-
14
BAB III
METODOLOGI PENELITIAN
3.1 Identifikasi Masalah
Pada tahap identifikasi masalah diambil dari permasalahan
keamanan
jaringan yang ada saat ini. Software Defined Network (SDN)
merupakan
struktur jaringan yang dapat memisahkan antara control plane dan
data plane.
Tujuan dari jaringan SDN adalah agar sistem yang ada pada
jaringan menjadi
fleksibel dan mudah dalam pengoperasiannya karena pada jaringan
ini
controller yang menjadi pusat pengontrol jaringan. Tetapi
controller juga
menjadi sasaran utama ketika ada user yang tidak sah mengirim
paket. Sehingga
ketika terjadi serangan DDoS dengan protokol icmp flood dengan
pengiriman
banyak paket akan mengurangi resource yang ada dan sistem pada
jaringan ini
menjadi down.
3.2 Analisis Sistem
Pada analisis sistem ini, dijelaskan tentang simulasi serangan
DDoS yang
dilakukan pada jaringan SDN. Simulasi serangan DDoS dilakukan
dengan cara
mengirimkan paket icmp dalam bemtuk icmp flood. Icmp flood
dilakukan dengan
cara mengirimkan serangan dalam jumlah banyak ke host tujuan di
jaringan
SDN.
Dalam penelitian ini digunakan honeypot untuk mendapatkan data
serangan
dengan cara membuat sistem atau server palsu yang dibuat seperti
sistem
sebenarnya. Attacker akan tertarik pada sistem ini karena port
yang ada di
honeypot terbuka, sehingga mudah dalam pengiriman serangan.
Ketika terdapat
banyak paket yang masuk dengan cara bersamaan, honeypot akan
mengenali
pola serangan tersebut dan log aktifitas serangan dimonitoring
di sistem open
source Modern Honey Network (MHN).
Solusi yang akan digunakan dalam mengatasi serangan DDoS
adalah
menggunakan metode yang dapat mendeteksi serangan icmp flood.
Metode yang
digunakan pada penelitian ini adalah Bloom Filter. Metode Bloom
Filter
digunakan untuk menghitung nilai hash dari ip yang masuk dan
menyimpan
informasi data penyerang, kemudian untuk mendeteksi serangan
icmp flood
-
15
digunakan algoritma CUSUM. Variabel yang digunakan metode ini
adalah IP
Source dan Protokol. Jika paket yang masuk termasuk paket
serangan maka akan
dilakukan mitigasi pada protokolnya. Berdasarkan data yang
diperoleh, IP yang
sering muncul mengirim paket dengan protokol yang sama akan
diblokir oleh
sistem.
3.3 Spesifikasi Kebutuhan Sistem
Spesifikasi kebutuhan sistem dibagi menjadi 2 yaitu, perangkat
keras dan
perangkat lunak untuk dapat mengimplementasikan jaringan SDN
dengan baik.
a. Perangkat keras
Perangkat keras yang akan digunakan dalam penelitian ini sebagai
berikut.
Tabel 3.1 Spesifikasi Perangkat Keras
No Jenis Spesifikasi
1. Processor Intel core i5 N4050
2. RAM 4 GB
3. Mikrotik RouterBoard 750
4. Kabel Lan Rj45 Straight
b. Perangkat lunak
Perangkat lunak yang akan digunakan dalam penelitian ini sebagai
berikut.
Tabel 3.2 Spesifikasi Perangkat Lunak
No Jenis Spesifikasi
1. Sistem Operasi Linux Ubuntu 18.04 LTS 64bit
2. Controller Ryu
3. Build Paket Scapy
4. Pengirim Paket TcpReplay
5. Aplikasi Mikrotik Winbox 64 bit
6. Aplikasi Text Editor Sublime Text
3.4 Skenario Serangan
Skenario serangan berisi tentang penelitian yang dilakukan
untuk
mendeteksi serangan Distributed Denial of Service (DDoS).
Attacker akan
-
16
menyerang jaringan Software Defined Network (SDN) dengan
mengirim paket
dalam jumlah yang banyak ke host tujuan.
3.4.1 Arsitektur Jaringan
Dalam tahap arsitektur jaringan, akan dilakukan dengan
membangun
jaringan Software Defined Network (SDN) secara langsung untuk
membuat
rancangan topologi tree, depth 3 dan fanout 2. Dalam penelitian
ini digunakan
topologi tree, karena topologi ini paling cocok diterapkan pada
jaringan Software
Defined Network (SDN).
Gambar 3.1 Arsitektur Jaringan
Arsitektur jaringan pada Gambar 3.1, digunakan 1 buah controller
yaitu
ryu controller, 3 buah switch, switch yang digunakan adalah
mikrotik switch dan
4 buah komputer sebagai host. Topologi yang digunakan dalam
penelitian ini
mempunyai fungsi masing-masing.
Controller digunakan sebagai pusat pengontrol jaringan SDN.
Controller
disebut sebagai control plane, karena controller dapat mengatur
lalu lintas serta
mengambil keputusan sesuai keadaan. Penggunaan OpenFlow
untuk
-
17
membangun komunikasi antara controller dan switch. Ketika
menggunakan
OpenFlow, controller dapat menentukan, menangani aliran paket
dan mengelola
flow table. Dalam flow table, terdapat flow rule yang berguna
untuk pemetaan
paket berupa informasi IP dan MAC Address. Controller yang
digunakan pada
penelitian ini adalah ryu controller.
Switch digunakan sebagai jembatan penghubung antara host dan
controller
dalam berkomunikasi. Fungsi dari switch adalah untuk meneruskan
paket dari
asal ke tujuannya. OpenFlow akan memproses paket dan menambahkan
aturan
traffic ke switch. Dengan OpenFlow di tempatkan pada sebuah
switch, maka
dapat dilakukan flow forwarding. Setiap ada paket baru yang
masuk melalui
switch, paket akan dikirim ke controller untuk diproses lebih
lanjut. Switch yang
digunakan adalah mikrotik switch. Jadi fungsi dari switch adalah
untuk
meneruskan paket ke host tujuannya atau tidak meneruskan paket
(paket diblok).
Host digunakan sebagai penerima dan pengirim paket. Penelitian
ini
digunakan 4 host. Host 1 berperan sebagai penyerang (attacker),
tools yang
digunakan untuk menyerang adalah tcp replay. Host 1 akan
mengirim paket
dengan jumlah banyak ke host tujuan. Jenis serangan yang
digunakan host 1
adalah icmp flood. Host 2 berperan sebagai user normal. Host 2
mengirim paket
ke host tujuannya. Host 3 juga berperan sebagai user normal.
Host 3 mengirim
paket ke host tujuannya. Dan host 4 berperan sebagai Honeypot.
Fungsi
honeypot adalah untuk menjebak penyerang agar penyerang tertarik
mengirim
serangan ke honeypot. Sensor yang digunakan oleh Honeypot adalah
sensor
suricata. Host 4 juga telah terinstall Modern Honey Network
(MHN), yang
berguna untuk memonitoring log aktifitas paket yang masuk dan
akan disimpan
di database mongoDB.
3.4.2 Rancangan Serangan DDoS
Dalam rancangan serangan DDoS ini dijelaskan tentang serangan
yang
dilakukan oleh attacker. Pada penelitian ini attacker digunakan
tools untuk
mengirim serangan ke jaringan SDN. Tools Scapy digunakan untuk
membuat
paket serangan. Kemudian digunakan tools Tcpreplay untuk
mengirim paket
dengan menentukan berapa ip yang dibutuhkan dan berapa paket
yang dikirim
-
18
tiap IP. Attacker mengirim serangan dalam jumlah yang banyak
secara acak
yang isinya berupa IP Source dan Protokol. Host yang akan
mengenali serangan
DDoS adalah host 4 yang terdapat honeypot. Honeypot akan
mengenali pola
serangan yang masuk dan dapat dilihat log aktifitas serangan
pada host 4 yang
juga terinstall Modern Honey Network (MHN). Selanjutnya paket
yang telah
masuk di log MHN akan disimpan di database mongoDB, dan icmp
flood dapat
terdeteksi menggunakan metode Bloom Filter dan algoritma CUSUM
jika nilai
g+ > threshold.
3.5 Rancangan Sistem Deteksi
Rancangan sistem deteksi yang akan dilakukan adalah membuat
rancangan
serangan DDoS. Pada penelitian ini, attacker akan mengirim
serangan DDoS
dalam jumlah banyak. Penggunaan honeypot dan MHN dalam jaringan
Software
Defined Network (SDN) dan metode yang digunakan dalam
mendeteksi
serangan DDoS.
3.5.1 Honeypot dan Modern Honey Network (MHN)
Honeypot adalah sebuah server palsu yang digunakan untuk
menjebak
attacker yang ingin menyerang jaringan Software Defined Network
(SDN).
Honeypot seolah-olah menjadi sistem yang berhasil diserang oleh
attacker, tetapi
kenyataannya attacker tidak dapat mengakses sistem yang
sebenarnya, sehingga
honeypot terlihat menarik bagi attacker karena port nya terbuka.
Untuk
mengenali pola serangan, honeypot memerlukan berbagai sensor
sesuai dengan
kebutuhan yang diperlukan. Pada penelitian ini, untuk
mengimplementasikan
honeypot digunakan sensor Suricata untuk mengenali pola serangan
DDoS.
Fungsi dari sensor ini adalah untuk mendeteksi waktu real dan
pemantauan
keamanan jaringan. Honeypot dan sensor Suricata dapat digunakan
di halaman
Modern Honey Network (MHN). Setelah honeypot mengenali pola
serangan,
selanjutnya kinerja dari MHN adalah dapat memonitor serangan
yang terjadi,
dan dapat dilihat log aktifitasnya.
-
19
Gambar 3.2 Modern Honey Network (MHN)
Berdasarkan Gambar 3.2 dilakukan pengiriman paket normal
atau
DDoS. Langkah awal yang dilakukan yaitu, switch akan menerima
paket yang
masuk. Selanjutnya paket yang masuk akan dilakukan pengecekan
paket pada
flow rule yang sudah didefinisikan. Jika paket yang masuk sesuai
flow rule maka
paket tersebut akan dijalankan sesuai dengan traffic
treatment-nya, seperti
forward paket atau drop paket. Jika paket yang masuk tidak
sesuai dengan flow
rule. maka paket tersebut termasuk paket baru karena belom
terdapat pemetaan
IP dan MAC address nya. Kemudian paket baru tersebut akan
dikirim ke
controller dalam bentuk pesan OFPT paket_in, lalu akan
dienkapsulasi dalam
bentuk pesan OFPT paket_out (broadcast paket) ke host tujuannya.
Ketika paket
yang dikirim masuk ke Honeypot, honeypot akan mengenali paket
tersebut
dengan digunakannya sensor Suricata yang terletak di laman
Modern Honey
Network (MHN). Modern Honey Network (MHN) dapat mengumpulkan
dan
-
20
memonitor data serangan dari Honeypot. Data serangan tersebut
disimpan di
dalam database mongoDB, kemudian data tersebut akan diexpor
dalam bentuk
csv dan filter sesuai dengan yang dibutuhkan untuk dilakukan
pendeteksian.
3.5.2 Bloom Filter
Bloom Filter adalah metode statistik yang digunakan untuk
mencari nilai
hash dalam menangani terjadinya serangan DDoS. Serangan DDoS
yang
digunakan pada penelitian ini yaitu icmp flood. Serangan ini
dilakukan dengan
cara mengirim paket yang banyak dalam rentang waktu per detik.
Pengiriman
paket icmp flood menggunakan tools tcp replay. Data yang
digunakan pada icmp
flood adalah IP Source yang berbeda-beda. Perhitungan bloom
filter diawali
dengan menghitung nilai hash-nya. Ketika ada paket yang masuk
dalam rentang
waktu per detik akan dilakukan pengecekan nilai hash tiap ip
yang masuk. Nilai
hash ini menghasilkan posisi index elemen array. Setelah
mendapatkan nilai
hash, maka akan dilakukan perhitungan Counting Bloom Filter
(CBF).
Perhitungan ini menghasilkan nilai array dari beberapa IP Source
yang masuk
dengan posisi index yang telah dicari hash-nya. Jika terdapat
posisi index array
yang sama dengan ip lain, maka nilai IP tersebut akan di
increment.
Gambar 3.3 Bloom Filter
-
21
Berdasarkan Gambar 3.3, dijelaskan tentang alur penyimpanan
nilai
hash variabel IP Source dan Protokol ke array Bloom Filter.
Langkah awal untuk
penggunaan metode Bloom Filter yaitu, pembuatan array kosong.
Untuk
pendeteksian DDoS digunakan variabel IP Source dan Protokol.
Nilai IP Source
dan Protokol didapatkan dari ekspor data dari setiap paket data
yang masuk ke
dalam log honeypot. Setelah nilai IP Source dan protokol telah
diekspor, maka
akan dilakukan pencarian hash-nya. Hasil dari hash menunjukkan
posisi index
array. Kemudian nilai hash tersebut akan dimasukkan di array
Counting Bloom
Filter (CBF) sesuai dengan posisi yang ditunjukkan hash. Jika
ada ip yang
menempati posisi index array yang sama dengan ip lain maka akan
diincrement.
3.5.3 Algoritma Cumulative Sum (cusum)
Algoritma Cumulative Sum (CUSUM) adalah suatu algoritma yang
digunakan untuk mendeteksi suatu titik perubahan, seperti
perubahan yang
terjadi ketika terdapat serangan DDoS. Serangan DDoS yang
digunakan dalam
penelitian ini adalah icmp flood. Perhitungan Cumulative Sum
(CUSUM) dapat
diambil dari nilai yang paling tinggi pada array Counting Bloom
Filter (CBF).
CUSUM dihitung dengan menggunakan rumus, rumus yang pertama
menghitung jumlah paket yang masuk, rumus yang kedua menghitung
nilai 𝑔+.
Nilai dari 𝑔+ ini dapat menentukan apakah paket yang masuk
termasuk DDoS
atau nomal, dengan acuan nilai 𝑔+[t] > Threshold.
Gambar 3.4 Cumulative Sum (CUSUM)
-
22
Berdasarkan Gambar 3.4, dijelaskan tentang alur yang digunakan
untuk
mendeteksi jenis paket yang masuk. Langkah awal untuk mendeteksi
serangan
DDoS yaitu, paket yang masuk akan dihitung dengan Bloom Filter
sehingga
menghasilkan nilai array CBF. Hasil nilai array CBF akan diambil
nilai yang
paling tinggi. Kemudian akan dihitung dengan rumus cusum.
Setelah
perhitungan CUSUM akan mendapatkan nilai 𝑔+. Nilai ini
menentukan apakah
paket yang masuk adalah serangan atau bukan serangan. Untuk
mengetahui jenis
paket, maka digunakan penentuan nilai threshold, jika nilai
𝑔+[t] < Threshold
maka paket yang masuk adalah paket normal, dan sebaliknya, jika
nilai 𝑔+[t] >
Threshold maka paket yang masuk adalah DDoS. Untuk penentuan
threshold,
dapat dilihat dari penelitian yang berjudul Lightweight
Detection of DoS Attacks
in Cloud Computing Environment [8]. Pada penelitian tersebut,
rentang waktu
yang digunakan adalah 1 menit dengan mengirimkan icmp flood
puluhan ribu.
Nilai threshold ditentukan dari hasil perhitungan nilai G+
dengan pengiriman
paket icmp yang masuk dalam rentang waktu sekian detik. Dalam
penelitian ini
diasumsikan digunakan nilai threshold 773, penentuan nilai ini
dilihat dari
pengiriman 15000 paket icmp dengan IP Source yang sama dalam
rentang waktu
10 detik. Penentuan rentang waktu 10 detik ini digunakan agar
pendeteksian
serangan dapat terdeteksi dengan lebih cepat.
3.6 Rancangan Mitigasi Serangan DDoS
Dalam rancangan mitigasi ini dijelaskan tentang proses mitigasi
yang dilakukan.
Setelah dilakukan perhitungan menggunakan metode Bloom Filter
dan algoritma
CUSUM maka akan diketahui hasilnya apakah paket yang masuk
termasuk
paket anomali atau paket normal. Jika paket yang masuk merupakan
paket
anomali maka akan dilakukan pencarian protokol yang sering
muncul dan
protokol tersebut akan dilakukan mitigasi. Setelah itu akan
menginstal flow
mitigasi untuk meningkatkan keamanan ketika paket anomali dengan
tipe
protokol yang sama masuk ke jaringan akan langsung diblokir.
-
23
Gambar 3.5 Mitigasi DDoS
Berdasarkan Gambar 3.5 dilakukan mitigasi serangan DDoS.
Langkah
awal yang dilakukan yaitu, ketika switch menerima paket kemudian
paket
tersebut dilakukan pengecekan paket DDoS. Apabila paket
tersebut
diidentifikasi paket DDoS maka akan dibuat Flow_MOD dengan rest
API ryu
agar dapat menginstall flow mitigasi DDoS. Apabila telah
terinstall flow mitigasi
DDoS, maka paket yang sering muncul dengan protokol yang sama
akan di
blokir. Dan sebaliknya, apabila paket tersebut diidentifikasi
paket normal maka
kembali lagi ke awal, switch menerima paket masuk.
3.7 Skenario Pengujian
Pengujian ini dilakukan untuk mendeteksi serangan menggunakan
metode
CUSUM yang diterapkan pada Modern Honey Network (MHN).
Skenario
pengujian ini berdasarkan topologi pada Gambar 3.1 yaitu h1 yang
berperan
sebagai attacker akan menyerang h4 yang terdapat honeypot dengan
sensor
Suricata. Jenis pengujian yang akan dilakukan pengujian sebagai
berikut:
a. Pengujian pendeteksian serangan
Jenis pengujian ini adalah untuk mendeteksi serangan DDoS dan
DoS pada
jaringan SDN dengan menggunakan metode bloom filter dan
algoritma cusum.
Proses pendeteksian ini dimulai dari pencarian nilai hash. Nilai
hash yang
sudah di dapat menunjukkan penempatan posisi array dan
dimasukkan di array
-
24
counting bloom filter (CBF). Kemudian, nilai tersebut dihitung
menggunakan
algoritma CUSUM untuk mengetahui apakah paket yang masuk
termasuk
serangan atau bukan.
b. Pengujian CPU usage
Pengujian ini dilakukan untuk melihat penggunaan resource CPU
ketika
dilakukan proses komputasi pendeteksian serangan DDoS.
c. Pengujian Memory usage
Pengujian ini dilakukan untuk melihat penggunaan resource CPU
Ketika
dilakukan proses komputasi pendeteksian serangan DDoS.
d. Pengujian waktu install flow mitigasi
Pengujian ini dilakukan untuk menghitung waktu install flow
mitigasi
serangan icmp flood. Pada pengujian ini dilihat waktu yang
digunakan untuk
mendeteksi serangan icmp flood.