Pemanfaatan Intelligent Packet Filtering untuk Mengatasi Serangan DDoS 1)
Surya Karta Sembiring, 2) Indrastanti Ratna Widiasari
Email : 1)
Program Studi Teknik Informatika Fakultas Teknologi Informasi Universitas Kristen Satya Wacana Jl. Diponegoro 52-60, Salatiga 50711, Indonesia
[email protected], 2)
[email protected]
Abstract Nowadays the internet network security get a new challenge to secure their networks from a new threats which known as DDoS attack. DDoS attack today are quite worrying, especially at this time due to the emergence of a variety attacks at a vital region. Because of the vulnerability of attacks to the internet then required the new security to the network firewall. One of the safeguards that allow to do is to put the new rules in an iptables on the server side in anticipation of DDoS attacks. This study makes a new rule at iptables which known as intelligent packet filtering a fairly capable to limit the DDoS attacks Keywords : DDoS, Iptables, firewall, Intelligent packet filtering. 1
Abstrak
Saat ini keamanan jaringan internet mendapatkan tantangan baru dalam melakukakan pengamanan terhadap jaringan mereka yang dikenal dengan sebutan serangan DDoS. Serangan DDoS saat ini sudah cukup mengkhawatirkan dikarenakan serangan DDoS sudah menyentuh wilayah-wilayah yang vital. Karena rentannya jaringan internet terhadap serangan DDoS maka dibutuhkan pengamanan baru pada sisi firewall jaringan. Salah satu pengamanan yang dapat dilakukan adalah dengan menempatkan sebuah rule baru pada iptables pada sisi server untuk mengantisipasi serangan DDoS. Penelitian ini membuat rule baru pada iptables yang disebut sebagai intelligent packet filtering yang dapat membatasi serangan DDoS. Kata Kunci : DDoS, Iptables, Firewall, Intelligent Packet Filtering.
1.
Pendahuluan
Tingginya kebutuhan akan internet saat ini membuat keamanan jaringan internet menjadi sangat penting. Banyak masalah keamanan yang muncul pada jaringan internet salah satu di antaranya adalah serangan DDoS. DDoS atau distributed denial of service adalah aktifitas membanjiri server dengan traffic jaringan yang tinggi sehingga server sulit diakses oleh client yang berkepentingan terhadap server tersebut. Teknik ini menggunakan banyak cilent 1)
Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas Kristen SatyaWacana 2) Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen SatyaWacana
untuk menyerang sebuah host server dengan membanjirinya dengan banyak traffic data sehingga network traffic menjadi sangat tinggi yang mengakibatkan host server sulit melayani client yang valid selain itu serangan DDoS juga dapat berupa perintah request yang sangat banyak sehingga client akan sulit terlayani oleh server, dan yang terakhir adalah mengganggu komunikasi host server dengan client nya dengan mengganti informasi konfigurasi system. Menurut defense.net awal mula terbentuknya serangan DDoS adalah pada tahun 1989 dimana dimunculkan –f (flood) di ping.com source code. Di dalam defense.net juga disebutkan bahwa serangan DDoS pertama kali muncul pada tahun 1996 dimana serangan DDoS menyerang sebuah isp di newyork yang bernama panix.com. Defense.net juga menyebutkan pada 2000 seorang anak berumur 15 tahun juga berhasil menjatuhkan website yahoo, sehingga defense.net menyimpulkan semua host server sangat rentan terhadap serangan DDoS. Saat ini serangan DDoS juga semakin berbahaya, data terakhir yang dipublikasikan oleh arbornetworks.com menunjukkan peningkatan serangan DDoS pada tahun 2013. Serangan DDoS telah menyentuh angka 300 gigabits data traffic 3 kali lebih besar dari serangan yang pernah diketahui sebelumnya
Gambar 1 Perkembangan Serangan DDoS (arbonetworks.com)
melihat dari data yang ada maka dapat disimpulkan bahwa jaringan internet masih sangat rentan terhadap serangan DDoS. Kerentanan terhadap serangan inilah yang membuat serangan DDoS juga perlu mendapat penanganan yang khusus untuk menghindarkan jaringan dari serangan DDoS.
2.
Tinjauan Pustaka
Dalam jurnal yang dibuat olhe Fasheng Yi dan kawan kawan [1], serangan DDoS sulit untuk diatasi jika didasarkan pada sumber serangan. Penyerang (DDoS Attacker) biasanya melakukan ip spoofing sehingga sumber serangan atau computer menjadi tersamarkan, selain itu penyerang juga menggunakan sumbersumber komputer yang lain sebagai penyerang, sehingga serangan menjadi sangat kuat dan tidak terdeteksi. Untuk mengatasi serangan seperti ini dibutuhkan sebuah teknik yang baik untuk membendung serangan DDoS. Salah satu yang dapat dilakukan adalah dengan membuat packet filtering dengan mengamati perilakuperilaku attacker dengan terlebih dahulu membuat module untuk menyimpan data karakteristik dari serangan DDoS Dalam jurnal A Taxonomy of DDoS Attack and DDoS Defense Mechanism, Distributed Denial of Service (DDoS)[2], proses serangan dan pertahanan dari serangan DDoS dibuat berdasarkan taksonomi. Didalam jurnal ini dibuat dua taksonomi untuk memisahkan serangan dan pertahanannya. Taksonomi serangan meliputi serangan yang telah dikenali dan juga serangan yang belum muncul tetapi berpotensi menjadi ancaman dikemudian hari dan berpotensi menjadi ancaman terhadap pertahanan yang ada saat ini. Sedangkan system taksonomi pertahanan adalah taksonomi yang tidak hanya mencakup metode pendekatan tetapi juga beberapa pendekatan komersial yang menghasilkan dokumentasi yang cukup untuk dianalisis. Bidang DDoS mengandung banyak mekanisme serangan dan pertahanan,yang mengaburkan pandangan global akan serangan DDoS. Taksonomi yangdiusulkan dimaksudkan untuk membantu masyarakat berpikir tentang ancaman yang dihadapi dan tindakan pencegahan yang mungkin dilakukan. Satu keuntungan taksonomi tersebut adalah mendorong kerjasama lebih mudah diantara para peneliti. Dalam jurnal Hash-Based IP Traceback [3] dikenalkan metode IP Traceback yang dapat digunakan untuk mengenali sumber paket pada internet. Metode ini muncul dikarenakan oleh banyaknya serangan DDoS pada jaringan internet belakangan ini. Banyaknya serangan DDoS seringkali disebabkan oleh sumber packet yang tidak bias dilacak. Alasannya adalah karena ip header tidak menyimpan sumber data packet kecuali alamat IP itu sendiri sehingga mudah untuk dipalsukan oleh penyerang, selain itu internet juga tidak menyimpan data lintasan yang dilalui sebuah packet sehingga akan sulit untuk melacak packet tersebut. Oleh karena sulitnya melacak packet tersebut maka muncullah teknik IP Traceback. Ada dua jenis IP Traceback yang sering muncul yaitu, probabilistic packet marking (ppm) dimana teknik menandai setiap packet dengan partial path information probabistically sehingga korban dapat membuat alur serangan DDoS. Selain teknik tersebut ada juga tehknik dengan menyimpan packet digest kedalam bloom filters pada masing masing routers. Dengan iterasi packet tetangga pada packet serangan maka jalur serangan dapat dikonstruksikan teknik ini disebut skema Hash. Kedua tehknik ini juga pada kenyataannya memiliki kelemahan. Teknik probabilistic packet marking (ppm) tidak dapat digunakan pada kasus serangan dalam jumlah besar karena probabilistic packet marking hanya dapat melacak serangan dengan jumlah maksimal 100 penyerang dengan 17 bit field,
sedangkan pada pada skema hash menjadi tidak efektif karena membutuhkan komputasi yang tinggi dan media penyimpanan yang besar. Dalam perkembangannya teknik ip traceback baru bermunculan untuk meningkatkan efektifitas dalam menanggulangi serangan DDoS. Modifikasi dari teknik tersebut menghasilkan teknik yang lebih efisien seperti intelligent packet filtering yang dibahas dalam penelitian ini. DDoS adalah salah satu jenis serangan denial of service. Dalam serangan DDoS penyerang akan melakukan serangan dengan membanjiri traffic jaringan dengan banyak data sehingga pengguna yang valid tidak dapat masuk kedalam system jaringan. Selain itu serangan DDoS juga melakukan serangan dengan cara membanjiri jaringan dengan banyak request terhadap layanan yang disediakan oleh penyedia layanan sehingga pengguna yang valid tidak dapat dilayani oleh host. DDoS juga melakukan serangan dengan cara mengubah konfigurasi system dan bahkan merusak komponen dan server. Dalam proses penyerangan DDoS menggunakan banyak host penyerang baik yang memang didedikasikan untuk melakukan serangan maupun komputer yang dipaksa (dijadikan zombie) untuk melakukan serangan. Komunikasi yang dilakukan oleh penyarang utama dan “zombie”nya meliputi beberapa cara yaitu trinoo yang menempatkan paket Trojan master agent didalam komputer yang dijadikan sebagai “zombie” Komunikasi antar master dan agen menggunakan paket UDP, sehingga penyerang cukup mengirimkan paket UDP tertentu melalui master untuk diteruskan ke agen. Agen akan merespon pesan dari penyerang yang diteruskan oleh master dengan mengirim paket serangan dalam jumlah yang banyak ke komputer target. Tribal Flood Network Teknik serangan mirip dengan Trinoo dengan menggunakan master dan agen. Program saling berkoordinasi satu sama lain untuk melakukan serangan terhadap komputer target dengan menggunakan ICMP echo, TCP maupun UDP. Serangan yang dilakukan oleh TFN DDoS bisa berupa SYN flood, icmp flood serta smurf. Kemampuan dan fitur serangan yang disediakan TFN jauh lebih lengkap daripada trinoo. Spoofing dan serangan exploit pada sistem operasi sudah disediakan. Dengan kemampuan seperti itu maka TFN cenderung lebih rumit dari trinoo dari sisi penangannya karena paket yang dikirim memiliki alamat source yang sudah dimodifikasi sehingga akan sulit untuk dilacak. Firewall adalah sebuah bagian keamanan jaringan dari komputer yang melakukan fungsi kontrol aliran data antara dua atau lebih jaringan yang mempunyai perbedaan tingkat keamanan. Firewall bertugas untuk menjaga server dapat terhindar dari serangan yang berasal dari luar. Packet filtering adalah teknik firewall yang digunakan untuk mengontrol akses jaringan dengan memonitor packet keluar dan masukdan memungkinkan packet tersebut diteruskan atau dihentikan, berdasarkan sumber dan tujuan alamat IP, protocol dan port. Jaringan lapisan firewall menentukan set aturan packet filtering, yang menyediakan mekanisme keamanan yang sangat efisien. Pada dasarnya, firewall dimaksudkan untuk memungkinkan dua jaringan untuk berkomunikasi dengan cara yang aman. Firewall bertindak sebagai gateway yang membatasi dan mengendalikan arus lalu lintas antar jaringan, biasanya antara jaringan internal yang satu dengan jaringan internal lainnya dan internet. Informasi yang ditransmisikan pada jaringan dalam bentuk packet. Dengan kata
lain informasi dibagi menjadi potongan-potongan kecil pada sumbernya, dikirim dan dipasang kembali pada penerima akhir. Firewall memeriksa bagian yang relevan dari sebuah packet dan hanya memungkinkan orang-orang yang sesuai dengan konfigurasi yang akan berhasil dikirim. Inilah sebabnya beberapa packet yanb tepat namun dikonfigurasi salah selalu ditolak oleh firewall. Dalam kasus firewall proxy, traffic tidak pernah mengalir langsung antar jaringan, tidak ada host internal yang dapat diakses secara langsung oleh host externall. Demikian juga tidak ada host internal yang dapat diakses secara langsung oleh host external. Tugas utama dari firewall inilah yang disebut sebagai packet filtering. Packet filtering yang merupakan level firewall tingkat pertama beroperasi dengan mengidentifikasi kebijakan yaitu dengan mendefinisikan dokumen akses yang diterima dan dilindungi, DMZ, dan jaringan yang tidak dilindungidan menetapkan pedoman umum untuk apa yang dapat dan tidak dapat diterima untuk jaringan akses oleh pengguna yang sah. Kebijakan kemanan adalah seperangkat aturan yang dapat membantu menjaga system tetap aman. Setiap system terhubung ke internet, secara langsung atau tidak langsung harus memiliki kebijakan keamanan. Packet filtering juga menganalisis lalu lintas jaringan pada lapisan jaringan. Analisis adalah mekanisme yang digunakan untuk memberikan tingkat keamanan dengan memeriksa beberapa informasi kunci dalam header packet. Packet filtering menentukan apakah packet diizinkan untuk pergi melalui suatu titik tertentu, berdasarkan kebijakan pengendalian yang ditetapkan oleh administrator jaringan. Setiap paket diperiksa untuk melihat apakah telah sesuai dengan definisi aturan aliran data yang diperbolehkan atau tidak. Aturan-aturan ini dibuat untuk mengidentifikasi apakah komunikasi diperbolehkan atau tidak yang didasari oleh informasi yang terkandung didalam transport layer header dan internet serta kemana packet akan dikirimkan. Hal ini dilakukan dengan membandingkan header bidang protokol dari sebuah paket dengan spesifikasi filter. Proses pengendalian akses dengan memeriksa packet berdasarkan isi dari header packet. Informasi header, seperti alamat IP atau nomor port, diperiksa untuk menentukan apakah sebuah packet harus diperbolehkan, berdasarkan aturan yang ditetapkan yaitu kumpulan aturan control akses yang menentukan packet yang akan diteruskan atau ditolak (drop). Intelligent packet filtering adalah salah satu teknik packet filtering yang digunakan untuk mengontrol akses jaringan dengan memonitor paket yang keluar dan masuk. Packet filtering yang ada pada intelligent packet filtering adalah smart filtering dimana didalam intelligent packet filtering terdapat iptables rules yang mampu mengantisipasi serangan DDoS berdasarkan karakteristik DDoS yang muncul. Inteliigent packet filtering menjadi berbeda dengan packet filtering yang lain dikarenakan pada intelligent packet filtering mampu membatasi kesalahan yang sering muncul pada packet filtering yang lain yaitu men-drop semua ip jika sesuai dengan rule yang ada tanpa memperhatikan kemungkinan ip tersebut sedang digunakan oleh pihak lain. Pada intelligent packet filtering hal ini diminimalisir dengan adanya rules yang akan menghentikan packet drop pada sebuah ip jika sebuah ip tidak lagi menunjukkan karakter serangan DDoS.
3.
Metode penelitian
DDoS merupakan salah satu jenis serangan terhadap server yang sangat tidak bisa diprediksi. Serangan yang berupa kiriman packet yang sangat besar dan melalui banyak sumber membuatnya dapat menjadi sebuah serangan yang sangat merusak pada sisi server. Oleh karena itu dibutuhkan pengamatan terhadap packet yang masuk ke sisi server, dan dibutuhkan percobaan-percobaan untuk menguji pertahanan disisi server atas serangan DDoS, dan mengembangkan pola pertahanan yang dapat mengatasi serangan-serangan yang muncul berdasarkan karakteristik serangan yang sudah diketahui melalui percobaan-percobaaan yang telah dilakukan. Penelitian ini dimulai dengan melihat proses serangan DDoS secara umum yang sering terjadi. Serangan lebih dahulu dimulai dengan mengaktifkan semua penyerang, baik penyerang utama maupun penyerang “zombie”. Semua penyerang melakukan request secara bersama-sama untuk menjatuhkan server. Semua packet akan lebih dahulu diterima di firewall server lalu seterusnya request dilanjutkan oleh server. Pada saat berada di firewall semua packet akan diperiksa oleh intelligent packet filtering dengan melihat semua rule yang ada, jika ada packet yang tidak sesuai dengan rule maka packet akan dihentikan sehingga tidak mengganggu server yang disebabkan adanya traffic jaringan yang tinggi yang dapat merusak atau membuat server menjadi down. Proses serangan DDos secara umum dapat dilihat pada Gambar 2
diteruskan firewall
request
Penyerang utama
Target (server)
request
request
Penyerang zombie
Penyerang zombie
Gambar 2 Proses Serangan DDoS Secara Umum
Untuk menguji serangan DDoS maka pada dalam penelitian ini digunakan beberapa tools yang sudah umum digunakan untuk melakukan serangan DDoS. Tools yang digunakan antara lain loic dan slowloris. Kedua tools ini banyak digunakan karena penggunaannya lebih mudah. Selanjutnya tools yang digunakan adalah wireshark. Wireshark digunakan untuk melihat aktifitas trafiic jaringan yang sedang terjadi. Untuk membuktikan bahwa serangan yang dilakukan melalui tools yang telah ada benar benar menuju ke target yang diinginkan
Melihat peran dari firewall maka dibutuhkan sebuah firewall yang baik untuk mampu mengamankan server dari serangan serangan yang muncul. Oleh karenanya untuk mengatasi serangan-serangan yang muncul dibuat firewall yang didasarakan pada intelligent packet filtering yang ditempatkan pada iptables linux yang berfungsi sebagai firewall. Proses filtering yang terjadi dapat dilihat dalam flowchart pada Gambar 3
Gambar 3 Flowchart Proses Kerja Sistem
Dari flowchart yang ada dapat dijabarkan alur proses yaitu pertama dilakukan pemeriksaan terhadap seluruh packet syn, fragmented dan juga packet kosong setelah semua packet diperiksa dilanjutkan dengan memasukkan semua packet tersebut kedalam banned ip. Setelah measukkan packet tersebut kedalam banned ip selanjutnya akan dibuat module sementara yang akan berisi database ip yang mengirimkan 100 packet per 3600 detik dan memasukkan ip tersebut kedalam banned ip selanjutnya dibuat attack cahain module yang digunakan untuk memeriksa semua packet serangan yang berisi 20 attack per 180 detik. Setelah semua packet dipisahkan maka packet yang masuk kedalam banned ip akan didrop dan ip yang tidak sesuai dengan data yang ada di banned ip akan diteruskan karena dianggap sebagai client yang valid atau legitimate. 4.
Hasil dan Pembahasan
Untuk memulai pengujian maka serangan DDoS dilakukan dengan menggunakan LOIC dengan tujuan untuk menjatuhkan server. Software ini merupakan tols yang banyak saat ini digunakan untuk melakukan serangan DDoS. Dengan tools ini kita dapat melakukan serangan berdasarkan ip dan menentukan port serangan yang diinginkan.
Gambar 4 Serangan Menggunakan Loic
Pada gambar 4 dapat dilihat bahwa serangan sukses dilakukan menuju port 80 menuju ip 103.26.128.84. Selanjutnya dilakukan serangan menggunakan tools yang lain yang juga banyak digunakan untuk melakukan serangan DDoS yaitu slowloris. Serangan dengan slowloris dapat dilihat pada Gambar 5
Gambar 5 Serangan Menggunakan Slowloris
Pada Gambar 5 dapat dilihat bahwa serangan menggunakan slowloris juga sukses dilakukan menuju ip tujuan yang ingin diserang. Selanjutnya kita akan menggunakan wireshark untuk melihat apakah packet yang dikirim benarbenar menuju target yang diinginkan.
Gambar 6 hasil Capture Wireshark
Berdasarkan hasil capture wireshark pada Gambar 6 dapat dilihat bahwa packet serangan benar menuju target yang akan diserang dari hasil pengujian menggunakan ketiga tools yang ada maka dapat disimpulkan bahwa serangan sukses dilakukan menuju target. Selanjutnya akan digunakan intrusion detection
system untuk melihat apakah ada alert serangan yang dianggap sebagai serangan denial of service
Gambar 7 intrusion detection system
Berdasarkan dari alert yang muncul pada intrusion detection system maka dapat disimpulkan bahwa serangan menuju ip yang dimaksud benar-benar terjadi dan dibutuhkan penanganan untuk mengantisipasi serangan tersebut. Setelah melakukan proses serangan selanjutnya dilakukan proses untuk mengantisipasi serangan yang muncul dengan memasukkan intelligent packet filtering yang telah dibuat ke dalam iptables dalam hal ini yang digunakan adalah iptables dalam system operasi linux. Kode program #!/bin/bash Iptables –F Iptables –X Iptables –N ATTACKED Iptables –N ATTK_CHECK Iptables –N SYN_FLOOD Iptables –A INPUT –p tcp ! –syn –m state –state NEW –j DROP Iptables –INPUT A –f –j DROP Iptables –A INPUT –p tcp –tcp-flags AAL AAL –j DROP Iptables –A INPUT –p tcp –tcp-flags ALL NONE –j DROP Iptables –A INPUT –p tcp –syn –j SYN_FLOOD Iptables –A SYN_FLOOD –p tcp –syn –m hashlimit –hashlimit 100/sec –hashlimit-burst 3 –hashlimit-htable-expire 3600 –hashlimit-mode srcip –hashlimit-name synflood –j ACCEPT Iptables –A SYN_FLOOD –j ATTK_CHECK
Iptables –A INPUT –m state –state ESTABLISHED,RATED –j ACCEPT Iptables –A INPUT –p tcp –m tcp –dport 80 –m recent –update –seconds 1800 –name BANNED –rsource –j DROP
Iptables –A ATTACKED –m limit –-limit 5/min –j LOG –log-prefix “IPTABLES (Rule ATTACKED):” –log-level 7 Iptables –A ATTACKED –m recent –set –name BANNED –rsource –j DROP
Iptables –A ATTK_CHECK –m recent –set –name ATTK Iptables –A ATTK_CHECK –m recent rsource –j ATTACKED
--update –seconds 180 –hitcount 20 –name ATTK –
Iptables –A INPUT –p tcp –m tcp –dport 80 –m state –state NEW –j ATTK_CHECK Iptables –A ATTK_CHECK –m recent –update –seconds 60 –hitcount6 –name ATTK – rsource –j ATTACKED Iptables –A ATTK_CHECK –j accept
Iptables –F Iptables –X
Perintah digunakan untuk menghapus semua chain rule yang telah ada untuk menghindari bentrokan antar chain Iptables –N ATTACKED Iptables –N ATTK_CHECK Iptables –N SYN_FLOOD
Perintah digunakan untuk membuat tiga chain baru yang akan digunakan untuk memfilter serangan yang akan masuk ke server Iptables –A INPUT –p tcp ! –syn –m state –state NEW –j DROP
Perintah digunakan untuk melihat apakah paket yang masuk merupakan sebuah paket syn, jika paket yang masuk merupakan paket syn maka paket akan di-drop atau dijatuhkan Iptables –INPUT A –f –j DROP
Fragmented packet akan di-drop Iptables –A INPUT –p tcp –tcp-flags AAL AAL –j DROP
XMAS packet akan di-drop
Iptables –A INPUT –p tcp –tcp-flags ALL NONE –j DROP
Packet kosong akan di-drop Iptables –A INPUT –p tcp –syn –j SYN_FLOOD
Semua packet TCP yang masuk akan diteruskan ke SYN_FLOOD chain Iptables –A SYN_FLOOD –p tcp –syn –m hashlimit –hashlimit 100/sec –hashlimit-burst 3 –hashlimit-htable-expire 3600 –hashlimit-mode srcip –hashlimit-name synflood –j ACCEPT
Modul hashlimit digunakan untuk membuat “database” dari sebuah ip untuk menjatuhkan semua packet dari sebuah ip yang melebihi 100 packet per detik dan menyimpan database tersebut selama 3600 detik. Iptables –A SYN_FLOOD –j ATTK_CHECK
Semua packet yang tidak sesuai dengan chain SYN_FLOOD akan diteruskan ke chain ATTK_CHECK Iptables –A INPUT –m state –state ESTABLISHED,RATED –j ACCEPT
Meneruskan semua packet data traffic yang valid dan legitimate Iptables –A INPUT –p tcp –m tcp –dport 80 –m recent –update –seconds 1800 –name BANNED –rsource –j DROP
Membuat sebuah database BANNED dengan module yang telah ada, dan berisi semua ip yang cocok dengan rules, dan disimpan selama 1800 detik. Jika tidak ditemukan ip yang sesuai maka module akan dihapus Iptables –A INPUT –p tcp –m tcp –dport 80 –m state –state NEW –j ATTK_CHECK
Semua packet yang menuju port 80 akan diteruskan ke ATTK_CHECK chain Iptables –A ATTACKED –m limit –-limit 5/min –j LOG –log-prefix “IPTABLES (Rule ATTACKED):” –log-level 7 Iptables –A ATTACKED –m recent –set –name BANNED –rsource –j DROP
Membuat logging option untuk ATTACKED chain dan men-drop semua packet pada chain tersebut dan menempatkan ip pada database BANNED Iptables –A ATTK_CHECK –m recent –set –name ATTK
Semua packet yang masuk yang tidak sesuai dengan rules dan dianggap sebagai sebuah serangan akan dimasukkan ke sebuah database recent
Iptables –A ATTK_CHECK –m recent rsource –j ATTACKED
--update –seconds 180 –hitcount 20 –name ATTK –
Jika sebuah ip cocok dengan rule yang ada selama 20 kali dalam 180 detik maka akan ditandai sebagai penyerang dan memasukkannya kedalam database ATTK dan meneruskannya ke chain ATTACKED Iptables –A ATTK_CHECK –m recent –update –seconds 60 –hitcount6 –name ATTK – rsource –j ATTACKED
Jika sebua ip cocok 6 kali selama 60 detik maka akan ditandai sebagai penyerang dan meneruskannya ke chain ATTACKED Iptables –A ATTK_CHECK –j accept
Semua ip yang tidak sesuai dengan rule yang ada akan diteruskan karena dianggap sebagai client yang valid. Hasil dari memasukkan rule baru ke dalam iptables dapat dilihat pada Gambar 8.
Gambar 8 Proses Input ptables dalam Linux
Setelah memasukkan intelligent packet filtering ke dalam iptables linux langkah selanjutnya yang akan dilakukan adalah dengan kembali menguji kesuksesan intelligent packet filtering dengan menggunakan tools yang telah digunakan sebelumnya
Gambar 9 Serangan Menggunakan loic
Pada Gambar 9 dapat dilihat bahwa Setelah iptables dimasukkan packet DDoS tidak berhasil masuk ke dalam firewall. Hal ini dapat dilihat dari gagalnya request dari tools loic yang digunakan. Oleh karena gagalnya loic menembus firewall yang telah dibuat maka dapat disimpulkan bahwa firewall yang dibuat telah berhasil. Untuk lebih memastikan bahwa tidak ada traffic dari DDoS yang masuk ke dalam system selanjutnya melihat ke dalam intrusion detection system apakah ada alert denial of service baru yang muncul.
Gambar 10 Pemeriksaan Alert Serangan Baru
Pada gambar 10 dapat dilihat bahwa setelah serangan dilakukan tidak ada alert baru yang muncul oleh karenanya berdasarkan hasil yang telah dibuat dapat
dilihat bahwa serangan yang dilakukan menggunakan tools yang sebelumnya berhasil, menjadi gagal setelah intelligent packet filtering dimasukkan ke dalam iptables. Berdasarkan hasil pengujian yang telah dilakukan maka dapat disimpulkan bahwa intelligent packet filtering dapat digunakan untuk mengatasi serangn DDoS 5.
Simpulan
Dalam proses yang telah dilakukan dapat terlihat bahwa iptables yang digunakan untuk Intelligent Packet Filtering melakukan pembatasan terhadap serangan DDoS, dengan menghentikan semua Packet yang tidak sesuai dengan rules yang ada didalam Iptables. Dalam Iptables terdapat rules yang berfungsi untuk membatasi semua Packet yang Abnormal yang masuk ke dalam jaringan. Intelligent packet Filtering juga memuat rules yang juga difungsikan untuk meminimalisir kesalahan yang ada pada Packet filtering yang lain dengan adanya module sementara yang berfungsi untuk menahan serangan DDoS sehingga Packet filtering ini menjadi lebih “pintar”, karena pada banyak kasus serangan DDoS banyak komputer penyerang tidak sadar komputernya digunakan oleh pihak lain untuk melakukan serangan DDoS. Dengan adanya modul tersebut situasi seperti ini dapat diatasi karena jika sebuah komputer tidak terlibat didalam serangan DDoS dalam waktu tertentu maka komputer tersebut akan dihapus dari blacklist filrewall. Intelligent packet filtering membutuhkan pengamatan terhadap karakter dari penyerang. Dengan melakukan pengamatan terhadap karakter penyerang maka dapat dibuat rules yang lebih efektif untuk menahan serangan serangan DDoS yang muncul. Karakter-karakter yang utama dari penyerang yang perlu untuk diketahui adalah lama serangan yang muncul, besarnya Packet masuk yang sudah bisa menggangu proses di dalam jaringan, dan tipe serangan yang seringkali muncul. 6.
Daftar Pustaka
[1]
Fasheng Yi, Shui Yu, Wanlei Zhou, dkk, Source-Based Filtering Scheme against DDoS Attacks, International Journal of Database Theory and Application, 2006. Jelena Mirkovic, Peter Reiher, 2004, A taxonomy of DDoS Attack and DDoS Defense mechanisms Alex.C.Snoren, Craig Partridge, Luis. A. Sanchez, dkk, Hash-Based IP Traceback, SIGCOMM’01, 2001. Bhisham Sharma, Karan Bajaj, 2011, Packet Filtering Using IP Tables in Linux, IJCSI International journal of Computer Science iSSues, vol.8 no 2. Minho sung, Jun xu, 2002, IP Traceback-Based Intelligent Packet Filtering: A Novel Technique for Defending Againts Internet DDoS Attacks, Proceedings of the 10th IEEE International Conference on Network Protocols (ICNP.2), 2002.
[2] [3] [4] [5]
[6] [7]
[8]
[9]
Dawn Xiaodong Song, Adrian Perrig, 2001, Advanced and Authenticated Marking Schemes for IP Traceback, IEEE Infocom, 2001. Esraa Alomari, Selvakumar Manickam, B.B.Gupta, dkk, 2012, Botnet based Distributed Denial of Service (DDoS) Attack on Web Servers: Clasification and Art, International journal of Computer Applications (0975-8887), volume 49, no 7, juli, 2012. Mansfield, Nial (2004), Practical TCP/IP : mendesain, menggunakan dan Troubleshooting jaringan TCP/IP di linux (jilid 1)/ Nial Mansfield; Diterjemahlan oleh: prabantini. –Ed I –Yogyakarta: Andi, 2004 Bahaa Qasim M. ALL-Mussawi, Mitigating Dos/DDoS Attack using iptables, International Journal of Engineering & Technology IJET-IJENS, vol: 12 no:3, juni, 2012