Konsep DoS dan DDoS (Distributed Denial of Service), serta Mekanisme Serangan DoS dan DdoS dan cara penanggulangannya

Transkripsi

1 Konsep DoS dan DDoS (Distributed Denial of Service), serta Mekanisme Serangan DoS dan DdoS dan cara penanggulangannya Abdillah F (142135), STMIK Dipanegara Makassar, 2015 Abstract A Distributed Denial of Service (DDoS) attack is an attempt to make an online service unavailable by overwhelming it with traffic from multiple sources. They target a wide variety of important resources, from banks to news websites, and present a major challenge to making sure people can publish and access important information. Perkembangan internet saat ini membuat banyak pelaku bisnis menggunakan jasa internet sebagai media untuk menjalankan bisnisnya. Selain itu internet juga dibutuhkan oleh para pelajar, dimana saat ini ada istilah di kalangan pelajar yaitu Om Google yang artinya dimana para pelajar dapat mencari segala informasinya yang dibutuhkannya di internet dengan menggunakan Search engine google.com. Namun saat ini kita harus selalu waspada bukan hanya untuk penyedia layanan website namun juga kepada pengguna layanan tersebut, karena tdak menutup kemungkinan adanya serangan yang sederhana namun berbahaya yang dilkukan oleh orang-orang yang tidak bertanggung jawab yang biasa kita kenal dengan DDoS. DDoS sangat memberikan efek terhadap penyedia dan juga pengguna layanan internet. Faktor penyebab serangan yang banyak ditemukan di dunia nyata sebenarnya hanyalah faktor keisengan atau dengan kata lain Just for fun. Namun tidak menutup kemungkin ada motif lain dibalik serangan jenis ini misalnya untuk mendapatkan pengakuan dari dunia underground. Karena sebagian komunitas berpendapat ketika seseorang telah mampu untuk melumpuhkan suatu sistem maka ia (pelaku) baru dapat diterima dalam komunitas tersebut. Namun seorang yang Elite yang beretika tidak berhrap untuk melakukan serangan jenis ini. Serangn jenis ini bertujuan untuk melumpuhkan pelayanan dari komputer atau jaringan yang diserang dan dampaknya akan sangat besar terutama penyedia layanan internet terutama untuk perbankan. Korban yang terkena serangan ini tidak akan bisa memeberikan pelayanan yang seharusnya. Serangan DDoS ini dapat menghambat atau bahkan mematikan pelayan terutama untuk perbankan. Sehingga pengguna yang absah tidak dapat menerima atau mendapatkan pelayana yang seharusnya. Bayangkan ketika sbuah perusahaan perbankan tidak dapat melakukan pelayana kepada nasabahnya, ini akan menjadi sesuatau yang sangat fatal bagi kelangsungan perusahaan tersebut. Atau penyedia jasa layanan internet yang tidak dapat memberikan bandwith kepada kliennya, ini akan memberikan dampak yang sangat buruk kepada perusahaan tersebut. Serangan DoS (Denial of Service) dan DDoS (Distributed Denial of Service) merupakan serangan yang mungkin kita jumpai pada beberapa kasus cybercrime. pada dasarnya DoS dan DDoS adalah sebuah serangan yang sama, namun DDoS adalah sebuah serangan DoS yang dapat dikatakan terstruktur. Dengan mekanisme yang sama dengan DoS namun dampak yang ditimbulkan oleh serangan DDoS jauh lebih besar daripada serangan DoS. Mekanismenya serangan DDoS merupakan hal yang dapat kita angkat mengingat tidak sedikitnya kasus cybercrime yang menggunakan serangan ini. Selain itu cara penanggulangannya meruapakan hal yang sangat menarik untuk kita angkat sebagai bahan pembelajaran bila suatu saat kita menjadi target dari serangan jenis ini. Dunia maya merupakan dunia yang sangat sulit untuk ditebak, kita tidak tahu siapa lawan bicara kita, apakah seorang yang akan melakukan serangan atau hanay orang biasa, atau bahkan seseorang yang memata-

2 matai garakan kita dari belahan dunia yang lain. Mungkin kata-kata yang sering kita dengar yaitu Don t trust anyone in cyber, be paranoid tidak sepenuhnya salah. Sebab dunia cyber adalah dunia yang sulit untuk ditebak. Dengan mengetahui mekanisme serangan diharapkan kita dapat menemukan cara lain untuk mengendalikan serangan ini. Metode yang kami jelaskan pada tulisan ini adalah metode umum yang biasanya digunakan oleh orang-orang yang lebih berpengalaman dalam jaringan. Tujuan Penelitian 1. Dapat membuka wawasan kita mengenai jenis serangan ini. Apakah DoS dan DDoS itu sebenarnya? 2. Bagaimana metode serangan DoS dan DDoS? Bagaimana cara seorang attacker melakukan serangan DDoS? Serta bagaimana cara penanggulangan serangan jenis ini? Metode Penelitian Metode penelitian yang dilakukan adalah mennganalisa beberapa Literatur yang telah ada, dimana Literatur ini adalah publikasi dari Ahli jaringan yang lebih berpengalaman dalam bidang network security, dan sedikit percobaan pada jaringan yang ruang lingkupnya lebih kecil. Percobaan ini dilakukan hanya sebagai pembelajaran dari hasil analisa yang dilakukan oleh penulis. Pembahasan Arbor Network mengemukakan bahwa tahun 2010 merupaka tahun dimana serangan DDoS menjadi serangan yang bersiffat mainstream. Serangan DDoS menjadi serangan mempunyai Skala yang sangat besar namun dengan durasi yang singkat. Laporan Terakhir Arbor Network mengemukakan bahwa rata-rata serangan DDoS berada diatas 2 Gbps (angka yang sangat besar yang belum pernah terlihat sebelumnya). Sejumlah pakar keamanan komputerpun sepakat akan jumlah tersebut, Michael Smith direktur CSIRT dari akamai technologies mengemukakan bahwa saat ini sangatlah mudah bagi seseorang untuk melakukan serangan DDoS, yaitu dimana seorang attacker hanya perlu menyewa sebuah botnet dengan harga $20. bahkan data diatas menunjukkan bahwa serangan singel DDoS attack sesuai dengan survey tahunan, Pada tahun 2005 mencapai 10 Gbps dan terus meningkat secara signifikan sampai tahun 2010 mencapai 100 Gbps. Jenis-Jenis Serangan DDoS Serangan DDoS terbagi menjadi 5 jenis serangan sesuai dengan metode serangan tersebut. Ping of death, Merupakan serangan klasik yang dulu sering digunakan. Serangan ini di dilancarkan dengan menggunakan utility ping pada sebuah sistem operasi. Ping biasanya digunakan untuk memeriksa keberadaan sebuah host. Atau alamat IP dari sebuah website. Data yang dikirimkan secara default adalah 32bytes, namun pada kenyataannya program ini dapat mengirimkan sampai dengan 65kb data. Sekarang serangan seperti ini sudah tidak terlalu ampuh lagi, karena banyak sistem yang telah mengupdate patchnya dan menutup lubang-lubang tersebut. Ditambah semakin canggihnya teknologi dan semakin lebarnya bandwith yang tersedia, sehingga serangan ini tidak lagi menimbulkan dampak yang signifikan bagi sebuah sistem UDP flood, Serangan UDP ini memanfaatkan protokol UDP yang bersifat connectionless

3 untuk menyerang target. Karena sifatnya itulah UDP flood cukup mudah untuk dilakukan. Sejumlah paket data yang besar dikirimkan begitu saja kepada korban. Korban yang kaget dan tidak siap menerima serangan ini tentu akan bingung, dan pada beberapa kasus komputer server tersebut akan hang karena besarnya paket data yang dikirimkan. Penyerang dapat menggunakan tehnik spoofed untu menyembunyikan identitasnya. Syn flooding, Serangan Syn Flooding dilakukan dengan cara memanfaatken kelemahan protokol pada saat terjadinya proses handshake. Saat dua buah komputer memutuskan untuk memulai melakukan komunikasi maka komputer pengirim(penyerang) akan mengirimkan syn, penerima(target) pun akan menjawab dengan mengirimkan syn ack kepada komputer pengirim. Seharusnya setelah menerima balasan syn ack dari penerima pengirim pemngirimkan ack kepada penerima untuk melakukan proses handshake. Namun pada kenyataannya, pengirim justru mengirikan banyak paket syn kepada penerima yang mengakibatkan penerima harus terus menjawab permintaan dari pengirim. Alamat ip penyerang biasanya telah disembunyikan atau spoofed sehingga alamat yang dicatat oleh target adalah alamat yang salah. Penerima akan bingung untuk menjawab permintaan koneksi TCP yang baru karena masih menunggu banyaknya balasan ACK dari pengirim yang tidak diketahui tersebut. Disamping itu koneksi juga akan dibanjiri oleh permintaan syn yang dikirim oleh pengirim secara terus menerus. Serangan seperti ini menghambat penerima memberikan pelayanan kepada user yang absah. Remote Control Attack, Ramote controled attack pada dasarnya adalah mengendalikan beberapa network lain untuk menyerang target. Penyerangan dengan tipe ini biasanya akan berdampak besar, karena biasanya server- server untuk menyerang mempunyai bandwith yang besar. Penyerang juga dengan leluasa dapat mengontrol bonekanya dan menyembunyikan diri dibalik server-server tersebut. Banyak tools yang dapat digunakan untuk melakukan serangan denga tipe ini. Umumnya tools-tools tersebut mempunyai tipe Master dan client atau agent. Marster merupakan komputer master yang telah dikuasai oleh penyerang dan akan digunakan untuk memberikan perintah kepada para agent guna melancarkan serangan. Sedangkan client adalah komputer zombie yang telah berhasil dikuasai oleh penyerang, kemudian penyerang menanamkan aplikasi client yang siap menungu perintah untuk menyerang target. Tools yang cukup terkenal dari tipe serangan ini adalah trinoo. Skema Penyerangan jenis trinoo dapat kita lihat pada gambar dibawah ini : Penyerang menggunakan dua buah master server yang digunakan untuk menyebarkan perintah kepada para zombie guna menyerang target. Setelah meremote server yang telah ditunjuk sebagai master, selanjutnya penyerang menggunakan server tersebut untuk mengirimpak perintah serangan kepada para zombie dalam hal ini adalah klien dari master server tersebut. Dengan menggunakan master server, penyerang dapat mengirimkan perintah ke banyak zombie asalkan telah adanya komunikasi antara zombie sabagi klien dan master server sebagai master. Setelah menerima perintah dari server, maka klien atau agen ini akan melakukan penyerangan sesuai yang diperintahkan oleh penyerang. Serangan yang dilakukan oleh banyak zombie inilah yang akan baerakibat sangat fatal terhadap sistem target. Karena packet data yang dikirim tidak hanya berasal dari satu sumber, sehingga cukup sulit untuk melakukan pemblokiran alamat penyerang.

4 Serangan DOS kerap dilakukan pada era 80an. Namun saat ini metode serangan telah berkembang, penyerangan bertipe DOS saat ini lebih variatif dan terkoordinasi dengan baik yang menyebabkan korban sulit untuk melacak keberadaan penyerang sesungguhnya. Penyerangan dengan DDOS atau DOS yang didstribusikan dengan menggunakan beberapa node (DOS menggunakan 1 node) akan berdampak lebih besar kepada target. Target akan dibanjiri oleh banyak paket data yang dikirim serentak dari beberapa tempat, skema skema dibawah ini merupakan beberapa ilustrasi penyerangan DDOS. Skema tersebut digambarkan berdasarkan beberapa jenis serangan DDOS. Baik yang secara langsung maupun dengan memanfatkan network lain (zombie). Smurf Attack, Merupakan penyerangan dengan memanfaatkan ICMP echo request yang sering digunakan pada saat membroadcat identitas kepada broacast address dalam sebuah network. Saat melakukan broadcast pada broadcast address maka semua komputer yang terkoneksi kedalam jaringan akan ikut menjawab request tersebut. Hal ini tentu saja akan melambatkan dan memadatkan trafik di jaringan karena komputer komputer yang tidak ditanya turut memberikan request tersebut. Hal ini tentu akan berdampak lebih besar bila alamat pengirim request disamarkan, dan tidak hanya mengirimkan ICM request pada sebuah network melainkan kebeberapa network. Tentu saja balasan yang diterima akan lebih besar lagi, tidak hanya sampai disitu. Pengirim menyamarkan identitasnya dengan cara memakai alamat ip orang lain. Celakalah bagi orang tersebut karena ia akan diserang dengan balasan icmp echo request dari beberapa network sekaligus. Skema penyerangan dapat kita lihat seperti gambar dibawah ini. Pada serangan diatas digambarkan penyerang melakukan penyerangan kepada target dengan memanfaatkan agent- agent yang berjalan melalui daemon-daemon dari tools flooder. Daemon yang berjalan tersebut merupakan daemon yang berjalan disisi klien dan menunggu perintah dari master node. Master node memberikan perintah kepada agent agent agar menyerang target yang pada gambar diatas diilustrasikan sebagai server yahoo.com. serangan mungkin tidak berpengaruh begitu besar jika jumlah zombie yang digunakan sedikit. Namun jika jumlah yang digunakan terdiri dari puluhan bahkan ratusan sistem maka bukanlah hal yang tidak mungkin bila serangan jenis ini akan membuat server crash. Cara Melakukan Serangan DoS atau DDoS dengan Slowloris. Pada kali ini penulis akan mencoba untuk menerapkan cara melakukan serangan DDoS menggunakan Slowloris, namun ini hanya sebagai pembelajaran dan hanya dilakukan pada jaringan lokal. Slowloris merupakan sebuah tool yang dibuat menggunakan perl untuk melakukan serangan HTTP DoS tampilan awal slowloris dengan perintah : perl slowloris.pl lakukan test terhadap tejuan serangan dengan perintah : perl slowloris.pl -dns <TARGET> -port 80 -test Jika kita ingin mengirimkan Data dengan Jumlah yang sangat besar secara terus meneru, maka dapat dilakukan dengan perintah :

5 perl slowloris.pl -dns <target> -port 80 -timeout 75 -num httpready cache penjelasan : -dns : the target ( dapat berupa IP atau domain ) -port : port yg di gunakan oleh webserver ( 80 ) -timeout: nilai waktu delay timeout untuk setiap paket thread, penantian reacquiring ruang tcp di server. pada langkah pengetesan, Nilai ini diisi dengan flag -test -num : jumlah soket yang digunakan untuk mendapatkan koneksi.biasanya server apache akan membutuhkan nilai antara atau tergantung pada konfigurasi -httpready: HTTPReady di gunakan apache untuk buffer connections. attacker dapat melewati perlindungan ini dengan mengirimkan permintaan POST bukan GET atau HEAD. Cara Pencegahan dan cara penanggulangan Serangan DDoS. Berikut beberapa cara pencegahan serangan DDoS. 1. Lakukan sesering mungkin terhadap bugbug dengan cara melakukan patch dan backup secara berkala. 2. Gunakan firewall agar kemungkinan serangan ini tidak malakukan seranganserangan data terhadap komputer anda. 3. Lakukan bllocking terhadap IP yang mencurigakan, jika port anda telah termasuki maka komputer anda akan di kuasai. Cara mengatasinnya adalah gunakan Firewall di kombinasikan dengan IDS. 4. Menolak semua paket data dan mematikan service UDP. selain itu gunakan anti virus yang di mana dapat menangkal serangan data seperti Kapersky. 5. Lakukan filtering pada permintaan ICMP echo pada firewall. Sedangkan apabila server sudah terserang maka untuk mengatasinya salah satu caranya adalah dengan memblok host yang melakukan serangan. Caranya adalah sebagai berikut : 1. Cari IP yang melakukan serangan. Ciri cirinya adalah mempunyai banyak koneksi (misal 30 koneksi dalam 1 ip), muncul banyak ip dari satu jaringan. 2. Block ip tersebut sehingga tidak bisa melakukan serangan. 3. Lakukan terus sampai serangan berkurang. Kesimpulan Efek dari serangan DDOS sangat menganggu pengguna internet yang ingin mengunjungi situs yang telah diserang menggunakan DDOS. Situs yang terserang DDOS sulik untuk diakses bahkan mungkin tidak bisa untuk diakses. Kesulitan pengaksesan sebuah situs diinternet bisa saja merugikan bagi sebagian orang yang bisnisnya sangat tergantung kepada layanan internet. Secara umum end user atau korban serangan DDOS ini hanya sadar bahwa serangan seperti ini hanya merupakan gangguan yang memerlukan restart system. serangan DDOS ini juga dapat merupakan mengalihkan pandangan dari seorang hacker untuk mendapatkan informasi penting yang ada. Pada dasarnya serangan DOS ini merupakan rangkaian rencana kerja yang sudah disusun oleh hacker dan terstruktur dalam mencapai tujuannya yang telah ditargetkan. Referensi 1. Aridian.M dan Setiawan, Deris, M.kom, DoS dan DdoS dan cara Penanggulangannya, Universitas Sriwijaya 2. Zamrud, Muhammad, Analisa Mekanisme Pertahanan DoS dan DDoS pada Virtual Machine menggunakan IDS Center, Universitas Indonesia. 3. DDoS-Attacken im zweiten Halbjahr 2011, pubid=