Denial of Service (DOS)

         Denial of Service (DOS) adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang Țersebut.

Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut:

• Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.
• Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.
• Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server.

Bentuk serangan Denial of Service awal adalah serangan SYN Flooding Attack, yang pertama kali muncul pada tahun 1996 dan mengeksploitasi terhadap kelemahan yang terdapat didalam protokol Transmission Control Protocol (TCP) 

SYN flood Attack

SYN-Flooding merupakan network Denial ofService yang memanfaatkan 'loophole' pada saat koneksi TCP/IP terbentuk. Kernel Linux terbaru (2.0.30 dan yang lebih baru) telah mempunyai option konfigurasi untuk mencegah Denial of Service dengan mencegah/menolak cracker untuk mengakses sistem.

Pada kondisi normal, client akan mengirimkan paket data berupa SYN (synchronization) untuk mensincrokan pada server. Lalu server akan menerima request dari client dan akan memberikan jawaban ke client berupa ACK (Acknowledgement). Sebagai tanda bahwa transaksi sudah dimulai (pengiriman & penerimaan data), maka client akan mengirimkan kembali sebuah paket yang berupa SYN lagi. Jenis serangan ini akan membajiri server dengan banyak paket SYN. Karena setiap pengiriman paket SYN oleh client, server pasti akan membalasnya dengan mengirim paket SYN ACK ke client. Server akan terus mencatat dan membuat antrian backlog untuk menungu respon ACK dari client yang sudah mengirim paket SYN tadi. Biasanya memori yang disediakan untuk backlog sangat kecil, . Pada saat antrian backlog ini penuh, sistem tidak akan merespond paket TCP SYN lain yang masuk – dalam bahasa sederhana-nya sistem tampak bengong / hang. Sialnya paket TCP SYN ACK yang masuk antrian backlog hanya akan dibuang dari backlog pada saat terjadi time out dari timer TCP yang menandakan tidak ada responds dari pengirim.  

Land attack merupakan salah satu jenis serangan SYN, karena menggunakan paket SYN (synchronization) pada saat melakukan 3-way Handshake untuk membentuk suatu hubungan TCP/IP antara client dengan server. Namun jenis serangan ini sudah tidak efektif lagi karena hampir pada setiap sistem sudah di proteksi melalui paket filtering ataupun firewall.

Berikut ini merupakan langkah –langkah yang akan dilakukan dalam melancarkan serangan land :

-      pertama-tama client akan mengirimkan sebuah paket pada server/host. Paket yang dikirim yaitu berupa paket SYN.

-      Setelah itu server/host akan menjawab permintaan dari client tersebut dengan cara mengirim paket SYN/ACK (Synchronization/Acknowledgement)

-      Stelah server mengirimkan balasan atas permintaan dari client, client punt akan kembali menjawab dengan cara mengirimkan sebuah paket ACK kembali pada server. Dengan  demikian hubungan antara clien dengan server sudah terjalin, sehingga transfer data bisa dimulai.

-      Client yang bertindak sebagai penyerang akan mengirimkan sebauh paket SYN ke server yang sudah di Dispoof (direkayasa). Paket data yang sudah direkayasa tersebut akan berisikan alamat asal (source address) dan port number asal (alamat dan port number dari server). Dimana akan sama persis dengan alamat tujuan (destination source) dan nomor port tujuan (destination port number). Pada saat server/host mengirimkan SYN/ACKK kembali ke pada si client, maka akan terjadi suatu infinite loop. Karena sebenarnya si server bukan mengirimkan paket tersebut ke client melainkan pada dirinya sendir.

HASIL

 Pengujian SYN Flooding Attack

Pengujian dilakukan dengan menggunakan perintah hping3 –faster  -S  192.168.1.7 dari client dengan ip address 192.168.1.8 yang terlihat pada gambar berikut.

Gambar 2. Pengujian SYN Flooding dengan perintah Hping3.

Pada proses pengujian ini, client yang bertindak sebagai penyerang mengirimkan paket-paket SYN ke dalam port-port yang sedang berada dalam keadaan terbuka yang berada dalam server target. Pada kondisi normal, paket-paket SYN yang dikirimkan berisi alamat sumber yang menunjukan data-data aktual. Tetapi pada serangan SYN Attack, paket-paket tersebut memiliki alamat sumber yang tidak menunjukan data aktual. Ketika server menerima paket SYN tersebut, server  merespons dengan sebuah paket SYN/ACK sesuai dengan SYN Packet yang ia terima dan kemudian akan menunggu paket ACK sebagai balasan untuk melengkapi proses tersebut. Tetapi, karena alamat sumber dalam paket SYN yang dikirimkan oleh penyerang tidaklah valid, mak paket ACK tidak akan pernah terkirim ke target, dan port yang menjadi target serangan akan menunggu hingga waktu pembuatan koneksi telah habis atau timed-out.

Selanjutnya untuk pengujian telah di siapkan lokal rule pada snort yang di gunakan untuk mendeteksi adanya suatu serangan SYN Attack.

Gambar 3. Rule snort untuk deteksi SYN Attack

Rule snort yang sebagaimana di tunjukan pada gambar 3. akan membandingkan setiap paket data dari jaringan luar yang mengalir masuk ke server dengan protocol TCP. Maka ketika ada paket data yang sesuai dengan rule snort tersebut, snort akan menganggapnya sebagai sebuah serangan dan memberikan peringatan melalui web BASE. Pesan peringatan yang di tampilkan melalui halaman web BASE adalah “Syn Flooding Simulation”.

Gambar 4. Deteksi SYN Attack

Akibat dari serangan :

Seandainya server/host tersebut belum terproteksi terhadap jenis serangan ini, server akan crash/ hang.

Penanggulangan :

·         Meningkatkan ukuran buffer koneksi TCP untuk meningkatkan jumlah percobaan pembuatan koneksi yang dapat dilakukan secara simultan. Hal ini memang menjadi solusi sementara, karena penyerang juga mungkin meningkatkan ukuran paket SYN yang ia kirimkan untuk memenuhi buffer tersebut.

·         Mengurangi nilai waktu kapan sebuah percobaan pembuatan koneksi TCP menjadi "timed-out". Hal ini juga menjadi solusi sementara, apalagi jika jaringan di mana sistem berada sangat sibuk atau lambat.

·         Mengimplementasikan penapisan paket yang masuk ke dalam router, sehingga memblokir semua serangan yang menggunakan alamat palsu. Hal ini juga menjadi solusi sementara, karena tidak semua ISP mengimplementasikan fitur seperti ini.

·         Memantau firewall dan mengonfigurasikannya untuk memblokir serangan SYN flood ketika hal tersebut terjadi. Pendekatan ini merupakan pendekatan yang sering dilakukan oleh banyak organisasi, apalagi jika ditambah dengan Intrusion Prevention System (IPS), meski hal ini membutuhkan kejelian dari seorang administrator jaringan untuk memantau catatan (log) dari IPS dan firewall yang ia atur. Bahkan, dengan kedua perangkat tersebut, klien-klien yang valid dapat ditolaknya karena konfigurasi yang tidak benar.