KARAKTERISTIK SERANGAN DOS DAN DDOS

{ December 2, 2011 @ 4:51 am } · { Artikel }

Denial of Service bertujuan untuk mencegah pengguna yang sah untuk bisa mengakses sumberdaya jaringan (berupa layanan jaringan). Secara garis besar serangan yang dilakukan berupa :

  • Bandwidth consumption, dimana jaringan sengaja dibanjiri dengan paket datasehingga pengguna tidak bisa mengakses layanan. Hal ini dikarenakan server disibukan dengan paket data yang datang baik karena jumlahnya yang banyak, atau karena ukuran paket yang diterima sangat besar.
  • SYN attack, memanfaatkan celah pada protokol TCP handshake dimana jaringan yang terhubung dengan server dibanjiri dengan paket TCP berupa SYN request, sehingga server akan merespon dengan ACK+SYN response pada alamat client yang telah di spoof. Hal ini mengakibatkan server akan membuka koneksi dengan client yang tidak akan pernah mengakhiri komunikasi sampai ketersediaan koneksi habis dan tidak bisa menerima permintaan lagi.
  • DNS attack, dengan mengacaukan database sebuah DNS server sehingga user yang sah akan diarahkan ke jaringan yang sebenarnya tidak ada. Hal ini mengakibatkan server tidak bisa diakses dengan benar ketika user mengakses server menggunakan alamat domain.

1. Serangan DoS
1.1 Buffer Overflow
Sering kita mendengar istilah Buffer Overflow dalam jaringan. Buffer Overlfow adalah salah satu metode yang digunakan oleh penyerang untuk mengeksploitasi sebuah sistem komputer yang memiliki kelemahan (vulnerability) pada salah satu layanan yang digunakan oleh sistem tersebut[20]. Sebuah aplikasi dapat di-buffer-overflow karena memang aplikasi tersebut tidak memiliki kontrol data yang baik dan biasanya ini tidak di sadari oleh si pembuat program tersebut. Seorang hacker dapat memperoleh hak akses terhadap sistem tersebut hanya dengan memanfaatkan kelemahan dari suatu aplikasi yang ada di sistem komputer target, tentu hal yang berkaitan erat dengan akses yang dimiliki oleh aplikasi tersebut.


Bahaya dari serangan buffer overflow antara lain :

  • Pemanipulasian dan mengrusakan data stack dimemori sehingga suatu program yang memerlukan data tersebut akan mengalami gangguan dalam prosesnya.
  • Apabila suatu program atau aplikasi dijalankan maka instruksi-instruksi dari program tersebut akan disimpan dalam memori. Dengan memanfaatkan eksploitasi buffer overflow seorang penggangu dapat memanipulasi instruksiinstruksi pada memori dengan instruksi yang diinginkan (salah satunya adalah mencoba mengakses dengan menggunakan root). Cara penanggunalangan bisa berupa melakukan patch terhadap aplikasi secara berkala.

1.2 SYN flooding attack
SYN flooding adalah serangan yang menggunakan Synchronization flood attack pada pertukaran data yang menggunakan three way handshake. Pada saat penyerang mengirimkan paket pada komputer yang diserang dengan mengguanakan alamat internet palsu (spoofing) maka komputer yang menerima akan mengirim kembali pada komputer penyerang dan menunggu balasan selama kurang lebih 20 detik. Pada saat bersamaan penyerang akan mengirim paket lagi sebanyak-banyaknya sehingga komputer korban akan terjadi antrian dan akhirnya terjadi deadlock .[19] Konsep serangan SYN Flooding adalah penyerang akan mengirimkan paketpaket SYN ke dalam port-port yang sedang berada dalam keadaan “Listening” yang berada dalam host target. Normalnya, paket-paket SYN yang dikirimkan berisi alamat sumber yang menunjukkan system actual, tetapi paket-paket SYN dalam serangan ini di desain sedemikian rupa, sehingga paket-paket tersebut memiliki alamat sumber yang tidak sebenarnya. Ketika target menerima paket SYN yang telah dimodifikasi tersebut, target akan merespons dengan sebuah paket SYN/ACK yang ditujukan kepada alamat yang tercantum di dalam SYN packet yang ia terima (yang berarti system tersebut tidak ada secara actual) dan kemudian akan menunggu paket Acknowledgment(ACK)sebagai balasan untuk melengkapi proses pembuatan koneksi. Tetapi, karena alamat sumber dalam paket SYN yang dikirimkan oleh penyerang tidaklah valid, paket ACK tidak akan pernah datang ke target, dan port yang menjadi target serangan akan menunggu hingga waktu pembuatan koneksi “kadaluwarsa” atau timed-out. Jika sebuah port yang listening tersebut menerima banyak paket-paket SYN, maka port tersebut akan meresponsnya dengan paket SYN/ACK sesuai dengan jumlah paket SYN yang ia dapat menampungnya di dalam buffer yang dialokasikan oleh system operasi [10].

Bahaya dari serangan SYN Flooding adalah koneksi akan dibanjiri oleh permintaan syn yang tak akan pernah direspon oleh client dan dikirimkan secara terus menerus sehingga user yang sah tidak akan mendapatkan jatah koneksi lagi dari server karena sudah dipakai selama serangan tanpa tahu kapan server bisa mengakhiri koneksi.

Ada beberapa cara yang dapat dilakukan untuk mencegah dan mengurangi
efek dari SYN Flooding yakni sebagai berikut[10] :

  • Meningkatkan ukuran buffer koneksi TCP untuk meningkatkan jumlah percobaan pembuatan koneksi yang dapat dilakukan secara simultan. Hal ini memang menjadi solusi sementara, karena penyerang juga mungkin meningkatkan ukuran paket SYN yang dikirimkan untuk memenuhi buffer tersebut.
  • Mengurangi nilai waktu kapan sebuah percobaan pembuatan koneksi TCP menjadi “time-out” . Hal ini juga menjadi solusi sementara, apalagi jika jaringan di mana sistem berada sangat sibuk atau lambat.
  • Mengimplemetasikan paket filtering yang masuk ke dalam router, dengan memblokir semua serangan yang menggunakan alamat palsu. Hal ini juga menjadi solusi sementara, karena tidak semua ISP mengimplementasikan fitur seperti ini.
  • Memantau firewall dan mengkonfigurasi untuk memblokir serangan SYN flood ketika hal tersebut terjadi. Pendekatan ini merupakan pendekatan yang sering dilakukan oleh banyak organisasi, apalagi jika ditambah dengan Intrusion Prevention System (IPS), meski hal ini membutuhkan kejelian dari seorang administrator jaringan untuk memantau catatan (Log) dari IPS dan firewall. Dengan kedua pendekatan tersebut, user yang valid kemungkinan juga dapat ditolak karena konfigurasi yang tidak benar.

1.3 ICMP flooding (Smurf)
Salah satu serangan dengan menggunakan pendekatan flooding adalah Smurt Attack dengan mengeksploitasi Internet Control Message protocol (ICMP)[4]. Smurt Attack adalah sebuah serangan yang dibangun dengan menggunakan pemalsuan terhadap paket-paket ICMP echo Request, yakni sebuah jenis paket yang di gunakan oleh utilitas troubleshooting, PING. Penyerang akan memulai serangan dengan membuat paket-paket “ICMP echo request” dengan alamat IP sumber berisi alamat IP host target yang akan diserang (berarti alamat telah dipalsukan atau telah terjadi address spoofing). Paket-paket tersebut pun akan dikirimkan secara broadcast ke jaringan di mana komputer target berada, dan host-host lainnya yang menerima paket yang bersangkutan akan mengirimkan balasan dari “ICMP echo request” (“ICMP echo reply”) kepada komputer target, seolah-olah komputer target merupakan komputer
yang mengirimkan ICMP echo request tersebut. Semakin banyak komputer yang terdapat di dalam jaringan yang sama dengan
target, maka semakin banyak pula ICMP echo reply yang dikirimkan kepada target, sehingga akan membanjiri sumber daya komputer target, dan mengakibatkan kondisi penolakan layanan (Denial of Service) yang menjadikan para pengguna
tidak dapat mengakses layanan yang terdapat di dalam komputer yang diserang.Beberapa sistem bahkan mengalami crash atau hang, dan banjir yang berisi paketpaket”ICMP echo request/reply” akan membuat kongesti (kemacetan) jaringan yang dapat memengaruhi komputer lainnya.[11]

Serangan ini sering bahaya karena serangan ini seringnya dilancarkan kepadasebuah system atau jaringan yang dimiliki oleh penyedia jasa internet sehingga menyebabkan masalah terhadap kinerja aringan dan tenti saja menolak akses dari
klien. Cara penanggulangan yang mungkin untuk serangan smurf adalah sebagai berikut[11].

  • Gunakan firewall dengan mengatur kebijakan filtering khususnya terhadap ICMP echo untuk tidak meneruskan paket data yang tidak diketahui dengan jelas asalnya.
  • Bisa juga memperbesar jumlah maksimum koneksi syn yang dapat dilayanin server.
  • Smurf dapat diatasi dengan mendisable broadcast addressing router, kecuali bila kita benar-benar membutuhkanya.
  • Membatasi trafik ICMP agar pesentasenya lebih kecil dari keseluruhan trafik yang terjadi pada jaringan.

2. Serangan DDoS
Menurut [17], ada empat motif dari penyerang DDoS:

  • penyerang memeras korbannya dan mendapat keuntungan besar dari uang tebusan.
  • Competitor: mempunyai tujuan untuk merusak bisnis dan reputasi dari rivalnya.
  • Terrorist: berdasarkan motivasi ideologi untuk melakukan serangan.
  • Script kiddies: bertujuan hanya untuk menguji kemampuannya atau untuk publisitas.

Tiga dampak dari serangan DoS di internet yang terjadi antara tahun 1989 sampai tahun 1995 yaitu[8]: 51% dari insiden memenuhi harddisk, 33% dari insiden menurunkan layanan jaringan, dan 26% dari insiden menghapus beberapa file penting. Satu insiden tunggal dapat menyebabkan tipe kerusakan pada waktu yang sama. Menurut Moore et al.[16] dalam beberapa kasus, serangan DDoS mampu membuat sekitar 1 Gbit/s trafik serangan terhadap satu korban. Berdasarkan analisis backscatter untuk menilai jumlah, durasi, dan fokus serangan DoS di Internet[18] menunjukkan lebih dari 12.000 serangan terhadap lebih dari 5.000 korban yang berbeda selama periode 3 minggu pada Februari 2001. Serangan DDoS sekala besar pertama terjadi pada Agustus 1999 terhadap sebuah universitas[5]. Serangan ini mematikan jaringan korban seelama lebih dari dua hari. Pada 7 februari 2000, beberapa situs web diserang yang menyebabkan korban untuk offline selama beberapa jam[5]. Beberapa situs terkenal yang mengalami serangan yaitu Amazon, CNN, eBay, dan Yahoo!. The Coordination Center of the Computer Emergency Response Team (CERT) juga mengalami serangan pada mei 2001. Serangan ini menyebabkan web site menjadi intermitten (tidak stabil) selama lebih dari 2 hari [17].

Pada bulan oktober 2002 terjadi serangan DDoS terhadap root DNS server. Sebanyak 9 dari 13 root DNS server diserang menggunakan serangan Ping Flood (membanjiri server dengan paket ICMP). Beberapa server mendapatkan lebih dari 150.000 request ICMP setiap detiknya dan serangan dilakukan selama setengah jam[dns]. Menurut Gonsalves [6], serangan DoS besar lainnya terjadi pada 15 Juni 2004 terhadap name servers di Akamai’s Content Distribution Network (CDN), yang menyebabkan korban memblokir hampir semua akses ke beberapa server selama lebih dari 2 jam. Situs yang terkena dampak termasuk Apple, Google, Microsoft dan Yahoo. Perusahaan-perusahaan ini menggunakan layanan DNS Akamai untuk meningkatkan kinerja pelayanan.

Di Inggris, beberapa situs judi telah diserang dengan serangan DoS selama 2004 oleh penyerang yang tidak dikenal[20]. Layanan internet dari Al Jazeera dibuat mati oleh serangan DoS pada Januari 2005 [9]. Aplikasi text-tospeech translation yang berjalan di sistem Grid computing Sun Microsystem dinonaktifkan akibat serangan DoS pada Maret 2006 [7]. Moore et al. [17], dengan menggunakan backscatter analysis telah menemukan 2000 – 3000 serangan DoS per minggu. Penelitian terhadap serangan selama lebih dari 3 tahun mengungkapkan sebanyak 68.700 serangan pada lebih dari 34.700
host internet milik lebih dari 53.000 organisasi yang berbeda.

Di Indonesia, serangan juga pernah terjadi terhadap situs kaskus.us pada 16 – 17 Mei 2008. Serangan ini diduga merupakan serangan balasan dari oknum YogyaFree. Sebelumnya Situs YogyaFree terkena serangan deface yang diduga berasal dari oknum kaskus.us. Serangan ini menyebabkan database kaskus korup sehingga administrator terpaksa mengunci thread-thread di forum kaskus. Kerusakan pada database kaskus cukup parah, sehingga data yang dimuat selama tahun 2008 tidak dapat dimunculkan kembali. Secara umum serangan DDoS melibatkan penyerang dan agen yang tersebar di seluruh jaringan yang terkoneksi dengan target. Agen ini ditanamkan baik secara sengaja di dalam komputer pengguna lain tanpa sepengetahuan pengguna. Komputer yang sudah terinfeksi trojan berisi agen DDoS (zombie) akan menunggu perintah dari komputer penyerang (Master) untuk melakukan serangan ke komputer target. Karena penyebaran agen yang acak ke seluruh jaringan maka akan susah untuk mengetahui dimana penyerang berada. Dampak yang diakibatkan oleh serangan DDoS mirip dengan DoS tetapi dengan daya serang yang berlipat-lipat lebih kuat karena melibatkan banyak agen penyerang.

2.1 Trinoo
Berupa trojan yang terdiri dari master dan agen (Master dan daemon) yang saling berkoordinasi dengan menggunakan paket UDP untuk melakukan serangan ke target yang telah ditentukan. Ciri skenario serangan pada trinoo adalah :

  • Penyerang menggunakan komputer yang telah dikuasai untuk melakukan kompilasi terhadap semua komputer yang ada di dalam jaringan yang mungkin untuk dikuasai, dengan mengirim paket berisi trojan master dan agen. Master dan agen akan disusupkan ke dalam sistem pengguna sehingga pengguna tidak menyadari jika komputernya telah terinfeksi master atau agen dari serangan DDos trinoo. Satu master bisa mengkontrol lebih dari satu agen.
  • Komunikasi antar master dan agen menggunakan paket UDP, sehingga penyerang cukup mengirimkan paket UDP tertentu melalui master untuk diteruskan ke agen.
  • Agen akan merespon pesan dari penyerang yang diteruskan oleh master dengan mengirim paket serangan dalam jumlah yang banyak ke komputer target.

2.2 Tribal Flood Network
Teknik serangan mirip dengan trinoo dengan menggunakan master dan agen. Program saling berkoordinasi satu sama lain untuk melakukan serangan terhadap komputer target dengan menggunakan ICMP echo, TCP maupun UDP. Serangan yang dilakukan oleh TFN DDoS bisa berupa SYN flood, icmp flood serta smurf. Kemampuan dan fitur serangan yang disediakan TFN jauh lebih lengkap daripada trinoo. Spoofing dan serangan exploit pada sistem operasi sudah disediakan. Dengan kemampuan seperti itu maka TFN cenderung lebih rumit dari trinoo dari sisi penangannya karena paket yang dikirim memiliki alamat source yang sudah dimodifikasi sehingga akan sulit untuk dilacak.

2.3 Stacheldraht
Mirip dengan kedua pendahulunya, serangan yang dilakukan oleh stacheldraht juga menggunakan SYN flood, icmp flood serta smurf. Hal menarik dari stacheldraht adalah komunikasi antar agen dengan master sudah menggunakan enkripsi data, sehingga paket yang dikirim akan susah dikenali isinya. Hal ini akan menyulitkan administrator untuk menentukan, apakah paket tersebut adalah paket komunikasi yang sah atau paket komunikasi yang tidak seharusnya ada di dalam jaringan, karena akan memicu terjadinya serangan oleh agen. Selain enkripsi data saat komunikasi, stacheldraht juga memungkinkan agen dan master untuk mengupdate kemampuan serangan atau fiturnya secara otomatis jika penyerang berkehendak untuk mengadakan perbaikan program.

Dipost Dari tugas Kelompok Keamanan jaringan, Jika ingin makalah lengkap kirim email ke : dew1_07@yahoo.com

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Cancel

Connecting to %s

Follow

Get every new post delivered to your Inbox.

Join 26 other followers