PENGALIHAN PAKET KE HONEYPOT PADA LINUX VIRTUAL SERVER UNTUK MENGATASI SERANGAN DDOS Baskoro Adi Pratomo, Supeno Djanali, Wahyu Suadi Jurusan Teknik Informatika, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember Kampus Keputih, Sukolilo,Surabaya,60111 Telp : (031) 5922949, Fax : (031) 5964965 Email:
[email protected] Abstract As the Internet growth, service providers have to think about the increase of internet users. A server has limited capabilities to handle multiple users at once. One technique to overcome this problem is by adding more servers. By adding more servers, current services are still running while the configuration process is still on their way. So, the services would not be shut down. However, adding more servers might cause a problem if they are not well handled. This process must be done in a short time and transparent to users. To handle this problem, we can use Linux Virtual Server (LVS). LVS as a clustered server form could be attacked by Distributed Denial of Services (DDoS), an attack that causes the servers deny their legitimate user requests. To minimize the effect of this attack, we put honeypot among the existing backend servers. Honeypot is a “fake" server that act like a real server. So, attacker will think that their attack is successful. But in fact it is not, in addition, the attackers location can be located to prevent another attack. Based on the test results, the proposed system could mitigate DDoS attack effect on LVS. Besides, the proposed system performs better than using iptables if client request rate is low. Abstrak Seiring dengan berkembangnya internet, penyedia layanan juga harus mempertimbangkan banyaknya jumlah pengguna yang terus bertambah. Sebuah server pasti memiliki keterbatasan dalam kemampuan menangani pengguna. Salah satu cara untuk mengatasi hal tersebut adalah dengan penambahan jumlah server. Dengan penambahan server, layanan yang sudah ada tetap berjalan ketika proses konfigurasi sedang dilakukan. Sehingga tidak akan sampai mematikan layanan. Meskipun demikian, penambahan server saja akan cukup merepotkan apabila tidak diatur dengan baik. Penambahan server tentu harus dilakukan dalam waktu yang cepat dan sebisa mungkin tidak diketahui oleh user. Untuk mengatasi hal-hal tersebut, bisa digunakan Linux Virtual Server (LVS). LVS sebagai salah satu bentuk kumpulan server dapat juga terkena serangan Distributed Denial of Services (DDOS), sebuah serangan yang bertujuan untuk membuat suatu layanan tidak dapat diakses oleh pengguna yang sah. Karena itu, untuk meminimalisir efek dari serangan ini diletakkanlah honeypot diantara beberapa server sesungguhnya. Honeypot adalah sebuah server “palsu” yang bertindak seperti server yang asli. Tujuannya agar penyerang mengira serangannya berhasil, padahal yang terjadi adalah bisa saja lokasi si penyerang terlacak dengan honeypot. Dari hasil ujicoba, setelah sistem ini diterapkan reply rate dapat naik sebesar 5.91%, packet loss rate turun sebesar 0.97%, waktu respon turun sebesar 17% dan penggunaan CPU hanya 2.5% Kata kunci: LVS, honeypot, DDOS, pengalihan paket 1. PENDAHULUAN Internet sudah menjadi bagian dari kehidupan sehari-hari saat ini. Dimanapun kita bisa mengakses suatu server melalui internet. Seiring dengan berkembangnya internet, tentu penyedia layanan juga harus mempertimbangkan banyaknya pengguna yang terus bertambah. Sebuah server pasti memiliki keterbatasan dalam kemampuan menangani pengguna. Salah satu cara untuk mengatasi hal tersebut adalah mengganti server dengan yang lebih canggih.
Akan tetapi penggantian server merupakan suatu hal yang cukup merepotkan dan membutuhkan biaya yang banyak. Server baru tersebut harus dikonfigurasi kembali. Hal itu dapat memakan waktu yang lama, sedangkan penggantian server tentunya harus berjalan secepat mungkin tanpa disadari oleh pengguna. Alternatif lain dari penggantian server adalah penambahan server-server yang tidak terlalu canggih. Dengan penambahan server, layanan yang sudah ada tetap berjalan ketika proses
53
Jurnal Sistem Informasi, Volume 4, Nomor 1, September 2011, hlm 53-61 konfigurasi sedang dilakukan. Sehingga tidak akan sampai mematikan layanan.
server “palsu” yang bertindak seperti server yang asli. Sehingga, penyerang akan mengira serangannya berhasil. Padahal yang terjadi adalah bisa saja lokasi si penyerang terlacak oleh honeypot. Diharapkan dengan penggunaan honeypot, paket-paket yang terdeteksi sebagai serangan akan diarahkan oleh LVS Director ke honeypot dan gangguan yang terjadi pada server-server asli dapat diminalisir.
Meskipun begitu penambahan server saja akan cukup merepotkan apabila tidak diatur dengan baik. Penambahan server tentu harus dilakukan dalam waktu yang cepat dan sebisa mungkin tidak diketahui oleh user. Dengan bertambahnya jumlah server, harus dipikirkan pula pengaturan saat salah satu server mati. Tidak mungkin seorang administrator harus mengaturnya secara manual. Untuk mengatasi hal-hal tersebut bisa digunakan Linux Virtual Server (LVS) (Zhang dkk, 2000).
2. METODE Seperti telah disebutkan diatas, salah satu cara untuk meningkatkan kualitas layanan di internet yaitu dengan menambah jumlah server. Linux Virtual Server (LVS) adalah salah satu cara untuk mengatur sejumlah server agar dapat memberikan layanan kepada pengguna secara bersama-sama.
Dengan LVS, beberapa buah server dapat memiliki 1 buah IP. Dan IP itulah yang nantinya akan diakses oleh klien. Ketika klien mengakses salah satu layanan yang ada, misalkan sebuah web, maka akan diatur agar klien itu mendapat layanan dari server yang mana. Apabila ternyata salah satu server ada yang mati, maka layanan yang ada pada server tersebut dapat dipindah ke server yang lain secara otomatis.
LVS mengarahkan koneksi dari klien ke serverserver yang berbeda tergantung dari algoritma penjadwalan yang digunakan, dan membuat beberapa layanan yang berjalan paralel tampak sebagai sebuah layanan virtual yang berada pada sebuah alamat IP (Zhang dkk, 2000). Selain itu, LVS juga mengatur penambahan ataupun pengurangan server.
Efek lain dari berkembangnya penggunaan internet adalah munculnya gangguan-gangguan yang menyulitkan pengguna. Salah satu diantara gangguan tersebut adalah Denial of Services (DOS). DOS ini adalah sebuah serangan yang menyebabkan satu atau beberapa server tidak dapat melayani pengguna yang sesungguhnya (Peng dkk, 2007).
Sebuah LVS terdiri dari satu atau lebih Director/Load Balancer, sejumlah klaster server yang bertugas untuk melayani pengguna, dan server yang digunakan sebagai tempat penyimpanan data bersama. Arsitektur LVS merupakan arsitektur three-tier. Untuk lebih jelasnya dapat dilihat pada gambar 1.
Beberapa metode sudah diajukan untuk mencegah maupun mengurangi efek dari sebuah serangan DOS, tetapi tidak hanya metode pencegahannya saja yang berkembang. Metode serangan DOS pun juga berkembang. Yang dahulu hanya menggunakan sebuah komputer saja untuk menyerang server, sekarang berkembang menjadi sebuah serangan yang terdistribusi. Sebuah komputer penyerang menginfeksi beberapa komputer lain yang disebut komputer zombie. Kemudian komputer penyerang akan memerintahkan para zombie tersebut untuk menyerang sebuah target secara bersama-sama. Sehingga efek yang dihasilkan dan kerumitan pencegahan bisa berkali-kali lipat dibandingkan dengan serangan DOS biasa. Hal itulah yang disebut dengan Distributed Denial of Service (DDOS) (Peng dkk, 2007).
Gambar1 Arsitektur LVS
2.1 Kernel Module IP_VS LVS terdiri dari 2 macam aplikasi. Aplikasi pertama berupa kernel module bernama ip_vs yang bertugas untuk mengarahkan paket, mengatur penjadwalan, dan menyimpan data yang berhubungan. Sedangkan aplikasi kedua digunakan untuk manajemen LVS yang ada. Aplikasi ini disebut dengan ipvsadm yang merupakan singkatan dari ipvs administration.
LVS, sebagai salah satu bentuk kumpulan server, tentunya dapat juga terkena serangan DDOS. Untuk meminimalisir efek dari serangan ini, diletakkan honeypot diantara beberapa server sesungguhnya. Honeypot adalah sebuah
54
Pratomo dkk., Pengalihan Paket pada ke Honeypot pada Linux Virtual Server untuk Mengatasi.. Kernel module ip_vs sebetulnya terdiri dari beberapa kernel module lain. Berikut ini adalah daftar kernel module apa saja yang ada dalam sebuah paket ip_vs :
Untuk membuat klaster server dengan menggunakan LVS diperlukan beberapa langkah, yaitu: 1. Menyiapkan konfigurasi jaringan sesuai dengan metode pengarahan paket yang dipilih, karena pada LVS-TUN dan LVS-DR dibutuhkan konfigurasi khusus pada realserver. 2. Menambahkan service ke LVS dengan cara mendaftarkan IP address dan port ke dalam LVS. Selain itu menentukan juga metode penjadwalan yang digunakan. Berikut ini sintaks untuk menambahkan sebuah service ke LVS: • ipvsadm –A –t
:<port> -s <sched_algorithm> 3. Mendaftarkan realserver ke service yang diinginkan. Bila perlu bisa ditambahkan juga beberapa option lainnya seperti weight dari realserver. Selain itu perlu ditentukan juga metode pengarahan paket yang digunakan. Berikut ini adalah sintaks untuk menambahkan realserver ke dalam sebuah service: • ipvsadm –a –t :<port_service> -r :<port_realserver> [-g|-i|-m] [-w weight]
Kernel module utama: o ip_vs • Scheduler: o ip_vs_rr o ip_vs_wrr o ip_vs_lc o ip_vs_wlc o ip_vs_lblc o ip_vs_lblcr o ip_vs_dh o ip_vs_sh o ip_vs_sed o ip_vs_nq • Kernel module khusus FTP: o ip_vs_ftp •
Kernel module utama, ip_vs, mempunyai beberapa fungsi diantaranya mengatur daftar service dan realserver yang ada dan menerima perintah dari userspace program ipvsadm. Dan modul ini adalah modul yang harus di-load ke dalam kernel agar LVS dapat berjalan. Selain kernel module utama, LVS memiliki beberapa kernel module lain yang masingmasing merepresentasikan algoritma penjadwalan yang digunakan. Misalnya saja module ip_vs_rr digunakan apabila algoritma penjadwalan round-robin yang digunakan atau module ip_vs_lc yang akan di-load jika administrator menggunakan algoritma Leastconnection.
3. SYN Flood Pada protokol TCP dikenal Three-Way Handshake. Sebelum terjadi koneksi antara kedua belah pihak, maka harus dilakukan pengiriman 3 macam paket untuk menyatakan bahwa koneksi telah terbangun, yaitu SYN, SYN-ACK, dan ACK.
2.2 IPVSADM Seperti yang telah disebutkan pada subbab sebelumnya, ipvsadm adalah userspace program yang berfungsi untuk mengatur kernel module ip_vs. Contohnya adalah ketika administrator ingin menambahkan layanan baru, menambah atau mengubah realserver yang ada, menentukan algoritma penjadwalan apa yang akan digunakan, dan melihat daftar layanan serta realserver yang sudah terdaftar apa saja.
Pada SYN flood attack, penyerang akan mengirim sebuah paket SYN yang alamat IPnya tidak ada atau tidak dapat diakses oleh korban. Sehingga paket SYN ini akan bertahan di dalam stack pada komputer korban sampai ACK diterima. Pada kenyataannya, ACK tidak akan pernah diterima. Sehingga paket SYN terus memenuhi stack pada korban. Hal ini bisa berakibat paket SYN yang sah tidak dapat diterima oleh korban.
Informasi-informasi tersebut nantinya akan dikirim ke dalam kernel dengan menggunakan netlink socket atau sockopt. Kemudian diolah oleh kernel module ip_vs agar bisa berjalan sesuai dengan yang diinginkan. Nantinya, aplikasi ini merupakan salah satu yang dikembangkan agar dapat memberikan tambahan pengarahan paket ke honeypot.
2.3 Metode Pengalihan Paket ke Honeypot Dasar dari metode pengalihan paket ke honeypot ini adalah adanya blacklist terhadap IP tertentu yang dianggap mengirimkan paketpaket yang berupa serangan. Jika ada paket yang datang dari alamat IP yang termasuk dalam blacklist, maka paket itu tidak diarahkan ke realserver, tetapi ke honeypot. Untuk melakukan hal itu, berikut ini adalah langkahlangkah yang dilakukan:
55
Jurnal Sistem Informasi, Volume 4, Nomor 1, September 2011, hlm 53-61 Hasil deteksi dari Snort yang berupa alert akan dicatat ke dalam file csv. Alert file ini akan berisi alamat IP asal saja. Pada segmen 1 ini adalah rule-rule yang digunakan dalam tesis ini.
• Membedakan realserver dengan honeypot melalui struktur datanya Sebenarnya, honeypot yang ada pada LVS yang diperbarui ini adalah sebuah realserver. Hanya saja diberi tanda bahwa realserver tersebut bertindak untuk melayani penyerang. • Mengubah informasi yang dikirimkan ipvsadm ke kernel Berikutnya yang diubah adalah membuat agar ipvsadm dapat mengirimkan informasi yang mana realserver dan yang mana honeypot. Karena sebelumnya, ipvsadm hanya mengirimkan data-data tentang realserver saja, tanpa menyebutkan apakah itu adalah data realserver atau honeypot. • Membuat kernel module untuk menyimpan blacklist Semua IP penyerang ini didapatkan dari detektor serangan (Snort). Masalahnya adalah bagaimana menyimpan IP blacklist ini agar dapat diakses secara cepat setiap kali ada paket yang datang. Untuk mempercepat akses, maka data-data IP yang di-blacklist disimpan juga di dalam kernelspace. Karena itulah dibuat sebuah kernel module tersendiri yang diberi nama ip_vs_honeypot yang bertugas menyimpan IP blacklist dan member informasi pada ip_vs apakah paket yang lewat berasal dari IP yang di-blacklist. • Mengarahkan paket jahat ke honeypot Bagian ini adalah langkah inti dari pengarahan paket jahat ke honeypot. Yang perlu dilakukan hanya mengubah module ip_vs_rr. Menambahkan penyeleksian asal paket dan paket yang dianggap serangan akan diberikan ke server yang bertindak sebagai honeypot.
pass tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 ( msg:"DDOS synflood"; \ flow:to_server; \ flags:S; \ sid:1000001; rev: 1 ) rate_filter \ gen_id 1, sig_id 1000001, \ track by_src, count 4000, seconds 1, \ new_action alert, timeout 0 event_filter \ gen_id 1, sig_id 0, \ type limit, \ track by_src, count 1, seconds 30 Segmen 1 Konfigurasi Rule dengan Rate_filter
Pada rule-rule yang tampak di atas, akan terdeteksi paket SYN yang menuju ke server LVS. Tetapi hanya akan dilewatkan begitu saja secara normalnya. Namun apabila ternyata jumlah paket yang menuju server melebihi 4000 dalam waktu 1 detik, maka akan berlaku aturan baru, yaitu keluarnya alert ke file. Untuk membatasi jumlah alert yang dikeluarkan, digunakanlah event_filter. Dengan event_filter, seperti terlihat pada rule-rule di atas, alert yang sama hanya akan keluar setelah ada jeda 30 detik. Selama 30 detik itu, jika ada alert yang sama, tidak akan muncul di dalam file.
2.4 Sistem Deteksi Serangan Sistem deteksi serangan/intrusi dibutuhkan untuk mendapatkan penyerang menyerang dari alamat IP mana saja. Selain itu sistem deteksi intrusi yang ada haruslah seringan mungkin dan dapat diimplementasikan oleh siapa saja. Berdasarkan studi literatur (Roesch, 1999), maka dipilihlah Snort sebagai sistem deteksi intrusi pada tesis ini.
2.5 Pengiriman Data Blacklist dari Snort Alert File ke Kernel Pengalihan paket ke honeypot di sisi kernel dan deteksi serangan di sisi user sudah selesai. Berikutnya adalah bagaimana menghubungkan kedua sisi ini. Untuk itu dibuatlah sebuah aplikasi daemon yang terus berjalan untuk membaca file alert dari Snort dan mengirimkan hasilnya ke kernel melalui file /proc/ip_vs_blacklist.
Metode serangan yang akan digunakan untuk uji coba nanti adalah serangan DDOS dengan tipe SYN flooding. Komputer–komputer penyerang akan mengirim paket SYN dengan IP pengirim yang dipalsukan ke LVS. Oleh karena itu perlu dilakukan pemilihan rule untuk Snort yang tepat untuk mendeteksi serangan ini.
Program kecil ini akan mulai dengan menghapus isi blacklist yang ada di kernel dengan cara menulis perintah CLEAR 0.0.0.0 ke file /proc/ip_vs_blacklist. Kemudian setiap 30 detik, program ini akan membaca alert file dan mengirimkan hasil pembacaan tersebut ke kernel. Selain itu setiap 300 detik, program ini
56
Pratomo dkk., Pengalihan Paket pada ke Honeypot pada Linux Virtual Server untuk Mengatasi.. akan mengirimkan perintah CLEAR 0.0.0.0 ke kernel untuk menghapus blacklist yang ada. Jadi tidak selamanya alamat IP yang sudah masuk blacklist akan terus berada dalam blacklist selamanya.
• LVS Director: ▪ Prosesor: Intel Core i3 530 2.93 GHz ▪ Memori: 4GB DDR3 1333 Hz ▪ Harddisk: 250 GB SATA ▪ LAN Card: 100 Mbps LAN Card ▪ Sistem Operasi: Ubuntu Lucid Lynx 10.04 x86-64 Server Edition ▪ IP Address: 192.168.1.2 • Real Server & Honeypot: ◦ Prosesor: Intel Core i3 530 2.93 GHz ◦ Memori: 4GB DDR3 1333 Hz ◦ Harddisk: 250 GB SATA ◦ LAN Card: 100 Mbps LAN Card ◦ Sistem Operasi: Ubuntu Maverick Meerkat 10.10 x86-64 Server Edition ◦ IP Address: 192.168.1.3 (Realserver), 192.168.1.4 (Realserver), 192.168.1.5 (Honeypot) • Penyerang: Prosesor: Intel Core i3 530 2.93 GHz ◦ Memori: 4GB DDR3 1333 Hz ◦ Harddisk: 250 GB SATA ◦ LAN Card: 100 Mbps LAN Card ◦ Sistem Operasi: Ubuntu Maverick Meerkat 10.01 x86-64 Server Edition ◦ IP Address: 192.168.2.7-192.168.2.10
3. MODEL dan IMPLEMENTASI Sistem akan diuji coba dari segi fungsionalitas dan performa. Pada bab ini juga dibahas mengenai lingkungan uji coba. 3.1 Lingkungan Uji Coba Lingkungan uji coba pada tesis ini meliputi hardware dan software apa saja yang digunakan selama uji coba berlangsung. Untuk topologi jaringan yang digunakan pada uji coba ini, sama dengan rancangan arsitektur yang ada pada bab 3. Untuk lebih jelasnya, topologi jaringan yang digunakan pada uji coba dapat dilihat pada Gambar3. Spesifikasi Hardware Ada beberapa macam hardware yang digunakan dalam uji coba ini. Untuk komputer yang digunakan sebagai realserver LVS dan penyerang memiliki spesifikasi yang sama. Jadi ada 5 macam komputer yang digunakan, yaitu klien, penyerang, LVS Director, Realserver/ Honeypot, dan router. Berikut ini adalah spesifikasi masing-masing jenis tersebut:
Switch
Real Client (Karna) 192.168.2.6
Attacker (Ugrasena,Citraksa, Bahwasi, Dredaksatra) 192.168.2.7-10
Router (Gandari) 192.168.1.1 192.168.2.1 10.151.36.225
LVS Director (Kratana) 192.168.1.2
Switch
Real Server (Balawardana) 192.168.1.3
Honeypot Server (Wrendaraka) 192.168.1.5
Real Server (Somakirti) 192.168.1.4
Gambar 3 Topologi Jaringan untuk Uji Coba
◦ Prosesor: Intel Pentium 4 2.4 GHz
• Klien:
57
Jurnal Sistem Informasi, Volume 4, Nomor 1, September 2011, hlm 53-61 ◦ Memori: 1GB DDR-SDRAM ◦ Harddisk: 400 GB IDE ◦ LAN Card: 100 Mbps LAN Card ◦ Sistem Operasi: Debian Lenny ◦ IP Address: 192.168.2.6 • Router ◦ Cisco Router 871 ◦ IOS: c870-advipservicesk9-mz.124-15.T3 ◦ IP Address: 192.168.1.1, 192.168.1.2, 10.151.36.226
tidak kuat menanggung beban. Berikut ini adalah tambahan konfigurasi (O'Rourke dkk, 2001) yang perlu ada di apache2.conf. LogLevel crit MinSpareServers 200 MaxSpareServers 200 MaxClients 1500 MaxRequestsPerChild 0 Segmen 2 Konfigurasi tambahan pada Apache2
3.2 Uji Coba Performa Uji coba performa ini dilakukan untuk mengetahui performa sistem setelah diadakan perubahan seperti yang telah dijelaskan pada bab sebelumnya. Apakah dapat menghasilkan performa yang lebih baik atau tidak. Untuk uji coba performa ini juga dilakukan uji coba ketika sistem belum ada perubahan sama sekali, sehingga dapat dibandingkan.
Spesifikasi Software Ada beberapa software tambahan yang digunakan dalam proses uji coba. Software ini berguna untuk menguji fungsionalitas dan performa sistem. Ada 5 software yang digunakan, yaitu hping3, httperf, autobench, apache benchmark, sar, dan lynx. Berikut ini adalah daftar spesifikasi software yang digunakan dalam ujicoba ini:
Untuk melakukan serangan SYN flood, akan digunakan sebuah aplikasi yang bernama hping3. Hping3 dapat mengirimkan raw IP packet dengan flag-flag tertentu. Pada uji coba ini, dengan hping3, setiap penyerang akan mengirimkan paket TCP SYN ke LVS dengan interval 300 ms dan alamat IP asal yang dipalsukan. Kemudian klien yang sesungguhnya dengan menggunakan autobench dan httperf akan mengakses LVS selama beberapa saat. Berikut ini adalah parameter-parameter uji coba yang diberikan pada httperf, autobench, hping3, dan sar: • Httperf dan Autobench ◦ Target Host: 192.168.1.6 ◦ Target Port: 80 ◦ Ukuran file yang diakses: 3016 byte ◦ Minimum Request Rate: 100 request/s ◦ Penambahan Request Rate: 100 request/s ◦ Maximum Request Rate: 2000 request/s ◦ Total Request yang diinginkan: 30000 ◦ Timeout: 2 s • Hping3: ◦ Target Host: 192.168.1.6 ◦ Target Port: 80 ◦ Interval: 300 ms ◦ Paket yang dikirim: TCP SYN • Sar ◦ Interval: 30 s
• Httperf ◦ Versi: 0.9.0 ◦ Dikompilasi dengan FD_SETSIZE = 50000 ◦ Fungsi: Mendapatkan performa dari web server (reply rate, packet loss rate, response time, dsb) • Autobench ◦ Versi: 2.1.2 ◦ Fungsi: Secara otomatis menjalankan httperf beberapa kali berdasarkan file konfigurasi. • Sar ◦ Versi: 9.0.6.1 ◦ Fungsi: menghitung penggunaan CPU, Memory, I/O, network selama rentang waktu tertentu Untuk mendukung jumlah koneksi yang besar, maka perlu merubah jumlah maksimum file descriptor. Standarnya sebesar 1028. Berdasarkan (O'Rourke dkk, 2001), nilai ini diubah menjadi 50000 dengan menggunakan perintah ulimit –n 50000. Selain itu, httperf harus dikompilasi ulang dengan sebelumnya mengubah nilai __FD_SETSIZE yang ada di file /usr/include/linux/posix_types.h menjadi 50000 juga. Selain aplikasi-aplikasi pembantu untuk melakukan uji coba, aplikasi lain juga memerlukan konfigurasi khusus agar uji coba performa tidak terlalu terpengaruh oleh konfigurasi aplikasi. Aplikasi yang harus dikonfigurasi pada tesis ini adalah web server Apache. Apache perlu diubah konfigurasinya karena jumlah request yang diberikan nanti akan sangat banyak. Apabila tidak dikonfigurasi, maka kegagalan yang terjadi bukan disebabkan konfigurasi LVS, tetapi dari sisi aplikasi yang
Setelah uji coba dilakukan, baik sebelum ada perubahan maupun sesudah, maka hasilnya tampak pada grafik dan dibuat trendline untuk memudahkan analisa. Hasilnya dapat dilihat pada Gambar 4 untuk total requests, Gambar untuk reply rate, Gambar 5 untuk persentase galat, Gambar 6 untuk waktu respon.
58
Pratomo dkk., Pengalihan Paket pada ke Honeypot pada Linux Virtual Server untuk Mengatasi..
Hasil uji coba berikutnya adalah CPU usage. Berapa persen penggunaan CPU selama sistem ini bekerja. Nilai CPU usage diambil setiap 5 detik selama uji coba berlangsung. Dan hasilnya dalam bentuk grafik dapat dilihat pada Gambar 7. Seperti terlihat pada grafik penggunaan CPU, Pada detik-detik awal terlihat penggunaan CPU tinggi. Hal ini disebabkan karena sistem deteksi intrusi baru mulai berjalan. Oleh karena itu penggunaan CPUnya lebih tinggi. Tetapi setelah itu relatif tidak menghabiskan penggunaan CPU terlalu banyak.
Dari hasil uji coba performa ini tampak bahwa setelah perubahan pengarahan paket jahat ke honeypot dilakukan, ada selisih tipis menuju ke arah yang lebih baik. Dari hasil perhitungan, total request mengalami peningkatan rata-rata sebanyak 3.8%, total reply/reply rate mengalami peningkatan rata-rata sebanyak 5.91%, presentase galat atau packet loss rate mengalami penurunan rata-rata sebanyak 0.97%, waktu respon yang lebih singkat ratarata 17%, dan penggunaan CPU rata-rata yang hanya 2.5%.
Gambar 4 Grafik Perbandingan Total Request
Gambar 5 Gambar Perbandingan Reply Rate
59
Jurnal Sistem Informasi, Volume 4, Nomor 1, September 2011, hlm 53-61
Gambar 6 Grafik Perbandingan Waktu Respon
Gambar 7 Grafik Perbandingan Presentase Galat
Gambar 8 Grafik Penggunaan CPU
60
Pratomo dkk., Pengalihan Paket pada ke Honeypot pada Linux Virtual Server untuk Mengatasi..
4. SIMPULAN dan SARAN
5. DAFTAR PUSTAKA
Pada bab ini akan dibahas mengenai kesimpulan yang dapat diambil dari tujuan pembuatan perangkat lunak, serta hasil uji coba yang telah dilakukan. Selain itu terdapat beberapa saran yang untuk pengembangan lebih lanjut.
Kargl. F, Maier. J, Weber, M. (2001), “Protecting web servers from distributed denial of service attacks”, Proceedings of the 10th international conference on World Wide Web Kuwatly. I, Sraj. M, Al Masri. Z, Artail. H. (2004), “A Dynamic Honeypot Design for Intrusion Detection”, Pervasive Services, 2004. ICPS 2004. IEEE/ACS International Conference., pp. 95- 104 Mirkovic. J, Arikan. E, W. Songjie, Fahmy. S, Thomas. R, Reiher. P. (2006), "Benchmarks for DDOS Defense Evaluation," Military Communications Conference, 2006. MILCOM 2006. IEEE , pp.1-10, 23-25 Oct. 2006 Narendra. A, Suadi. W, (2009), “Pengoptimalisasian Kinerja SignatureBased Network Intrusion Detection System Dengan Memanfaatkan Honeypot Dalam Lingkungan Testbed”, Teknik Informatika, Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember Surabaya O'Rourke. P, Keefe. M. (2001), “Performance Evaluation of Linux Virtual Server”, LISA 2001 15th System Administration Conference, pp 79–92 Peng. T., Leckie. C., dan Ramamohanara., K. (2007), “Survey of Network-Based Defense Mechanisms Countering the DoS and DDoS Problems”, ACM Comp. Surv. 39, 1, Article 3 Roesch, M. (1999), “Snort – Lightweight Intrusion Detection for Networks”, Proceedings of LISA '99: 13th Systems Administration Conference Roesch, M. (2010), “Snort 2.8.5 Manual” Sardana. A, Kumar. K, Joshi. R. (2007), “Detection and Honeypot Based Redirection to Counter DDoS Attacks in ISP Domain”, Information Assurance and Security, 2007. IAS 2007. Third International Symposium, pp.191-196, 2931 Aug. 2007 Zhang. W. (2000), “Linux Virtual Server for Scalable Network Services”
Dari hasil pengamatan selama perancangan, implementasi, dan proses uji coba perangkat lunak yang dilakukan, dapat diambil kesimpulan bahwa sistem yang dibuat sudah mampu memenuhi kebutuhan untuk mengarahkan paket-paket jahat ke honeypot dan meminimalisir efek dari serangan DDOS, dan dengan menggunakan sistem ini, jumlah respon yang dapat ditangani server mengalami peningkatan rata-rata sebanyak 5.91% packet loss rate mengalami penurunan rata-rata sebanyak 0.97%. Perubahan paling tampak ada pada waktu respon untuk satu buah request yang mengalami peningkatan sebanyak 17%. Berikut merupakan beberapa saran untuk pengembangan sistem di masa yang akan datang, berdasar pada hasil perancangan, implementasi, dan uji coba yang telah dilakukan. Penambahan realserver dan honeypot mungkin dapat lebih memperbaiki kinerja sistem.Lalu penggunaan metode penjadwalan selain roundrobin dapat juga dicoba. Dengan data yang didapat di honeypot, dapat dibuat suatu sistem deteksi intrusi yang rulerulenya dapat berubah secara dinamis. Penambahan fitur failover pada LVS Director agar apabila LVS Director tidak dapat menangani request lagi, tetap ada penggantinya.
61