{tocify} $title={Daftar Isi}
Serangan DDoS (distributed denial-of-service) telah mendatangkan malapetaka pada organisasi sejak pertengahan 1990-an. Tujuan mereka tampaknya sederhana: untuk membanjiri jaringan komputer dengan banyak paket lalu lintas yang tidak dapat diatasi.
Namun, ekosistem DDoS bersifat heterogen dan mencakup lusinan teknik yang berbeda. Selain itu, motivasi aktor jahat berkisar dari protes politik hingga skema keuangan. Pendekatan terakhir dicontohkan oleh DDoS tebusan, di mana penjahat membuat jaringan perusahaan offline dan meminta pembayaran untuk menghentikan serangan.
Berdasarkan komponen jaringan yang ditargetkan dan mekanisme yang digunakan, serangan DDoS dapat dibagi menjadi tiga kategori tingkat atas:
- Serangan volumetrik bertujuan untuk membanjiri bandwidth jaringan dengan lebih banyak paket traffic daripada yang dapat diprosesnya
- Serangan protokol mencoba menghabiskan semua sumber daya server web atau firewall
- Serangan lapisan aplikasi mengganggu fungsi normal aplikasi web daripada seluruh jaringan IT
{tocify} $title={Daftar Isi}
Namun, ini adalah hierarki umum yang hanya mencerminkan gambaran besar. Ada banyak sub-tipe yang menjalankan keseluruhan metode serangan. Mari kita selidiki yang paling umum.
flood SYN
Untuk mengeksekusi serangan banjir SYN, penjahat cyber mengutak-atik jabat tangan tiga arah TCP, mekanisme yang digunakan untuk memulai koneksi antara klien, host, dan server melalui protokol TCP. Peretas kriminal mengirimkan banyak pesan SYN (sinkronisasi) dari alamat IP palsu ke server target. Permintaan koneksi palsu ini membebani kapasitas server penerima, yang membuat pengguna nyata mengalami
LAND attack
Untuk menggerakkan serangan LAND (local area network denial), musuh mengirimkan permintaan SYN yang dipalsukan di mana alamat IP sumber dan tujuan sama persis. Ini membingungkan server penerima, yang terjebak dalam lingkaran menanggapi dirinya sendiri, menghasilkan kesalahan kritis.
SYN-ACK flood
Serangan ini mengganggu fase interaksi TCP di mana server web mengirimkan paket SYN-ACK untuk mengakui permintaan dari klien. Paket-paket palsu datang dalam jumlah yang cukup besar untuk membuat RAM server dan daya CPU menjadi padat.
ACK and PUSH ACK flood
Segera setelah koneksi antara klien dan host telah dibuat, pesan ACK dan PUSH ACK yang berulang-ulang ikut bermain. Saat mencoba mencari tahu dari mana paket-paket ini berasal dan bagaimana menanganinya, server kehabisan sumber daya.
Fragmented ACK flood
Penyerang menyerang server dengan paket ACK terfragmentasi yang ukuran maksimum yang diizinkan biasanya 1.500 byte. Mencoba untuk merakit kembali pesan-pesan ini menguras kemampuan pemrosesan peralatan jaringan seperti router, dan tidak perlu mengambil sejumlah besar paket yang retak untuk membuat peralatan offline. Selanjutnya, sistem pencegahan intrusi mungkin gagal untuk mengidentifikasi mereka sebagai anomali.
Spoofed session flood
Serangan ini bergantung pada kombinasi paket SYN palsu, beberapa paket ACK, dan setidaknya satu paket FIN (pengakhiran koneksi) atau RST (reset), dan dapat menipu sistem perlindungan yang memantau lalu lintas masuk dan sebagian besar mengabaikan lalu lintas kembali.
UDP flood
Berbeda dengan TCP, koneksi UDP (User Datagram Protocol) tidak melakukan handshaking apa pun, yang berarti kemampuan verifikasi IP yang langka. Banyak paket UDP fabrikasi dipecat di server sampai menjadi tidak responsif.
VoIP flood
Sebuah spin-off dari banjir UDP, metode ini memusatkan perhatian pada server VoIP (Voice over Internet Protocol). Ini mengikuti prinsip klasik menjejalkan kapasitas server dengan banyak paket VoIP palsu yang tampaknya berasal dari alamat IP yang berbeda.
Media data flood
Serangan ini memiliki banyak kesamaan dengan banjir VoIP, kecuali serangan ini menggunakan item media seperti video dan file audio untuk membanjiri server target. Untuk membuat entitas ini tampak sah, penjahat mengirimkannya dari berbagai alamat IP yang berbeda.
DNS flood
Penjahat menelurkan sejumlah besar paket permintaan dummy yang membombardir server DNS. Untuk berpura-pura legitimasi, entitas ini berpura-pura berasal dari sejumlah besar alamat IP yang berbeda. Banjir DNS adalah salah satu serangan yang paling sulit untuk diatasi.
NTP flood/amplification
Serangan ini melibatkan NTP (Network Time Protocol), protokol jaringan lama yang digunakan untuk sinkronisasi jam. Penjahat mendukung server NTP yang mudah diakses untuk membanjiri jaringan korban dengan banyak paket UDP.
CHARGEN flood
Diluncurkan pada 1980-an, CHARGEN (Character Generator Protocol) mungkin dianggap usang, tetapi masih digunakan pada beberapa printer dan mesin fotokopi modern. Penjahat mengirimkan paket kecil yang membawa alamat IP server target ke peralatan terhubung yang mendukung CHARGEN. Perangkat bereaksi dengan mengirimkan beberapa paket UDP kembali ke server, sehingga menguras kapasitasnya.
SSDP flood/amplification
SSDP (Simple Service Discovery Protocol) adalah komponen dari kerangka protokol UPnP (Universal Plug and Play). Vektor DDoS ini membuat parasit perangkat yang menggunakan layanan UPnP, mengirimkan paket UDP kecil yang berisi IP server mangsa ke sejumlah besar entitas yang terhubung tersebut. Pada akhirnya, server tidak dapat menangani banyak permintaan yang dihasilkan oleh perangkat ini dan menjadi offline.
SNMP flood/amplification
SNMP (Simple Network Management Protocol), yang mengumpulkan dan mengatur informasi yang terkait dengan perangkat yang terhubung, dapat disalahgunakan untuk mengganggu operasi jaringan. Penyerang membanjiri switch atau router dengan satu ton paket kecil yang berasal dari alamat IP server web palsu. Perangkat yang disetel untuk permintaan semacam itu membalas IP itu, dan lalu lintas yang berlebihan membuat server offline.
HTTP flood
Pelaku meniru permintaan GET atau POST biasa yang mengupas server atau aplikasi web dan menurunkan fungsinya. Serangan DDoS ini sering memanfaatkan botnet pada komputer yang tercemar virus untuk meniru lalu lintas yang sah.
Single session HTTP flood
Karakteristik yang membedakan dari HTTP flood spin-off ini adalah fokusnya pada menyelinap di bawah radar instrumen perlindungan jaringan konvensional yang secara efektif menangkis permintaan yang mencurigakan. Vektor serangan ini memicu skenario di mana satu sesi HTTP memunculkan sejumlah permintaan dengan mengaburkannya dalam satu paket HTTP, yang memungkinkan penyerang memperkuat potensi gangguan serangan.
Recursive HTTP GET flood
Penjahat meminta serangkaian halaman web dari server dan menganalisis tanggapannya. Mereka kemudian meminta setiap elemen situs web secara berulang untuk menyedot kapasitas pemrosesan server.
Random recursive GET flood
Metode ini dapat digunakan untuk mengunjungi situs web yang berisi halaman rekursif, seperti blog atau forum. Nomor halaman dipilih secara acak dari rentang yang valid untuk memalsukan pengguna yang sah dan mengirim banyak permintaan GET yang mengurangi kinerja situs web.
ICMP flood
Teknik ini, juga disebut 'ping flood', membanjiri server dengan sejumlah besar ping ICMP (Internet Control Message Protocol) yang dipalsukan. Jaringan target menghasilkan sebuah paket sebagai tanggapan atas setiap permintaan gema tunggal yang diterima. Setelah mencapai batas balasannya, ia tidak dapat lagi menangani permintaan yang sah.
Misused application attack
Pelaku jahat menginfeksi dan memanfaatkan mesin klien yang menjalankan perangkat lunak yang membutuhkan banyak sumber daya seperti aplikasi P2P, membebani server target dengan mengalihkan sejumlah besar lalu lintas Internet dari komputer ini ke komputer tersebut. Serangan ini sulit digagalkan karena permintaan berasal dari klien nyata.
IP null attack
Serangan ini melibatkan banyak paket dengan header IPv4 yang nilainya disetel ke nol. Karena beberapa server web tidak mampu memproses paket yang tidak valid ini, mereka mengalokasikan terlalu banyak sumber daya untuk mencoba mengatasi tugas ini dan akhirnya menolak layanan ke klien yang sah.
Smurf attack
Serangan gencar ini menonjol dari yang lain karena bergantung pada program jahat yang dijuluki 'Smurf' untuk membanjiri banyak perangkat dengan ping ICMP yang berisi alamat IP sumber palsu milik korban. Server mungkin macet saat mencoba memilah semua permintaan yang masuk.
Fraggle attack
Serangan Fraggle menyerupai serangan Smurf, tetapi alih-alih memanfaatkan ping ICMP, para penjahat menggunakan paket UDP palsu untuk memperburuk operasi normal server.
Ping of death attack
Penjahat mencemari jaringan dengan paket permintaan gema anomali yang lebih besar dari 64 byte (ukuran maksimum yang diizinkan). Tugas merakit kembali barang-barang non-standar ini bisa terlalu rumit untuk diselesaikan oleh beberapa sistem, yang memerlukan DoS di telepon.
Slowloris
Slowloris adalah salah satu dari jenisnya karena membutuhkan bandwidth yang sangat rendah untuk dieksekusi – bahkan satu komputer saja sudah cukup untuk melakukannya. Penyerang membuka banyak koneksi simultan ke server target dan membuatnya tetap aktif untuk waktu yang lama. Untuk mempertahankan dampak yang berkelanjutan, penyerang mengirimkan kueri terfragmentasi dan menambahkan header HTTP sesekali. Dengan cara ini, permintaan yang belum selesai menghabiskan kemampuan server untuk menjaga koneksi bersamaan tetap berjalan dan menyebabkannya menjadi tidak responsif.
LOIC (Low Orbit Ion Cannon)
Alat sumber terbuka ini awalnya dimaksudkan untuk membantu para profesional keamanan melakukan pengujian stres jaringan, tetapi penjahat dunia maya akhirnya menambahkannya ke gudang senjata mereka. Penyerang salah menanganinya untuk membuang sejumlah besar paket HTTP, TCP, atau UDP ke server korban, yang mengganggu operasinya.
HOIC (High Orbit Ion Cannon
Mirip dengan alat LOIC yang lebih lama, yang ini dirancang untuk tujuan yang tidak berbahaya tetapi akhirnya jatuh ke tangan yang salah. To top it off, HOIC jauh lebih kuat dari pendahulunya. Ini menghasilkan banyak permintaan HTTP POST dan GET yang melemahkan server. Ini dapat berdampak pada 256 domain secara bersamaan.
Advanced persistent DoS
Disingkat sebagai APDoS, jenis serangan gencar ini biasanya ada dalam portofolio penjahat cyber tingkat tinggi. Ini secara fleksibel menggunakan perpaduan metode 'banjir' yang berbeda untuk menyebabkan kerusakan sebanyak mungkin. Ciri lain dari serangan ini adalah dapat bertahan selama berminggu-minggu.
ReDoS
ReDoS (regular expression denial of service) menargetkan program tertentu dengan memuatnya dengan pola pencarian string yang terlalu rumit. Kecanggihan algoritme tugas yang dibuat khusus ini menghabiskan kapasitas pemrosesan ekspresi reguler sistem, yang dapat menyebabkannya mogok.
Zero-day DDoS
Seperti namanya, serangan ini menguangkan kelemahan yang sebelumnya tidak diketahui di jaringan komputer atau server web. Bug seperti ini memungkinkan penjahat untuk tetap selangkah lebih maju dari whitehats, yang tidak bisa mengatasi masalah ini secara proaktif.
Kesimpulan
Meskipun DDoS adalah vektor serangan jadul, ia terus membuat dirinya terasa dan berkembang secara dinamis. Beberapa serangan melibatkan strain malware dan botnet untuk mengembangkan permukaan serangan. Semakin banyak pelaku ancaman yang dimotivasi oleh pemerasan. Alat pengujian stres jaringan sumber terbuka seperti LOIC dan HOIC semakin disalahgunakan dalam serangan gencar di dunia nyata.
DDoS adalah fenomena multi-cabang, dan organisasi harus menanggapi ancaman dengan serius. Meskipun sistem pencegahan intrusi yang andal yang dikombinasikan dengan firewall harus melakukan trik dalam banyak kasus, itu pasti ide yang baik untuk memiliki rencana B yang akan digunakan jika keadaan tidak terkendali.
Ini adalah artikel tamu yang ditulis oleh David Balaban. Pandangan penulis sepenuhnya adalah miliknya sendiri dan mungkin tidak mencerminkan pandangan IT Superrangkum