem telepon yang dibuat dengan Visual BasicScript. Pada tahun ini juga, penyerangan virus terjadipada PDA Palm yang sangat populer pada masa itudan virus ini dinamakan sebagai virus Liberty.

Kemampuan virus terus berevolusi. Jikasebelumnya sebuah virus hanya bisa menyerangWindows atau Linux, kini muncul virus bernamaWimux yang mampu menyerang sistem operasiWindows dan Linux sekaligus. Pada tahun 2002,epidemi terjadi pada worms dengan kemunculanSharp-A, SQLSpyder, Sobig, Slammer, Lovgate,Fizzer, Blaster, dan lain sebagainya.

Virus telah menjadi epidemi yang sampai saat inipun terus bermutasi dengan kemampuan-kemampuandan daya rusak yang besar. Berbagai virus membuatberita-berita baru setiap harinya seperti layaknyaseorang bintang besar yang tidak pernah pudarpopularitasnya [5].

3. DESAINTahapan desain pada aplikasi ini terdiri dari 7

fungsi utama yaitu :- View Interface Information- Monitor Traffic- View Intrusion Summary- View Traffic Summary- View Virus Summary- Update Virus Database- View Eksternal Host

PDF Creator - PDF4Free v3.0 http://www.pdf4free.com

4

Untuk lebih jelas tentang fungsi utama dapat dilihatpada Use Case Diagram pada gambar 1.

Gambar 1. Use Case Diagram

3.1 View Interface InformationFungsi dimana user dapat melihat informasi

detail mengenai Network Interface Card (NIC) padakomputer. Pada fungsi ini juga disediakan fungsisehingga user dapat meng-input atau menggantijaringan yang ingin di-monitor oleh interface tersebutdengan meng-input-kan IP Address dan CIDR-nya.

3.2 Monitor TrafficMonitor Traffic adalah fungsi utama dari aplikasi

ini. Fungsi ini mulai dilaksanakan saat user telahmemilih interface mana yang ingin di-monitor. Padafungsi ini, aplikasi akan me-monitor dan menganalisasetiap paket yang masuk ke dalam jaringan. Dalamfungsi ini juga terdapat fungsi IDS dan virusdetection.

3.3 View Intrusion SummaryView Intrusion Summary adalah fungsi dimana

user dapat melihat ringkasan mengenai intrusi-intrusiyang terjadi. Pada fungsi ini, awalnya aplikasi akanmenampilkan statistik mengenai intrusi berdasarkanharian, mingguan, bulanan, dan tahunan. Setelah ituuser dapat melihat data intrusi yang terjadi secaralebih detail berdasarkan rentang waktu yang telahdipilih oleh user.

Setelah itu akan ditampilkan pie chart yangmenggambarkan perbandingan antara paket yangnormal dan paket yang dianggap intrusi, timelineyang menggambarkan saat-saat intrusi terjadi, logyang mencatat semua intrusi yang terjadi, data danpenjelasan mengenai intrusi yang terjadi, dan host-host yang menyerang dan yang diserang berdasarkanIP Address.

3.4 View Traffic SummaryView Traffic Summary adalah fungsi dimana user

dapat melihat ringkasan mengenai traffic jaringansecara umum. Pada fungsi ini, awalnya akanditampilkan statistik mengenai traffic jaringan selamaini berdasarkan harian, mingguan, bulanan, dantahunan.

Setelah itu, user dapat melihat data trafficjaringan secara lebih detail berdasarkan rentangwaktu yang telah dipilih oleh user. Kemudian akanditampilkan pie chart yang yang menggambarkanperbandingan paket berdasarkan protocol, danstatistik paket selama rentang waktu tersebutberdasarkan protocol.

3.5 View Virus SummaryView Virus Summary adalah fungsi dimana

user dapat melihat ringkasan mengenai virus-virus yang menyerang jaringan. Pada fungsi ini,awalnya akan ditampilkan statistik virus yangmasuk ke dalam jaringan berdasarkan harian,mingguan, bulanan, dan tahunan.

Setelah itu, user dapat melihat history secaralebih detail berdasarkan rentang waktu yangdipilih oleh user yang memperlihatkan datamengenai virus-virus apa saja yang memasukijaringan dalam rentang waktu tersebut.

3.6 Update Virus DatabaseUpdate Virus Database adalah fitur dimana

user dapat meng-update database virus yangdigunakan untuk mendeteksi adanya virus yangmemasuki jaringan.

4. HASIL DAN PEMBAHASAN

Pembahasan terhadap hasil penelitian danpengujian terhadap aplikasi ini dilakukan denganmenggunakan 1 unit komputer serta sebuah virtualkomputer yang akan digunakan sebagai komputeryang akan menjadi penyerang pada jaringan danjuga sebagai server yang menjadi tempat Hostingfile-file virus yang akan di-download. Keduakomputer tersebut dihubungkan menggunakanMicrosoft Loopback Adapter.

Pengujian terhadap aplikasi dan interfacedilakukan dengan cara menjalankan aplikasi dankemudian men-trigger agar aplikasi memberikanrespond. Cara untuk men-trigger adalah denganmembuka web yang telah di-hosting pada virtualkomputer, men-download file pada web tersebutuntuk menguji virus detection, dan melakukan

PDF Creator - PDF4Free v3.0 http://www.pdf4free.com

5

penetration testing untuk menguji Intrusiondetection system. Tampilan web yang di-hostingpada virtual komputer dapat dilihat pada Gambar2.

Gambar 2. Contoh Website

4.1 Pengujian Packet SniffingPengujian dilakukan dengan cara menentukan

Network yang akan diawasi oleh aplikasi. IP Addresspada komputer di-set 192.168.2.1 sedangkan IPAddress 192.168.2.10. Dengan settingan IP Addresstersebut, maka packet-packet yang ditangkap hanyayang menuju maupun dari IP Address 192.168.2.1.

Pada percobaan pertama, Network yang akandiawasi di-set 192.168.2.0/30 sehingga Paket yangdiawasi adalah Paket yang berasal maupun menuju IPAddress 192.168.2.1-192.168.2.2. Ilustrasi darijaringan yang dapat dilihat pada Gambar 3,sedangkan informasi dari interface yang dimonitordapat dilihat pada Gambar 4.

Gambar 3. Ilustrasi Jaringan

Gambar 4. Interface Information

Setelah itu aplikasi dijalankan untuk mencobamenangkap paket. Paket-paket yang masuk akan di-trigger dengan membuka website pada virtualkomputer, sehingga paket-paket HTTP akan mulaidikirimkan ke komputer. Hasilnya akan ditampilkanpada Gambar 5.

Gambar 5. Sniffing Packet

Ternyata paket-paket data ditampilkan baik paketyang masuk maupun paket yang dikirim olehinterface tersebut. Pada percobaan kedua, MonitoredNetwork akan diganti menjadi 192.168.2.30/30.Desain Interface yang baru akan ditampilkan padaGambar 6, dan interface information yang baru akanditampilkan pada Gambar 7.

PDF Creator - PDF4Free v3.0 http://www.pdf4free.com

6

Gambar 6. Ilustrasi Jaringan Baru

Gambar 7. Interface Information Baru

Setelah itu aplikasi dijalankan untuk mencobamenangkap paket. Paket-paket yang masuk akan di-trigger dengan membuka website pada virtualkomputer, sehingga paket-paket HTTP akan mulaidikirimkan ke komputer. Hasilnya akan ditampilkanpada Gambar 8.

Gambar 8. Sniffing Packet

Ternyata setelah lebih dari lima menit terus men-

trigger dengan membuka website, tidak ada satupaketpun yang ditangkap oleh aplikasi yangditampilkan. Hal ini disebabkan karena paket yangmasuk tidak ditujukan bagi IP Address dari range192.168.2.29-192.168.2.30. oleh sebab itu, walaupunpaket telah ditangkap namun paket tersebut di-dropoleh aplikasi sebab tidak sesuai dengan network yangdimonitor.

4.2 Pengujian Deteksi VirusPengujian dilakukan dengan mencoba men-

download beberapa sampel virus yang telahdisediakan. Sampel virus tersebut telahdisediakan pada website yang telah di-hostingpada virtual komputer. Virus yang disediakanadalah Eicar, Sality, Orion, V200,Trojan.Dropper, 8 Tunes, Plastique, Vienna, danAgent Trojan.

Setelah file selesai di-download, file akan di-cek apakan corrupt atau tidak. Cara untukmengetahui corrupt atau tidaknya adalah denganmencoba untuk membuka file tersebut (dalam halini di-extract sebab file-file tersebut dalam bentukrar). Jika file berhasil dibuka, maka filedinyatakan tidak corrupt sedangkan kalau tidakberarti file dinyatakan corrupt. Saat aplikasimendeteksi virus akan ditampilkan sepertiGambar 9.

Gambar 9. Aplikasi Mendeteksi Virus

Selain ditampilkan pada datagrid dengan warnamerah, aplikasi juga akan menampilkan notificationyang menuliskan nama virus yang terdeteksi.Tampilan notification akan ditampilkan sepertiGambar 10.

PDF Creator - PDF4Free v3.0 http://www.pdf4free.com

7

Gambar 10. Notification Saat Virus Terdeteksi

Hasil uji coba dengan menggunakan metodedownload biasa dan dengan metode partialdownload, akan ditampilkan dalam Tabel 1 danTabel 2.

Tabel 1. Hasil Uji Coba Menggunakan MetodeDownload Biasa

Nama File File Size File Corrupt VirusTerdeteksi

Eicar.rar 186 Bytes Tidak Ya

Sality.rar 224 KB Tidak Ya

Orion.rar 424 Bytes Tidak Ya

V200.rar 269 Bytes Tidak Ya

VB ABZ.rar 2,42 MB Ya Ya

8 Tunes.rar 1,7 KB Tidak Ya

Plastique.rar 7,4 KB Tidak Ya

Vienna.rar 2,34 KB Tidak Ya

AgentTrojan.rar 113 KB Tidak Ya

Tabel 2. Hasil Uji Coba Menggunakan MetodePartial Download

Nama File File Size FileCorrupt

VirusTerdeteksi

Eicar.rar 186 Bytes Tidak Ya

Sality.rar 224 KB Ya Ya

Orion.rar 424 Bytes Tidak Ya

V200.rar 269 Bytes Tidak Ya

VB ABZ.rar 2,42 MB Ya Tidak

8 Tunes.rar 1,7 KB Tidak Ya

Plastique.rar 7,4 KB Tidak Ya

Vienna.rar 2,34 KB Tidak Ya

AgentTrojan.rar 113 KB Ya Ya

Virus di-download dengan menggunakan fiturdownload biasa pada browser, dan menggunakandownload manager. Pada download biasa,ternyata terdapat 1 file yang corrupt sedangkanjika men-download dengan download manager(partial download) ternyata terdapat 3 file yangcorrupt.

4.3 Pengujian Traffic ReportTraffic Report dapat dilihat dengan cara

meng-click datagrid untuk memilih tanggal ataurange tanggal yang telah ditampilkan dalamdatagrid. Selain itu, kita juga dapat melihattraffic Report dengan menentukan sendiri rangetanggal pada tab Custom.

Traffic Report memiliki lima tab utama, yaituPie Chart, Information, Timeline, ColumnDiagram, dan Log. Pada Tab Pie Chart akanditampilkan Pie Chart yang menggambarkanpersentase dari aktivitas jaringan yang dibedakanberdasarkan Protocol selama range waktu yangditentukan. Tampilan Pie Chart dapat dilihatpada Gambar 11.

Gambar 11. Traffic Report (Pie Chart)

Tab kedua adalah Information Tab. InformationTab akan menampilkan data aktivitas jaringanberdasarkan Protocol. Data yang ditampilkan adalahProtocol, jumlah paket yang masuk, keluar, dan totalkeduanya, juga jumlah byte yang masuk, keluar, dantotal keduanya. Selain menampilkan data, kita jugadapat memilih Protocol apa saja yang maudigambarkan dalam Pie Chart. Protocol yangdicentang akan digambarkan jika tombol di-click.Gambar Tab Information akan ditampilkan padaGambar 12.

PDF Creator - PDF4Free v3.0 http://www.pdf4free.com

8

Gambar 12. Traffic Report (Information Tab)

Tab ketiga adalah Timeline Tab. Pada Tab ini,akan ditampilkan timeline yang akan menampilkansaat-saat kapan saja intrusi, dan virus terdeteksi. Padatimeline ini, terdapat 4 macam warna, yaitu abu-abuyang menggambarkan saat tidak ada aktivitasjaringan, hijau yang menggambarkan adanya aktivitasjaringan biasa, kuning yang menggambarkan adaintrusi yang terdeteksi, dan yang terakhir warnamerah yang menggambarkan ada virus yangterdeteksi. Gambar saat virus terdeteksi akanditampilkan pada Gambar 13, dan gambar saat intrusiterdeteksi akan ditampilkan pada Gambar 14.

Gambar 13. Traffic Report (Timeline Tab-virus)

Gambar 14. Traffic Report (Timeline Tab-intrusi)

Tab keempat adalah Column Diagram. Pada Tabini, akan ditampilkan diagram batang denganmenggunakan satuan tertentu. Diagram batang yangdigambarkan ada dua yaitu virus, dan intrusi dannormal packet. Gambar diagram batang intrusi dannormal paket akan ditampilkan pada Gambar 15,sedangkan diagram batang virus akan ditampilkanpada Gambar 16.

Gambar 15. Diagram Batang Paket Intrusi dan PaketNormal

Gambar 16. Diagram Batang Virus

PDF Creator - PDF4Free v3.0 http://www.pdf4free.com

9

Tab terakhir adalah Log. Pada Tab Log akanditampilkan semua catatan mengenai aktivitas trafficdan event yang terjadi. Traffic dan event tersebutkemudian akan dibedakan lagi menjadi data trafficnormal, traffic intrusi, dan juga virus yang terdeteksi.Tab Log akan ditampilkan pada Gambar 17.

Gambar 17. Traffic Report (Log Tab)

5. KESIMPULAN

Kesimpulan yang dapat diambil pada penelitian iniadalah :• Aplikasi hanya mendeteksi virus pada file yang

masuk ke dalam jaringan melalui protocolHTTP.

• Hasil pendeteksian virus, sangat bergantung darihasil file yang disadap. Semakin mirip file hasilsadapan dengan file asli (tidak corrupt), makamakin baik hasil pendeteksiannya.

• Virus hanya dapat dideteksi jika aplikasimelakukan sniffing packet dari awal proses filetersebut di-download hingga selesai.

• Untuk mendapatkan file yang sama persis,diperlukan pemahaman mengenai dissectorpaket. Selain dissector, diperlukan jugapemahaman mengenai jaringan, dan protocolyang digunakan untuk men-transfer file.

• File yang berisi virus walaupun terdeteksi, tidakdapat dihalangi untuk memasuki jaringan (Filetetap masuk kedalam jaringan).

• Aplikasi mampu untuk mendeteksi adanya viruspada file yang corrupt.

6. SARAN

Saran-saran yang dapat digunakanuntuk penelitianlebih lanjut adalah :

• Dapat dikembangkan lebih lanjut agar aplikasidapat mendukung IPv6.

• Menambah jumlah protocol yang didukung olehaplikasi.

• Memperbaiki kemampuan untuk meng-cloningfile yang di-download dengan menggunakanteknik partial download dan juga downloadbiasa menggunakan sliding windows agar tidakada lagi file cloning yang corrupt.

• Meningkatkan kemampuan aplikasi dalammendeteksi virus agar dapat mendeteksivirus dengan lebih cepat lagi.

DAFTAR PUSTAKA[1] Gal, Tamir. (2010). “SharpPcap” tamir gal |

sharpPcap. Retrieved April 5, 2010, fromhttp://www.tamirgal.com/blog/page/SharpPcap.aspx.

[2] Mansfield, Niall. (2004). Practical TCP/IPmendesain, menggunakan, dan troubleshootingjaringan TCP/IP di linux dan windows Jilid 1.(Prabantini Dwi, Trans.). Yogyakarta: ANDI.

[3] Mansfield, Niall. (2004). Practical TCP/IPmendesain, menggunakan, dan troubleshootingjaringan TCP/IP di linux dan windows Jilid 2.(Prabantini Dwi, Trans.). Yogyakarta: ANDI.

[4] Raf Knowledge. (2010). Trik memonitorjaringan. Jakarta: PT Elex Media Komputindo.

[5] Slameto, A.A . (2010). Sistem pencegahpenyusupan. Retrieved August 10, 2010, fromhttp://www.scribd.com/doc/36389197/01-STMIK-AMIKOM-Yogyakarta-Sistem-Pencegah-Penyusupan.

PDF Creator - PDF4Free v3.0 http://www.pdf4free.com