Implementasi Honeypot untuk Mendeteksi Serangan Distributed Denial of Service (DDoS) Artikel Ilmiah Peneliti : Angella Puspa Dewi Prabaningtyas(672011136) Dr. Irwan Sembiring, ST., M.Kom. Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Salatiga 2016
25
Embed
Implementasi Honeypot untuk Mendeteksi Serangan ......Implementasi Honeypot untuk Mendeteksi Serangan Distributed Denial of Service (DDoS) Artikel Ilmiah Peneliti : Angella Puspa Dewi
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Implementasi Honeypot untuk Mendeteksi Serangan Distributed
Denial of Service (DDoS)
Artikel Ilmiah
Peneliti :
Angella Puspa Dewi Prabaningtyas(672011136)
Dr. Irwan Sembiring, ST., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
2016
i
Implementasi Honeypot untuk Mendeteksi Serangan Distributed
Denial of Service (DDoS)
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
untuk memperoleh gelar Sarjana Komputer
Peneliti :
Angella Puspa Dewi Prabaningtyas(672011136)
Dr. Irwan Sembiring, ST., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
2016
ii
iii
iv
v
vi
vii
viii
Implementasi Honeypot untuk Mendeteksi Serangan Distributed
Denial of Service (DDoS) 1) Angella Puspa Dewi Prabaningtyas,2)Irwan Sembiring
Mengamankan komunikasi adalah tantangan luas karena meningkatnya
ancaman dan serangan yang dilakukan pada keamanan jaringan. Pengetahuan
tentang berbagai ancaman dan serangan tersebut diperoleh data yang sangat besar
dari jaringan, dengan menggunakan honeypot. Honeypot yang diimplementasikan
menggunakan jenis low-interaction yaitu honeyd dan software pendukung lainnya
seperti apache2 dan bind9. Berdasarkan hasil penelitian, honeypot berhasil
berjalan dengan memberi respon terhadap serangan Distributed Denial of Service
(DDoS) dan memberikan informasi palsu seperti sistem operasi serta port-port
terbuka yang biasanya dicari oleh attacker. Hasil log yang diberikan oleh
honeypot diolah menjadi grafik dan diagram yang ditampilkan melalu web
interface menggunakan software honeyd-viz sehingga administrator mudah dalam
menganalisis bentuk serangan attacker serta dapat digunakan untuk
meningkatkan keamanan pada server.
Kata Kunci: Honeypot, Honeyd, low-interaction, Honeyd-viz, DDoS, Distributed
Denial of Service.
1)Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas Kristen Satya
Wacana 2)Staf Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana.
1
1. Pendahuluan
Pada era digital saat ini, tidak bisa dibayangkan dunia tanpa komunikasi.
Manusia memiliki kepentingan untuk bertukar informasi untuk berbagai tujuan.
Mengamankan komunikasi adalah tantangan luas karena meningkatnya ancaman
dan serangan yang dilakukan pada keamanan jaringan. Serangan pada keamanan
jaringan salah satunya yaitu Distributed Denial of Service (DDoS).
Distributed Denial of Service (DDoS) merupakan jenis serangan Denial of
Service (DoS) yang menggunakan banyak host attacker untuk menyerang satu
buah host atau server target dalam sebuah jaringan. Dalam sebuah serangan
Distributed Denial of Service (DDoS) dikategorikan dalam beberapa teknik
serangan. Traffic Flooding merupakan teknik serangan dengan membanjiri lalu
lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari
client yang sah tidak dapat masuk ke dalam sistem jaringan. Request Flooding
merupakan teknik serangan dengan membanjiri lalu lintas jaringan dengan banyak
request terhadap sebuah layanan jaringan yang disediakan oleh sebuah host atau
server sehingga request yang datang dari client yang sah tidak dapat dilayani
oleh layanan tersebut. Teknik serangan yang terakhir yaitu mengganggu
komunikasi antara sebuah host atau server dengan client yang sah dengan
menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi
sistem atau bahkan perusakan fisik terhadap komponen dan server.
Serangan terhadap keamanan jaringan tersebut dapat dideteksi
menggunakan Honeypot. Honeypot adalah security resource yang sengaja dibuat
untuk diselidiki, diserang, atau dikompromikan (Firrar Utdirartatmo, 2005:1).
Pada umumnya honeypot berupa komputer, data atau situs jaringan yang terlihat
seperti bagian dari jaringan, tetapi terisolasi dan dimonitor. Implementasi
honeypot menggunakan jenis low-interaction yaitu Honeyd. Honeypot dibangun
menyerupai sistem yang sesungguhnya dan dilengkapi dengan vulnerability yang
sudah diketahui sehingga attacker dapat teralih perhatiannya dari sistem utama
yang akan diserang dan beralih menyerang ke sistem palsu honeypot tersebut.
2. Tinjauan Pustaka
Pada penelitian Vinu V Das [1], menganalisa sistem honeypot yang ada
untuk mengidentifikasi beberapa masalah, seperti Legitimate Attacker dan Link
Unreachable. Masalah Legitimate Attacker yaitu attacker dibawah active server
menyerang server melalui jalur yang sama dengan client yang sah. Masalah
tersebut diselesaikan dengan membuka jalur komunikasi virtual dan fisik pada
setiap klien setelah adanya pengesahan untuk simpul-simpul Active Server lainnya
tetap bertindak sebagai suatu honeypot virtual atau fisik. Masalah Link
Unreachable yaitu client sah terisolasi karena satu-satunya link yang tercapai
telah rusak dan kumpulan jaringan yang terdekat terhalang oleh server-server
honeypot. Masalah tersebut telah teratasi dengan membuka satu channel
komunikasi sementara melalui honeypot, dengan membuatnya bertindak sebagai
Active Server secara virtual.
Pada penelitian Chris Moore dan Ameer Al-Nemrat[2], memuat tentang
system honeypot yang dibuat untuk dikompromikan atau diserang, agar dapat
2
memperketat system keamanan jaringan. Percobaan ini menunjukkan untuk
menginstall R yaitu bahasa pemrograman statistik untuk menganalisis data yang
diperoleh pada mesin yang sama sebagai modern honey network deployment, dan
menghapus keterlambatan dalam mentransfer data serangan ke system analisis
sehingga memungkinkan lebih tepat waktu dalam melakukan analisis mendalam
dari data serangan.
Pada penelitian Frederic, Yann Berthier, Philippe, dan Danielle [3],
memuat tentang forensic umum yang diaplikasikan pada honeypot berbeda dalam
beberapa hal : (1) jumlah informasi : sebuah honeypot memiliki hampir terlalu
banyak informasi, tetapi satu host yang dirusak tidak memiliki banyak data. (2)
kualitas informasi : pada honeypot, hampir kepingan data adalah menarik jika
perangkat capture bekerja dengan baik; sebaliknya, host yang rusak biasanya
memiliki banyak gangguan data. (3) perangkat : pengembang honeypot berfokus
pada honeypot itu sendiri, tidak ada pada perangkat untuk menganalisa data yang
tertangkap.
Berdasarkan penelitian yang telah dilakukan tentang Honeypot, maka
dilakukan penelitian sebuah honeypot low-interaction yaitu Honeyd, dengan
menggunakan software honeyd-viz melalui web interface sebagai media untuk
menganalisa serangan Distributed Denial of Service (DDoS).
3. Metode Penelitian
Pada tahap ini peneliti ingin mengetahui kinerja dari honeyd honeypot dan
honeyd-viz yang dibangun. Selanjutnya, pada tahap ini dilakukan untuk
menginventaris kebutuhan dari infrastruktur yang dibangun meliputi hardware
dan software. Server Honeypot memakai Laptop Asus A43S Intel Core i3 dengan
RAM 4GB, dimana dalam laptop ini menjalankan berbagai software dan sistem
operasi diantaranya sistem operasi Windows 7 Ultimate 32-bit sebagai sistem
operasi utama. Software VirtualBox-4.1.4-74291-Win digunakan sebagai virtual
server menjalankan sistem operasi ubuntu-12.04.-server-i386 yang didalamnya
menjalankan software honeyd dan honeyd-viz.
Pada web server memakai Laptop Acer Aspire 4736Z Intel Pentium dengan
RAM 1GB, dimana dalam laptop tersebut menjalankan berbagai software dan
sistem operasi diantaranya Windows 7 Ultimate 32-bit sebagai sistem operasi
utama. Software VirtualBox-4.1.4-74291-Win digunakan sebagai virtual server
dengan sistem operasi ubuntu-12.04.-server-i386 yang didalamnya menjalankan
software Apache2, Bind9, dan ISC-DHCP-Server sebagai software yang menyediakan
layanan IP Address secara Dynamic (otomatis) atau IP DHCP kepada honeypot dan
attacker yang berada dalam satu jaringan. Pada Attacker memakai sistem operasi utamanya yaitu Windows 7 Ultimate
32-bit dan software Low Orbit Ion Cannon (LOIC) sebagai tools yang digunakan
untuk melakukan serangan DDoS. Nway Switch 8 Port Model: ENH908-NWY dan
Kabel UTP digunakan sebagai penghubung host dengan server.
3
1. Tahapan Penelitian
Gambar 1 Flowchart alur pendeteksian Honeypot
Berdasarkan Gambar 1 bahwa untuk memulai menjalankan
honeypot dilakukan install paket honeypot yaitu honeyd. Selanjutnya,
mengkonfigurasi honeyd seperti pada Gambar 2. Setelah konfigurasi
honeyd dilakukan maka membuat file kosong yang nantinya berfungsi
sebagai tempat honeypot dalam mencatat seluruh serangan yang
dilakukan oleh attacker. Kemudian, service honeypot dijalankan
seperti pada Gambar 3, saat honeypot menerima koneksi dari attacker
maka semua log aktifitas attacker akan dicatat oleh honeypot secara
realtime. Hasil deteksi serangan yang dilakukan attacker dapat dilihat
pada file yang telah dibuat, sebelumnya masuk dahulu ke dalam
direktori /var/log/honeypot/ kemudian nano hasil.log.
4
Gambar 2 Konfigurasi Honeyd
Gambar 2 merupakan file konfigurasi untuk membuat virtual
honeypot. Create default berfungsi untuk mengatur honeyd agar traffic yang digunakan hanya yang telah didefinisikan pada file konfigurasi. Create windows berfungsi memberikan nama pada konfigurasi, nama tersebut bisa diisi sesuai keinginan, nama tersebut juga berfungsi sebagai variable yang dapat dipanggil. Set widows personality “Microsoft Windows XP Professional SP1” berfungsi personality digunakan untuk mengadaptasi system operasi tertentu untuk mengelabuhi scanner fingerprint semacam Nmap dan ketika device lain terkoneksi dengan honeyd ini maka akan dikenali sebagai windows XP Professional SP1. Set windows default tcp action reset berfungsi menyatakan secara default semua port TCP akan ditutup tetapi tetap memberikan alert. Selain reset ada kemungkinan lain untuk port TCP yaitu open dan block. Untuk open berarti semua port pada TCP akan dibuka dan dapat memberikan reply dan alert, sedangkan untuk block semua paket akan di drop dan tidak ada reply ataupun alert. Terakhir yaitu Add berfungsi mendefinisikan perlakuan default protocol jaringan.
5
Gambar 3 Proses Running Honeypot
Berdasarkan Gambar 3 merupakan tampilan saat honeypot
dijalankan dengan perintah :
Kode Program 1 Start Honeyd
Penjelasan fungsi pada kode program 1 yaitu –d digunakan untuk
menampilkan alert secara realtime, jika tidak menggunakan maka honeyd
akan berjalan secara background. –f digunakan untuk mengambil file
konfigurasi honeyd.conf, jika tidak menggunakan –f maka honeyd akan
berjalan dengan konfigurasi default. –l digunakan untuk membuat file log.
File log sendiri digunakan untuk mencatat interaksi apa saja yang masuk
pada honeyd. Dengan adanya file log ini makan serangan-serangan yang