KEAMANAN SISTEM INFORMASI Darmanto¹ 14.51.0619 Magister Teknik Informatika, STMIK Amikom Yogyakarta Jl. Ring Road Utara, Condong Catur, Sleman, Daerah Istimewa Yogyakarta (0274) 884201 Email:
[email protected]
Abstrak Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi.Sayang sekali masalah keamanan ini seringkali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan diurutan terakhir dalam daftar hal-hal yang dianggap penting. Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual. Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi. Tujuan dari pembuatan paper ini adalah mempelajari berbagai teknik serta tool untuk Keamanan Sistem Informasi diantaranya Port scanning Tool, Sniffing, DOS Attck, dan DDOS.
PENDAHULUAN Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Selain itu keamanan sistem informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan lunak komputer, jaringan komunikasi, dan data.
PEMBAHASAN 1. Port scanning Tool Jika port adalah sebuah pintu, maka scanning adalah proses untuk mengamati atau meninjau. Jadi, dari kedua pengertian di atas, dapat kita tarik kesimpulan bahwa port scanning adalah suatu kegiatan atau aktifitas atau proses untuk mencari dan melihat serta meneliti port pada suatu komputer atau perlengkapan dan peralatannya. Tujuan dari kegiatan ini adalah meneliti kemungkinan-kemungkinan kelemahan dari suatu sistem yang terpasang pada suatu komputer atau perlengkapan dan peralatannya melalui port yang terbuka. Pada intinya, melakukan port scanning ialah untuk mengidentifikasi port-port apa saja yang terbuka, dan mengenali OS target. Apakah port scanning merupakan salah satu dari cybercrime? Salah satu langkah yang dilakukan cracker sebelum masuk ke server yang ditargetkan adalah melakukan pengintaian. Cara yang dilakukan adalah dengan melakukan “port scanning” untuk melihat servis-servis apa saja yang tersedia di server target. Sebagai contoh, hasil scanning dapat menunjukkan bahwa server target menjalankan program web server Apache, mail server Sendmail, dan seterusnya. Analogi hal ini dengan dunia nyata adalah dengan melihat-lihat apakah pintu rumah anda terkunci, merek kunci yang digunakan, jendela mana yang terbuka, apakah pagar terkunci (menggunakan firewall atau tidak) dan seterusnya. Yang bersangkutan memang belum melakukan kegiatan pencurian atau penyerangan, akan tetapi kegiatan yang dilakukan sudah mencurigakan. Jika yang dilakukan hanya untuk menambah ilmu atau hanya mengetahui saja tanpa ada niat untuk merusak atau membocorkan sebuah informasi, maka aktivitas ini dapat di katakan bukan merupakan cyber crime. Port Scanning bisa jadi ancaman yang cukup serius bagi sistem kita, dan menjadi hal yang sangat menyenangkan bagi para attacker. Dengan PORT scanning, attacker mendapatkan informasi-informasi berharga yang dibutuhkan dalam melakukan serangan. Beberapa contoh port scanning yaitu Nmap, Nessus, Superscan, Strobe, dan lain-lain. 1. Nmap Meskipun selama ini Nmap telah mengalami perkembangan fungsionalitas, namun ia bermula sebagai sebuah scanner port yang efisien, dan hal itu tetap menjadi fungsi utamanya. Perintah sederhana nmap
akan memeriksa lebih dari 1660 port TCP pada host . Ketika banyak scanner port secara tradisional membagi seluruh port ke dalam status terbuka (open) atau tertutup (closed), Nmap lebih granular. Status ini bukan merupakan properti intrinsik dari port itu sendiri, namun
menggambarkan bagaimana Nmap memandang mereka. Sebagai contoh, scan Nmap dari jaringan yang sama dengan target mungkin menampilkan port 135/tcp sebagai terbuka, sementara scan yang sama pada waktu dan opsi yang sama dari Internet mungkin menunjukkan bahwa port tersebut filtered. Enam status port yang dikenali Nmap a. Open Sebuah aplikasi secara aktif menerima koneksi paket TCP atau UDP pada port ini. Menemukan port terbuka ini seringkali merupakan tujuan utama scanning port. Orang dengan pikiran keamanan (security-minded) tahu bahwa setiap port terbuka merupakan celah untuk serangan. Penyerang dan pen-testers ingin mengeksploitasi port terbuka, namun administrator berusaha menutup atau melindungi mereka dengan firewall tanpa mengganggu user yang berhak. Port terbuka juga menarik bagi scan bukan keamanan karena mereka memberitahu layanan yang dapat digunakan pada jaringan. b. Closed Port tertutup dapat diakses (ia menerima dan menanggapi paket probe Nmap), namun tidak ada aplikasi yang mendengarkan padanya. Mereka bermanfaat dengan menunjukkan bahwa host up pada alamat IP tersebut (host discovery, atau ping scanning), dan sebagai bagian deteksi SO. Oleh karena port tertutup dapat dijangkau, bermanfaat untuk mencoba scan di waktu yang lain jikalau port tersebut terbuka. Administrator mungkin perlu mempertimbangkan untuk memblok port tersebut dengan firewall. Lalu mereka akan muncul dalam status filtered, yang akan didiskusikan. c. Filtered Nmap tidak dapat menentukan apakah port terbuka karena packet filtering mencegah probenya mencapai port. Filter ini dapat dilakukan oleh device firewall, aturan pada router, atau software firewall pada host. Port ini membuat penyerang frustrasi karena mereka memberikan sedikit informasi. Terkadang mereka menanggapi dengan pesan kesalahan ICMP misalnya tipe 3 kode 13 (tujuan tidak dapat dicapai: komunikasi dilarang secara administratif), namun yang lebih umum adalah filter yang hanya men-drop probe tanpa memberi tanggapan. Hal ini memaksa Nmap berusaha beberapa kali untuk memastikan probe tidak di-drop akibat jaringan yang padat. Hal ini sangat memperlambat proses scan. d. Unfiltered Status unfiltered berarti bahwa port dapat diakses, namun Nmap tidak dapat menentukan apakah ia open atau closed. Hanya scan ACK, yang digunakan untuk mengetahui aturan firewall, menggolongkan port ke dalam status ini. Pemeriksaan port unfiltered dengan tipe pemeriksaan lain seperti Window scan, SYN scan, atau FIN scan, dapat membantu mengetahui apakah port terbuka.
e. Open filtered Nmap menganggap port dalam status ini bila ia tidak dapat menentukan apakah port open atau filtered. Hal ini terjadi untuk jenis pemeriksaan ketika port terbuka tidak memberi respon. Tidak adanya tanggapan dapat pula berarti bahwa packet filter men-drop probe atau respon yang diberikan. Sehingga Nmap tidak dapat mengetahui dengan tepat apakah port terbuka atau difilter. Scan UDP, IP protocol, FIN, NULL, dan Xmas mengklasifikasikan port dengan cara ini. f. Closed filtered Status ini digunakan ketika Nmap tidak dapat menentukan apakah port tertutup atau di-filter. Ia hanya digunakan pada scan idle ID IP. Untuk mencari port yang terbuka Nmap (”Network Mapper”) merupakan software open source gratis yang digunakan untuk eksplorasi suatu jaringan komputer dan pemeriksaan sekuriti jaringan. Software ini bisa didapatkan secara gratis dari website http://nmap.org/. Nmap didisain untuk eksplorasi jaringan network yang luas, walaupun begitu software ini tetap bekerja dengan baik untuk hanya beberapa komputer atau bahkan satu komputer sekali pun. Nmap menggunakan IP raw paket untuk menentukan apakah komputer dapat diakses dalam suatu jaringan, tipe-tipe filter atau firewall yang digunakan, OS (dan versinya), dan banyak hal lain. Ada beberapa teknik yang sering dipakai dalam menggunakan Nmap untuk men-scan jaringan komputer, diantaranya adalah sebagai berikut: 1. Syn Scan -sS -p 1-1023 -n -P0 192.168.1.9 Starting Nmap 4.53 ( http://insecure.org ) at 2008-0909 23:52 JST Interesting ports on 192.168.0.9: Not shown: 1021 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 0.349 seconds Option: -sS : Menggunakan Syn Scan -P0 : Digunakan untuk scan melalui firewall. Dapat digunakan walaupun target tidak menjawab ping -p : Menentukan range port -n : Tidak melakukan pencarian nama/DNS
2. Connect Scan #nmap -sT -n -p 1-1023 192.168.0.9 Starting Nmap 4.53 ( http://insecure.org ) at 2008-0910 00:01 JST Interesting ports on 192.168.0.9: Not shown: 1021 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http Nmap done: 1 IP address (1 host up) scanned in 0.179 seconds Option: -sT : Menggunakan Connect Scan -p : Menentukan range port -n : Tidak melakukan pencarian nama/DNS
3. UDP Scan (ICMP Port Unreach) # nmap -sU -p 1-1023 192.168.0.9 Starting Nmap 4.53 ( http://insecure.org ) at 2008-0910 00:04 JST Interesting ports on 192.168.0.9: Not shown: 1022 closed ports PORT STATE SERVICE 68/udp open|filtered dhcpc Nmap done: 1 IP address (1 host up) scanned in 1.401 seconds Option: -sU : UDP Scan 4. Network scan lainnya #nmap -sV -p 1-1023 192.168.0.9 Starting Nmap 4.53 ( http://insecure.org ) at 2008-0910 00:07 JST Interesting ports on 192.168.0.9: Not shown: 1021 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1.2 (protocol 2.0)
80/tcp open http Apache httpd 2.2.8 ((Ubuntu)) Service Info: OS: Linux Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/. Nmap done: 1 IP address (1 host up) scanned in 6.657 seconds Option: -sV : Menentukan info service/version dari port yang ada 5. Ping Sweep (Untuk menentukan host yang ada dalam jaringan) #nmap -sP 192.168.0.1-254 Starting Nmap 4.53 ( http://insecure.org ) at 2008-0910 00:14 JST Host 192.168.0.1 appears to be up. Host 192.168.0.2 appears to be up. Host 192.168.0.4 appears to be up. Host 192.168.0.9 appears to be up. Host 192.168.0.10 appears to be up. Host 192.168.0.12 appears to be up. Host 192.168.0.13 appears to be up. Nmap done: 254 IP addresses (7 hosts up) scanned in 1.124 seconds 2. Nessus Nessus merupakan sebuah program yang dapat digunakan untuk mencari kelemahan pada sebuah sistem komputer. Nessus juga dapat melakukan pengecekan terhadap kerentanan sistem komputer, dan meningkatkan keamanan sistem yang kita miliki. Nessus dapat pula digunakan untuk melakukan audit sebagai berikut: 1) credentialed and un-credentialed port scanning. 2) network based vulnerability scanning. 3) credentialed based patch audits for Windows and most UNIX platforms. 4) redentialed configuration auditing of most Windows and UNIX platforms. 5) robust and comprehensive credentialed security testing of 3rd party applications. 6) custom and embedded web application vulnerability testing. 7) SQL database configuration auditing.
8) 9)
Software enumeration on Unix and Windows. Testing anti-virus installs for out-of date signatures and configuration errors. Nessus melakukan scaning berdasarkan Security Policy Plugin yang kita aktifkan (enabled) sebelum melakukan scaning. Security Policy sendiri merupakan suatu set aturan yang menetapkan hal-hal apa saja yang diperbolehkan dan apa saja yang dilarang terhadap penggunaan atau pemanfaatan akses pada asebuah sistem selama operasi normal. Contoh misal, nesus dapat mengetahui port mana saja yang terbuka pada sebuah komputer yang terhubung ke sebuah jaringan, misalnya internet. Dengan mengetahui port mana saja yang terbuka, kita dapat mengetahui kemungkinan penyebab kerusakan atau mengetahui jalur mana saja yang dimungkinkan untuk mengakses komputer kita. 2. SNIFFING Sniffer Paket (penyadap paket) yang juga dikenal sebagai Network Analyzers atau Ethernet Sniffer ialah sebuah aplikasi yang dapat melihat lalu lintas data pada jaringan komputer. Dikarenakan data mengalir secara bolak-balik pada jaringan, aplikasi ini menangkap tiap-tiap paket dan terkadang menguraikan isi dari RFC (Request for Comments) atau spesifikasi yang lain. Berdasarkan pada perangkat jaringan (seperti hub atau switch), salah satu pihak dapat menyadap keseluruhan atau sebagian dari komputer yang terhubung pada jaringan lokal. Definisi singkatnya, sniffing adalah penyadapan terhadap lalu lintas data pada suatu jaringan komputer. Contohnya, User adalah pemakai komputer yang terhubung dengan suatu jaringan lokal dikampus. Saat user mengirimkan email ke teman yang berada di luar kota, email tersebut akan dikirimkan dari komputer user melewati gateway internet pada jaringan lokal kampus, kemudian dari jaringan lokal kampus diteruskan ke jaringan internet. Lalu masuk ke inbox email. Pada jaringan lokal kampus dapat terjadi aktifitas sniffing yang dapat dilakukan baik administrator jaringan yang mengendalikan server atau oleh pemakai komputer lain yang terhubung pada jaringan lokal kampus. Dengan aktifitas sniffing, email user dapat ditangkap/dicapture sehingga isinya bisa dibaca oleh orang yang melakukan Sniffing. Bukan hanya email, tetapi seluruh aktifitas yang melalui jaringan lokal TCP/IP. Aktivitas menyadap atau sniffing ini bisa dibagi menjadi 2 (dua) yaitu sniffing pasif dan sniffing aktif. Sniffing pasif melakukan penyadapan tanpa
mengubah data atau paket apapun di jaringan, sedangkan sniffing aktif melakukan tindakan-tindakan atau perubahan paket data di jaringan. Sniffing pasif dapat ditanggulangi dengan cara menggunakan switch (S’to, 2007). Melihat kondisi saat ini bahwa harga switch hampir sama dengan hub, maka seiring waktu jaringan komputer akan beralih menggunakan switch sebagai penghubung antar komputer. Namun ada satu hal yang berbahaya, yaitu sniffing aktif.Sniffing aktif adalah metode sniffing dalam jaringan yang lebih canggih dari sniffing pasif. Sniffing aktif ini pada dasarnya memodifikasi Address Resolution Protocol (ARP) cache sehingga membelokkan data dari komputer korban ke komputer hacker. ARP adalah sebuah protokol dalam TCP/IP Protocol Suite yang bertanggungjawab dalam melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC Address). ARP didefinisikan di dalam RFC 826. Pada kenyataannya, masih sedikit solusi yang tepat untuk mendeteksi maupun untuk mencegah aktivitas snffing ini. Sistem deteksi penyusup jaringan yang ada saat ini umumnya mampu mendeteksi berbagai jenis serangan tetapi tidak mampu mengambil tindakan lebih lanjut Beberapa aksi sniffing lebih menakutkan lagi, biasanya cracker melakukan sniffing di tempat-tempat rawan, misalnya seorang karyawan melakukan sniffing di perusahaan tempat dia bekerja, atau seorang pengunjung warnet melakukan sniffing untuk mencuri password email, bahkan mencuri data transaksi bank melalui informasi kartu kredit. Akibatnya tingkat kriminal cyber (cyber crime) meningkat dan merugikan banyak pihak Cara untuk mengatasi sniffing aktif ini dapat dilakukan dengan pembentukan ARP Static Table sehingga hacker tidak dapat mengubah ARP dengan metode ARP Poisoning, Namun ada kendala dalam pembentukan ARP static table, yaitu tidak dapat mengetahui antara IP/MAC address mana yang fiktif (hasil ARP Poisoning) dan IP/MAC address yang asli. Salah satu tool sniffing yaitu : 1. TCPdump TCP/IP merupakan standar de facto untuk komunikasi antara dua komputer atau lebih. IP (Internet Protocol) menjalankan fungsinya pada network layer (pengalamatan dan routing) sedangkan TCP (Transmission Control Protocol) menyediakan jalur hubungan end-to-end (transport layer) TCPdump adalah tools yang berfungsi mengcapture, membaca atau mendumping paket yang sedang ditransmisikan melalui jalur TCP. TCPdump diciptakan untuk menolong programer ataupun administrator dalam menganalisa dan troubleshooting aplikasi networking. Seperti pisau yang bermata dua (hal ini sering
kali disebut-sebut), TCPdump bisa digunakan untuk bertahan dan juga bisa digunakan untuk menyerang. Utility ini juga seringkali digunakan oleh para cracker untuk melaksanakan perkerjaannya, karena TCPdump bisa mengcapture atau mensniff semua paket yang diterima oleh network interface, Sama halnya dengan tujuan diciptakannya TCPdump, dalam artikel ini saya akan coba membahas bagaimana TCPdump digunakan untuk menganalisa koneksi yang terjadi antara dua sistem. 3. DOS ATACK Serangan DoS (denial-of-service attacks') adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang Țersebut. Dalam sebuah serangan Denial of Service, sipenyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut: a. Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding. b. Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding. c. Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar
dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server. 4. DDOS Serangan DOS (Denial Of Service) dan DDOS (Distributed Denial Of Service) adalah serangan yang mungkin bisa sering kita jumpai diantara serangan serangan lainnya. DOS dan DDOS sendiri pada dasarnya adalah sama, namun DDOS adalah serangan yang dapat dikatakan terstrukur. Dengan mekanisme yang pada dasarnya
sama dengan DOS namun memiliki dampak yang umumnya jauh lebih besar dibandingkan dengan DOS. Walaupun belum banyak orang yang mengerti, namun tidak ada salahnya dijadikan pembelajaran untuk menambah pengetahuan mengenai jenis serangan yang cukup fatal ini. Cara penanggulangannya pun menarik untuk diangkat, sebagai bahan pertimbangan bila suatu saat tanpa kita tahu serangan ini menjadikan kita sebagai tergetnya. Dunia maya adalah dunia yang sangat sulit ditebak, kita tidak sepenuhnya tahu siapa lawan bicara kita. Apakah ia orang yang sebenarnya. Apakah orang yang sedang kita ajak bicara berhati bersih, atau mungkin sedang mengamati kita dari belahan dunia lain. Mungkin kata – kata yang sering kita dengar dan saya baca dari beberapa tulisan mengenai ”Don’t trust anyone in cyber, be paranoid” tidak sepenuhnya salah. Sebab dunia cyber adalah dunia yang sulit untuk ditebak. Dengan mengetahui mekanisme serangan diharapkan kita dapat mengetahui cara lain yang mungkin lebih ampuh untuk mengatasi serangan DOS ini. Metode penanggulangan yang saya jelaskan pada tulisan ini adalah metode yang umum, yang biasanya diterapkan oleh orang- orang yang lebih berpengalaman dalam jaringan. Metode penanggulangan dan mekanisme penyerangan didapatkan dari beberapa literatur dari beberapa ahli. Cara kerja DDOS dalam melakukan serangan kepada situs yang diinginkan. Secara sederhana serangan DDOS bisa dilakukan dengan menggunakan perintah “ping” yang dimiliki oleh windows. Proses “ping” ini ditujukan kepada situs yang akan menjadi korban. Jika perintah ini hanya dilakukan oleh sebuah komputer, perintah ini mungkin tidak menimbulkan efek bagi komputer korban. Akan tetapi, jika perintah ini dilakukan oleh banyak komputer kepada satu situs maka perintah ini bisa memperlambat kerja komputer korban. Satu komputer mengirimkan data sebesar 32 bytes / detik ke situs yang di tuju. Jika ada 10.000 komputer yang melakukan perintah tersebut secara bersamaan, itu artinya ada kiriman data sebesar 312 Mega Bytes/ detik yang di terima oleh situs yang di tuju tadi. Dan server dari situs yang dituju tadi pun harus merespon kiriman yang di kirim dari 10.000 komputer secara bersamaan. Jika 312 MB/detik data yang harus di proses oleh server, dalam 1 menit saja, server harus memproses kiriman data sebesar 312 MB x 60 detik = 18720 MB. Bisa di tebak, situs yang di serang dengan metode ini akan mengalami Over Load / kelebihan data, dan tidak sanggup memproses kiriman data yang datang. Komputer-komputer lain yang ikut melakukan serangan tersebut di sebut komputer zombie, dimana sudah terinfeksi semacam adware. jadi si Penyerang hanya memerintahkan komputer utamanya untuk
mengirimkan perintah ke komputer zombie yang sudah terinfeksi agar melakukan “Ping” ke situs yang di tuju. Tipe Serangan DOS maupun DDOS ini umumnya bertujuan menghabiskan bandwith dan membuat crash sistem tersebut sehingga tidak dapat memberikan pelayanan. Bandwith merupakan bagian yang sangat penting bagi perusahaanperusahaan yang core bisnisnya berorientasi pada internet. Bagaimana sebuah bank dapat memberikan pelayanan e-banking bila tidak ada bandwith yang tersedia untuk melayani nasabah. Atau sebuah ISP yang bottleneck tidak bisa memberikan koneksi internet kepada konsumennya, rugilah ISP tersebut karena harus membayar jaminan koneksi. Bayangkan bila habis bandwith pada perusahaan – perusahaan tersebut dapat terjadi berjam – jam, kerugian yang diderita tentunya akan sangat besar. Nasabah bank akan merasa dirugikan karena tidak dapat bertransaksi secara online, sedangkan konsumen ISP akan menuntut ganti rugi sesuai jaminan yang dirugikan. Bisa anda bayangkan dampaknya. Dibagian ini akan dibahas mengenai serangan DOS dan DDOS serta penanggulangannya. Jenis – jenis serangan DOS, diantaranya : 1.
Ping Of Death Merupakan serangan klasik yang dulu sering digunakan. Serangan ini di dilancarkan dengan menggunakan utility ping pada sebuah sistem operasi. Ping biasanya digunakan untuk memeriksa keberadaan sebuah host. Atau alamat IP dari sebuah website. Data yang dikirimkan secara default adalah 32bytes, namun pada kenyataannya program ini dapat mengirimkan sampai dengan 65kb data. Sekarang serangan seperti ini sudah tidak terlalu ampuh lagi, karena banyak sistem yang telah mengupdate patchnya dan menutup lubang-lubang tersebut. Ditambah semakin canggihnya teknologi dan semakin lebarnya bandwith yang tersedia, sehingga serangan ini tidak lagi menimbulkan dampak yang signifikan bagi sebuah sistem. 2.
Syn flooding Serangan Syn Flooding dilakukan dengan cara memanfaatken kelemahan protokol pada saat terjadinya proses handshake. Saat dua buah komputer memutuskan untuk memulai melakukan komunikasi maka komputer pengirim(penyerang) akan mengirimkan syn, penerima(target) pun akan menjawab dengan mengirimkan syn ack kepada komputer pengirim. Seharusnya setelah menerima balasan syn ack dari penerima pengirim pemngirimkan ack kepada penerima untuk melakukan proses handshake. Namun pada kenyataannya, pengirim justru mengirikan banyak paket syn kepada penerima yang mengakibatkan penerima harus terus menjawab permintaan dari pengirim. Alamat ip penyerang biasanya telah disembunyikan atau spoofed
sehingga alamat yang dicatat oleh target adalah alamat yang salah. Penerima akan bingung untuk menjawab permintaan koneksi TCP yang baru karena masih menunggu banyaknya balasan ACK dari pengirim yang tidak diketahui tersebut. Disamping itu koneksi juga akan dibanjiri oleh permintaan syn yang dikirim oleh pengirim secara terus menerus. Serangan seperti ini menghambat penerima memberikan pelayanan kepada user yang absah. 3. Remote controled attack Ramote controled attack pada dasarnya adalah mengendalikan beberapa network lain untuk menyerang target. Penyerangan dengan tipe ini biasanya akan berdampak besar, karena biasanya server- server untuk menyerang mempunyai bandwith yang besar. Penyerang juga dengan leluasa dapat mengontrol bonekanya dan menyembunyikan diri dibalik server-server tersebut. Banyak tools yang dapat digunakan untuk melakukan serangan denga tipe ini. Umumnya tools-tools tersebut mempunyai tipe Master dan client atau agent. Marster merupakan komputer master yang telah dikuasai oleh penyerang dan akan digunakan untuk memberikan perintah kepada para agent guna melancarkan serangan. Sedangkan client adalah komputer zombie yang telah berhasil dikuasai oleh penyerang, kemudian penyerang menanamkan aplikasi client yang siap menungu perintah untuk menyerang target. Tools yang cukup terkenal dari tipe serangan ini adalah trinoo. Skema penyerangan dengan menggunakan trinoo dapat anda lihat seperti pada gambar dibawah ini :
Penyerang menggunakan dua buah master server yang digunakan untuk menyebarkan perintah kepada para zombie guna menyerang target. Setelah meremote server yang telah ditunjuk sebagai master, selanjutnya penyerang menggunakan server tersebut untuk mengirimpak perintah serangan kepada para zombie dalam hal ini adalah klien dari master server tersebut. Dengan menggunakan master server, penyerang dapat mengirimkan perintah ke banyak zombie asalkan telah adanya komunikasi antara zombie sabagi klien dan master server sebagai master. Setelah menerima perintah dari server, maka klien atau agen ini akan melakukan penyerangan sesuai yang diperintahkan oleh penyerang. Serangan yang dilakukan oleh banyak zombie inilah yang akan baerakibat sangat fatal terhadap sistem target. Karena packet data yang dikirim tidak hanya berasal dari satu sumber, sehingga cukup sulit untuk melakukan pemblokiran alamat penyerang. Serangan DOS kerap dilakukan pada era 80an. Namun saat ini metode serangan telah berkembang, penyerangan bertipe DOS saat ini lebih variatif dan terkoordinasi dengan baik yang menyebabkan korban sulit untuk melacak keberadaan penyerang sesungguhnya. Penyerangan dengan DDOS atau DOS yang didstribusikan dengan menggunakan beberapa node (DOS menggunakan 1 node) akan berdampak lebih besar kepada target. Target akan dibanjiri oleh banyak paket data yang dikirim serentak dari beberapa tempat, skema – skema dibawah ini merupakan beberapa ilustrasi penyerangan DDOS. Skema tersebut digambarkan berdasarkan beberapa jenis serangan DDOS. Baik yang secara langsung maupun dengan memanfatkan network lain (zombie). 4. UDP flood Serangan UDP ini memanfaatkan protokol UDP yang bersifat connectionless untuk menyerang target. Karena sifatnya itulah UDP flood cukup mudah untuk dilakukan. Sejumlah paket data yang besar dikirimkan begitu saja kepada korban. Korban yang kaget dan tidak siap menerima serangan ini tentu akan bingung, dan pada beberapa kasus komputer server tersebut akan hang karena besarnya paket data yang dikirimkan. Penyerang dapat menggunakan tehnik spoofed untu menyembunyikan identitasnya. 5. Smurf Attack Merupakan penyerangan dengan memanfaatkan ICMP echo request yang sering digunakan pada saat membroadcat identitas kepada broacast address dalam sebuah network. Saat melakukan broadcast pada broadcast address maka semua komputer yang terkoneksi kedalam jaringan akan ikut menjawab request tersebut. Hal ini tentu saja akan melambatkan dan memadatkan trafik di jaringan karena komputer – komputer yang tidak ditanya turut memberikan request tersebut. Hal ini tentu akan
berdampak lebih besar bila alamat pengirim request disamarkan, dan tidak hanya mengirimkan ICM request pada sebuah network melainkan kebeberapa network. Tentu saja balasan yang diterima akan lebih besar lagi, tidak hanya sampai disitu. Pengirim menyamarkan identitasnya dengan cara memakai alamat ip orang lain. Celakalah bagi orang tersebut karena ia akan diserang dengan balasan icmp echo request dari beberapa network sekaligus. Skema penyerangan dapat kita lihat seperti gambar dibawah ini.
Pada serangan diatas digambarkan penyerang melakukan penyerangan kepada target dengan memanfaatkan agent- agent yang berjalan melalui daemon-daemon dari tools flooder. Daemon yang berjalan tersebut merupakan daemon yang berjalan disisi klien dan menunggu perintah dari master node. Master node memberikan perintah kepada agent – agent agar menyerang target yang pada gambar diatas diilustrasikan sebagai server yahoo.com. serangan mungkin tidak berpengaruh begitu besar jika jumlah zombie yang digunakan sedikit. Namun jika jumlah yang digunakan terdiri dari puluhan bahkan ratusan sistem maka bukanlah hal yang tidak mungkin bila server yahoo.com dapat crash. Seperti pada saat server tersebut diserang menggunakan trinoo. Saran Penanggulangan Serangan Diatas : 1. Ping of death umumnya tidak terlalu berpengaruh pada sistem saat ini, namun ada baiknya selalu mengupdate patch guna menutupi celah – celah keamanan yang ada pada sistem operasi. 2. Gunakanlah firewall yang dapat mengatasi masalah serangan ini, aturlah kebijakan firewall untuk tidak meneruskan paket data yang tidak diketahui dengan jelas asalnya. Cara lain adalah dengan memperbesar jumlah maksimum koneksi syn yang dapat berlangsung ke server. 3. Bila anda pemilik server yang dijadikan zombie, tersedia banyak aplikasi atau software untuk mendeteksi tools trinoo ini. Waspadai aktivitas yang janggal
diserver anda dan lakukan pengecekan secara berkala. Walaupun pada prokteknya sangat sulit untuk mendeteksi serangan ini, pengaturan dan kombinasi firewall dan ids mungkin dapat cukup membantu. Dan tentunya dengan kebijakan atau policy yang tepat. Lakukan blocking ip address dan port bila anda terkena serangan dan laporkan kepada pemilik server yang menjadi zombie. 4. Dapat dilakukan dengan menolak paket data yang datang dari luar jaringan, dan mematikan semua service UDP yang masuk. Walaupun dengan cara ini dapat mematikan beberapa aplikasi yang menggunakan protok UDP. Namun cara ini cukup efektif untuk mengatasi serangan ini. 5. smurf dapat diatasi dengan mendisable broadcast addressing di router, kecuali bila kita benar- benar membutuhkannya. Cara lainnya adalah dengan melakukan filtering pada permintaan ICMO echo pada firewall. Cara lain yang dapat dilakukan adalah dengan membatasi trafik ICMP agar persentasenya kecil dari keseluruhan trafik yang terjadi pada jaringan. KESIMPULAN Efek dari berbagai serangan seperti dijelaskan diatas, sangat menganggu pengguna sistem. Sehingga diperlukan pengetahuan yang lebih jauh tentang bahaya dan cara mengamankan sistem informasi tersebut, agar data dan informasi yang sangat penting tidak jatuh pada orang yang tidak bertanggung jawab, karena bisa saja merugikan bagi pemilik sistem tersebut. Dapat disimpulkan bahwa berbagai tools diatas tidak semata-mata hanya untuk membuat web server kelebihan beban akan tetapi merupakan sebuah taktik untuk mencapai tujuan tertentu. Tujuan itu bisa saja persaingan bisnis supaya layanan dari situs saingan terhambat. Ataupun politik, untuk menjatuhkan wibawa lawan politiknya. Bahkan alasan – alasan yang tidak etis juga mungkin akan sering kita dengar seperti balas dendam atau bahkan hanya iseng belaka. Apapun alasannya, kita harus memahami secara mendalap konsep keamanan sistem informasi agar dapat menanggulanginya dengan cara – cara yang sudah ada atau dengan mencipktakan cara- cara baru guna menghadapi serangan ini. Pada akhirnya semua kembali kepada etika pelaku itu sendiri. Bila mempenyai keahlian yang lebih, mengapa kita tidak mengeksplorasi sebuah sistem yang tentunya bila berhasil akan lebih membanggakan dibanding dengan merusak sistem tersebut.
REFERENSI , Thomas. 2004. Analisis Keamanan Jaringan Internet Menggunakan Hping, Nmap, Nessus, dan Ethereal, Bandung, Departemen Teknik Elektro Fakultas Teknologi Industri Institut Teknologi Bandung. Amin, Ziad. 2012. Analisis Vulnerabilitas Host Pada Keamanan Jaringan Komputer di PT. Sumeks Tivi Palembang (PALTV) Menggunakan Router Berbasis UNIX. Jurnal Teknologi dan Informatika. Vol. 2, No. 3. James Michael Stewart, Ed Titte, Mike Chappel, “Certified Information System Security Profesional”, third edition. Jelena Mirkovic, Janice Martin and Peter Reiher, “A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms”. University of California, Los Angeles https://nmap.org/man/id/man-port-scanning-basics.html Haddad Sammir,” http://www.ilmukomputer.com
Serangan
Denial
Of
Service”,
https://balianzahab.wordpress.com/teknologi-informasi/sniffing-usernamepassword/