MAKALAH KEAMANAN JARINGAN KOMPUTER MENGENAL JENIS-JENIS SERANGAN DoS (Denial of Service) DAN DDoS ( Distributed Denial of Service ) TERHADAP SISTEM JARINGAN DAN PENCEGAHANNYA ~ Memenuhi Tugas Materi Keamanan Jaringan~ DISUSUN OLEH : DANIEL DESTIAN ALFIQH 1169700145 ISYE ISYARATU SUHADAH 1169700146 SYAHRIAL IRFAN 1169700159 HERMAWAN 1169700162
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
MAKALAH KEAMANAN JARINGAN KOMPUTER MENGENAL JENIS-JENIS SERANGAN
DoS (Denial of Service)DAN DDoS ( Distributed Denial of Service )
TERHADAP SISTEM JARINGANDAN PENCEGAHANNYA
~ Memenuhi Tugas Materi Keamanan Jaringan~
DISUSUN OLEH :
DANIEL DESTIAN ALFIQH 1169700145ISYE ISYARATU SUHADAH 1169700146SYAHRIAL IRFAN 1169700159HERMAWAN 1169700162
TEKNIK KOMPUTER JARINGANSEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER
SUBANG
MAKALAHKEAMANAN JARINGAN KOMPUTER
MENGENAL JENIS-JENIS SERANGAN DoS (Denial of Service)DAN DDoS ( Distributed Denial of Service )
TERHADAP SISTEM JARINGANDAN PENCEGAHANNYA
Abstraksi“If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle.”
*Sun Tzu – The Art of War*
Denial of Service (DoS) attack is a serious threat for computer network such as Local Area Network(LAN), and internet. DoS attack can consume memory, CPU, and network resources and damage or shutdown the operation of the resource under attack (victim). A common DoS attack floods a network with bogus traffic so that legitimate users may not be able to communicate.
Kutipan diatas adalah isi salah satu chapter buku “The Art of War” Sun Tzu. Kutipandiatas sangat tepat untuk pengamanan jaringan dan komputer di internet. Karenatidak ada yang aman jika sudah berada di internet. Untuk mengamankan sistem jaringan maka harus diketahui jenis-jenis serangan apa yang akan menyerangsebuah sistem jaringan. Salah satu jenis serangan yang paling banyak digunakan adalah dengan menggunakan metode DoS (Denial of Service).
Denial of Service (DoS) attack adalah ancaman yang serius untuk jaringan komputer seperti Lokal Area network (LAN), dan internet. DoS attack dapat mengkonsumsi memory, CPU, dan sumber daya jaringan, dan dapat menyebabkan kerusakan atau shutdown terhadap sumber daya operasi yang berada di dalam serangan ( korban). Secara umum serangan DoS adalah membanjiri suatu jaringan dengan lalu lintas palsu sedemikian sehingga para pemakai sah tidak mungkin mampu untuk berkomunikasi.
BAB I
PENDAHULUAN
1. Latar Belakang
Perkembangan teknologi jaringan internet di era sekarang ini semakin pesat. layanan atau fitur – fitur yang disediakan dalam jaringan internet juga begitu banyak ragamnya. Mulai dari web server, File Transfer Protocol (ftp), layanan E-mail, sampai feature-feature yang berhubungan dengan layanan transaksi yang semakin marak di dalam jaringan internet. Layanan tersebut seperti E-Commerce, E-Banking, E-Goverment dan sebagainya. Karena internet yang begitu banyak memberikan manfaat dan bersifat publik, maka dibutuhkan suatu sistem keamanan dalam menjaga informasi dan data yang ada di internet supaya tidak dirusak oleh pihak-pihak yang potensial melakukan pengrusakan seperti hacker dan cracker.
Denial of Service merupakan jenis serangan yang dilakukan dengan cara server dikirimi permintaan (biasanya palsu) atau permintaan yang diluar perkiraan sehingga tidak dapat permintaan lain atau bahkan down, hang, dan crash. Sedangkan DDOS merupakan serangan DoS yang dilakukan secara terdistribusi. Yakni penyerang dapat men-crack beberapa mesin menjadi zombie, kemudian mesin yang menjadi zombie mengendalikan beberapa mesin lagi menjadi zombie-zombie, akhirnya attacker akan mengendalikan zombie-zombie tersebut secara terdistribusi menyerang korban untuk meniadakan ketersedian informasi dan data dari korban.
2. Tujuan
Tujuan dari pembuatan makalah ini selain untuk memenuhi tugas materi Keamanan Jaringan juga untuk mempelajari dan menganalisis serangan Denial of Service untuk mendapatkan solusi terbaik dalam menaggulangi serangan DoS ini.
a) Mendeteksi kemungkinan adanya data atau informasi yang hilang akibat di rusak oleh attacker.
b) Mendeteksi terdapat flood data pada server.c) Melakukan pencegahan terhadap serangan yang masuk ke dalam server kita.
BAB II
LANDASAN TEORI
Sebelum pembahasan lebih lanjut, sebelumnya kita harus mengetahui terlebih dahulu gambaran umum tentang Denial of Service atau yang lebih kita kenal dengan DoS. Beberapa pertanyaan yang mungkin bisa terjawab diantaranya :
1. Apa itu DoS ?2. Bagaimana cara kerja DoS?
3. Apa motif cracker untuk melakukan itu ?4. Bagaimana cara melakukan DoS ?
1. Apa itu Denial of Service (DoS) ?Denial of Service adalah aktifitas menghambat kerja sebuah layanan (servis)
atau mematikan-nya, sehingga user yang berhak/berkepentingan tidak dapat menggunakan layanan tersebut. Dampak akhir dari aktifitas ini menjurus kepada tehambatnya aktifitas korban yang dapat berakibat sangat fatal (dalam kasus tertentu). Pada dasarnya Denial of Service merupakan serangan yang sulit diatasi, hal ini disebabkan oleh resiko layanan publik dimana admin akan berada pada kondisi yang membingungkan antara layanan dan kenyamanan terhadap keamanan. Seperti yang kita tahu, keyamanan berbanding terbalik dengan keamanan. Maka resiko yang mungkin timbul selalu mengikuti hukum ini.
Beberapa aktifitas DoS adalah:1. Aktifitas 'flooding' terhadap suatu server.2. Memutuskan koneksi antara 2 mesin.3. Mencegah korban untuk dapat menggunakan layanan.4. Merusak sistem agar korban tidak dapat menggunakan layanan.
Jadi intinya Serangan Denial of Service (DoS) adalah sebuah aksi membanjiri saluran atau sesumber lain dengan pesan yang bertujuan untuk menggagalkan pengaksesan pemakai lain.
2. Bagaimana cara kerja DoS?Dalam tipe koneksi jaringan biasa, user mengirimkan sebuah pesan untuk
menanyakan otentikasi user yang bersangkutan ke server. Kemudian server merespon permintaan user tersebut dengan memberikan jawaban persetujuan
otentikasi ke user tersebut. User tersebut mendapatkan ijin otentikasi selanjutnya dapat masuk kedalam sistem.
Dalam serangan DoS, user akan mengirimkan beberapa permintaan otentikasi ke server, dengan memenuhi bandwidth server. Semua permintaan yang dilakukan oleh user memiliki alamat pengembalian yang salah, sehingga server tidak dapat menemukan user yang bersangkutan ketika ingin mencoba mengirimkan persetujuan otentikasi yang diminta oleh user tersebut. Server akan menunggu, kadang-kadang lebih dari beberapa menit, sebelum menutup koneksi atas user tersebut. Ketika koneksi tersebut ditutup, penyerang akan mengirimkan permintaan baru kepada server, dan proses otentikasi akan dimulai lagi dari awal. Begitu seterusnya sehingga mengikat layanan yang diberikan server untuk jangka waktu tidak terbatas. Jika hal tersebut terjadi maka user lain yang ingin mengakses sesumber (resouces) didalam jaringan tersebut tidak dapat melakukan koneksi karena server tersebut disibukkan oleh permintaan otentikasi user yang melakukan serangan DoS tadi.
3. Motif penyerang melakukan Denial of ServiceMenurut Hans Husman ([email protected]), ada beberapa motif
cracker dalam melakukan Denial of Service yaitu:1. Status Sub-Kultural.2. Untuk mendapatkan akses.3. Balas dendam.4. Alasan politik.5. Alasan ekonomi.6. Tujuan kejahatan/keisengan.
Status subkultural dalam dunia hacker, adalah sebuah unjuk gigi atau lebih tepat kita sebut sebagai pencarian jati diri. Adalah sebuah aktifitas umum dikalangan hacker-hacker muda untuk menjukkan kemampuannya dan Denial of Service merupakan aktifitas hacker diawal karirnya. Alasan politik dan ekonomi untuk saat sekarang juga merupakan alasan yang paling relevan. Kita bisa melihat dalam 'perang cyber' (cyber war), serangan DoS bahkan dilakukan secara terdistribusi atau lebih dikenal dengan istilah 'distribute Denial of Service'. Beberapa kasus serangan virus semacam 'code-red' melakukan serangan DoS bahkan secara otomatis dengan memanfaatkan komputer yang terinfeksi, komputer ini disebut 'zombie' dalam jargon.Lebih relevan lagi, keisengan merupakan motif yang paling sering dijumpai. Bukanlah hal sulit untuk mendapatkan program-program DoS, seperti nestea, teardrop, land, boink, jolt dan vadim. Program-program DoS dapat melakukan serangan Denial of Service dengan sangat tepat, dan yang terpenting sangat mudah untuk melakukannya.
Cracker cukup mengetikkan satu baris perintah pada Linux Shell yang berupa ./nama_program argv argc ... Denial of Sevice, serangan yang menghabiskan resource.
Pada dasarnya, untuk melumpuhkan sebuah layanan dibutuhkan pemakaian
resource yang besar, sehingga komputer/mesin yang diserang kehabisan resource dan manjadi hang. Beberapa jenis resource yang dihabiskan diantaranya:
A. Swap SpaceHampir semua sistem menggunakan ratusan MBs spasi swap untuk
melayani permintaan client. Spasi swap juga digunakan untuk mem-'forked' child process. Bagaimanapun spasi swap selalu berubah dan digunakan dengan sangat berat. Beberapa serangan Denial of Service mencoba untuk memenuhi (mengisi) spasi swap ini.
B. BandwidthBeberapa serangan Denial of Service menghabiskan bandwidth.
C. Kernel TablesSerangan pada kernel tables, bisa berakibat sangat buruk pada sistem. Alokasi memori kepada kernel juga merupakan target serangan yang sensitif. Kernel memiliki kernelmap limit, jika sistem mencapai posisi ini, maka sistem tidak bisa lagi mengalokasikan memory untuk kernel dan sistem harus di re-boot.
D. RAMSerangan Denial of Service banyak menghabiskan RAM sehingga sistem mau tidak mau harus di re-boot.
E. DiskSerangan klasik banyak dilakukan dengan memenuhi Disk.
F. Caches
G. INETDSekali saja INETD crash, semua service (layanan) yang melalui INETD tidak akan bekerja.
4. Teknik Melakukan Denial of ServiceMelakukan DoS sebenarnya bukanlah hal yang sulit dilakukan. Berhubung
DoS merupakan dampak buruk terhadap sebuah layanan publik, cara paling ampuh untuk menghentikannya adalah menutup layanan tersebut. Namun tentu saja hal ini tidak mengasikkan dan juga tidak begitu menarik.
Serangan pada dunia IT (Information Technologi) menurut tujuan dari cracker dapat diklasifikasikan ke dalam : Denial of service (DoS) : sasaran utama serangan adalah merusak layanan yang
disediakan, sehingga layanan menjadi tidak tersedia. Intrusion : pihak yang tidak berwenang berusaha memperoleh akses sistem,
tujuan seperti ini adalah gambaran klasik dari seorang hacker. Mereka biasanya berusaha mencapai tujuannya keluar dari sistem dengan melakukan beberapa pengrusakan pada sistem, kemudian melaporkan ke administrator bahwa ada “bug” ditemukan dalam sistem.
Information Theft (Pencurian informasi) : sasaran utama dari jenis serangan ini adalah berusaha mengakses informasi yang dibatasi pengaksesannya (restricted), informasi yang sensitif.
Modification : disini attacker dengan aktif berusaha mengubah informasi yang ada dalam sistem. Jenis serangan macam ini semakin hari jumlahnya bertambah seperti mengubah isi website.
BAB III
PEMBAHASAN
Jaringan komputer adalah sebuah kumpulan komputer, printer dan peralatan lainnya yang terhubung dalam satu kesatuan. Informasi dan data bergerak melalui kabel-kabel atau tanpa kabel sehingga memungkinkan pengguna jaringan komputer dapat saling bertukar dokumen dan data, mencetak pada printer yang sama dan bersama-sama menggunakan perangkat keras atau perangkat lunak yang terhubung dengan jaringan.Sumber daya jaringan yang sangat berharga antara lain komputer, database dan layanan-layanan lain yang disediakan oleh jasa jaringan. Jaringan ini sangat dibutuhkan oleh user dikarenakan layanan-layanan tersebut memudahkan pekerjaan sehingga pekerjaan tersebut lebih efisien. Bila layanan ini rusak atau tidak dapat bekerja, maka akan menyebabkan hilangnya produktifitas.
Terhubungnya LAN atau komputer ke internet membuka potensi adanya lubang keamanan (security hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik. Hal ini tentunya menarik minat para hacker (pembobol) dan intruder (penyusup) untuk terus bereksperimen guna menemukan dan mempergunakan setiap kelemahan yang ada dari konfigurasi sistem informasi yang telah ditetapkan. Salah satu serangan ini dikenal dengan Denial of Service attack (DoS attack). Denial of Service merupakan serangan dengan ditandai oleh suatu usaha yang eksplisit dari penyerang untuk mencegah para pemakai yang sah menggunakan jasa pelayanan jaringan. Serangan Denial of Service utamanya bertujuan melumpuhkan komputer atau jaringan. Ada beberapa motif penyerang dalam melakukan Denial of Service yaitu: status sub-kultural, untuk mendapatkan akses, balas dendam, alasan politik, dan alasan ekonomi.
Dunia security sendiri mengartikan DoS sebagai berikut :
… suatu serangan yang dilakukan untuk membuat komputer atau jaringan komputer tidak dapat menyediakan layanan secara normal. Pada umumnya serangan DoS menargetkan serangan pada bandwidth jaringan komputer atau koneksi jaringan (connectivity). Bandwidth attack membanjiri jaringan dengan volume traffic yang tinggi, sehingga semua resources (sumber daya) yang ada, tidak dapat melayani request (permintaan) dari legitimate user (user yang sah). Connectivity attack membanjiri komputer dengan volume request koneksi yang tinggi, sehingga semua resources sistem operasi komputer yang ada tidak dapat memproses lebih lama request dari legitimate user.
Sementara J.D. Howard mengartikan DoS sebagai :Apabila hardware, software, dan data komputer tidak dapat terjaga ketersediaannya, maka produktivitas operasional jadi turun, walaupun tidak ada kerusakan yang terjadi. Denial of Service dapat mencakup kedua keadaan tersebut yang secara disengaja maupun tidak disengaja melakukan serangan kepada ketersediaan sistem (system availability). Perpektif yang muncul tanpa melihat sebab yang terjadi adalah apabila layanan diibaratkan tersedia, padahal tidak ada, sehingga mengakibatkan layanan denied (tidak ada).
Suatu serangan, bagaimanapun, adalah suatu tindakan disengaja. Denial of Service attack diyakini berlangsung ketika mengakses ke komputer atau resource jaringan dengan sengaja di blocked atau hak aksesnya diturunkan dari user lain. Serangan ini tidak perlu merusak data secara langsung, atau permanen (walaupun mereka dapat melakukannya), tetapi mereka dengan sengaja berkompromi (mengganggu) ketersediaan dari resource.
Macam serangan DoS attack umumnya melalui jaringan, dimana target utama dari serangan adalah website yang popouler. Umumnya site-site tersebut mempunyai banyak hardware yang mereka gunakan, sehingga attacker akan bekerja keras untuk menyerang. Website normalnya terdiri dari beberapa web-server dengan sistem load balancing dan memiliki koneksi jaringan multi megabit. Seranagan DoS dapat dibagi menjadi tiga jenis :
1. Pemanfaatan implementasi Bugs dari system.DoS attacks dengan pemanfaatan implementasi bugs pada prinsipnya lebih mudah ditanggulangi dengan menginstall patch dari sistem
2. Serangan pada resouce server.Serangan pada resouce server (memory, space disk, dan lainnya) lebih sulit ditanggulangi sebab attacker sering memanfaatkan kelemahan bagian-bagian “legitimate protocol” dibanding bug yang sederhana. Seperti serangan pada feature-feature aplikasi atau protokol yang berada diatas layer transport. Contoh serangan ini adalah nama server mail palsu yang membuat mail berulang-ulang secara eksponential atau mencreate sejumlah account samaran dalam waktu singkat. Jenis serangan DoS ini biasanya ditanggulangi dengan memperbaiki aplikasi yang bermasalah, karena tidak mungkin lapisan bawah jaringan atau lapisan sistem dapat mendeteksi masalah ini.
3. Serangan pada bandwidth server.
Serangan pada bendwidth server dilakukan dengan membebani jaringan korban dengan traffic yang sia-sia. Bugs pada router jaringan korban dapat menyebabkan router crash, karena menemukan banyak masalah. Beberapa serangan dengan mudah dapat diidentifikasi, dengan memfilter atau membatasi paket karena dalam operasi normal paket-paket tersebut tidak pernah volumenya besar. Kesulitan mengatasi bandwidth attack disebakan oleh traffic yang kelihatannya normal pada volume besar . Biasanya bandwidth attack membutuhkan sebuah group attacker untuk bekerja sama menghasilkan traffic yang cukup.
1. DoS ( Denial of Service )
A. Jenis-jenis serangan yang termasuk kategori DoSa. Teardrop
Teardrop adalah salah satu tipe serangan Denial Of Service (DOS). Teardrop adalah sebuah serangan yang memanfaatkan kelemahan yang ditemukan pada internet protocol dalam pengiriman paket. Ketika sebuah paket diproses, dalam penerapannya biasanya dilakukan pengecekan apakah paket yang diberikan terlalu panjang atau tidak tapi tidak melakukan pengecekan apakah paket tersebut terlalu pendek dan dibatasi.
Gambar berikut ini menjelaskan bagaimana proses serangan teardrop terjadi. Tumpukan menerima fragmen/ penggalan pertama paket yang dikirimkan dan mengalokasikan memori untuk fragmen tersebut. Offset paket berikutnya diletakkan pada akhir dari area memori seperti akhir pointer. Tumpukan menyangka datagram berikutnya mulai pada offset dan menghitung akhir dari pointer untuk menunjukkan akhir dari paket baru yang dikirim, ini berarti ukuran paket pertama ditambah ukuran paket kedua dikurangi IP header kedua yang terbuang. Jumlah dari memori yang dibutuhkan = akhir offset. Tetapi offsetnya di-spoof pada paket kedua dan ditempatkan kedalam area memori pertama. Tumpukan mencoba untuk menyusun kembali untuk membetulkan susunannya, tetapi jika paket kedua lumayan pendek, maka pointernya akan berubah tempatnya. Pointer offset akan tetap menuju pada akhir dari paket pertama tetapi akhir pointer kemudian menuju kedalam area memori, bukan pada akhir dari paket pertama. Hasil perhitungan memori yang diperlukan = end-offset adalah negatif/ minus. Pada langkah selanjutnya adalah mengalokasikan memori untuk paket baru, prosedur pengalokasian memori dapat gagal karena diberikan angka negatif sebagai sebuah argument. Kesalahan dalam pengalokasian memori dapat menyebabkan host crash/ system crash.
gambar 1. Proses kerja Teardrop attack.
Serangan teardrop mengirimkan satu atau lebig paket UDP yang telah dipecah ke sebuah host, dan dengan ukuran fragmen yang benar dan fragmen offset yang salah, pengalokasian memori pada host tujuan menjadi gagal.
b. IP SoofingIP Spoofing adalah suatu trik hacking yang dilakukan pada suatu server dengan tujuan untuk mengecoh komputer target agar mengira sedang menerima data bukan dari komputer yang mengirim data tersebut, melainkan komputer target mengira menerima data dari komputer lain yang memiliki IP Addres yang berbeda dari komputer sebenarnya yang telah mengirim data. Suatu contoh dari IP Spoofing adalah sebagai berikut :Misalkan :IP Address komputer sumber yang mengirim data adalah 203.45.98.1IP Address komputer yang akan dijadikan target adalah 202.14.12.1IP Address sistem yang digunakan untuk mengirimkan data adalah 173.23.45.89
Secara normal komputer target akan mengidentifikasi IP Address dari komputer yang mengirimkan data adalah 203.45.98.1, namun dalam trik IP Spoofing komputer target akan mengira bahwa data yang dikirim adalah dari komputer dengan IP Address 173.23.45.89. IP Spoofing adalah suatu teknik yang sulit untuk dilakukan karena pada kenyataannya saat melakukan teknik ini penyerang (hacker) tidak mendapatkan pesan atau feedback dari proses yang telah dilakukan apakah berhasil atau gagal.
Hal ini biasa disebut dengan blind attack, dimana hacker akan selalu berasumsi bahwa serangan yang dilakukannya sudah berjalan dengan benar. Permasalahan utama dari teknik ini adalah walaupun komputer sumber berhasil mengirim data dengan IP Address komputer sumber yang telah disamarkan, dan komputer yang menjadi target telah mempercayai bahwa data telah dikirm oleh komputer dengan IP Address yang dipalsukan, kemudian komputer target akan membalas melalui IP Address yang dipalsukan, bukan IP Address komputer sumber. IP Spoofing dilakukan dengan menggunakan konsep three-way handshake agar terjadi koneksi TCP/IP. Secara normal three-way handshake yang terjadi adalah:1. Komputer sumber mengirim paket SYN ke komputer target2. Komputer target mengirim kembali paket SYN/ACK ke komputer sumber3. Komputer sumber akan mengakui paket SYN dr komputer target dengan mengirim balasan berupa paket SYN ke komputer target.
Adapun yang terjadi dalam IP Spoofing adalah :1. Komputer sumber mengirim paket SYN ke komputer target tapi dengan
menggunakan IP Address yang telah dipalsukan.2. Komputer target akan mengirim paket SYN/ACK kepada komputer
dengan IP Address yang palsu tersebut. Dalam hal ini tidak ada cara bagi komputer sumber untuk menentukan kapan dan apakah komputer target benar-benar membalas dengan mengirimkan paket SYN/ACK ke IP Address yang telah dipalsukan tersebut. Hal ini merupakan bagian yang tidak diketahui oleh komputer sumber (blind part) dan komputer sumber hanya dapat berasumsi bahwa komputer target telah mengirim paket SYN/ACK ke IP Addres yang telah dipalsukan tersebut.
3. Kemudian setelah beberapa waktu komputer sumber harus mengirimkan paket SYN ke komputer target untuk mengakui bahwa komputer dengan IP Address yang palsu telah menerima paket SYN/ACK. Koneksi TCP/IP hanya akan terjadi jika dan hanya jika ketiga langkah di atas terjadi.
c. Ping of DeathPing of Death adalah salah satu bentuk serangan “ping attack”. Pada internet, bentuk serangan ini adalah bentuk serangan DoS (denial of service attack) yang disebabkan oleh penyerang yang dengan sengaja mengirimkan sebuah paket IP yang ukurannya lebih besar dari yang diijinkan oleh protokol IP yaitu 65.536 byte. Salah satu fitur dari TCP/IP adalah fragmentation, yang mengijinkan sebuah paket IP tunggal dipecah ke dalam bagian yang lebih kecil. Pada tahun 1996, para penyerang mulai mengambil keuntungan dari fitur ini, yaitu saat mereka menemukan bahwa sebuah paket yang dipecah menjadi bagian-bagian kecil dapat ditambah menjadi lebih besar dari yang diijinkan
yaitu 65.536 byte. Banyak sistem operasi tidak tahu apa yang harus dilakukan ketika menerima paket dengan ukuran yang berlebihan tersebut, sehingga akhirnya sistem operasi tersebut berhenti bekerja, crashed, atau rebooted.
Serangan ping of death sangat tidak menyenangkan karena tanda-tanda atau identitas penyerang saat mengirim paket dengan ukuran yang berlebihan dapat dengan mudah disamarkan, dan karena para penyerang tidak perlu mengetahui apapun tentang mesin yang akan mereka serang kecuali IP Addressnya. Pada akhir tahun 1997, vendor-vendor sistem operasi telah membuat sejumlah patch yang memungkinkan untuk menghindari serangan ini. Beberapa Web site melakukan blok terhadap pesan ping ICMP pada firewall yang mereka miliki untuk mencegah berbagai variasi berikutnya dari serangan jenis ini.
Ping of death juga dikenal sebagai “long ICMP”. Variasi dari serangan ini termasuk jolt, sPING, ICMP bug, dan IceNewk.
d. LAND AttackLAND Attack atau biasa juga disebut LAND DoS Attack bekerja dengan cara mengirimkan paket SYN dengan IP Address yang telah dipalsukan – yang biasa digunakan pada handshake antara client dan host – dari suatu host ke semua port yang sedang terbuka dan mendengarkan.
Jika paket diatur untuk memiliki IP Address sumber (source) dan tujuan (destination) yang sama, maka pada saat paket ini dikirim ke sebuah mesin (melalui IP Spoofing) akan dapat membohongi atau mengecoh mesin tersebut agar mengira bahwa mesin itu sendiri yang telah mengirim paket tersebut, dimana hal ini dapat mengakibatkan mesin crash (tergantung dari sistem operasi yang terdapat pada mesin tersebut).
Jenis serangan ini dapat mempengaruhi mesin dengan sistem operasi Windows 95/NT, berbagai jenis dari UNIX, termasuk juga SunOS, beberapa versi BSD UNIX, serta Macintosh. Serangan ini juga dapat mempengaruhi beberapa Cisco router, dan peralatan cetak yang berbasiskan TCP/IP (TCP/IP-based printing devices).
LAND Attack dapat mempengaruhi berbagai sistem operasi dalam berbagai cara. Sebagai contoh, serangan jenis ini dapat menyebabkan mesin dengan sistem operasi Windows NT 4.0 (dengan Service Pack 3 dan seluruh aplikasinya) menjadi lambat kira-kira dalam waktu 6 detik, setelah itu akan kembali normal tanpa ada efek lainnya. Serangan ini jika terjadi pada mesin dengan sistem operasi Windows 95 dapat menyebabkan baik itu crash maupun lock-up, sehingga mesin-mesin tersebut perlu diboot ulang. Sementara sebagian
besar mesin dengan sistem operasi UNIX yang mendapat serangan ini akan crash atau hang dan user tidak dapat melakukan akes ke servis-servis yang terdapat pada mesin tersebut.
e. Smurf AttackPada Smurf attack, hacker membanjiri router dengan paket permintaan echo Internet Control Message Protocol (ICMP) yang di kenal sebagai aplikasi ping. Karena alamat IP tujuan pada paket yang dikirim adalah alamat broadcast dari jaringan, maka router akan mengirimkan permintaan ICMP echo ini ke semua mesin yang ada di jaringan. Kalau ada banyak host di jaringan, maka akan terjadi trafik ICMP echo respons & permintaan dalam jumlah yang sangat besar. Pada gambar 5 si hacker ini memilih untuk men-spoof alamat IP sumber permintaan ICMP tersebut, Dengan menggunakan IP spoofing, respon dari ping tadi dialamatkan ke komputer yang IPnya dispoof. Akibatnya komputer tersebut akan menerima banyak paket. Akibatnya terjadi ICMP trafik yang tidak hanya akan memacetkan jaringan komputer perantara saja, tapi jaringan yang alamat IP-nya di spoof.
Gambar 5. Skema serangan Smurf Attack
f. UDP AttackPada UDP attack dengan cara spoofing, User Datagram Protocol (UDP) flood attack akan menempel pada servis UDP chargen di salah satu mesin, yang akan mengirimkan sekelompok karakter ke mesin lain, yang di program untuk meng-echo setiap kiriman karakter yang di terima melalui servis chargen. Hal ini ditunjukkan oleh gambar 6 dimana UDP Flood ini pada dasarnya mengkaitkan dua (2) sistem tanpa disadarinya. Karena paket UDP tersebut di spoofing antara ke dua mesin tersebut, maka yang terjadi adalah banjir tanpa henti kiriman karakter yang tidak berguna antara ke dua mesin tersebut.
Gambar 6. Skema serangan UDP
g. Syn AttackSyn attack adalah serangan yang menggunakan Synhcronazation flood attack pada pertukaran data yang menggunakan three way handshake. Pada saat penyerang mengirimkan paket pada komputer yang diserang dengan menggunakan alamat internet palsu (spoofing) maka komputer yang menerima akan mengirim kembali pada pada komputer penyerang dan menunggu balasan selama kurang lebih 20 detik. Pada saat bersamaan penyerang akan mengirim paket lagi sebanyak-banyaknya sehingga komputer korban akan terjadi antrian dan akhirnya hang.
h. Echo spoofIni merupakan serangan pada port t ( Echo Service) dimana penyerang akan mengirim paket pada port 7 pada komputer korban menggunakan IP lokal palsu (local host address). Echo Service akan memberikan respon pada alamat tersebut (pada dirinya sendiri) dan akan terjadi loop yang tidak terbatas. Ini akan menyebabkan sistem terganggu.
B. Mengenal salah satu tool yang digunakan untuk melakukan serangan DoSDi internet banyak sekali tools yang dapat digunakan untuk menyerang
sebuah sistem jaringan dengan menggunakan metode DoS. Tool tersebut adalah ATTACKER. Berikut adalah penjelasan singkat tentang Attacker dan proses kerja tool ini.
Attacker
gambar 2 Tampilan Antar Muka perangkat lunak ATTACKER
Attacker adalah salah satu software yang digunakan untuk melakukan serangan pada level aplikasi dimana software ini mengirmkan packet pada Addres yang telah dituju. Software ini membutuhkan pengetahuan mengenai IP address yang akan diserang dan harus terlebih dahulu mencari port-port yang terbuka dari Komputer tempat IP address yang akan diserang tersebut.
Serangan menggunakan Attacker dapat dicegah melalui beberapa cara yaitu dengan menggunakan :• Firewall dan melakukan konfigurasi yang optimal• Memperbesar Half Open antrian pada suatu koneksi• Membatasi Half Open Connection pada satu address sehingga tidak dapat
terlalu banyak mengirim paket.• Mengurangi waktu antrian suatu paket sehingga apabila terlalu lama
merespon akan dihilangkan• Menggunakan IDS ( Intrusion Detection System)
2. DDOS (Distributed Denial of Service)Mengirimkan data secara terus menerus dengan menggunakan satu
komputer tidak begitu efektif karena biasanya sumber daya server yang diserang lebih besar dari komputer penyerang. Daya bunuh serangan juga akhirnya menjadi lemah. Hacker penyerangpun memutar otaknya. Serangan dapat lebih mematikan jika tenaga banyak komputer dijadikan satu untuk menciptakan banjir data yang lebih besar. Komputer-komputer yang diambil alih oleh hacker tersebut disebut zombie. Zombie berfungsi sebagai anak buah atau agent penyerang yang siap beraksi saat mendapat perintah dari “tuannya.”
Semakin banyak zombie yang dkuasai seorang penyerang, semakin berkuasalah sang hacker tersebut karena besarnya tenaga yang ia genggam. Dengan tenaga besar yang dikumpulkan dari komputer-komputer yang dikuasai (secara illegal tentunya) tersebut, serangan DDoS hampir tidak dapat ditangkal. Karena itulah serangan tipe ini sangat populer di kalangan hacker. Beberapa situs raksasa seperti Amazon.com, eBay, dan Yahoo pada Februari 2000 rontok selama beberapa jam karena serbuan ini. Gedung Putih juga sempat boyongan karena serangan tipe ini. Gedung Putih terpaksa “memindahkan” IP address situsnya karena jengah menerima serangan DDoS yang sudah dirancang untuk muncul pada tanggal dan jam tertentu dengan memanfaatkan virus tertentu tanpa mampu mencegahnya.
Gambar serangan DDoS
Beberapa attack tools yang digunakan dalam DDoS Attack.1. Trinoo : menggunakan TCP untuk komunikasi antara attacker dan kendali
master program. Master program berkomunikasi dengan attack daemon menggunakan paket UDP. Trinoo attack daemon menerapkan UDP Flood untuk menyerang korban.
2. TFN (Tribe Flood Network): menggunakan suatu garis perintah untuk berkomunikasi antara attacker dan kendali master program. Komunikasi antara kendali master program dan attack daemon dilakukan lewat ICMP echo reply packet. Telnet atau SSH digunakan untuk mengirim kendali message ke kendali master program, dan paket ICMP ECHO REPLY digunakan untuk berkomunikasi antara kendali master program dan attack daemon, karena message ini tidak diblocked oleh firewall. TFN dapat menerapkan smurf attack, SYN Flood attack, UDP flooding attack, TCP dan ICMP flood attack.
3. Stacheldraht (dalam istilah bahasa jerman “kawat-berduri”):teknik ini didasarkan serangan TFN. Tetapi tidak sama dengan TFN, stacheldraht menggunakan koneksi encrypsi TCP untuk komunikasi antara attacker dan kendali master program. Komunikasi antara kendali master program dan attack daemon dilakukan dengan menggunakan TCP dan ICMP, kemudian secara otomatis dapat mengupdate teknik attack daemon (serangan daemon). Attack daemon dalam stacheldraht dapat menerapkan Smurf, SYN Flood, UDP Flood, dan serangan ICMP Flood.
4. TFN2K : menggunakan TCP, UDP, ICMP, atau ketiganya secara acak untuk berkomunikasi antara kendali master program dengan attack daemon. Komunikasi antara penyerang riil dan kendali master diencrypsi menggunakan algoritma key-based CAST-256. Sebagai tambahan TFN2K melakukan latihan rahasia untuk menyembunyikan dirinya sendiri dari deteksi sistem IDS (Intrusion Detection System), sehingga sulit dideteksi oleh sitem IDS tersebut. TFN2K dapat menerapkan serangan Smurf, SYN, UDP, dan serangan ICMP Flood.
5. Shaft : salah satu model setelah Trinoo. Komunikasi antara kendali master program dengan attack daemon dicapai menggunakan paket UDP. Kendali master program dan attacker berkomunikasi lewat koneksi telnet TCP. Yang membedakan antara Trinoo, Shaft mampu mengendalikan switch master server dan port dalam real time, sehingga membuat pendeteksian sistem IDS sulit.
6. Mstream: kependekan dari “multiple stream”, tools ini dapat membanjiri dengan sangat efisien point to point stream TCP ACK. Tools ini memiliki kendali yang terbatas, dan melakukan sistem random terhadap semua 32 bit dari sumber alamat IP dalam penyerangannya. Tools muncul pertama kali pada musim semi 2000.
7. Omega : pertama kali muncul awal musim summer 2000, tools ini dapat melakukan TCP ACK flooding, UDP packet flooding, ICMP flooding, IGMP packet flooding, dan campuran keempatnya. Tools ini mirip dengan Shaft, yang menyediakan statistic pembanjiran yang dihasilkan. Omega melakukan sistem random semua 32 bit sumber alamat IP dalam penyerangan, dan memiliki fungsi chat untuk berkomunikasi antara attacker.
8. Trinity : berhubungan erat dengan mutasi Entitee, yang melakukan pendekatan baru kea rah model DDoS. Prinsip kerjanya tidak bersandar pada sistem jaringan umum, tetapi mengambil keuntungan dari jaringan IRC (Internet Relay Chat) untuk handler-to-agent communication, kemudian membuat channel pada IRC sebagai “handler”. Disamping UDP, TCP SYN,
TCP ACK, TCP NUL packet flood, tools ini juga menyerang dengan cara TCP fragment Flood, TCP RST packet flood, TCP random flag packet flood, dan TCP established flood. Ketika penyerangan melakuka sistem random pada semua 32 bit sumber alamat IP.
9. myServer : berbeda jauh dengan Trinity yang sama-sama di buat pada musim summer 2000. myServer adalah suatu tools DDoS sederhana. Tools ini hanya bersandar pada program eksternal yang menyediakan prinsip denial of service (DoS).
10. Plague : tools ketiga dari generasi yang sama dari Trinity dan myServer. Plague ini (artinya : wabah) didesain oleh attacker dengan melakukan tinjauan ulang kepada tools yang sudah ada dan melakukan peningkatan kinerja dari beberapa tools yang ada. Tools ini dapat melakukan TCP ACK dan TCP SYN Flooding, dan mengklaim telah memperbaharui atau memperbaiki kinerja tools TCP ACK flood yang ada sebelumnya.
Pendeteksian DDoS attack dapat diklasifikasikan Signature-based detection atau kejadian anomaly. Signature-based detection suatu metode mendeteksi DDoS attack lewat proses pencarian pola (signature) dari jaringan yang diamati, pencocokan signature serangan dilakukan lewat database. Anomaly detection adalah metode mendeteksi DDoS attack lewat membandingkan parameter (matematis) dari traffic jaringan yang diamati dengan traffic normal jaringan.
Sebagian besar jurnal membahas teknik bertahan dari serangan DDoS attack sebagai berikut :
1. ICMP traceback.2. Probabilistic IP Traceback.3. IP Traceback menggunakan pendekatan aljabar.4. Phusback5. Tunneling – IP Overlay6. Mengontrol flooding7. Ingress Filtering dan Egress Filtering8. Honeypots
Beberapa ukuran yakni 1, 2, 3, 4,5, dan 6 tujuan utamanya adalah untuk merekonstruksi alur serangan lewat penelusuran sumber DDoS attack. Dengan cara tersebut diharapkan dapat menghentikan serangan DDOS.
ICMP Trace-Back Message sering disebut juga “ITrace”. Metode ini sangat berguna untuk mempelajari path dari paket yang melalui internet. Khususnya yang berhubungan dengan denial of servis attack, yang menggunakan IP Spoofing.
Disamping itu dapat digunakan untuk mengetahui karakterisasi path dan deteksi asymmetric route. Ada beberapa tools yang dapat melakukan hal tersebut, seperti “traceroute” tapi tools ini hanya menginformasikan forward path, tidak sebaliknya.
Permasalahan seperti itu dapat diselesaikan dengan ICMP Traceback message. Ketika menforward paket, router-router (dengan probabilitas rendah) dapat membuat Traceback message yang dikirim ke tujuan (destination). Dengan cukup Traceback message dari router-router sepanjang path, traffic source dan path dapat ditentukan
3. Tindakan yang harus dilakukan untuk mencegah Denial of ServiceUntuk mengatasi terjadinya serangan DoS maka hal pertama yang dilakukan
adalah dengan mengetahui jenis-jenis serangan DoS dan bagaimana cara kerjanya. Seperti strategi yang diterapkan oleh Tsun Zu dalam bukunya “The Art of War”. Kita harus mengetahui kelebihan dan kelemahan penyerang sebelum melakukan serangan balasan. Setelah mengetahui cara kerja dan jenis-jenis serangan DoS maka langkah berikutnya yang paling sering digunakan adalah dengan melakukan pengaturan dengan cara penyaringan/ filtering, atau “sniffer”/ mengendus pada sebuah jaringan sebelum sebuah aliran informasi mencapai sebuah server situs web. Penyaring tersebut dapat melihat serangan dengan cara melihat pola atau meng-identifikasi kandungan/ isi dari informasi tersebut. Jika pola tersebut datang dengan frekuensi yang sering, maka penyaring dapat memberikan perintah untuk memblokir pesan yang berisikan pola-pola tersebut, melindungi web server dari serangan tersebut.
Untuk menghadapi sebagian besar bahaya di Internet khususnya Denial of Service, komputer kita harus dilengkapi oleh beberapa hal berikut ini.1. Lakukan pencegahan serangan DoS dengan menutup servis atau protokol-
protokol yang dianggap tidak perlu melalui firewall. Firewall menganalisa paket data dan mempelajari:a. Sumber paket datab. Komputer yang dituju oleh paket datac. Protokol yang digunakand. Isi paket data
Dengan demikian, bila kita menggunakan firewall, maka kita dapat melakukan hal-hal berikut:a. Memblokir paket data dari alamat-alamat tertentub. Memblokir pertukaran data antara satu PC dengan lainnya sesuai dengan
yang ditentukanc. Mencegah pemakaian protokol tertentud. Menolak paket data dengan kata-kata tertentu didalamnya.
2. Non aktifkan IP directed broadcast untuk subnetwork subnetwork dalam domain guna mencegah serangan ini.
3. Mematikan beberapa layanan jaringan yang tidak dibutuhkan untuk memperkecil ruang gerak serangan terhadap jaringan.
4. Mengaktifkan pengelolaan kuota ruangan penyimpanan bagi semua akun pengguna, termasuk di antaranya yang digunakan oleh layanan jaringan.
5. Mengimplementasikan penapisan paket pada router untuk mengurangi efek dari SYN Flooding.
6. Menginstalasikan patch sistem operasi jaringan baik itu komponen kernelnya, ataupun komponen layanan jaringan seperti halnya HTTP Server dan lainnya.
7. Melakukan backup terhadap konfigurasi sistem dan menerapkan kebijakan password yang relatif rumit.
8. Selalu Up to Date dan mengikuti perkembangan security. Hal ini sangat efektif dalam mencegah perusakan sistem secara ilegal. Banyak admin malas untuk mengikuti perkembangan terbaru dunia security. Dampak yang paling buruk, sistem cracker yang rajin, ulet dan terlatih akan sangat mudah untuk memasuki sistem dan tidak tertutup kemungkinan untuk melakukan Denial of Service. Dengan selalu up to date, Denial of service secara langsung dengan Flooding dapat diatasi dengan menginstall patch terbaru dari vendor atau melakukan up-date.
9. Teknik pengamanan httpd Apache. Pencegahan serangan Apache Benchmark. Kita bisa melakukan identifikasi terhadap pelaku dan melakukan pemblokiran manual melalui firewall atau mekanisme kontrol Apache (Order, Allow from, Deny From).
10. Pencegahan serangan non elektronik. Serangan yang paling efektif pada dasarnya adalah local. Jangan pernah berfikir sistem anda benar-benar aman, atau semua user adalah orang baik. Admin bisa menerapkan peraturan tegas dan sanksi untuk mencegah user melakukan serangan dari dalam. Mungkin cukup efektif jika dibantu oleh kedewasaan berfikir dari admin dan user bersangkutan.
11. Waspada dengan port yang open. Jumlah port semuanya 65536 (0 sampai 65535). Port-port yang terkenal adalah port nomor 0 sampai 1023, port-port terdaftar dari 1024 sampai 49151, dan dynamic dan/atau private port dari 49152 sampai 65535. Komputer pribadi yang hanya dipakai untuk mengakses Internet pada umumnya hanya membuka port 25 dan 110, serta 139. Game Online menggunakan port-port nomor tertentu seperti 1025 untuk Network Blackjack serta Microsoft Gaming Zone menggunakan port 28800 agar para pemain dapat saling mengirim ping satu sama lain. Apabila suatu port memang harus terbuka karena memang memberi servis tertentu pada Internet, maka untuk menjaga port tersebut dari serangan port scan dapat digunakan PortSentry.
PortSentry dapat di terjemahkan ke bahasa Indonesia sebagai Penjaga Gerbang/Pelabuhan. Sentry berarti penjaga, Port dapat diterjemahkan gerbang atau pelabuhan. Pada jaringan komputer (Internet), masing-masing server aplikasi akan stand-by pada port tertentu, misalnya,Web pada port 80, mail (SMTP) pada port 25, mail (POP3) pada port 110. PortSentry adalah program
yang dirancang untuk mendeteksi dan menanggapi kegiatan port scan pada sebuah mesin secara real-time.Beberapa fitur yang dimiliki oleh PortSentry, antara lain:a. Mendeteksi adanya stealth port scan untuk semua platform Unix. Stealth
port scan adalah teknik port scan yang tersamar/tersembunyi, biasanya sukar dideteksi oleh sistem operasi
b. PortSentry akan mendeteksi berbagai teknik scan seperti SYN/half-open, FIN, NULL dan X-MAS.
PortSentry akan bereaksi terhadap usaha port scan dari lawan dengan cara memblokir penyerang secara realtime dari usaha auto-scanner, probe penyelidik, maupun serangan terhadap sistem.
PortSentry akan melaporkan semua kejanggalan dan pelanggaran kepada software daemon syslog lokal maupun remote yang berisi nama sistem, waktu serangan, IP penyerang maupun nomor port TCP atau UDP tempat serangan di lakukan. Jika PortSentry didampingkan dengan LogSentry, dia akan memberikan berita kepada administrator melalui e-mail.
Fitur cantik PortSentry adalah pada saat terdeteksi adanya scan, sistem anda tiba-tiba menghilang dari hadapan si penyerang. Fitur ini membuat penyerang tidak berkutik. PortSentry selalu mengingat alamat IP penyerang, jika ada serangan Port Scan yang sifatnya acak (random) PortSentry akan bereaksi. Salah satu hal yang menarik dari PortSentry adalah bahwa program ini dirancang agar dapat dikonfigurasi secara sederhana sekali dan bebas dari keharusan memelihara. Beberapa hal yang mungkin menarik dari kemampuan PortSentry antara lain: PortSentry akan mendeteksi semua hubungan antar-komputer menggunakan protokol TCP maupun UDP. Melalui file konfigurasi yang ada. PortSentry akan memonitor ratusan port yang di-scan secara berurutan maupun secara acak. Karena PortSentry juga memonitor protokol UDP, PortSentry akan memberitahukan kita jika ada orang yang melakukan probing (uji coba) pada servis RPC, maupun servis UDP lainnya seperti TFTP, SNMP dll
BAB IV
KESIMPULAN
DoS adalah tipe serangan yang sejauh ini mendapatkan perhatian yang sedikit dalam sistem keamanan informasi. Tujuan dari DoS adalah untuk memperlambat atau merusak kerja daripada jaringan komputer dan DoS sangat sulit untuk dicegah. Karena tujuan dari DoS tidak menghasilkan sesuatu yang dapat merusak sesumber didalam sistem tetapi hanya mengganggu salah satu tujuan dari mengapa internet sangat dibutuhkan saat ini yaitu Availability. Seluruh organisasi saat ini yang menggunakan internet sebagai media menjalankan bisnis perusahaannya mengutamakan availability sebagai satu-satunya layanan yang di andalkan. Sehingga jika layanan ini terganggu maka organisasi tersebut akan mengalami kerugian besar dalam bisnisnya. Sehingga inilah yang menyebabkan mengapa DoS harus dapat dicegah dalam mengamankan keamanan jaringan informasi.
Denial of Service (DoS) attack merupakan sebuah usaha (dalam bentuk serangan) untuk melumpuhkan sistem yang dijadikan target sehingga sistem tersebut tidak dapat menyediakan layanannya (denial of service) atau tingkat servis menurun dengan drastis. Cara untuk melumpuhkan dapatbermacam-macam dan akibatnyapun dapat beragam. Sistem yang diserang dapat menjadi “bengong” (hang, crash), tidak berfungsi, atau turun kinerjanya (beban CPU tinggi). Serangan denial of service berbeda dengan kejahatan pencurian data atau kejahatan memonitor informasi yang lalu lalang. Dalam serangan DoS tidak ada yang dicuri. Akan tetapi, serangan DoS dapat mengakibatkan kerugian finansial.
Daftar Pustaka- http://www.webopedia.com/TERM/D/DoS_attack.html- http://whatis.techtarget.com/definition/0,289893,sid9_gci213591,00.html- http://java.sun.com/sfaq/denialOfService.html- http://www.hut.fi/~lhuovine/study/hacker98/dos.html#1.0- http://www.komodia.com- http://p3m.amikom.ac.id- http://elib.unikom.ac.id
Related Documents
