Pengertian SYN flood attack
SYN flood attack adalah jenis serangan Denial of Service (DoS) yang menargetkan protokol TCP. Penyerang mengirimkan banyak permintaan koneksi (paket SYN) ke server, tetapi tidak pernah menyelesaikan proses three-way handshake dengan mengirimkan paket ACK
. Akibatnya, server terus menunggu respons dari koneksi palsu tersebut dan menyimpan entri koneksi sementara (half-open connection), hingga sumber daya seperti memori atau tabel koneksi penuh dan server tidak bisa melayani koneksi baru dari pengguna sah.
- Tanda-tanda Server Terkena Serangan SYN Flood:
-
-
Lonjakan koneksi dalam status “SYN_RECV” di sistem operasi (bisa dilihat dengan perintah seperti
netstat -anpada Linux). -
Kinerja server menurun atau website sulit diakses meskipun resource CPU terlihat normal.
-
Koneksi baru gagal terbentuk, sementara koneksi lama tetap aktif.
-
Log jaringan menunjukkan banyak paket SYN dari alamat IP yang berubah-ubah (sering kali hasil spoofing).
-
Kapasitas backlog TCP penuh, menyebabkan koneksi sah ditolak.
-
- Tanda-tanda Server Terkena Serangan UDP Flood:
-
-
Konsumsi bandwidth meningkat drastis tanpa peningkatan trafik pengguna sebenarnya.
-
Server merespons banyak permintaan UDP palsu, sehingga beban jaringan tinggi.
-
Ping atau akses ke server menjadi sangat lambat atau tidak merespons sama sekali.
-
Log firewall menunjukkan banyak paket UDP ke port acak atau port layanan tertentu (misalnya DNS atau NTP).
-
CPU usage meningkat tajam, terutama pada proses jaringan, karena harus memproses banyak paket yang tidak valid.
-
Cara Menangkal SYN Flood Attack Melalui Firewall
Menangkal serangan SYN flood bisa dilakukan dengan mengonfigurasi firewall agar mampu memfilter, membatasi, dan memvalidasi koneksi TCP yang mencurigakan sebelum mencapai server. Berikut adalah langkah dan teknik umum yang digunakan:
1. Aktifkan SYN Cookies (Jika Didukung Firewall)
Beberapa firewall modern dan sistem operasi memiliki fitur SYN cookies, yaitu teknik yang menunda alokasi memori hingga koneksi TCP benar-benar sah (setelah handshake selesai).
Tujuan: Mencegah penuhnya tabel koneksi akibat banyak koneksi palsu.
2. Gunakan Rate Limiting (Pembatasan Laju Koneksi)
Batasi jumlah paket SYN yang dapat diterima dari satu alamat IP dalam waktu tertentu.
Contoh aturan umum:
-
Hanya izinkan sejumlah kecil koneksi baru per detik dari satu sumber IP.
-
Drop paket berlebih jika melebihi batas.
Pada firewall berbasis iptables (Linux), misalnya:
Artinya, hanya 10 koneksi SYN per detik yang diizinkan dari sumber tertentu.
3. Gunakan Connection Tracking
Aktifkan fitur connection tracking pada firewall untuk memantau status koneksi TCP. Firewall dapat mengenali koneksi sah (ESTABLISHED/RELATED) dan menolak koneksi baru yang mencurigakan (misalnya banyak koneksi setengah jadi).
4. Drop Paket dengan Alamat IP Spoofing
Serangan SYN flood sering menggunakan alamat sumber palsu. Firewall dapat menolak paket dari sumber IP yang tidak valid (misalnya IP lokal atau private yang muncul dari internet). Contoh untuk memblokir alamat palsu:
5. Gunakan SYN Proxy (Jika Firewall Mendukung)
Beberapa firewall canggih (seperti pfSense, Fortigate, Cisco ASA, dan Cloudflare Magic Transit) menyediakan fitur SYN proxy, di mana firewall yang menyelesaikan handshake terlebih dahulu sebelum meneruskan koneksi ke server. Jika klien tidak mengirim ACK, koneksi tidak diteruskan — server aman dari pemborosan resource.
6. Atur TCP Timeout dan Backlog
Melalui firewall atau sistem operasi, kurangi waktu menunggu koneksi setengah jadi (half-open). Tujuannya agar entri koneksi yang tidak valid segera dihapus, mencegah penumpukan.
Contoh (di Linux):
7. Gunakan Firewall Layer 7 atau WAF
Jika website berbasis HTTP/HTTPS, gunakan Web Application Firewall (WAF) seperti Cloudflare, Sucuri, atau ModSecurity. Firewall jenis ini dapat mengenali pola trafik abnormal (misalnya spike pada TCP handshake) dan menyaring sebelum sampai ke origin server.
8. Monitoring & Alert
Gunakan firewall yang mendukung logging dan alert otomatis untuk mendeteksi anomali seperti lonjakan SYN. Tindakan cepat sangat penting untuk menyesuaikan aturan atau mengaktifkan mitigasi tambahan.