Botnet atau malware memanfaatkan protokol SSDP untuk melakukan scanning service-service yang ada pada jaringan komputer yang terinfeksi. berikut ini merupakan langkah dalam menemukan komputer yang terinfeksi botnet pada jaringan.

DISCLAIMER: cara ini dapat dilakukan untuk menemukan botnet yang mengeksploitasi protocol SSDP dan berada pada lingkungan jaringan yang di manage dengan menggunakan routerboard MikRotik, untuk yang menggunakan router lain, silahkan menyesuaikan.

LANGKAH PERTAMA:

lakukan sniffing pada router.

klik tools, lalu pilih menu packet sniffer, maka akan muncul gambar seperti pada gambar dibawah ini:

setting nama file, pada contoh kasus ini saya buat nama file menjadi gedung c, karena router tersebut berada di gedung c. untuk menyimpan silahkan klik tombol OK.

langkah selanjutnya adalah proses menjalankan packet sniffing dengan menggunakan terminal, buka terminal mikrotik anda dan ketikan perintah tool snif start

untuk menghentikan proses snif ketikan perintah tool snif stop

maka akan muncul file pada router yaitu file gedung c seperti pada gambar dibawah ini.

file tersebut dapat di download dan disimpan pada Komputer admin dan dilakukan analisis menggunakan software Wireshark.

pada gambar dibawah ini, telah dilakukan analisis paket dengan melakukan filtering pada protocol SSDP, dan ditemukan IP ADDRESS LOKAL yang menggunakan protokol tersebut, berikut ini gambarnya.

untuk lebih lanjutnya, kita harus menemukan komputer yang menggunakan IP tersebut pada gedung C, Dengan melihat petunjuk lain yang ada pada router Mikrotik yaitu dengan menggunakan perintah IP DHCP-SERVER LEASE

IP ADDRESS Tersebut memiliki informasi bahwa device yang terinfeksi malware/botnet merupakan sebuah PC, Dengan mac address D0:37:45:3D:5D:AB

dari informasi tersebut komputer menggunakan perangkat network card merk TP-LINK, seperti pada gambar dibawah ini.

anda dapat melakukan block internet pada komputer tersebut dan menunggu laporan dari pengguna apabila komputernya tidak konek ke internet, sehingga anda dapat melakukan pemeriksaan, apakah komputer tersebut memiliki IP Address dan Mac address sesuai dengan yang telah ditemukan, apabila komputer tersebut memiliki IP dan Mac yang cocok, maka dapat dilakukan mitigasi (install antivirus dan hapus malware/botnet).