Denial of Service Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

Denial of Service Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id>

Tahun Ajaran 2011/2012

Serangan Denial of Service (DoS) adalah serangan yang membuat sistem tidak dapat menyediakan layanan kepada pengguna.

Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed

Caranya dengan membebani sistem. (membanjiri sistem dan jaringan dengan lalu lintas “sampah”)


Dapat terjadi lokal atau seluruh jaringan.


Serangan DoS berpengaruh pada elemen keamanan apa?

Availability. (ketersediaan layanan)


DoS

DoS ●

Terdapat 2 kategori DoS. ●

●

●

●

●

DoS biasa/sederhana: satu sistem menyerang satu sistem target. DoS tersebar/Distributed DoS (DDoS): banyak sistem menyerang satu atau beberapa sistem target.

Tujuan DoS adalah untuk menghalangi pengguna mengakses layanan pada sebuah sistem dan jaringan. Seranganserangan DoS. ●

Membanjiri jaringan dengan lalu lintas data.

●

Mengganggu koneksi antar dua buah mesin.

●

Menghalangi pengguna tertentu untuk mengakses layanan.

●

Mengganggu layanan yang sedang digunakan sistem/pengguna tertentu.

DDoS umumnya dilakukan oleh BOT dan BOTNET.


Membuat sistem “sibuk sendiri” ;-)


Efek DoS: sistem dan jaringan mati, operasional organisasi lumpuh, kerugian finansial, turunnya citra organisasi.


Kevin Labianco, CC BYNCND, https://secure.flickr.com/photos/kevinl8888/64076074/

DoS adalah cara terakhir. (dalam proses peretasan)


DDoS

DDoS adalah DoS versi lanjut. (banyak sistem diminta untuk mengirim paket yang tidak dapat ditangani oleh target, berskala besar, terkoordinasi)


Trinoo/trin00, Tribal Flood Network (TFN), TFN2K, ...


DDoS ●

●

Target utamanya adalah sistem yang layanannya akan diserang. Target sekundernya adalah sistem yang digunakan untuk menyerang. ●

Berjumlah banyak dan disebut dengan zombie atau BOT.

●

Dikuasai terlebih dulu oleh penyerang.

●

●

Umumnya tersebar di beberapa tempat dengan lokasi dan alamat IP yang berbeda.

Tiga komponen DDoS: master/handler, target sekunder/slave/zombie/agent, dan target utama.


Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide






BOT/BOTNET



Fase DDoS ●

Secara umum terdiri dari 2 fase. ●

●

Fase penyusupan komputer yang akan dijadikan zombie/slave dan menguasainya. Penyerang memasang program DDoS. Fase penyerangan dengan meminta banyak zombie untuk menyerang sistem target.

BOT/BOTNET



BOT/BOTNET ●

Dari kata roBOT, secara umum adalah program yang dapat dikendalikan secara otomatis dan cerdas. ●

●

●

●

●

●

Dapat pula berarti sistem yang telah terpasang program BOT. Dikenal di layanan IRC. BOT IRC menerima perintah dan menyediakan layanan seperti status pengguna, merekam pembicaraan di kanal tertentu, kuis, dll. Sebagian BOT adalah program yang berjalan di web, seperti web crawler atau spider. Sebagian yang lain digunakan untuk bermain gim, serta menyediakan layanan pada pengguna melalui pesan instan, dan lainlain. Dapat digunakan untuk mengirimkan spam dan pengendusan data.

BOTNET adalah kumpulan sistem BOT. Dalam DDoS, BOTNET adalah kumpulan sistem yang telah dikuasai oleh penyerang, dan digunakan untuk melakukan serangan.


10 BOT?

100 BOT?

1000 BOT?



Worm Apache/mod_ssl (2002) ●

Berkas sumber worm ada di direktori /tmp: .uubugtraq, .bugtraq.c, dan .bugtraq.

●

Memindai port 80/tcp.

●

Menyebar melalui koneksi 443/tcp.

●

●

DDoS. Sistem akan mengirim atau menerima datagram pada porta sumber dan tujuan 1978/udp, 2002/udp, atau 4156/udp, yang merupakan kanal komunikasi antar sistem yang terinfeksi untuk mengkoordinasikan serangan pada beberapa situs target. Baca https://cert.org/advisories/CA200227.html.


Ping of Death

Ping of Death ●

●

●

Mengirim paket IP dengan ukuran lebih dari yang diijinkan, yaitu 65.536 bita. Fragmentasi membuat paket IP dapat dibagi menjadi bagianbagian kecil. Potonganpotongan tersebut dapat bertambah melebihi ukuran 65.536 bita, sehingga dapat membuat sistem hang, reboot, atau crash.

●

Dapat dikombinasikan dengan alamat IP palsu.

●

Ping of Death tinggal kenangan ;)


Serangan Smurf


ECCouncil. 2008. Module XIV: Denial of Service, Ethical Hacking and Countermeasures Version 6.


Serangan Smurf ●

●

●

●

Serangan smurf: pengiriman ICMP Echo (ping) dalam jumlah banyak ke alamat IP broadcast dengan alamat sumber target yang dipalsukan (spoofed). Setiap komputer yang berada di dalam jaringan akan membalas permintaan ICMP Echo dengan balasan Echo. Terjadi peningkatan jumlah lalu lintas balasan Echo sesuai dengan jumlah komputer yang merespon ;) Dalam jaringan broadcast multiaccess, ratusan mesin akan membalas setiap paket ICMP Echo.

●

Muncul serangan DoS dari balasan ping yang semakin banyak.

●

Peladen IRC adalah salah satu target serangan smurf di Internet.


SYN Flood

A

B 1



A

B 1

2



A

B 1

2

3



SYN Flood (1) ●

●

●

●

Serangan SYN flood: pengiriman permintaan koneksi TCP yang banyak dan lebih cepat dari kemampuan pemrosesan komputer target. Penyerang membuat alamat sumber acak untuk setiap paket dan flag SYN diset untuk meminta koneksi TCP baru dari banyak alamat IP palsu (spoofed). Mesin target akan merespon (SYN/ACK) ke banyak alamat palsu dan menunggu konfirmasi balik (ACK) yang tak akan pernah muncul. Tabel koneksi target akan penuh dengan status menunggu konfirmasi balik (ACK), sehingga koneksikoneksi baru akan diabaikan, termasuk dari pengguna valid yang ingin meminta layanan.


SYN Flood (2) ●

●

Serangan SYN flood dapat dideteksi dengan perintah netstat. Lihat status SYN_RECV pada perintah `netstat n p tcp`. Beberapa metode yang dapat digunakan untuk mencegah serangan SYN flood. ●

●

●

●

SYN Cookies: memastikan peladen tidak mengalokasikan sumber daya sistem sampai proses threeway handshake lengkap. RST Cookies: peladen akan merespon SYN dengan SYN/ACK yang keliru. Ketika klien membalas dengan RST, maka peladen tahu bahwa klien valid, dan akan menerima permintaan koneksi normal. Micro Blocks: mencegah SYN flood dengan mengalokasikan ruang yang kecil di memori untuk rekaman koneksi, ~16 bita. Stack Tweaking: mengubah tumpukan/stack TCP/IP dengan mengurangi koneksi yang datang atau mengurangi timeout secara selektif ketika sistem mencoba membebaskan memori untuk alokasi rekaman koneksi baru.


Penanggulangan DDoS

ECCouncil. 2008. Module XIV: Denial of Service, Ethical Hacking and Countermeasures Version 6.


Penanggulangan DDoS ●

●

●

●

●

Ingress Filtering: menerapkan teknik penyaringan untuk memastikan paket yang datang memang dari jaringan yang bersangkutan. Membutuhkan implementasi di semua penyedia akses jaringan. Kebanyakkan IDS, dingap, dan router memiliki kemampuan ini. Membatasi laju lalu lintas jaringan: dengan pembatasan jumlah lebar pita untuk beberapa kasus di router (traffic shaping). Pemasangan IDS: untuk mendeteksi komunikasi antar komponen DDoS. Perlu pemutakhiran basis data IDS. Alat pelacak jaringan otomatis: melacak aliran paket yang mempunyai alamat palsu (spoofed) melalui jaringan. Menghabiskan waktu banyak dan perlu kerja sama penyedia layanan jaringan lain saat serangan terjadi. Alat audit sistem dan jaringan: pemindaian sistem berkas dan jaringan terhadap program DDoS yang terpasang.


Daftar Bacaan ●

●

ECCouncil. 2008. Module XIV: Denial of Service, Ethical Hacking and Countermeasures Version 6 Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide, Sybex


Denial of Service Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

Recommend Documents