Belakangan ini tindakan penyusupan dan penyerangan terhadap sebuah server sering dilakukan melalui metode DDoS. Dipilihnya metode DDoS karena metode ini dapat bekerja lebih efektif dan pelaku utamanya sulit untuk dilacak. Apakah sebenarnya DDoS itu?
Sebelum berbicara lebih jauh mengenai DDoS, sebaiknya Anda harus mengerti terlebih dahulu apa yang dimaksud dengan Denial of Service atau DOS. Denial of Service adalah suatu bentuk serangan atau aktivitas yang memungkinkan penyerang menghambat atau membuat sebuah sistem menjadi lambat. Serangan ini dapat mengakibatkan user yang berhak atau berkepentingan menjadi tidak bisa menggunakan sistem tersebut. Serangan dilakukan dengan cara menambah beban (meng-overload) sistem sehingga tidak ada yang sanggup mengakses sistem tersebut.
Serangan DOS dapat dilakukan secara sengaja maupun tidak disengaja. Serangan secara sengaja biasanya dilakukan oleh user yang tidak berhak terhadap suatu sistem. Sedangkan serangan secara tidak disengaja biasanya dilakukan oleh user yang berhak, namun tanpa sengaja telah melakukan sesuatu yang dapat membuat kinerja sistem menjadi tidak stabil. Sistem operasi seperti Microsoft Windows, beberapa varian dari UNIX, termasuk juga Router, dan beberapa komponen network lainnya yang cara kerjanya harus memproses paket pada level tertentu, ternyata sangat rentan terhadap serangan DOS. Secara umum serangan DOS sulit untuk dicegah oleh siapapun. Namun, dengan cara membatasi akses, resource, file dan tentunya melindungi akses dari user yang tidak berhak dan tidak berkepentingan, Anda dapat mengurangi risiko serangan DOS.
Apakah itu DDoS ? Telah kita ketahui bersama bahwa sistem DOS tradisional bekerja menggunakan komputer. Oleh karena itu, serangan DOS biasanya dilakukan melalui sebuah komputer. Akan tetapi di tahun 2000, jenis serangan baru telah diperkenalkan. Serangan tersebut dinamakan Distributed Denial of Service (DDoS). Dengan cara ini user dapat melakukan serangan ke bebe rapa mesin dengan cara berkoordinasi dengan beberapa teman, untuk melakukan serangan ke satu target mesin atau jaringan secara bersamaan. Jadi, sekarang bukan hanya satu komputer yang melakukan serangan, tetapi lebih dari satu komputer.
Serangan dengan cara baru ini sulit untuk dicegah, karena komputer target tidak hanya menerima paket dari satu komputer saja, melainkan dari beberapa komputer pada saat bersamaan. Karena serangan dilakukan dari beberapa alamat IP yang berbeda, maka untuk mencegah dan mendeteksi serangan menjadi lebih sukar, karena sebagian paket dari setiap mesin kemungkinan tidak akan terdeteksi oleh Intrusion Detect System (IDS). Dari gambar tersebut Anda dapat melihat bahwa serangan dilakukan dari sebuah host sebagai titik pusat, di mana host tersebut tidak terhubung langsung dengan korban.
Host tersebut adalah administrator yang mengontrol dalam network mereka sendiri, yang terdiri dari "Master" dan "Zombie". Si penyerang dapat mengontrol atau menguasai satu atau bahkan lebih master node tersebut. Master node secara umum akan mengontrol banyak zombie, yang kemudian akan di alamatkan ke target. Master node akan meng-install program DOS ke dalam "Zombie". Kemudian setiap "Zombie" tersebut secara otomatis (tanpa sepengetahuan ataupun dengan sepengetahuan pemilik komputer) akan melancarkan serangan ke korban. Serangan yang dihasilkan lewat DDoS akan berupa sebuah "Packet Storm" yang dapat menghancurkan host atau bandwidth dari network tersebut.
Dari gambaran di atas, dapat diambil kesimpulan bahwa serangan DOS dan DDoS sangat sulit untuk dicegah, karena kita tidak dapat menghilangkan secara total ancaman serangan tersebut. Jika komputer terhubung ke Internet, penyerang akan selalu mempunyai kesempatan untuk mengirimkan paket data dalam jumlah yang sangat besar, yang tidak dapat diproses semuanya. Ancaman DOS atau DDoS dapat diperkecil dengan cara memperbesar bandwidth yang tersedia, walaupun sebenarnya penyerang pun masih dapat menggunakan resource lainnya untuk membanjiri jaringan kita.
Tool :
Program-program yang dapat digunakan hacker untuk melancarkan serangan DDoS sangat mudah didapatkan dari Internet. Beberapa tool paling terkenal yang sering digunakan hacker untuk melancarkan serangan DDoS kepada targetnya adalah Ping of Death, TFN2K, Trinoo dan Stacheldraht.
Ping of Death :
Ping of Death merupakan kategori serangan network-level dengan tujuan untuk membuat crash service yang ada pada target. Ping of Death menggunakan Internet Control Message Protocol (ICMP) yang besar atau paket ping, untuk membuat Denial of Service ke sistem target. Serangan Ping of Death bekerja pada network layer, yang merupakan layer ketiga pada model OSI. Layer ini merupakan layer yang sama dengan layer di mana IP bekerja. ICMP digunakan untuk menguji koneksi antar-mesin dalam jaringan. ICMP dapat menangani error dan exchange control message. ICMP juga dapat digunakan untuk menyampaikan status dan error information, termasuk masalah network transport dan network congestion. Ping merupakan sebuah program yang menggunakan ICMP untuk melihat keadaan apakah sebuah mesin komputer sudah terhubung dalam jaringan atau belum. Hal ini dapat dilakukan pengecekan dengan cara mengirim suatu paket echo request ke sebuah alamat IP. Jika mesin target telah menerima paket tersebut, maka mesin target tersebut akan mengirim balik paket ICMP echo. ICMP dan khususnya Ping merupakan tool yang sangat berguna untuk urusan troubleshooting dan diagnosa PC untuk masalah host atau network.
Secara default perintah “Ping” akan mengirimkan paket data sebesar 32 bytes. Dengan menggunakan option dari Ping, Anda dapat menentukan besar paket data yang ingin dikirim. Pada Microsoft, untuk mengirimkan sebuah paket data yang besar Anda dapat menggunakan option -l. Jadi dengan menuliskan perintah "ping -l 500 10.1.1.168". Sebenarnya spesifikasi dari TCP/IP protokol hanya mengijinkan besar paket data adalah 65.536 bytes (1 bytes = 8 bits). Jadi, jika Anda mengirimkan data lebih besar daripada yang diharuskan, hal tersebut dapat membuat mesin target menjadi overload dalam memproses paket data yang akan dikirim. Hal ini akan membuat mesin target menjadi crash atau hang. Untuk mencegah masalah Ping of Death ini adalah dengan menggunakan patch dari sistem operasi yang digunakan, atau dengan cara memblok paket data yang besar pada router atau firewall.
TFN2K :
Tribe Flood Network 2000 (TFN2K) adalah tool yang digunakan untuk melancarkan serangan DDoS. TFN2K merupakan turunan dari Trojan TFN. TFN2K memiliki client module dan server module. Client module merupakan komponen yang dapat mengontrol server. Client memberitahukan server kapan untuk menyerang dan dengan cara apa untuk mengeksploitasi target. Server berjalan di sebuah mesin dalam mode diam untuk menunggu perintah dari client. TFN2K memungkinkan master mengeksploitasi sejumlah client untuk mengkoordinasikan serangan pada satu atau beberapa target yang diincar. Saat ini, Unix, Solaris, dan Windows NT adalah platform-platform yang rentan terhadap serangan ini.
Trinoo :
Trinoo (trin00) merupakan program slave atau master terkenal yang digunakan dalam serangan DDoS. Jaringan Trinoo dapat memiliki ratusan, atau bahkan ribuan sistem di Internet yang diambil alih dengan mengeksploitasi buffer overrun secara remote. Akses ke sistem-sistem yang dijadikan agen tersebut didapatkan dengan menanamkan program backdoor yang sekaligus merupakan daemon Trinoo. Salah satu contoh kasus yang melibatkan Trinoo adalah penyerangan server di University of Minnessota. Pada Agustus tahun 1999, sebuah jaringan Trinoo yang terdiri dari 200 sistem lebih, bertanggung jawab atas down-nya server yang ada di University of Minnessota selama dua hari. Trinoo menggunakan TCP dan UDP untuk mengirimkan flood packets network. Port yang digunakan adalah :
- Attacker to Master : 27665/tcp
- Master to Daemon : 27444/udp
- Daemon to Master(s) : 31335/udp
Stacheldraht :
Stacheldraht merupakan tool DDoS yang terdiri atas gabungan antara TFN dan Trinoo, dengan tambahan feature lain, seperti enkripsi komunikasi antara komponen dan update secara otomatis pada daemon. Stacheldraht menggunakan TCP dan ICMP pada port :
- Client to handler : 16660/TCP
- Handler to and from agents : 65000/- TCP, ICMP ECHO_REPLY.
Tool Stacheldraht memiliki dua komponen, yaitu client dan handler. Penyerang dapat berinteraksi dengan handler, kemudian handler akan mengontrol client. Sistem pada Client inilah yang melancarkan serangan kepada mesin target.
Sebelum berbicara lebih jauh mengenai DDoS, sebaiknya Anda harus mengerti terlebih dahulu apa yang dimaksud dengan Denial of Service atau DOS. Denial of Service adalah suatu bentuk serangan atau aktivitas yang memungkinkan penyerang menghambat atau membuat sebuah sistem menjadi lambat. Serangan ini dapat mengakibatkan user yang berhak atau berkepentingan menjadi tidak bisa menggunakan sistem tersebut. Serangan dilakukan dengan cara menambah beban (meng-overload) sistem sehingga tidak ada yang sanggup mengakses sistem tersebut.
Serangan DOS dapat dilakukan secara sengaja maupun tidak disengaja. Serangan secara sengaja biasanya dilakukan oleh user yang tidak berhak terhadap suatu sistem. Sedangkan serangan secara tidak disengaja biasanya dilakukan oleh user yang berhak, namun tanpa sengaja telah melakukan sesuatu yang dapat membuat kinerja sistem menjadi tidak stabil. Sistem operasi seperti Microsoft Windows, beberapa varian dari UNIX, termasuk juga Router, dan beberapa komponen network lainnya yang cara kerjanya harus memproses paket pada level tertentu, ternyata sangat rentan terhadap serangan DOS. Secara umum serangan DOS sulit untuk dicegah oleh siapapun. Namun, dengan cara membatasi akses, resource, file dan tentunya melindungi akses dari user yang tidak berhak dan tidak berkepentingan, Anda dapat mengurangi risiko serangan DOS.
Apakah itu DDoS ? Telah kita ketahui bersama bahwa sistem DOS tradisional bekerja menggunakan komputer. Oleh karena itu, serangan DOS biasanya dilakukan melalui sebuah komputer. Akan tetapi di tahun 2000, jenis serangan baru telah diperkenalkan. Serangan tersebut dinamakan Distributed Denial of Service (DDoS). Dengan cara ini user dapat melakukan serangan ke bebe rapa mesin dengan cara berkoordinasi dengan beberapa teman, untuk melakukan serangan ke satu target mesin atau jaringan secara bersamaan. Jadi, sekarang bukan hanya satu komputer yang melakukan serangan, tetapi lebih dari satu komputer.
Serangan dengan cara baru ini sulit untuk dicegah, karena komputer target tidak hanya menerima paket dari satu komputer saja, melainkan dari beberapa komputer pada saat bersamaan. Karena serangan dilakukan dari beberapa alamat IP yang berbeda, maka untuk mencegah dan mendeteksi serangan menjadi lebih sukar, karena sebagian paket dari setiap mesin kemungkinan tidak akan terdeteksi oleh Intrusion Detect System (IDS). Dari gambar tersebut Anda dapat melihat bahwa serangan dilakukan dari sebuah host sebagai titik pusat, di mana host tersebut tidak terhubung langsung dengan korban.
Host tersebut adalah administrator yang mengontrol dalam network mereka sendiri, yang terdiri dari "Master" dan "Zombie". Si penyerang dapat mengontrol atau menguasai satu atau bahkan lebih master node tersebut. Master node secara umum akan mengontrol banyak zombie, yang kemudian akan di alamatkan ke target. Master node akan meng-install program DOS ke dalam "Zombie". Kemudian setiap "Zombie" tersebut secara otomatis (tanpa sepengetahuan ataupun dengan sepengetahuan pemilik komputer) akan melancarkan serangan ke korban. Serangan yang dihasilkan lewat DDoS akan berupa sebuah "Packet Storm" yang dapat menghancurkan host atau bandwidth dari network tersebut.
Dari gambaran di atas, dapat diambil kesimpulan bahwa serangan DOS dan DDoS sangat sulit untuk dicegah, karena kita tidak dapat menghilangkan secara total ancaman serangan tersebut. Jika komputer terhubung ke Internet, penyerang akan selalu mempunyai kesempatan untuk mengirimkan paket data dalam jumlah yang sangat besar, yang tidak dapat diproses semuanya. Ancaman DOS atau DDoS dapat diperkecil dengan cara memperbesar bandwidth yang tersedia, walaupun sebenarnya penyerang pun masih dapat menggunakan resource lainnya untuk membanjiri jaringan kita.
Tool :
Program-program yang dapat digunakan hacker untuk melancarkan serangan DDoS sangat mudah didapatkan dari Internet. Beberapa tool paling terkenal yang sering digunakan hacker untuk melancarkan serangan DDoS kepada targetnya adalah Ping of Death, TFN2K, Trinoo dan Stacheldraht.
Ping of Death :
Ping of Death merupakan kategori serangan network-level dengan tujuan untuk membuat crash service yang ada pada target. Ping of Death menggunakan Internet Control Message Protocol (ICMP) yang besar atau paket ping, untuk membuat Denial of Service ke sistem target. Serangan Ping of Death bekerja pada network layer, yang merupakan layer ketiga pada model OSI. Layer ini merupakan layer yang sama dengan layer di mana IP bekerja. ICMP digunakan untuk menguji koneksi antar-mesin dalam jaringan. ICMP dapat menangani error dan exchange control message. ICMP juga dapat digunakan untuk menyampaikan status dan error information, termasuk masalah network transport dan network congestion. Ping merupakan sebuah program yang menggunakan ICMP untuk melihat keadaan apakah sebuah mesin komputer sudah terhubung dalam jaringan atau belum. Hal ini dapat dilakukan pengecekan dengan cara mengirim suatu paket echo request ke sebuah alamat IP. Jika mesin target telah menerima paket tersebut, maka mesin target tersebut akan mengirim balik paket ICMP echo. ICMP dan khususnya Ping merupakan tool yang sangat berguna untuk urusan troubleshooting dan diagnosa PC untuk masalah host atau network.
Secara default perintah “Ping” akan mengirimkan paket data sebesar 32 bytes. Dengan menggunakan option dari Ping, Anda dapat menentukan besar paket data yang ingin dikirim. Pada Microsoft, untuk mengirimkan sebuah paket data yang besar Anda dapat menggunakan option -l. Jadi dengan menuliskan perintah "ping -l 500 10.1.1.168". Sebenarnya spesifikasi dari TCP/IP protokol hanya mengijinkan besar paket data adalah 65.536 bytes (1 bytes = 8 bits). Jadi, jika Anda mengirimkan data lebih besar daripada yang diharuskan, hal tersebut dapat membuat mesin target menjadi overload dalam memproses paket data yang akan dikirim. Hal ini akan membuat mesin target menjadi crash atau hang. Untuk mencegah masalah Ping of Death ini adalah dengan menggunakan patch dari sistem operasi yang digunakan, atau dengan cara memblok paket data yang besar pada router atau firewall.
TFN2K :
Tribe Flood Network 2000 (TFN2K) adalah tool yang digunakan untuk melancarkan serangan DDoS. TFN2K merupakan turunan dari Trojan TFN. TFN2K memiliki client module dan server module. Client module merupakan komponen yang dapat mengontrol server. Client memberitahukan server kapan untuk menyerang dan dengan cara apa untuk mengeksploitasi target. Server berjalan di sebuah mesin dalam mode diam untuk menunggu perintah dari client. TFN2K memungkinkan master mengeksploitasi sejumlah client untuk mengkoordinasikan serangan pada satu atau beberapa target yang diincar. Saat ini, Unix, Solaris, dan Windows NT adalah platform-platform yang rentan terhadap serangan ini.
Trinoo :
Trinoo (trin00) merupakan program slave atau master terkenal yang digunakan dalam serangan DDoS. Jaringan Trinoo dapat memiliki ratusan, atau bahkan ribuan sistem di Internet yang diambil alih dengan mengeksploitasi buffer overrun secara remote. Akses ke sistem-sistem yang dijadikan agen tersebut didapatkan dengan menanamkan program backdoor yang sekaligus merupakan daemon Trinoo. Salah satu contoh kasus yang melibatkan Trinoo adalah penyerangan server di University of Minnessota. Pada Agustus tahun 1999, sebuah jaringan Trinoo yang terdiri dari 200 sistem lebih, bertanggung jawab atas down-nya server yang ada di University of Minnessota selama dua hari. Trinoo menggunakan TCP dan UDP untuk mengirimkan flood packets network. Port yang digunakan adalah :
- Attacker to Master : 27665/tcp
- Master to Daemon : 27444/udp
- Daemon to Master(s) : 31335/udp
Stacheldraht :
Stacheldraht merupakan tool DDoS yang terdiri atas gabungan antara TFN dan Trinoo, dengan tambahan feature lain, seperti enkripsi komunikasi antara komponen dan update secara otomatis pada daemon. Stacheldraht menggunakan TCP dan ICMP pada port :
- Client to handler : 16660/TCP
- Handler to and from agents : 65000/- TCP, ICMP ECHO_REPLY.
Tool Stacheldraht memiliki dua komponen, yaitu client dan handler. Penyerang dapat berinteraksi dengan handler, kemudian handler akan mengontrol client. Sistem pada Client inilah yang melancarkan serangan kepada mesin target.
0 komentar: