Implementasi Honeypot untuk Mendeteksi Serangan Distributed Denial of Service (DDoS) Artikel Ilmiah

Transkripsi

1 Implementasi Honeypot untuk Mendeteksi Serangan Distributed Denial of Service (DDoS) Artikel Ilmiah Peneliti : Angella Puspa Dewi Prabaningtyas( ) Dr. Irwan Sembiring, ST., M.Kom. Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Salatiga 2016

2 Implementasi Honeypot untuk Mendeteksi Serangan Distributed Denial of Service (DDoS) Artikel Ilmiah Diajukan kepada Fakultas Teknologi Informasi untuk memperoleh gelar Sarjana Komputer Peneliti : Angella Puspa Dewi Prabaningtyas( ) Dr. Irwan Sembiring, ST., M.Kom. Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Salatiga 2016 i

3 ii

4 iii

5 iv

6 v

7 vi

8 vii

9 viii

10 Implementasi Honeypot untuk Mendeteksi Serangan Distributed Denial of Service (DDoS) 1) Angella Puspa Dewi Prabaningtyas, 2) Irwan Sembiring Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Jl. Diponegoro 52-60, Salatiga 50711, Indonesia 1) 2) Abstrack Securing communication is a comprehensive challenge due to the increasing of threats and attacks to network security. By knowing the various of threats and attacks, we can collect broad data from the network, by using honeypot. Implemented honeypot uses low-interaction type that is honeyd and other supporting software such as apache2 and bind9. Based on the research, honeypot is successfully giving responds to Distributed Denial of Service (DDoS) attacks and giving false information such as operation system and open ports which are usually sought by attackers. Log outcome given by honeypot is processed into chart and diagrams which are shown through the network interface by using honeyd-viz software so that the administrator will find it easy to analyze the form of the attacks from the attackers and it also can be used to increase the security of the server. Key words: Honeypot, Honeyd, low-interaction, Honeyd-viz, DDoS, Distributed Denial of Service. Abstrak Mengamankan komunikasi adalah tantangan luas karena meningkatnya ancaman dan serangan yang dilakukan pada keamanan jaringan. Pengetahuan tentang berbagai ancaman dan serangan tersebut diperoleh data yang sangat besar dari jaringan, dengan menggunakan honeypot. Honeypot yang diimplementasikan menggunakan jenis low-interaction yaitu honeyd dan software pendukung lainnya seperti apache2 dan bind9. Berdasarkan hasil penelitian, honeypot berhasil berjalan dengan memberi respon terhadap serangan Distributed Denial of Service (DDoS) dan memberikan informasi palsu seperti sistem operasi serta port-port terbuka yang biasanya dicari oleh attacker. Hasil log yang diberikan oleh honeypot diolah menjadi grafik dan diagram yang ditampilkan melalu web interface menggunakan software honeyd-viz sehingga administrator mudah dalam menganalisis bentuk serangan attacker serta dapat digunakan untuk meningkatkan keamanan pada server. Kata Kunci: Honeypot, Honeyd, low-interaction, Honeyd-viz, DDoS, Distributed Denial of Service. 1) Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana 2) Staf Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana.

11 1. Pendahuluan Pada era digital saat ini, tidak bisa dibayangkan dunia tanpa komunikasi. Manusia memiliki kepentingan untuk bertukar informasi untuk berbagai tujuan. Mengamankan komunikasi adalah tantangan luas karena meningkatnya ancaman dan serangan yang dilakukan pada keamanan jaringan. Serangan pada keamanan jaringan salah satunya yaitu Distributed Denial of Service (DDoS). Distributed Denial of Service (DDoS) merupakan jenis serangan Denial of Service (DoS) yang menggunakan banyak host attacker untuk menyerang satu buah host atau server target dalam sebuah jaringan. Dalam sebuah serangan Distributed Denial of Service (DDoS) dikategorikan dalam beberapa teknik serangan. Traffic Flooding merupakan teknik serangan dengan membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari client yang sah tidak dapat masuk ke dalam sistem jaringan. Request Flooding merupakan teknik serangan dengan membanjiri lalu lintas jaringan dengan banyak request terhadap sebuah layanan jaringan yang disediakan oleh sebuah host atau server sehingga request yang datang dari client yang sah tidak dapat dilayani oleh layanan tersebut. Teknik serangan yang terakhir yaitu mengganggu komunikasi antara sebuah host atau server dengan client yang sah dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server. Serangan terhadap keamanan jaringan tersebut dapat dideteksi menggunakan Honeypot. Honeypot adalah security resource yang sengaja dibuat untuk diselidiki, diserang, atau dikompromikan (Firrar Utdirartatmo, 2005:1). Pada umumnya honeypot berupa komputer, data atau situs jaringan yang terlihat seperti bagian dari jaringan, tetapi terisolasi dan dimonitor. Implementasi honeypot menggunakan jenis low-interaction yaitu Honeyd. Honeypot dibangun menyerupai sistem yang sesungguhnya dan dilengkapi dengan vulnerability yang sudah diketahui sehingga attacker dapat teralih perhatiannya dari sistem utama yang akan diserang dan beralih menyerang ke sistem palsu honeypot tersebut. 2. Tinjauan Pustaka Pada penelitian Vinu V Das [1], menganalisa sistem honeypot yang ada untuk mengidentifikasi beberapa masalah, seperti Legitimate Attacker dan Link Unreachable. Masalah Legitimate Attacker yaitu attacker dibawah active server menyerang server melalui jalur yang sama dengan client yang sah. Masalah tersebut diselesaikan dengan membuka jalur komunikasi virtual dan fisik pada setiap klien setelah adanya pengesahan untuk simpul-simpul Active Server lainnya tetap bertindak sebagai suatu honeypot virtual atau fisik. Masalah Link Unreachable yaitu client sah terisolasi karena satu-satunya link yang tercapai telah rusak dan kumpulan jaringan yang terdekat terhalang oleh server-server honeypot. Masalah tersebut telah teratasi dengan membuka satu channel komunikasi sementara melalui honeypot, dengan membuatnya bertindak sebagai Active Server secara virtual. Pada penelitian Chris Moore dan Ameer Al-Nemrat[2], memuat tentang system honeypot yang dibuat untuk dikompromikan atau diserang, agar dapat 1

12 memperketat system keamanan jaringan. Percobaan ini menunjukkan untuk menginstall R yaitu bahasa pemrograman statistik untuk menganalisis data yang diperoleh pada mesin yang sama sebagai modern honey network deployment, dan menghapus keterlambatan dalam mentransfer data serangan ke system analisis sehingga memungkinkan lebih tepat waktu dalam melakukan analisis mendalam dari data serangan. Pada penelitian Frederic, Yann Berthier, Philippe, dan Danielle [3], memuat tentang forensic umum yang diaplikasikan pada honeypot berbeda dalam beberapa hal : (1) jumlah informasi : sebuah honeypot memiliki hampir terlalu banyak informasi, tetapi satu host yang dirusak tidak memiliki banyak data. (2) kualitas informasi : pada honeypot, hampir kepingan data adalah menarik jika perangkat capture bekerja dengan baik; sebaliknya, host yang rusak biasanya memiliki banyak gangguan data. (3) perangkat : pengembang honeypot berfokus pada honeypot itu sendiri, tidak ada pada perangkat untuk menganalisa data yang tertangkap. Berdasarkan penelitian yang telah dilakukan tentang Honeypot, maka dilakukan penelitian sebuah honeypot low-interaction yaitu Honeyd, dengan menggunakan software honeyd-viz melalui web interface sebagai media untuk menganalisa serangan Distributed Denial of Service (DDoS). 3. Metode Penelitian Pada tahap ini peneliti ingin mengetahui kinerja dari honeyd honeypot dan honeyd-viz yang dibangun. Selanjutnya, pada tahap ini dilakukan untuk menginventaris kebutuhan dari infrastruktur yang dibangun meliputi hardware dan software. Server Honeypot memakai Laptop Asus A43S Intel Core i3 dengan RAM 4GB, dimana dalam laptop ini menjalankan berbagai software dan sistem operasi diantaranya sistem operasi Windows 7 Ultimate 32-bit sebagai sistem operasi utama. Software VirtualBox Win digunakan sebagai virtual server menjalankan sistem operasi ubuntu server-i386 yang didalamnya menjalankan software honeyd dan honeyd-viz. Pada web server memakai Laptop Acer Aspire 4736Z Intel Pentium dengan RAM 1GB, dimana dalam laptop tersebut menjalankan berbagai software dan sistem operasi diantaranya Windows 7 Ultimate 32-bit sebagai sistem operasi utama. Software VirtualBox Win digunakan sebagai virtual server dengan sistem operasi ubuntu server-i386 yang didalamnya menjalankan software Apache2, Bind9, dan ISC-DHCP-Server sebagai software yang menyediakan layanan IP Address secara Dynamic (otomatis) atau IP DHCP kepada honeypot dan attacker yang berada dalam satu jaringan. Pada Attacker memakai sistem operasi utamanya yaitu Windows 7 Ultimate 32-bit dan software Low Orbit Ion Cannon (LOIC) sebagai tools yang digunakan untuk melakukan serangan DDoS. Nway Switch 8 Port Model: ENH908-NWY dan Kabel UTP digunakan sebagai penghubung host dengan server. 2

13 1. Tahapan Penelitian Gambar 1 Flowchart alur pendeteksian Honeypot Berdasarkan Gambar 1 bahwa untuk memulai menjalankan honeypot dilakukan install paket honeypot yaitu honeyd. Selanjutnya, mengkonfigurasi honeyd seperti pada Gambar 2. Setelah konfigurasi honeyd dilakukan maka membuat file kosong yang nantinya berfungsi sebagai tempat honeypot dalam mencatat seluruh serangan yang dilakukan oleh attacker. Kemudian, service honeypot dijalankan seperti pada Gambar 3, saat honeypot menerima koneksi dari attacker maka semua log aktifitas attacker akan dicatat oleh honeypot secara realtime. Hasil deteksi serangan yang dilakukan attacker dapat dilihat pada file yang telah dibuat, sebelumnya masuk dahulu ke dalam direktori /var/log/honeypot/ kemudian nano hasil.log. 3

14 Gambar 2 Konfigurasi Honeyd Gambar 2 merupakan file konfigurasi untuk membuat virtual honeypot. Create default berfungsi untuk mengatur honeyd agar traffic yang digunakan hanya yang telah didefinisikan pada file konfigurasi. Create windows berfungsi memberikan nama pada konfigurasi, nama tersebut bisa diisi sesuai keinginan, nama tersebut juga berfungsi sebagai variable yang dapat dipanggil. Set widows personality Microsoft Windows XP Professional SP1 berfungsi personality digunakan untuk mengadaptasi system operasi tertentu untuk mengelabuhi scanner fingerprint semacam Nmap dan ketika device lain terkoneksi dengan honeyd ini maka akan dikenali sebagai windows XP Professional SP1. Set windows default tcp action reset berfungsi menyatakan secara default semua port TCP akan ditutup tetapi tetap memberikan alert. Selain reset ada kemungkinan lain untuk port TCP yaitu open dan block. Untuk open berarti semua port pada TCP akan dibuka dan dapat memberikan reply dan alert, sedangkan untuk block semua paket akan di drop dan tidak ada reply ataupun alert. Terakhir yaitu Add berfungsi mendefinisikan perlakuan default protocol jaringan. 4

15 Gambar 3 Proses Running Honeypot Berdasarkan Gambar 3 merupakan tampilan saat honeypot dijalankan dengan perintah : Kode Program 1 Start Honeyd 1. honeyd d f honeyd.conf l /var/log/honeypot/hasil.log Penjelasan fungsi pada kode program 1 yaitu d digunakan untuk menampilkan alert secara realtime, jika tidak menggunakan maka honeyd akan berjalan secara background. f digunakan untuk mengambil file konfigurasi honeyd.conf, jika tidak menggunakan f maka honeyd akan berjalan dengan konfigurasi default. l digunakan untuk membuat file log. File log sendiri digunakan untuk mencatat interaksi apa saja yang masuk pada honeyd. Dengan adanya file log ini makan serangan-serangan yang dilakukan oleh attacker dapat didokumentasikan. 5

16 Gambar 4 Flowchart Pencegahan Serangan DDoS Gambar 4 menerangkan bahwa setelah menjalankan honeypot serta menampilkan hasil log aktifitas attacker, kemudian mengolah hasil log aktifitas attacker dalam bentuk diagram dan grafik menggunakan software honeyd-viz. Pertama yang dilakukan untuk mengolah log honeypot yaitu mengambil software dan konfigurasi honeyd-viz menggunakan perintah : Kode Program 2 Konfigurasi Honeyd-viz 1. wget 2. mv honeyd-viz-version-tar /var/www 3. cd /var/www 4. tar xvf honeyd-viz-version-tar no-same-permissions 5. cd honeyd-viz 6. chmod 777 generated-graphs 7. cp config.php.dist config.php 8. nano config.php ( rubah script DB_HOST, DB_USER, DB_PASS, DB_NAME sesuai dengan konfigurasi database pada mysql) Melalui tampilan web interface administrator dapat menganalisa bentuk serangan attacker sehingga diperoleh kebijakan keamanan untuk web server dengan melakukan blocking IP Address yang berbahaya (attacker) pada web server. Kode Program 3 Block IP Address Attacker 1. Iptables A INPUT s (IP Address Attacker) j DROP 2. Iptables A OUTPUT s (IP Address Attacker) j DROP 6

17 Saat IP Address attacker sudah di block, tetapi attacker masih berusaha mengirimkan paket dalam jumlah besar untuk merusak web server. Serangan yang diberikan oleh attacker tersebut tidak akan berpengaruh pada web server, seperti Gambar 5 dengan melakukan ping IP Address web server melalui command prompt. Saat nilai time semakin kecil maka semakin cepat pula proses layanan yang diberikan oleh server. Gambar 5 Status IP Address Attacker Gambar 6 Tampilan Web Saat client yang sah mengakses layanan web pada Gambar 6, server dapat memberikan layanannya tersebut dikarenakan IP attacker telah diblock walaupun attacker tetap berusaha mengirimkan paket dan request dalam jumlah yang besar untuk merusak server. 7

18 4. Hasil dan Pembahasan Pada tahap ini peneliti melakukan uji coba serangan yang dilakukan dengan dua skenario. Skenario pertama penyerangan dilakukan ke web server dengan menggunakan aplikasi Low Orbit Ion Cannon (LOIC). Pola serangan dapat dilihat pada Gambar 7. Gambar 7 Skenario Serangan Pertama Gambar 8 Web Server Down Berdasarkan Gambar 7 skenario serangan pertama dilakukan untuk membuktikan bahwa attacker berhasil menyerang web server. Dampak yang dapat terlihat dari serangan tersebut yakni web server menjadi down dan saat melakukan ping ip address web server melalui command prompt terlihat koneksi sering sekali request time out, sehingga tidak dapat melayani permintaan dari client yang sah untuk mengakses web, seperti Gambar 8. 8

19 Gambar 9 Skenario Serangan Kedua Skenario serangan kedua dilakukan ke honeypot server menggunakan Low Orbit Ion Cannon (LOIC). Hal ini dilakukan untuk membuktikan bahwa honeypot dapat memberikan output pada saat attacker menyerang sehingga dapat diperoleh data dari attacker tersebut. Honeypot akan mencatat aktifitas attacker, kemudian akan ditampilkan dalam bentuk diagram dan grafik agar administrator mudah dalam menganalisa serangan untuk membandingkan traffic normal dan traffic serangan. Pada traffic normal, diasumsikan bahwa client yang sah melakukan akses ke web emulasi honeyd. Traffic serangan, diasumsikan bahwa attacker menyerang honeypot yang mengemulasi web server. Serangan Distributed Denial of Service (DDoS) yang dilakukan oleh attacker dapat dikatakan berjalan dengan benar, mengacu pada parameter seperti, Request yang dilakukan lebih dari 30 koneksi dalam satu IP Address, sehingga server tidak mampu melayani client. Paket Data yang diterima server lebih dari byte. IP Address yang digunakan lebih dari satu IP Address. Selang Waktu IP Address satu dengan IP Address lainnya yang digunakan untuk menyerang kurang lebih 0,5 milliseconds. Gambar 10 Log Honeypot Server Gambar 10 merupakan hasil log dari honeypot, yang merupakan aktivitas dari para attacker. Log dijalankan pada tanggal 25 februari Perbedaan waktu yang singkat yang dilakukan oleh attacker untuk melakukan penyerangan. 9

20 Hal ini ditunjukan pada waktu terjadinya penyerangan relatif sama pada 13:19:47. Protocol yang digunakan yaitu TCP dan UDP. IP Address dan merupakan alamat IP yang digunakan attacker untuk melakukan penyerangan. IP Address yang diserang oleh attacker adalah IP Address Honeyd dan (IP DHCP). Besar paket yang diterima oleh honeyd 60 byte dan 52 byte (besar paket akan terus bertambah berkali lipat tergantung pada file log honeyd). Gambar 11 Connection by Protocol Gambar 11 menjelaskan bahwa koneksi yang paling sering dilakukan dengan honeypot melalui protokol UDP sebanyak koneksi (68%), protokol TCP sebanyak koneksi (31%). Gambar 12 Connection by Destination IP Gambar 12 menjelaskan bahwa paling banyak koneksi yang masuk ke alamat ip address honeypot yaitu koneksi (31%). IP address honeypot menggunakan IP DHCP yang didapat dari server maka dari itu 10

21 pada saat honeypot berhenti dan memulainya lagi ip address akan berganti dengan ip address lainnya yang tidak terpakai. Gambar 13 Number of Connection per Uniqe IP Gambar 13 menjelaskan jumlah koneksi ip address attacker yang telah terkoneksi dengan honeypot. IP address attacker merupakan ip address yang paling banyak melakukan koneksi dengan honeypot yaitu sebesar 52% dan IP Address sebesar 25%. Gambar 14 Number of TCP Connection per Uniqe IP Gambar 14 menjelaskan bahwa sepuluh ip address attacker yang paling banyak melakukan koneksi dengan honeypot melalui protokol TCP. IP Address attacker merupakan IP Address DHCP yang didapatkan dari provider internet saat mencoba serangan dan IP Address attacker merupakan IP Address DHCP yang didapatkan melalui server yang satu jaringan dengan server honeypot. 11

22 Gambar 15 Number of UDP Connection per Uniqe IP Gambar 15 menjelaskan sepuluh ip address attacker yang paling banyak melakukan koneksi dengan honeypot melalui protokol UDP. IP address attacker melakukan koneksi ke protokol UDP sebanyak koneksi (65%). Gambar 16 Number of Connection by Destination Port Persentase port number tujuan trafik honeyd seperti pada Gambar 16. Terlihat bahwa port 80/TCP paling banyak dituju yaitu sebesar 77%. Sedangkan port yang lainnya jauh lebih kecil. No. IP Address Attacker Tabel 1 Hasil Deteksi Honeypot Server Koneksi ke IP Address Honeypot Jumlah Koneksi Percent (%) TCP : Protokol UDP :

23 Jumlah Rata-rata 7052, ,5 8990,67 Tabel 1 merupakan olahan dari grafik dan diagram honeyd-viz yang peneliti ubah menjadi tabel. Data tersebut diambil pada tanggal 25 februari Pada waktu kurang lebih setengah jam diperoleh request dan paling besar melalui protokol UDP request. Attacker menyerang protokol UDP dengan memanfaatkan sifat UDP yang connectionless yaitu tidak memerlukan perjanjian untuk mengadakan komunikasi dua arah antara sender dan receiver. Vulnerability ini dimanfaatkan attacker untuk membanjiri sebuah jaringan dengan mengirimkan data yang tidak berguna secara simultan, sehingga lebih cepat membuat lalu lintas jaringan padat dan server akan hang atau crash. Tabel 2 Data Serangan DDoS Synflooding IP Address IP Address Spoofing Percobaan Ke- Banyakya Koneksi Besar Paket Data (Byte) Jumlah Rata-rata 293,653, ,6 Tabel 2 digunakan untuk mengkalkulasi serangan yang ada di honeypot. Data diambil setiap kurang lebih dua menit dengan lima kali percobaan per ip address dan menggunakan tiga ip address. Attacker mengirimkan lebih dari 30 koneksi tiap ip address dengan rata-rata 2936,53333 request tiap ip address dan paket data yang dikirimkan attacker rata-rata tiap ip address sebesar ,6 13

24 byte yang melebihi panjang maksimum data menurut protokol TCP/IP yaitu byte. Serangan DDoS dilakukan untuk melumpuhkan server dengan cepat karena menggunakan banyak komputer yang didedikasikan sebagai komputer penyerang. Pada tabel 2 attacker menggunakan tiga komputer secara bersamasama untuk menyerang sebuah server dengan mengirimkan request dan byte, sehingga lalu lintas didalam jaringan menjadi padat dan server tidak dapat melayani permintaan dari client yang sah. Jika attacker menyerang server dengan menggunakan DoS, server belum tentu akan lumpuh dengan waktu yang singkat karena hanya menggunakan satu komputer penyerang. Misalnya, attacker menggunakan ip address untuk menyerang server dengan mengirimkan 7368 request dan byte. Perbandingan yang diperoleh dari serangan DDoS dan DoS yaitu lima berbanding satu, yang artinya serangan DoS membutuhkan waktu lebih lama dan request yang lebih banyak dalam melakukan penyerangan sampai server mengalami overload. 5. Simpulan dan Saran Berdasarkan hasil penelitian, pengujian, dan analisis terhadap sistem honeypot, maka dapat diambil kesimpulan bahwa Honeypot dapat mengemulasi web server dan mampu mendeteksi serangan DDoS dengan memberikan log aktifitas attacker secara real time. Grafik dan diagram honeyd-viz membantu administrator dalam memprediksi dan menganalisa serangan, dalam penelitian ini yaitu serangan DDoS. Saran yang dapat diberikan untuk penelitian dan pengembangan Honeypot dengan Honeyd yaitu penambahan aturan-aturan pada honeyd agar menjadi honeynet, tidak hanya pada jaringan lokal saja dan agar honeypot tidak hanya mendeteksi saja tetapi juga dapat melakukan block pada aktifitas yang abnormal. 6. Daftar Pustaka [1]. Vinu V Das, 2009, Honeypot Scheme for Distributed Denial-of-Service, India: IEEE Computer Society. [2]. Chris Moore, Ameer Al-Nemrat, 2015, Analysis of Honeypot Programs and the Attack Data Collected, England: Springer International Publishing Switzerland. [3]. Frederic R, Yann B, Philippe B, Danielle K, 2004, Honeypot Forensics Part I: Analysing the Network, IEEE Security and Privacy, 2(4): [4]. Utdirartatmo F, 2005, Menjebak Hacker dengan Honeypot. Yogyakarta: ANDI. [5]. Tek Defense, 2013, Drive Traffic To Your Honeypot, diakses pada tanggal 14 februari [6]. Genta, P.P.W, 2013, Analisis Serangan DDOS (Distributed Denial of Service) TCP Flood dan UDP Flood Pada Honeyd, 14

25 diakses pada tanggal 14 februari [7]. Ardianto, S. N, Suwanto R & Joko T, 2013, Analisis dan Implementasi Honeypot menggunakan Honeyd sebagai Alat Bantu Pengumpulan Informasi Aktivitas Serangan Pada Jaringan, diakses pada tanggal 10 januari [8]. K. Munivara Prasad, A. Rama Mohan, & M. Ganesh Karthik, 2011, Flooding Attacks to Internet Threat Monitors (ITM): Modeling and Counter Measur Using Botnet and Honeypot, International Journal of Computer Science and Information Technology (IJCSIT), 3(6): [9]. Sandeep Chaware, 2011, Banking Security using Honeypot, International Journal Security and Its Application, 5(1): [10]. Yogendra Kumar Jain, 2011, Honeypot Based Secure Network System, International Journal of Computer Science and Engineering (IJCSE), 3(2): [11]. Shaik Bhanu, Girish Khilari, & Varun Kumar, 2014, Analysis of SSH Attacks Darknet using Honeypot, International Journal of Engineering Development and Research (IJEDR), 3(1): [12]. Suruchi Narote, Sandeep Khanna, 2014, Advance Honeypot System for Analysing Network Security, Departement of Computer Engineering, 2(4): [13]. Li Hong-Xia, Wang Pu, Zhang Jian, Yang Xiao-Qiong, 2010, Exploration on the Connotation of Management Honeypot, China: IEEE Computer Society. [14]. Ir. Sumarno, M.M, Sabto Bisosro, 2010, Solusi Network Security dari Ancaman SQLInjection and Denial of Service, 5(1): [15]. Kaur T, Malhota V, Singh D, 2014, Comparison of Network Security Tools-Firewall, Intrusion Detection System and Honeypot, In International Journal of Enhanced Research in Science Technology and Engineering. [16]. Harjono, 2013, Honeyd for Detecting Network Attacks in Muhammadiyah University of Purwokerto, JUITA Jurnal Teknologi Informasi, 2(4):