DDoS (Distributed Denial of Service)

Serangan DoS (denial-of-service attacks) adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut.

Latar Belakang DDoS

Bentuk serangan Denial of Service awal adalah serangan SYN Flooding Attack, yang pertama kali muncul pada tahun 1996 dan mengeksploitasi terhadap kelemahan yang terdapat di dalam protokol Transmission Control Protocol (TCP). Serangan-serangan lainnya akhirnya dikembangkan untuk mengeksploitasi kelemahan yang terdapat di dalam sistem operasi, layanan jaringan atau aplikasi untuk menjadikan sistem, layanan jaringan, atau aplikasi tersebut tidak dapat melayani pengguna, atau bahkan mengalami crash. Beberapa tool yang digunakan untuk melakukan serangan DoS pun banyak dikembangkan setelah itu (bahkan beberapa tool dapat diperoleh secara bebas), termasuk di antaranya Bonk, LAND, Smurf, Snork, WinNuke, dan Teardrop.

Meskipun demikian, serangan terhadap TCP merupakan serangan DoS yang sering dilakukan. Hal ini disebabkan karena jenis serangan lainnya (seperti halnya memenuhi ruangan hard disk dalam sistem, mengunci salah seorang akun pengguna yang valid, atau memodifikasi tabel routing dalam sebuah router) membutuhkan penetrasi jaringan terlebih dahulu, yang kemungkinan penetrasinya kecil, apalagi jika sistem jaringan tersebut telah diperkuat.

Serangan DDOS pertama kali muncul pada tahun 1999, tiga tahun setelah serangan Denial of Service yang klasik muncul, dengan menggunakan serangan SYN Flooding, yang mengakibatkan beberapa server web di Internet mengalami "downtime". Pada awal Februari 2000, sebuah serangan yang besar dilakukan sehingga beberapa situs web terkenal seperti Amazon, CNN, eBay, dan Yahoo! mengalami "downtime" selama beberapa jam. Serangan juga pernah dilancarkan pada bulan Oktober 2002 ketika 9 dari 13 root DNS Server diserang dengan menggunakan DDOS yang sangat besar yang disebut dengan "Ping Flood". Pada puncak serangan, beberapa server tersebut pada tiap detiknya mendapatkan lebih dari 150.000 request paket Internet Control Message Protocol (ICMP). Untungnya, karena serangan hanya dilakukan selama setengah jam saja, lalu lintas internet pun tidak terlalu terpengaruh dengan serangan tersebut.

Tujuan DDoS

Berikut ini adalah beberapa tujuan dari serangan DOS dan DDOS Attack : 

1. Menyebabkan bandwidth yang digunakan oleh korban akan habis, kejadian ini sering dialami oleh sebuah internet service provaider(ISP).
   
2. Mencegah korban mengunakan layanan, sebuah server menjalankan layanan di internet kepada yang meminta layanan, misalnya web server website www.contoh.com mendapat DOS atau DDOS Attack maka kemungkinan besar jika ada yang membuka website www.contoh.com  website tidak akan terbuka di browser internet. Dalam keadaan mendapat serangan DOS atau DDOS Attack webserver tidak bisa memberikan layanannya karena CPU dan RAM sibuk melayani DOS Attack.

Merusak sistem, beberapa teknik dari DOS atau DDOS Attack yang berbahaya menyebabkan kerusakan secara permanen terhadap hardware dan software korban, contoh kerusakan yang sering di hadapi pada korban adalah kernel panic.

Arsitektur Serangan

Terdapat beberapa tahapan dalam mempersiapkan serangan DDoS, yaitu:

• Pemilihan daemon agents, penyerang memilih agent – agent yang akan digunakan dalam melaksanakan serangan. Agent – agent yang dipilih dapat saja memang komputer milik penyerang sendiri namun dapat juga komputer – komputer yang yang memiliki celah keamanan pada sistemnya yang kemudian dimanfaatkan sehingga penyerang bisa memiliki akses terhadap komputer tersebut.
  
• Konfigurasi daemon agents, setelah agent – agent telah dipilih maka pada setiap agent kemudian ditanamkan kode – kode yang berisi metode serangan. Kode ini disembunyikan secara sedemikian rupa sehingga tidak mudah diketahui bahkan oleh pemilik sah dari komputer tersebut. Hal ini menyebabkan seringkali banyak pemilik komputer yang tidak sadar bahwa komputernya dipergunakan untuk melakukan serangan DDoS.

    Komunikasi, Penyerang berkomunikasi dengan handler – handler yang akan melakukan pengelolaan terhadap agent seperti mengatur jadwal serangan, mengecek apakah agent – agent dalam kondisi hidup, dan juga mengubah konfigurasi ketika terjadi penambahan atau pengurangan terhadap agent yang ada.

Cara dan Teknik Melakukan Serangan

Beberapa metode serangan DOS dan DDOS Attack yang  umum dilakukan adalah sebagai berikut :

1. SYN-Flooding

SYN-Flooding merupakan network Denial of Service yang memanfaatkan 'loophole' pada saat koneksi TCP/IP terbentuk. Kernel Linux terbaru (2.0.30 dan yang lebih baru) telah mempunyai option konfigurasi untuk mencegah Denial of Service dengan  mencegah menolak cracker untuk mengakses sistem.

2. Pentium 'FOOF' Bug

Merupakan serangan Denial of Service terhadap prosessor Pentium yang menyebabkan sistem menjadi reboot. Hal ini tidak  bergantung terhadap jenis sistem operasi yang digunakan tetapi lebih spesifik lagi terhadap prosessor yang digunakan yaitu pentium.

3. Ping Flooding

Ping Flooding adalah brute force Denial of Service sederhana. Jika serangan dilakukan oleh penyerang dengan bandwidth yang lebih baik dari korban, maka mesin korban tidak dapat mengirimkan paket data ke dalam jaringan (network). Hal ini terjadi karena mesin korban dibanjiri (flood) oleh peket-paket ICMP. Varian dari seranganini disebut "smurfing".

4. FTP Bounce Attack

FTP (File Transfer Protocol) digunakan untuk melakukan transfer dokumen dan data secara anonymously dari mesin local ke server dan sebaliknya. Idealnya seorang administrator ftp server mengerti bagaimana serangan ini bekerja. FTP bounce attack digunakan untuk melakukan slip past application-basedfirewalls dalam sebuah bounce attack,hacker melakukan upload sebuah file aplikasi atau script pada ftp server dan kemudian melakukan request pada file ini dikirim ke server internal. File tersebut dapat terkandung di dalamnya malicious software atau suatu script yang simple yang membebani server internal dan menggunakan semua memory dan sumber daya CPU.5.

5. Port Scanning Attack 

Sebuah port scan adalah ketika seseorang menggunakan software untuk secara sistematik melakukan scan bagian-bagian dari sistem mesin komputer orang lain. Hal yang dibolehkan dalam penggunaan software ini adalah untuk manajemen network kebanyakan hacker masuk ke komputer lain untuk meninggalkan sesuatu ke dalamnya, melakukan capture terhadap password atau melakukan perubahan konfigurasi set-up. Metode pertahanan dari serangan ini, melakukan monitor network secara teratur. Ada beberapa free tools yang dapat melakukan monitor terhadap scan port dan aktivitas yang berhubungan dengannya.

6. Smurf Attack

Smurf Attack merupakan modifikasi dari serangan ping dan bukannya mengirimkan ping langsung ke sistem menyerang, mereka akan dikirim ke alamat abroadcast korban alamat. Berbagai addresses from IP sistem setengah jadi akan mengirimkan ping kepada korban, membombardir the victim mesin atau sistem dengan ratusan atau ribuan ping.

7. Fragment Attack  IP Fragmentation/Overlapping

Yaitu memfasilitasi IP relatif sesak pengiriman melalui jaringan. Paket IP dapat dikurangi dalam ukuran atau pecah menjadi paket yang lebih kecil. Dengan membuat paket-paket yang sangat kecil, router dan system deteksi intrusi tidak dapat  mengidentifikasi isi paket dan akan  membiarkan mereka melewati tanpa pemeriksaan. Ketika sebuah paket disusun kembali pada ujung yang lain, itu buffer overflows. Mesin akan hang, reboot atau  mungkin tidak menunjukkan efek sama sekali. Dalam Fragmen Tumpang Tindih Attack, paket yang disusun kembali dimulai di tengah paket lain. Sebagai  sistem operasi tersebut menerima paket yang tidak valid, itu mengalokasikan memori untuk menahan mereka. Ini akhirnya menggunakan semua sumber daya memori dan menyebabkan mesin untuk reboot atau menggantung.

8. IP Sequence Prediction Attack

Yaitu dengan menggunakan metode Banjir SYN, hacker dapat membuat koneksi dengan mesin korban dan mendapatkan urutan nomor paket IP dalam Serangan Prediksi Urutan IP. Dengan jumlah ini, hacker dapat mengontrol mesin korban dan menipu itu menjadi percaya itu berkomunikasi dengan mesin lain jaringan. Mesin korban akan Menyediakan layanan yang diminta. Sebagian besar sistem operasi sekarang mengacak nomor urut mereka untuk mengurangi kemungkinan prediksi.

9. DNS Cache Poisoning

DNS menyediakan informasi host didistribusikan digunakan untuk  pemetaan nama domain, dan alamat IP. Untuk meningkatkan produktivitas, server DNS cache data yang terbaru untuk pencarian cepat. Cache ini bisa diserang dan informasi palsu untuk mengarahkan sambungan jaringan atau  memblokir akses ke situs Web, sebuah taktik  licik  yan g disebut  cache  DNS  keracunan.

10. SNMP Attack

Kebanyakan dukungan jaringan perangkat SNMP karena aktif  secara default. Sebuah serangan SNMP dapat mengakibatkan jaringan yang dipetakan, dan lalu lintas dapat dipantau dan diarahkan.

11. UDP Flood Attack

Serangan Banjir UDP sebuah link Serangan dua sistem yang tidak curiga. Oleh Spoofing, banjir UDP hook up sistem UDP satu layanan (yang untuk tujuan pengujian menghasilkan karakter untuk setiap paketyang diterimanya) dengan sistem lain layanan echo UDP (yang gemanya setiap karakter yang diterimanya dalam upaya untuk menguji program jaringan). Akibatnya non-stop banjir data yang tidak berguna between two lewat sistem.

12. Send Mail Attack

Dalam serangan ini,  ratusan dari ribuan pesan dikirim dalam waktu yang singkat load normal biasanya hanya berkisar 100 atau 1000 pesan per  jam. Serangan melawan pengiriman email mungkin tidak  berdampak pada bagian depan, tetapi waktu down sebuah pada beberapa website akan terjadi. bagi perusahaan yang reputasinya bergantung pada reliablenya dan keakuratan transaksi pada base web, sebuah serangan DoS dapat menjadi pemicu utama dan merupakan ancaman yangserius untuk berjalannya bisnis

Tools yang digunakan

Terdapat bermacam – macam tools untuk melakukan serangan DDoS, sebagian besar memiliki arsitektur yang sama dan hanya berupa modifikasi di beberapa tempat dari tools lainnya. Secara garis besar tools serangan DDoS dapat dibagi mejadi 2, yaitu:

    Agent-based DDoS tools

Pada tipe ini tools bertitik berat pada control terhadap agent dengan metode komunikasi normal menggunakan paket TCP atau UDP. Terdapat banyak tools yang memiliki tipe sebagai berikut, seperti Trinoo, TFN, TFN2K, Stacheldraht, dll.

    IRC-based DDoS tools

Pada tipe ini kontrol terhadap host memanfaatkan teknologi pada IRC sehingga dapat menerima perinta. Terdapat beberapa code yang yang memiliki tipe sebagai berikut, seperti : trinity dan TARGA.

Efek Serangan

Bandwidth

Dalam serangan DOS atau DDOS, bukan hal yang aneh bila bandwith yang dipakai oleh korban akan dimakan habis.

Kernel Tables

Serangan pada kernel tables, bisa berakibat sangat buruk pada sistem. Alokasi memori kepada kernel juga merupakan target serangan yang sensitif. Kernel memiliki kernelmap limit, jika sistem mencapai posisi ini, maka sistem tidak bisa lagi mengalokasikan memory untuk kernel dan sistem harus di re-boot.

RAM

Serangan DOS atau DDOS banyak menghabiskan RAM sehingga sistem mau tidak mau harus di re-boot.
Disk.
Serangan klasik banyak dilakukan dengan memenuhi Disk.

Swap Space

Swap spase biasanya digunakan untuk mem-forked child proses.

Antisipasi Serangan

Berikut merupakan beberapa cara pencegahan dari serangan DOS dan DDOS :

• Lakukan sesering mungkin terhadap bug-bug dengan cara melakukan patch dan back-up secara berkala.

• Gunakan firewall agar kemungkinan serangan ini tidak malakukan serangan-serangan data terhadap komputer anda.

• Lakukan bllocking terhadap IP yang mencurigakan, jika port anda telah termasuki maka komputer anda akan di kuasai. Cara mengatasinnya adalah gunakan Firewall di kombinasikan dengan IDS.

• Menolak semua paket data dan mematikan service UDP. selain itu gunakan anti virus yang di mana dapat menangkal serangan data seperti Kapersky.

• Lakukan filtering pada permintaan ICMP echo pada firewall.

Sedangkan apabila server sudah terserang maka untuk mengatasinya salah satu caranya adalah dengan memblok host yang melakukan serangan. Caranya adalah sebagai berikut :

• Cari IP yang melakukan serangan. Ciri cirinya adalah mempunyai banyak koneksi (misal 30 koneksi dalam 1 ip), muncul banyak ip dari satu jaringan.

• Block ip tersebut sehingga tidak bisa melakukan serangan.

• Lakukan terus sampai serangan berkurang.

Kesimpulan dan Saran

Kesimpulan dan Saran dari saya bahwa agar tidak asal mencoba melakukan serangan DDoS baik itu hanya untuk coba-coba atau untuk niat lainnya, karena pada akhirnya yang dilakukan tersebut itu adalah tindakan illegal, yaitu menganggu kenyamanan korban ataupun pekerjaan korban.
Usahakan pelajari teknik-teknik untuk mencegah serangan DDoS ini, karena tidak semua manusia didunia ini tidak akan melakukan DDoS, jadi lebih baik mencegah sebelum terkena.