Denial of Service (DOS)
Denial of Service (DOS) adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang Čšersebut.
Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut:
- Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.
- Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.
- Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server.
Bentuk serangan Denial of Service awal adalah serangan SYN Flooding Attack, yang pertama kali muncul pada tahun 1996 dan mengeksploitasi terhadap kelemahan yang terdapat didalam protokol Transmission Control Protocol (TCP)
SYN flood Attack
SYN-Flooding
merupakan network Denial ofService yang memanfaatkan 'loophole' pada saat
koneksi TCP/IP terbentuk. Kernel Linux terbaru (2.0.30 dan yang lebih baru)
telah mempunyai option konfigurasi untuk mencegah Denial of Service dengan
mencegah/menolak cracker untuk mengakses sistem.
Pada kondisi normal,
client akan mengirimkan paket data berupa SYN (synchronization) untuk mensincrokan pada server. Lalu server akan menerima request dari
client dan akan memberikan jawaban ke client berupa ACK (Acknowledgement). Sebagai tanda bahwa
transaksi sudah dimulai (pengiriman & penerimaan data), maka client akan
mengirimkan kembali sebuah paket yang berupa SYN lagi. Jenis serangan ini akan
membajiri server dengan banyak paket SYN. Karena setiap pengiriman paket SYN
oleh client, server pasti akan membalasnya dengan mengirim paket SYN ACK ke
client. Server akan terus mencatat dan membuat antrian backlog untuk menungu respon
ACK dari client yang sudah mengirim paket SYN tadi. Biasanya memori yang
disediakan untuk backlog sangat kecil, . Pada
saat antrian backlog ini penuh, sistem tidak akan merespond paket TCP SYN lain
yang masuk – dalam bahasa sederhana-nya sistem tampak bengong / hang. Sialnya
paket TCP SYN ACK yang masuk antrian backlog hanya akan dibuang dari backlog
pada saat terjadi time out dari timer TCP yang menandakan tidak ada responds
dari pengirim.
Land attack merupakan
salah satu jenis serangan SYN, karena menggunakan paket SYN (synchronization)
pada saat melakukan 3-way Handshake untuk membentuk suatu hubungan TCP/IP
antara client dengan server. Namun jenis serangan ini sudah tidak efektif lagi
karena hampir pada setiap sistem sudah di proteksi melalui paket filtering
ataupun firewall.
Berikut ini merupakan langkah –langkah yang akan dilakukan
dalam melancarkan serangan land :
-
pertama-tama client akan mengirimkan sebuah paket pada
server/host. Paket yang dikirim yaitu berupa paket SYN.
-
Setelah itu server/host akan menjawab permintaan dari
client tersebut dengan cara mengirim paket SYN/ACK
(Synchronization/Acknowledgement)
-
Stelah server mengirimkan balasan atas permintaan dari
client, client punt akan kembali menjawab dengan cara mengirimkan sebuah paket
ACK kembali pada server. Dengan demikian
hubungan antara clien dengan server sudah terjalin, sehingga transfer data bisa
dimulai.
-
Client yang bertindak sebagai penyerang akan mengirimkan
sebauh paket SYN ke server yang sudah di Dispoof (direkayasa). Paket data yang
sudah direkayasa tersebut akan berisikan alamat asal (source address) dan port
number asal (alamat dan port number dari server). Dimana akan sama persis
dengan alamat tujuan (destination source) dan nomor port tujuan (destination
port number). Pada saat server/host mengirimkan SYN/ACKK kembali ke pada si
client, maka akan terjadi suatu infinite loop. Karena sebenarnya si server
bukan mengirimkan paket tersebut ke client melainkan pada dirinya sendir.
HASIL
Pengujian SYN Flooding Attack
Pengujian
dilakukan dengan menggunakan perintah hping3
–faster -S 192.168.1.7 dari client dengan ip address
192.168.1.8 yang terlihat pada gambar berikut.
Gambar 2. Pengujian SYN Flooding dengan perintah Hping3.
Pada proses pengujian ini, client yang bertindak sebagai
penyerang mengirimkan paket-paket SYN ke dalam port-port yang sedang berada
dalam keadaan terbuka yang berada dalam server target. Pada kondisi normal, paket-paket SYN yang dikirimkan berisi
alamat sumber yang menunjukan data-data aktual. Tetapi pada serangan SYN
Attack, paket-paket tersebut memiliki alamat sumber yang tidak menunjukan data
aktual. Ketika server menerima paket SYN tersebut, server merespons
dengan sebuah paket SYN/ACK sesuai dengan SYN Packet yang ia terima dan
kemudian akan menunggu paket ACK sebagai balasan untuk melengkapi
proses tersebut. Tetapi, karena alamat sumber dalam paket SYN yang dikirimkan
oleh penyerang tidaklah valid, mak paket ACK tidak akan pernah terkirim ke
target, dan port yang menjadi target serangan akan menunggu hingga waktu
pembuatan koneksi telah habis atau timed-out.
Selanjutnya untuk pengujian
telah di siapkan lokal rule pada snort yang di gunakan untuk mendeteksi adanya
suatu serangan SYN Attack.
Gambar 3. Rule snort untuk deteksi SYN Attack
Rule snort yang sebagaimana di tunjukan pada gambar 3. akan
membandingkan setiap paket data dari jaringan luar yang mengalir masuk ke
server dengan protocol TCP. Maka ketika ada paket data yang sesuai dengan rule
snort tersebut, snort akan menganggapnya sebagai sebuah serangan dan memberikan
peringatan melalui web BASE. Pesan peringatan yang di tampilkan melalui halaman
web BASE adalah “Syn Flooding Simulation”.
Gambar 4. Deteksi SYN Attack
Akibat dari serangan :
Seandainya server/host tersebut belum terproteksi
terhadap jenis serangan ini, server akan crash/ hang.
Penanggulangan :
·
Meningkatkan ukuran buffer koneksi TCP untuk meningkatkan jumlah
percobaan pembuatan koneksi yang dapat dilakukan secara simultan. Hal ini
memang menjadi solusi sementara, karena penyerang juga mungkin meningkatkan
ukuran paket SYN yang ia kirimkan untuk memenuhi buffer tersebut.
·
Mengurangi nilai waktu kapan sebuah percobaan pembuatan koneksi
TCP menjadi "timed-out". Hal ini juga menjadi solusi sementara,
apalagi jika jaringan di mana sistem berada sangat sibuk atau lambat.
·
Mengimplementasikan penapisan paket yang masuk ke dalam router, sehingga memblokir
semua serangan yang menggunakan alamat palsu. Hal ini juga menjadi solusi
sementara, karena tidak semua ISP mengimplementasikan fitur seperti ini.
·
Memantau firewall dan mengonfigurasikannya untuk
memblokir serangan SYN flood ketika hal tersebut terjadi.
Pendekatan ini merupakan pendekatan yang sering dilakukan oleh banyak
organisasi, apalagi jika ditambah dengan Intrusion Prevention System (IPS), meski hal ini membutuhkan kejelian
dari seorang administrator jaringan untuk memantau catatan (log) dari
IPS dan firewall yang ia atur. Bahkan, dengan kedua
perangkat tersebut, klien-klien yang valid dapat ditolaknya karena konfigurasi
yang tidak benar.
