Apakah itu DDOS ATTACKS?

by Cahya Ning Tias February 23, 2017

Apakah itu DDOS ATTACKS?

DEFINISI : Apa yang dimaksud Denial of service attacks ?

 

Denial of Service Attacks  (disingkat menjadi "DoS") adalah kelas serangan di mana penyerang mencoba untuk melumpuhkan layanan online begitu parah sehingga pengguna tidak lagi dapat menggunakan layanan ini. Tujuannya bukan untuk mencuri data, tapi untuk mengambil website atau layanan online tersebut. Tujuan utamanya adalah untuk membuang semua sumber daya (misalnya bandwidth atau CPU) sehingga Anda tidak dapat melayani pelanggan Anda lagi. Sementara sebagian besar serangan online dimaksudkan baik untuk mencuri informasi sensitif atau menginstal software berbahaya, serangan DoS tidak mencoba untuk menembus pertahanan keamanan IT anda. Sebaliknya, mereka membuat website atau layanan tidak dapat digunakan untuk pengguna yang valid. Serangan DoS sangat terlihat, karena semua pengguna tampak  terpengaruh. Sebagian besar serangan DoS dilakukan oleh hacktivists, pengacau atau pemeras dalam upaya untuk membahayakan organisasi dengan hilangnya pendapatan, kehilangan reputasi, dan hilangnya kepercayaan pelanggan. Tergantung pada berapa lama serangan DoS berlangsung (hari, minggu atau bulan) dapat menyebabkan kerusakan keuangan yang sangat signifikan dan kerugian jangka panjang pada reputasi. APA PERBEDAAN ANTARA DOS DAN DDOS?

DoS : serangan DoS (Denial of Service) yang diluncurkan dari satu perangkat dengan koneksi Internet. karena satu mesin tidak dapat memfloodingi layanan web dengan traffic saja, biasanya mencoba untuk mengeksploitasi kerentanan software atau memfloodingi target dengan permintaan palsu, dalam upaya untuk menguras sumber daya server (misalnya menggunakan semua CPU). Jika penyerang dapat mengikat cukup dari sumber daya server, target akan menjadi begitu lambat sehingga  layanan ini tidak dapat digunakan dan akhirnya akan crash. Serangan DoS biasanya dilakukan dengan menggunakan script atau alat DoS yang (sayangnya) tersedia secara bebas di Internet. Dengan demikian, hambatan-untuk masuk  untuk menjalankan serangan DoS yang sangat rendah. 

DDoS : DdoS  (Distributed Denial of Service) serangan diluncurkan dari beberapa perangkat terhubung secara bersamaan, dari berbagai bagian Internet. Semua perangkat ini menyerang satu target pada waktu yang sama, biasanya dengan tujuan menghasilkan begitu banyak traffic sehingga  bandwith ke target  benar-benar penuh, sehingga traffic pelanggan valid tidak bias melewatinya. Ini pastinya jauh lebih sulit untuk mempertahankan diri anda  terhadap serangan multi-perangkat ini karena banyaknya volume traffic yang terlibat. Pengeksekusian serangan DDoS membutuhkan kontrol dari beberapa perangkat yang tersambung ke Internet. Perangkat ini biasanya berupa PC, tablet, ponsel pintar, kamera pengintai, atau perangkat yang tersambung ke Internet lainnya. Perangkat telah dikondisikan sebelumnya oleh malware untuk mengontrol perangkat dari titik pusat. Sekelompok perangkat yang berada di bawah kendali penyerang disebut botnet. Ketika penyerang mengaktifkan botnet, semua perangkat di botnet akan mulai menyerang target yang sama pada waktu yang sama. penyerang dapat mengontrol dan juga  berapa banyak perangkat akan menyerang target dan  juga untuk berapa lama. Membangun sebuah botnet membutuhkan keahlian hacking cukup untuk memperhitungkan  sejumlah besar perangkat dan membuat perangkat lunak terpusat untuk mengendalikan semuanya. Namun, ada juga botnet "untuk disewa", yang akan mengeksekusi serangan DdoS custom , sesuai harga. DdoS ini  yang bias disewa , juga dikenal sebagai "booters" atau "stressers" dan berkisar dari $ 10- $ 300, tergantung pada panjang serangan dan jumlah bots menyerang secara bersamaan. serangan DDoS biasanya  berupa high traffic events, diukur dalam Gbps (gigabit per detik) atau PPS (paket per detik). 20-40 Gbps biasanya cukup untuk menutup sebagian infrastruktur jaringan. Serangan botnet Mirai besar pada akhir 2016 melawan "Krebs Keamanan" situs Brian Krebs 'dan terhadap layanan DNS Dyn mencapai lebih dari 665 Gpbs dan 1,2 Tbps masing-masing, terbesar yang diketahui hingga saat ini.     

APA SAJA  KELAS DARI SERANGAN DDOS ?serangan DDoS dapat dikelompokkan menjadi tiga jenis utama dari serangan: 1) serangan berbasis Volume 2) serangan Protocol 3) serangan lapisan aplikasi VOLUME BERBASIS SERANGAN DOS Tujuan dari serangan berbasis volume adalah untuk memenuhi bandwidth di situs yang diserang. Serangan dalam kategori ini termasuk  UDP Flooding , ICMP Flooding  dan paket-spoofing. serangan berbasis Volume diukur dalam bit per detik (Bps).  

PROTOKOL SERANGAN DOS

serangan protokol mengkonsumsi sumber daya server, dengan tujuan mengkonsumsi begitu banyak sumber daya sehingga  server tidak lagi merespon permintaan valid. serangan protokol juga dapat menyerang perangkat perantara seperti firewall dan load balancers. Serangan dalam kategori ini termasuk SYN flooding, fragmented packet, "ping of death ", smurf attacks dan  fraggle attacks.

serangan protokol diukur dalam paket per detik (PPS).

 

APPLICATION LAYER DOS ATTACKS

APPLICATION LAYER DOS ATTACKS, juga dikenal sebagai "Layer 7 attacks", upaya untuk membebani server dengan mengirimkan jumlah yang sangat besar permintaan yang memerlukan penanganan dan pengolahan sumber daya intensif. Kategori ini meliputi flooding HTTP, permintaan flooding DNS  dan  serangan "lambat" seperti Slowloris atau R.U.D.Y.

 

serangan layer aplikasi diukur dalam jumlah permintaan per detik (RPS). Hanya membutuhkan waktu 50-100 RPS untuk secara efektif melumpuhkan website menengah

JENIS APA SAJA SERANGAN DDOS ?

UDP Flooding

 

Dalam serangan flooding UDP, penyerang menggunakan User Datagram Protocol (UDP), bagian standar dari protokol TCP / IP stack, flooding UDP pada port  acak pada host target. Host kemudian perlu memeriksa aplikasi untuk mendengarkan pada port itu, dan, jika ada aplikasi yang ditemukan, untuk membalas dengan ICMP Destination Unreachable paket. Terus menerus, pemeriksaan berulang dan balasan berulang mengkonsumsi sumber daya pada host target sampai menjadi tidak dapat diakses.

 

ICMP (PING) FLOODING

 

Dalam jenis serangan ini , penyerang mengirimkan paket ICMP Echo Request (juga dikenal sebagai "ping") paket ke host target. penyerang mengirimkan paket secepat mungkin tanpa menunggu host untuk membalas, yang memenuhii baik bandwidth masuk dan keluar ke host tersebut. host menjadi tidak dapat diakses karena traffic yang sah tidak bisa melalui host, dan bahkan jika bisa, host sedang sibuk berusaha untuk merespon ping dengan Echo paket Reply.

 

SYN FLOODING

 

SYN flooding melanggar  TCP three-way handshake, yang digunakan untuk membuat sambungan TCP antara dua mesin.

 

Biasanya, pada bagian pertama dari jabat tangan, mesin A mengirimkan "SYN" (sinkronisasi) permintaan ke mesin B, meminta sambungan dibentuk. Mesin B kemudian merespon dengan "SYN-ACK" (Synchronization acknowledment) bahwa itu bersedia untuk membuat sambungan. Mesin A kemudian mengirimkan "ACK" (acknowledgement) bahwa ia telah menerima SYN-ACK, dan koneksi ini kemudian didirikan.

 

Dalam serangan flooding SYN, penyerang mengirimkan target host  berupa  jumlah permintaan SYN yang tinggi , tetapi tidak merespon SYN-ACK. Sumber daya cadangan target host untuk setiap koneksi yang setengah terbuka, menunggu ACK yang tidak pernah datang. Akhirnya, semua sumber daya terpakai, dan ada koneksi baru  tidak ada yang dapat dibuat.

 

Dalam versi dari serangan flooding SYN,  penyerang  memparodikan (palsu) alamat IP sumber di permintaan SYN, sehingga target mengirimkan  SYN-ACK balasan untuk sejumlah besar mesin yang tidak terlibat, yang kemudian mendrop SYN-ACK. Efek pada target akan sama: menahan  koneksi setengah terbuka tetap  terbuka, menunggu ACK yang tidak akan pernah tiba. Namun, spoofing alamat IP sumber menyembunyikan alamat IP penyerang, sehingga lebih sulit untuk hanya memblokir atau menjatuhkan SYNs masuk.

 

PING of Death

Sebuah Ping of Death (POD) serangan menggunakan ping berbahaya atau cacat ke host target. Panjang maksimum paket IP adalah 65535 byte (termasuk header), sedangkan yang mendasari layer 2 Data Link lapisan biasanya membebankan ukuran frame maksimum yang lebih kecil. Ethernet, misalnya, memiliki ukuran frame maksimum 1500 byte.

Dalam operasi normal, semakin besar paket IP akan dibagi menjadi beberapa, frame Ethernet yang lebih kecil, yang dikirim melalui jaringan, dan disusun kembali di ujung lain. Proses ini dikenal sebagai fragmentasi IP dan merupakan kejadian yang normal dalam jaringan data.

Dalam serangan ping-of-death,  fragmen individu dimanipulasi sehingga paket yang disusun kembali berkumpul akhirnya menjadi lebih besar dari 65.535 bytes. Hal ini kemudian dapat menyebabkan buffer overflows pada target, menyebabkan penolakan layanan untuk paket yang valid untuk host tersebut.

HTTP Flooding

Mirip dengan serangan flooding lainnya, HTTP flooding melibatkan pengiriman permintaan HTTP GET atau POST HTTP valid ke web server. Tapi Anda mengirim permintaan HTTP yang memaksa web server untuk memakai  sumber daya untuk permintaan itu. Jika penyerang dapat mengirim permintaan HTTP cukup untuk menguras semua sumber daya server, maka  service  tidak tersedia untuk pengguna yang valid.

SLOWLORIS

Serangan Slowloris memungkinkan web server untuk fokus serangan terhadap server lain, tanpa mempengaruhi layanan lain atau port pada jaringan target. Dengan demikian memungkinkan serangan yang sangat terfokus pada satu server tertentu. Slowloris membuat beberapa sambungan ke server target dan memegang mereka koneksi terbuka untuk selama mungkin. Ini akan membuka koneksi ke server target tapi mengirim hanya permintaan HTTP parsial, tanpa pernah menyelesaikan permintaan sepenuhnya, memaksa target untuk menjaga koneksi terbuka. Akhirnya server target tidak bisa menerima koneksi lebih dari klien yang valid.

R.U.D.Y.

R.U.D.Y. singkatan R-U-Dead-Yet?, serangan HTTP POST  tingkat lambat  serangan  yang menyebabkan DoS dengan menyalahgunakan  long form field submission untuk web server. Ini menyuntikkan hanya satu byte informasi ke POST field sebuah aplikasi pada satu waktu dan kemudian menunggu, sehingga memaksa aplikasi untuk menunggu akhir dari tulisan yang tidak pernah berakhir. Web server harus berperilaku dengan cara ini untuk mendukung pengguna yang valid dengan koneksi yang lambat. R.U.D.Y. membuka beberapa, koneksi simultan yang akhirnya kehabisan koneksi server, yang mengarah ke DoS untuk pengguna yang sah.

 

Reflection Attacks

 

Ada dua jenis  serangan yang sangat berbeda  yang keduanya disebut " Reflection Attacks

": Authentication Reflection  dan DDoS Reflection. Keduanya menggunakan metode yang sangat berbeda:

 

Otentikasi Refleksi bukanlah jenis DDoS. Sebaliknya, itu adalah jenis man-in-the-middle attack, di mana penyerang mencoba untuk meyakinkan kedua sisi transaksi yang mereka berbicara satu sama lain, sementara mereka sebenarnya keduanya berbicara dengan penyerang. jenis serangan melibatkan penyerang yang  "mencerminkan" informasi otentikasi kembali ke pengguna yang valid.

 

Sebuah Refleksi DDoS tidak melibatkan proses otentikasi. Sebaliknya, tipuan alamat IP untuk mengelabui mesin lain dalam menghasilkan lalu lintas ke target. Misalnya, penyerang akan meniru  alamat IP sumber dalam permintaan DNS, menggunakan alamat IP target bukannya sendiri. DNS server maka akan menanggapi permintaan tersebut dengan mengirimkan respon terhadap target. Dengan menggunakan metode ini, penyerang telah "tercermin" respon terhadap target.

 

Jika penyerang bisa mendapatkan cukup server untuk mencerminkan tanggapan terhadap target, itu akan membanjiri target.

Reflection Attacks yang paling sering digunakan bersama-sama dengan amplifikasi, yang merupakan serangan jenis berikutnya  dalam daftar.

AMPLIFICATION ATTACKS Ada beberapa jenis serangan DDoS yang mengandalkan "amplifikasi" untuk meningkatkan ukuran dan dengan demikian kerusakan serangan. Banyak dari ini bergantung pada server yang tersedia untuk publik yang menawarkan layanan berbasis UDP, seperti DNS dan NTP, sehingga Anda akan sering melihat serangan ini dengan nama "DNS amplifikasi" atau "NTP amplifikasi". Namun, serangan amplifikasi tentu tidak terbatas pada DNS dan NTP: mereka juga dapat dilakukan dengan menggunakan server publik untuk SNMPv2, NetBIOS, SSDP, chargen, QOTD, BitTorrent, Kad, Quake Jaringan Protokol, Steam Protocol, RIPv1, Multicast DNS (mDNS) , Portmap / RPC dan LDAP. Semua serangan amplifikasi berbasis UDP penyalahgunaan karakteristik UDP: UDP tidak memvalidasi alamat IP sumber. Dengan demikian, sangat mudah untuk memalsukan alamat IP untuk memasukkan alamat IP sewenang-wenang sebagai sumber. Untuk menyerang target tertentu, Anda menggunakan alamat IP target sebagai alamat sumber IP palsu untuk permintaan (dinyatakan valid) untuk server publik. Menggunakan DNS sebagai contoh, penyerang akan mengirim permintaan DNS ke beberapa server DNS publik, menggunakan alamat IP target sebagai sumber IP. Semua server DNS ini kemudian menanggapi target, memenuhi sang target

 Bagaimana DDoS Reflection dan Amplifikasi Attacks BekerjaBeberapa protokol UDP menanggapi perintah tertentu dengan tanggapan yang jauh, jauh lebih besar daripada permintaan yang asli. Jadi, penyerang dapat mengirim permintaan relatif kecil ke server, yang kemudian akan merespon dengan jumlah yang sangat besar data ke target. Jadi, satu paket dari penyerang dapat mengakibatkan puluhan atau ratusan kali bandwidth di respon. Ini adalah "amplifikasi" bagian dari serangan: server publik menguatkan ukuran serangan atas nama penyerang. protokol yang berbeda memiliki faktor amplifikasi yang berbeda. Anda dapat melihat mengapa NTP, khususnya, sangat populer untuk jenis DDoS.

APAKAH ITU WHITE HAT DAN  BLACK HAT ATTACKS?Tidak semua serangan terhadap infrastruktur TI yang berbahaya! "White hat" hacker adalah orang-orang yang memiliki website atau layanan dan yang ingin menguji pertahanan TI mereka. Mereka menjalankan serangan terhadap infrastruktur mereka sendiri untuk memastikan bahwa langkah-langkah mereka telah dimasukkan ke dalam tempat yang benar-benar efektif. "Black hat" hacker, di sisi lain, memang memiliki niat jahat. Siapa Yang melakukan  SERANGAN DDos , dan MENGAPA?Tujuan dari sebagian besar serangan DDoS adalah untuk merugikan organisasi target: menyebabkan mereka merugikan keuangan, kehilangan pendapatan, kehilangan reputasi dan hilangnya kepercayaan pelanggan. Kebanyakan dilakukan terhadap perusahaan atau layanan tertentu, merusak bahwa salah satu perusahaan. Beberapa termotivasi terutama oleh keinginan untuk merusak organisasi tertentu, karena keyakinan politik atau ideologi: HacktivisimPerusakanpersaingan pribadiPerang mayameskipun beberapa murni termotivasi finansial: Pemerasan / tebusanpersaingan bisnisDDoS-untuk-menyewadan beberapa yang dilakukan hanya untuk mengklaim hak membual di komunitas hacker. Kadang serangan DDoS dilakukan hanya sebagai tabir asap, untuk mengalihkan perhatian organisasi sementara melakukan serangan stealthier secara bersamaan. Salah satu contoh adalah Bank Barat, di mana pencuri menggunakan serangan DDoS untuk mengalihkan perhatian bank sementara mencuri $ 900.000 dari rekening nasabah.                         

 

SUMBER SERANGAN DDOS: DATANG DARI?Mesin-mesin yang digunakan untuk melakukan serangan tersebar di seluruh dunia. Digital Serangan Peta menunjukkan serangan DDoS yang terjadi sekarang, secara real-time, termasuk sumber utama dan sasaran. Seperti yang akan Anda lihat di peta ini, baik sumber dan target yang di seluruh dunia. daerah yang tidak mengejutkan, lebih berkembang (dengan konsentrasi yang lebih tinggi dari pengguna PC) juga lebih sering muncul baik sebagai sumber dan target.

Digital Serangan Peta (Contoh Data dari tanggal 30 Januari, 2017, digitalattackmap.com)

 Hal ini sangat sulit untuk melacak sumber serangan DDoS, dan sebagian besar penyerang tetap anonim. Sebagian besar serangan berakhir dikaitkan dengan hacker kriminal atau pemerintah asing, dan tidak ada kekurangan dari teori konspirasi tentang mereka. penegakan hukum kadang-kadang dapat melacak hacker, tetapi biasanya hanya menangkap lebih berpengalaman "script kiddies", bukan otak di balik botnet. Lebih penting dari sumber serangan adalah apa yang dapat Anda lakukan untuk membela diri, yang akan dibahas dalam bagian berikutnya dari seri ini. Menantikan untuk lebih! Artikel ini adalah bagian 1 dari seri tentang serangan DDoS. artikel mendatang akan mencakup: Bagaimana Anda Bisa Mendeteksi dan Serangan Mengurangi DDoS? Real Life Studi Kasus: A Play-oleh-Play dari Paessler Survivng Serangan DDoS

Sumber :

https://www.paessler.com/blog/types-of-ddos-attacks





Cahya Ning Tias
Cahya Ning Tias

Author