Analisis Traceback Menggunakan Metode ICMP Traceback Pada Distributed Denial of Service (DDoS) Attack Menggunakan Intrusion Detection System (IDS) Snort Artikel Ilmiah Diajukan kepada Fakultas Teknologi Informasi untuk memperoleh gelar Sarjana Komputer
Peneliti: Dimas Permana Putra (672009255) Dr. Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Salatiga April 2016
ii
iii
iv
v
vi
vii
Analisis Traceback Menggunakan Metode ICMP Traceback Pada Distributed Denial of Service (DDoS) Attack Menggunakan Intrusion Detection System (IDS) Snort 1)
Dimas Permana Putra, 2) Irwan Sembiring Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Jl. Diponegoro 52-60, Salatiga 50771, Indonesia Email: 1)
[email protected], 2)
[email protected] Abstract In the information technology as now, technique for prevent any attacks that is Distributen Denial of Service (DDoS) is needed. Because of the attacks has been destroying several server providers and some websites famous, resulting in huge losses. Prevention correctly and fast very necessary as discussion. Process of analysis with icmp traceback technique used to study that deals with ddos attack especially using spoofing ip. And guidances to study pattern attack ddos can be detected intrusion detection system ( ids ) a snort on server. According to the research has done, data packets detected ids snort can be used to analyze attack, so they could be used to discover patterns ddos attack on the network this research. Keywords: Distributen Denial of Service (DDoS), ICMP Traceback, IP Spoofing, Intrusion Detection System (IDS) Snort Abstrak Di jaman teknologi informasi seperti sekarang, teknik untuk mencegah serangan yang bersifat Distributen Denial of Service (DDoS) sangat dibutuhkan. Karena serangan ini telah menghancurkan beberapa server penyedia layanan dan beberapa website terkenal, sehingga mengakibatkan kerugian yang cukup besar. Langkah pencegahan dengan benar dan cepat sangat diperlukan sebagai pembahasan. Proses analisis dengan teknik ICMP Traceback digunakan untuk mempelajari yang berhubungan dengan DDoS attack khususnya menggunakan IP Spoofing. Dan buktibukti awal untuk mempelajari pola serangan DDoS dapat dideteksi Intrusion Detection System (IDS) Snort pada server. Berdasarkan hasil penelitian yang telah dilakukan, paket data yang terdeteksi IDS snort dapat digunakan untuk menganalisis serangan, sehingga dapat digunakan untuk menemukan pola serangan DDoS pada jaringan penelitian ini. Kata Kunci: Distributen Denial of Service (DDoS), ICMP Traceback, IP spoofing, Intrusion Detection System (IDS) Snort ______________________________________ 1)
Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana 2) Staf Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana
1
1.
Pendahuluan
Berkembangnya teknologi informasi semakin hari semakin pesat, khususnya jaringan komputer dan layanan-layanannya. Di satu sisi mempermudah pekerjaan-pekerjaan manusia sehari-hari, akan tetapi di sisi lain timbul masalah yang sangat serius, yakni faktor keamanannya[1]. Keamanan merupakan hal yang sangat penting dalam dunia teknologi informasi. Di jaman teknologi informasi saat ini, pelayanan kepada konsumen menjadi hal yang mutlak untuk bertahan dalam persaingan. Banyak sekali cara yang ditempuh untuk menghalangi seseorang/instansi/perusahaan guna memberikan pelayanan tersebut. Hal ini menjadi sangat mungkin bila pelayanan yang diberikan melalui jalur yang dapat dikatakan kurang aman (internet) yang terkoneksikan melalui jaringan. Beberapa serangan kepada server sebagai penyedia layanan kerap dilakukan, walaupun tidak semua tujuan yang dilakukan berlandaskan pada politik, atau bisnis belaka. Salah satu tindak kejahatan dunia maya terhadap layanan yang memanfaatkan jaringan komputer adalah serangan Distributed Denial of Service (DDoS). Serangan DoS (Denial Of Service) dan DDOS (Distributed Denial Of Service) adalah serangan yang mungkin bisa sering kita jumpai diantara serangan-serangan lainnya. Serangan DDoS menggunakan sejumlah host untuk membanjiri komputer korban dengan request informasi sehingga sistem tidak dapat bekerja dengan normal yang berakibat sistem tidak dapat memberi layanan sebagaimana mestinya[2]. DoS dan DDoS sendiri pada dasarnya adalah sama, namun DDoS adalah serangan yang dapat dikatakan terstrukur. Dengan mekanisme yang pada dasarnya sama dengan DOS namun memiliki dampak yang umumnya jauh lebih besar dibandingkan dengan DoS[3]. Dengan adanya gangguan keamanan sistem seperti DoS ataupun DDoS, diperlukan suatu solusi agar dapat diambil suatu langkah pencegahan terhadap peristiwa yang sama, salah satunya adalah dengan mengetahui sumber dari penyebab terjadinya penyalahgunaan atau gangguan sistem keamanan jaringan. Traceback digunakan sebagai solusi dari permasalahan. Proses analisa data dengan menggunakan traceback dibutuhkan untuk mengungkapkan kapan dan bagaimana terjadinya suatu peristiwa serangan atau ancaman terhadap jaringan Dengan begitu seorang administrator atau penyidik dapat mengambil langkahlangkah antisipasi dan perbaikan sistem keamanan jaringan agar proses pemulihan keamanan dapat berlangsung dengan benar dan cepat serta untuk langkah pencegahan dari ancaman atau serangan yang akan datang sehingga dapat meminimalisasi kerugian yang diderita. Intrusion Detection System (IDS) adalah perangkat lunak (software) atau suatu system perangkat keras (hardware) yang bekerja secara otomatis untuk memonitor kejadian pada jaringan komputer dan dapat menganalisis masalah keamanan jaringan[4]. Dan snort bisa sangat berguna dalam merespons kejadian penyerangan pada host-host jaringan.
2
2.
Tinjauan Pustaka
ICMP Trace-Back Message sering disebut juga “ITrace”. Metode ini sangat berguna untuk mempelajari path dari paket yang melalui internet. Khususnya yang berhubungan dengan denial of servis attack, yang menggunakan IP Spoofing. Disamping itu dapat digunakan untuk mengetahui karakterisasi path dan deteksi asymmetric route. Ada beberapa tools yang dapat melakukan hal tersebut, seperti “traceroute” tapi tools ini hanya menginformasikan forward path, tidak sebaliknya[5]. Security mendefinisikan DoS sebagai berikut [6]: … suatu serangan yang dilakukan untuk membuat komputer atau jaringan komputer tidak dapat menyediakan layanan secara normal. Pada umumnya serangan DOS menargetkan serangan pada bandwidth jaringan komputer atau koneksi jaringan (connectivity). Bandwidth attack membanjiri jaringan dengan volume traffic yang tinggi, sehingga semua resources (sumber daya) yang ada, tidak dapat melayani request (permintaan) dari legitimate user (user yang sah). Connectivity attack membanjiri komputer dengan volume request koneksi yang tinggi, sehingga semua resources sistem operasi komputer yang ada tidak dapat memproses lebih lama request dari legitimate user. Intrusion Detection System (IDS) adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktifitas yang mencurigakan dalam sebuah jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah jaringan, melakukan analisis dan mencari bukti dari percobaan intrusion[7]. Cara kerja IDS dalam mendeteksi serangan ada dua, yaitu signature based dan anomaly based. Signature based melakukan pendeteksian berbasis signature yang melibatkan pencocokan lalu lintas jaringan dengan database yang ada pada rules Snort. Rules Snort tersebut berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh attacker. Sedangkan anomaly based mendeteksi adanya anomali. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh attacker. Umumnya dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Snort [8] adalah suatu aplikasi open source yang berfungsi untuk memeriksa data-data yang masuk dan melaporkan ke administrator apabila terdapat aktifitas-aktifitas mencurigakan. Snort mampu melakukan analisa real time dan packet logger pada IP network dan dapat menganalisa protokol dan melakukan pendeteksian variasi penyerangan. Snort pertama kali dibuat dan dikembangkan oleh Martin Roesch, lalu menjadi sebuah open source project. Snort bukanlah sebatas protocol analisis atau system pendeteksi penyusupan (Intrusion Detection System - IDS), melainkan sedikit gabungan dari keduanya, dan bisa sangat berguna dalam merespons insiden-insiden penyerangan terhadap host-host jaringan[9].
3
3.
Metode Penelitian dan Perancangan Sistem
Metode yang digunakan dalam menganalisis serangan adalah ICMP traceback. Metode ini sangat berguna untuk mempelajari path dari paket yang melalui internet. Khususnya yang berhubungan dengan denial of servis attack, yang menggunakan IP Spoofing. Disamping itu dapat digunakan untuk mengetahui karakterisasi path dan deteksi asymmetric route. Ada beberapa tools yang dapat melakukan hal tersebut, seperti “traceroute” tapi tools ini hanya menginformasikan forward path, tidak sebaliknya[5]. Permasalahan seperti itu dapat diselesaikan dengan ICMP Traceback message. Ketika menforward paket, router-router (dengan probabilitas rendah) dapat membuat Traceback message yang dikirim ke tujuan (destination). Dengan cukup Traceback message dari router-router sepanjang path, traffic source dan path dapat ditentukan. Pada penelitian ini akan dilakukan skenario penyerangan melalui simulasi jaringan, yaitu skenario serangan DoS. Langkah selanjutnya adalah menentukan desain topologi jaringan sesuai dengan skenario yang ada dalam penelitian. GNS3 merupakan software simulasi jaringan berbasis grafis yang kompleks dibandingkan dengan simulator jaringan yang lain. GNS3 menyerupai Cisco Packet Tracer, namun memiliki fitur seperti Oracle VM Vitualbox dan Jupiter. Sehingga memungkinkan disain topologi yang lebih real dengan interaksi ke sistem lain seperti OS yang ada di VirtualBox, komputer host (tempat dimana GNS3 di install) ataupun koneksi ke internet.
Gambar 1 Desain Topologi Jaringan
Pada Gambar 1 menunjukkan desain topologi jaringan yang ada dalam penelitian yang terdiri dari 2 host, 9 router cisco tipe c3725 dan 4 switch. 1 host difungsikan sebagai Intrusion Detection System (IDS) berbasis Snort dan 1 host lagi berfungsi sebagai attacker. Attacker akan melakukan serangan melalui sebuah komputer pada simulasi jaringan. Selanjutnya IDS Snort akan mendeteksi serangan tersebut. Tahap selanjutnya melakukan konfigurasi sistem sesuai dengan desain yang telah dibuat agar sistem dapat bekerja sesuai dengan yang diharapkan. Konfigurasi sistem dimulai pada IDS Snort, yaitu dengan menginstal paket-paket yang dibutuhkan oleh sistem IDS. Setelah melakukan instalasi paket Snort dan berhasil menjalankan mode sniffer, kemudian dilakukan konfigurasi pada tiap router Cisco. Konfigurasi yang dilakukan tiap router dilakukan dengan
4
konfigurasi yang sama, yaitu kofigurasi dasar router, RIP (Routing Information Protocol) versi 2 dan Access-list Extended. RIP v2 merupakan pengembangan dari RIP v1. RIP v2 juga merupakan protokol Distance Vector yangmenggunakan Hop Count, Holddown Timers, dan juga Split Horizon. RIP v2 menghasilkan beberapa perbaikan atas RIP v1, yaitu memberi dukungan untuk VLSM, menggunakan otentikasi, tag untuk rute eksternal, memberikan informasi hop berikut (next hop), subnetmask, dan multicast. Penambahan informasi subnetmask pada setiap route membuat router tidak harus mengasumsikan bahwa route tersebut memiliki subnet mask yang sama dengan subnet mask yang digunakan padanya. RIP v2 juga menggunakan otentikasi agar dapat mengetahui informasi routing mana yang dapat dipercaya[10]. Tabel 1 Pembagian Jaringan IP
Subjek
Network
Subnet Mask
SERVER
10.10.1.5
255.255.255.0
ATTACKER
172.16.50.5
255.255.255.0
R3 - R6
10.10.1.0
255.255.255.0
R3 - R5
10.10.10.0
255.255.255.0
R3 - R4
10.10.20.0
255.255.255.0
R4 - R7
10.10.30.0
255.255.255.0
R5 - R6
10.10.40.0
255.255.255.0
R5 - R7
10.10.50.0
255.255.255.0
R6 - R7
10.10.60.0
255.255.255.0
R6 - R9
10.10.70.0
255.255.255.0
R7 - R8
10.10.80.0
255.255.255.0
R6 - R8
172.16.10.0
255.255.255.0
R7 - R9
172.16.20.0
255.255.255.0
R8 - Switch 3
172.16.30.0
255.255.255.0
R8 - R9
172.16.40.0
255.255.255.0
R9 - Switch 4
172.16.50.0
255.255.255.0
R1 - Switch 1
192.168.1.0
255.255.255.0
R2 - Switch 2
192.168.10.0
255.255.255.0
R1 - R3
192.168.20.0
255.255.255.0
R1 - R4
192.168.30.0
255.255.255.0
R2 - R4
192.168.40.0
255.255.255.0
R2 - R9
192.168.50.0
255.255.255.0
Dilihat pada Tabel 1, menjelaskan jaringan yang digunakan dalam penelitian dibagi menjadi 20 jaringan. Pembagian jaringan dilakukan untuk mempelajari lompatan-lompatan yang dilewati dan yang dilancarkan oleh host sebagai attacker.
5
Gambar 2 Konfigurasi Dasar Router Cisco
Gambar 2 menunjukan konfigurasi dasar pada router R1. Untuk konfigurasi dasar pada router R2-R9 menggunakan konfigurasi yang sama di router R1 dengan network yang telah ditentutakan pada table 1.
Gambar 3 Log Buffer pada Router Cisco
Untuk menampung semua traffic yang keluar masuk, harus dibuatkan tempat yang disebut log. Pada router cisco, buffer log tidak aktif secara default. Karena itu harus mengaktifkannya sebelum menampung traffic yang akan dilihat dengan perintah yang ada pada Gambar 3. Angka 4096 mempunyai satuan bytes, jadi memori yang disediakan untuk menggunakan traffic sebesar 4096 Bytes.
Gambar 4 Konfigurasi RIP v2 dan ACL Extended
6
Gambar 4 menunjukkan konfigurasi RIP dan Access-list Extended yang digunakan router R1. Dalam penelitian yang dilakukan RIP v2 dibutuhkan untuk membaca lompatan dan metric suatu jaringan. Protocol RIP (Routing Information Protocol) versi 2 sangat dibutuhkan untuk mengevaluasi jalur terbaik untuk paket pada suatu jaringan. 4.
Hasil dan Pembahasan
Pada tahap implementasi sistem, dilakukan konfigurasi sistem pada Virtual box, 1 host digunakan sebagai IDS Snort dan 1 host digunakan untuk melakukan serangan DoS. Selain itu, dilakukan juga beberapa konfigurasi di router Cisco pada software GNS3, seperti konfigurasi dasar router, RIP v2, dan Access-list Extended. Sistem IDS Snort ini akan dikenai serangan sesuai dengan skenario yang ada dalam penelitian.
Gambar 5 Hping3
Gambar 5 merupakkan skenario serangan DoS dengan menggunakan Hping3 yang dilakukan di penelitian. Dalam skenario, attacker menggunakan serangan ICMP flood ke IP Address 192.168.1.5. Jenis serangan ini secara otomatis mengirim sebuah Echo Request ke server yang dituju, sehingga server yang terkena serangan tidak dapat digunakan sebagaimana mestinya. Di saat ip address 172.16.50.5 melakukan serangan ICMP flood ke server dengan IP address 192.168.1.5, server yang telah diinstal snort akan mendeteksi ip address yang mencurigakan seperti yang terjadi di Gambar 6.
Gambar 6 Deteksi DDoS pada mode Sniffing Snort
Gambar 6 menunjukkan Snort mendeteksi adanya serangan DoS Attack yang dieksekusi oleh IP Address 172.16.50.5 ke 192.168.1.5. Paket yang
7
terdeteksi oleh Snort berjalan dengan sangat cepat dari biasanya. Dan server mengalami beban yang besar, sehingga server tidak dapat melakukan tugasnya sebagai server sebagaimana mestinya.
Gambar 7 Logging pada Router R1
Gambar 7 menunjukkan serangan paket ICMP yang di lakukan oleh ip address 172.16.50.5 melewati router R1 dengan waktu yang sama saat terdeteksi oleh snort. Karena di router R1 memiliki waktu yang sama saat snort mendeteksi serangan, log di router R1 dapat di jadikan bukti untuk mempelajari pola serangan DDoS di penelitian. Tabel 2 Percobaan Serangan yang Dilakukan
Serangan yang Dilakukan 1 percobaan
R1, R3, R4, R6, R7, R9
2 percobaan
R1, R3, R4, R6, R7, R9
3 percobaan
R1, R3, R4, R6, R7, R9
4 percobaan
R1, R3, R4, R6, R7, R9
5 percobaan
R1, R3, R4, R6, R7, R9
6 percobaan
R1, R3, R4, R6, R7, R9
7 percobaan
R1, R3, R4, R6, R7, R9
8 percobaan
R1, R3, R4, R6, R7, R9
9 percobaan
R1, R3, R4, R6, R7, R9
Router yang Dilewati
10 percobaan R1, R3, R4, R6, R7, R9 Tabel 2 menunjukkan serangan yang dilancarkan ip address 172.16.50.5 sebagai attacker dilakukan sebanyak 10 kali. 10 kali percobaan serangan DDoS kepada server ip address 192.168.1.5 dilakukan untuk mempelajari pola serangan yang dilakukan. Berdasarkan percobaan yang telah dilakukan dan yang ditunjukkan Tabel 2, serangan dilakukan oleh IP Address 172.16.50.5 ke IP address 192.168.1.5 melalui router R9-R7-R6-R4-R3-R1. Dilihat dari desain topologi di Gambar 1 dapat disimpulkan, serangan ke server dilancarkan melalui rute terpendek dalam jaringan penelitian ini. Rute yang dilewati adalah melalui router R9-R7-R4-R1 dan R9-R6-R3-R1.
8
5.
Simpulan
Berdasarkan pada pengujian dan pembahasan yang telah dilakukan, maka dapat diambil kesimpulan yaitu, sistem IDS Snort yang dibangun telah berhasil dan berjalan dengan baik dalam mendeteksi awal adanya serangan DDoS maupun DoS. Kemudian dilanjutkan dan dianalisis oleh traceback dengan metode ICMP traceback untuk mengetahui sumber dari serangan DDoS ataupun DoS. Dalam pengembangan maupun penelitian selanjutnya ada beberapa saran yang dapat dijadikan pertimbangan, yaitu: 1) Dapat dilakukan perbandingan dengan metode traceback yang lain dalam menganalisis serangan DDoS ataupun DoS. 2) Berdasarkan pengujian yang telah dilakukan di dalam aplikasi GNS3, sehingga menjadi beban untuk 1 komputer yang sekaligus mengeksekusi serangan, menerima serangan, dan menganalisa dalam 1 waktu. Disarankan untuk melakukan penelitian dengan menggunakan topologi jaringan secara nyata, bukan simulasi. 6.
Daftar Pustaka
[1]
Diarta, Etana, 2013, Sistem Monitoring Deteksi Penyusup Dalam Jaringan Komputer Menggunakan Snort Pada Ubuntu 12.04 Berbasis SMS Gateway, http://repository.amikom.ac.id/files/Publikasi_09.11.2587.pdf. (Diakses tanggal 8 April 2016). Baskoro, Adi, dkk, 2013, Penerapan Congestion Participation Rate (CPR) untuk Pendeteksian Serangan Low-Rate DDoS, http://digilib.its.ac.id/public/ITS-paper-35262-5109100068-paperpdf.pdf. (Diakses tanggal 11 Februari 2016). Hermawan, Rudi, 2012, Analisis Konsep dan Cara Kerja Serangan Komputer Distributed Denial of Service (DDoS), http://journal.lppmunindra.ac.id/index.php/Faktor_Exacta/article/view/186 . (Diakses tanggal 25 Januari 2015). Ariyus, Doni, M.Kom, 2007, Intrusion Detection System, Yogyakarta:Andi. Nasrun, Muhammad, Tinjauan ICMP Traceback Sebagai Teknik Mencegah Serangan Distributed Denial of Service (DDoS) pada Jaringan Komputer, https://www.hitpages.com/doc/4824131694493696/1. (Diakses tanggal 9 April 2015). L. Stein. The world wide web security faq, version 2.0.1. http://www.w3.org/Security/Faq/. (Diakses tanggal 6 April 2015) Jannah, Miftahul, 2009, Implementasi Intrusion Detection System (IDS) Snort pada Laboratorium Jaringan Komputer Lepkom Universitas Gunadarma, http://ejournal.gunadarma.ac.id/index.php/ugjournal/article/view/888/78. (Diakses tanggal 19 September 2015). Muamar, Ahmad, 2013, Web Hacking (Basic), http://www.slideshare.net/y3dips/web-hackingdvwapublish. (Diakses tanggal 19 September 2014).
[2]
[3]
[4] [5]
[6] [7]
[8]
9
[9] [10]
Rafiudin, Rahmat, 2010, Mengganyang Hacker dengan Snort, Yogyakarta,:Andi. Nurhikma, 2013, Dinamic Routing (RIP Versi 2), http://www.academia.edu/5394062/RIP_Versi_2. (Diakses tanggal 23 April 2016)
10
