Port Scanning Attack
Published:
Berdasarkan hasil monitoring yang dilakukan oleh tim SOC, didapati adanya aktivitas yang terindikasi sebagai Port Scanning Attak. Aktivitas tersebut merupakan salah satu cara yang dilakukan oleh attacker untuk mendapatkan informasi (Reconnaisance)yang berguna untuk tahap selanjutnya. Saat ini aktivitas tersebut sedang kami selidiki lebih lanjut.
Aktivitas dari Port Scanning tersebut berhasil kami dokumentasikan menggunakan tools wireshark. Dimana hal tersebut berguna untuk kami selidiki lebih lanjut. Hal pertama yang kami lakukan adalah mencari tahu siapa threat actor yang menjalankan aktivitas port scanning tersebut.
Berdasarkan hasil investigasi, sebanyak 54,77% traffic berasal dari ip 10.42.24.253. Dimana IP tersebut merupakan threat actor dari aktivitas port scanning Attack tersebut.
Melihat aktivitas yang berasal dari ip 10.42.24.253, kami juga berusaha mencari tahu mengenai ip mana yang memberikan response terhadap aktivitas port scanning tersebut. terlihat dari paket no 2, ip address 10.42.42.50 memberikan reponse terhadap request yang diminta oleh ip 10.42.42.253 dengan memberikan pket RST. Paket RST merupakan paket reponse yang berisikan penolakan atau status tidak tersedia oleh si user.
seteleh mengetahui ip address mana yang menjawab dari request ip attacker. kami kembali menemukan informasi yang berguna, yaitu informasi mengenai mac address dari ip yang menjawab request tersebut. melalui fitur plain text pada menu Ethernet II, mac address tersebut adalah 70:5a:b6:51:d7:b2.