Mengenal Serangan dan Definisi Denial-of-service DDos Attack

Denial-of-service (DDoS) terdistribusi adalah masalah yang berkembang pesat. Banyaknya dan variasi dari serangan dan pendekatan pertahanan luar biasa. Banyak makalah diluar sana menyajikan dua taksonomi untuk mengklasifikasikan serangan dan pertahanan, dan dengan demikian memberikan para peneliti pemahaman yang lebih baik tentang masalah dan ruang solusi saat ini.

Kriteria klasifikasi serangan dipilih untuk menyoroti kesamaan dan fitur penting dari strategi serangan, yang menentukan tantangan dan menentukan desain tindakan balasan. Taksonomi pertahanan mengklasifikasikan tubuh pertahanan DDoS yang ada berdasarkan keputusan desain mereka yang kemudian menunjukkan bagaimana keputusan ini menentukan kelebihan dan kekurangan solusi yang diusulkan.

Serangan denial-of-service (DDoS) terdistribusi terjadi ketika beberapa sistem membanjiri bandwidth atau sumber daya sistem yang ditargetkan, biasanya satu atau lebih server web. Serangan semacam itu sering kali merupakan hasil dari beberapa sistem yang dikompromikan misalnya botnet) yang membanjiri sistem yang ditargetkan dengan lalu lintas. Mari simak mengenai DDoS Attack, definisi dan motivasi yang melatar belakangi serangan cyber yang sering menyerang situs- situs web ini.

Definisi dan Jenis Denial-of-service (DDoS) Attack

Serangan Denial-of-service (DDoS) attack terdistribusi adalah upaya jahat untuk membuat layanan online tidak tersedia bagi pengguna, biasanya dengan mengganggu atau menangguhkan sementara layanan server hostingnya. DDoS attack akan diluncurkan dari berbagai perangkat yang disusupi, sering kali didistribusikan secara global dalam apa yang disebut sebagai botnet. Tipe serangan ini berbeda dari serangan Denial-of-service (DoS) lainnya, karena ia menggunakan satu perangkat yang terhubung ke Internet (satu koneksi jaringan) untuk membanjiri target dengan lalu lintas berbahaya. Nuansa inilah yang menjadi alasan utama keberadaan dua definisi yang agak berbeda ini.

Secara garis besar, serangan DoS dan DDoS dapat dibagi menjadi tiga jenis :

• Serangan berbasis volume

Serangan jenis ini termasuk banjir UDP, banjir ICMP, dan banjir paket palsu lainnya. Sasaran serangan adalah untuk memenuhi bandwidth situs yang diserang, dan besarnya diukur dalam bit per detik (Bps).

• Serangan protokol

Jenis ini termasuk diantaranya banjir SYN, serangan paket terfragmentasi, Ping of Death, Smurf DDoS dan banyak lagi. Jenis serangan ini menggunakan sumber daya server yang sebenarnya, atau yang memiliki peralatan komunikasi perantara, seperti firewall dan penyeimbang beban, dan diukur dalam paket per detik (Pps).

• Serangan lapisan aplikasi

Dalam serangan ini termasuk serangan rendah dan lambat, banjir GET / POST, serangan yang menargetkan kerentanan Apache, Windows atau OpenBSD dan banyak lagi. Terdiri dari permintaan yang tampaknya sah dan tidak bersalah, tujuan dari serangan ini adalah untuk merusak web server, dan besarannya diukur dalam Permintaan per detik (Rps).

Bagaimana Cara Kerja Serangan DDoS?

Setelah botnet dibuat, penyerang dapat mengarahkan serangan dengan mengirimkan instruksi jarak jauh ke setiap bot.

Saat server atau jaringan korban menjadi sasaran botnet, setiap bot mengirimkan permintaan ke alamat IP target , berpotensi menyebabkan server atau jaringan menjadi kewalahan, mengakibatkan penolakan layanan ke lalu lintas normal. Karena setiap bot adalah perangkat Internet yang sah, memisahkan lalu lintas serangan dari lalu lintas normal bisa jadi sulit.

Jenis Umum Serangan DDoS Attack

Beberapa jenis serangan DDoS yang paling umum muncul dan paling sering digunakan meliputi beberapa jenis seperti :

1. Banjir UDP

Banjir UDP, menurut definisi, adalah serangan DDoS yang membanjiri target dengan paket User Datagram Protocol (UDP). Tujuan serangan ini adalah untuk membanjiri port acak pada host jarak jauh. Hal ini menyebabkan host berulang kali memeriksa aplikasi yang mendengarkan di port tersebut, dan (jika tidak ada aplikasi yang ditemukan) membalas dengan paket ICMP “Destination Unreachable”. Proses ini menghabiskan sumber daya host, yang pada akhirnya dapat menyebabkannya tidak dapat diakses.

2. Banjir ICMP (Ping)

Serupa pada prinsipnya dengan serangan banjir UDP, banjir ICMP membanjiri sumber daya target dengan paket Echo Request (ping) ICMP yang umumnya mengirim paket secepat mungkin tanpa menunggu balasan. Jenis serangan ini dapat menghabiskan bandwidth keluar dan masuk, karena server korban akan sering mencoba merespons dengan paket ICMP Echo Reply, mengakibatkan perlambatan sistem secara keseluruhan yang signifikan.

3. Banjir SYN

Serangan SYN flood DDoS mengeksploitasi kelemahan yang diketahui dalam urutan koneksi TCP (“3 way handshake”), di mana permintaan SYN untuk memulai koneksi TCP dengan host harus dijawab oleh respons SYN-ACK dari host tersebut, dan kemudian dikonfirmasi oleh respon ACK dari pemohon. Dalam skenario banjir SYN, pemohon mengirim beberapa permintaan SYN, tetapi tidak menanggapi respons SYN-ACK host, atau mengirim permintaan SYN dari alamat IP palsu. Bagaimanapun, sistem host terus menunggu pengakuan untuk setiap permintaan, mengikat sumber daya hingga tidak ada koneksi baru yang dapat dibuat, dan pada akhirnya mengakibatkan penolakan layanan.

4. Ping of Death

Serangan ping of deatch (“POD”) melibatkan penyerang mengirim beberapa ping yang salah atau berbahaya ke komputer. Panjang paket maksimum dari sebuah paket IP (termasuk header) adalah 65.535 byte. Namun, Data Link Layer/Lapisan Data Link biasanya membatasi ukuran bingkai maksimum, misalnya 1500 byte melalui jaringan Ethernet.

Dalam hal ini, paket IP yang besar dibagi menjadi beberapa paket IP (dikenal sebagai fragmen), dan host penerima memasang kembali fragmen IP tersebut ke dalam paket lengkap. Dalam skenario Ping of Death, setelah manipulasi konten fragmen yang berbahaya, penerima akan mendapatkan paket IP yang lebih besar dari 65.535 byte saat dipasang kembali. Ini dapat meluap buffer memori yang dialokasikan untuk paket, menyebabkan penolakan layanan untuk paket yang sah.

5. Slowloris

Slowloris adalah serangan yang sangat bertarget, memungkinkan satu server web untuk menjatuhkan server lain, tanpa mempengaruhi layanan atau port lain di jaringan target. Slowloris melakukan ini dengan menahan sebanyak mungkin koneksi ke server web target selama mungkin.

Serangan ini menyelesaikan masalah dengan membuat koneksi ke server target, tetapi hanya mengirim sebagian permintaan. Slowloris terus-menerus mengirim lebih banyak header HTTP, tetapi tidak pernah menyelesaikan permintaan. Server yang ditargetkan membuat setiap koneksi palsu ini tetap terbuka. Ini akhirnya meluap karena kumpulan koneksi bersamaan maksimum, dan mengarah pada penolakan koneksi tambahan dari klien yang sah.

6. Amplifikasi NTP

Dalam serangan amplifikasi NTP, pelaku mengeksploitasi server Network Time Protocol (NTP) yang dapat diakses publik untuk membanjiri server yang ditargetkan dengan lalu lintas UDP. Serangan tersebut didefinisikan sebagai serangan amplifikasi karena rasio query-to-response dalam skenario tersebut berkisar antara 1:20 dan 1: 200 atau lebih. Ini berarti bahwa setiap penyerang yang mendapatkan daftar server NTP terbuka misalnya, dengan menggunakan alat seperti Metasploit atau data dari Proyek NTP Terbuka, dapat dengan mudah menghasilkan serangan DDoS dengan bandwidth tinggi dan volume tinggi yang menghancurkan.

7. Banjir HTTP

Dalam serangan HTTP flood DDoS, penyerang mengeksploitasi permintaan HTTP GET atau POST yang tampaknya sah untuk menyerang server web atau aplikasi. Banjir HTTP tidak menggunakan paket yang salah format, spoofing atau teknik refleksi, dan membutuhkan lebih sedikit bandwidth daripada serangan lain untuk menjatuhkan situs atau server yang ditargetkan. Serangan tersebut paling efektif jika memaksa server atau aplikasi untuk mengalokasikan sumber daya semaksimal mungkin sebagai respons untuk setiap permintaan.

8. Serangan DDoS Zero-day

Definisi “Zero-day” mencakup semua serangan yang tidak diketahui atau baru, mengeksploitasi kerentanan yang belum ada patch yang dirilis. Istilah ini terkenal di kalangan anggota komunitas hacker, di mana praktik perdagangan kerentanan zero-day telah menjadi aktivitas yang populer.

Motivasi dan Tujuan Di balik DDoS Attack

Serangan DDoS dengan cepat menjadi jenis ancaman dunia maya yang paling umum, berkembang pesat dalam satu tahun terakhir baik dalam jumlah maupun volume menurut penelitian pasar baru-baru ini. Trennya adalah durasi serangan yang lebih pendek, tetapi volume serangan paket per detik lebih besar. Biasanya serangan ini terjadi karena motivasi dan tujuan seperti :

• Ideologi

Dengan pemahaman dan ide dari kumpulan orang- orang yang disebut peretas, yang kemudian menggunakan serangan DDoS sebagai alat untuk menargetkan situs web yang tidak mereka setujui secara ideologi yang mereka anut.

• Perseteruan bisnis

Atas dasar persaingan bisnis, pihak yang berseteru dapat menggunakan serangan DDoS untuk secara strategis menjatuhkan situs web pesaing, misalnya, untuk mencegah mereka berpartisipasi dalam acara penting yang biasa diikuti banyak bisnis lainnya.

• Kebosanan dan iseng

Pengacau dunia maya, alias, “script-kiddies” menggunakan skrip yang telah ditulis sebelumnya untuk meluncurkan serangan DDoS. Pelaku serangan ini biasanya bosan atau calon peretas yang mencari pemacu adrenalin yang menantang diri dengan meluncurkan serangan-serangan.

• Pemerasan

Pelaku menggunakan serangan DDoS, atau ancaman serangan DDoS sebagai cara untuk memeras uang, blackmail atau mengancam target mereka sehingga korban akan mematuhi permintaan pelaku.

• Perang dunia maya

Banyak dari serangan DDoS resmi pemerintah dapat digunakan untuk melumpuhkan situs web oposisi dan infrastruktur negara musuh. Dengan begini bisa saja berdampak pada situs-situs yang tutup atau tidak dapat diakses.