4.2.1 Melacak Sumber Serangan DDoS dengan Tracert
4.2.1.1 Menemukan Sumber Serangan DDoS yang Menggunakan IP real.
Ada dua cara untuk menemukan lokasi sumber serangan. Pertama, menggunakan utility seperti traceroute Linux atau
tracert Windows untuk melacak lokasi penyerang secara on-line. Cara kedua adalah dengan menggunakan probabilistic packet
marking. Uraian tentang cara terakhir akan dijelaskan pada sub bab berikutnya.
Prinsip yang digunakan oleh tracert adalah mengirim paket ICMP Echo Request ke tujuan IP address penyerang dengan nilai
TTL dimulai dari 1 lalu naik secara bertahap. Sebagai contoh, tracert mula-mula menge-set TTL=1, lalu mengirim paket ICMP ke
tujuan sebanyak tiga kali. Paket tersebut mencapai Router 1 ketika, router tersebut akan mengurangi TTL dengan 1 sehingga nilai
TTL=0. Karena TTL sudah bernilai 0, paket tidak bisa diteruskan oleh Router 1 ke router. Router
1 kemudian mengirim pesan “Time exceeded
” ke komputer pengirim. Program tracert kemudian menghitung waktu yang diperlukan oleh paket merambat dari
pengirim ke Router 1 sebanyak tiga kali. Proses ini berulang untuk paket ICMP berikutnya dengan TTL=2, TTL=3, dan seterusnya,
hingga mencapai IP address penyerang Dostalek dan Kabelova, 2006. Coment tracert ditunjukkan pada Gambar 4.10.
Gambar 4.10 Tracert commend Dostalek dan Kabelova, 2006
Bila sumber serangan sudah diketahui, maka pihak penyedia layanan akses Internet ISP dapat mematikan untuk sementara
interface di router yang terhubung ke penyerang. Selanjutnya, tindakan hukum dapat diambil terhadap orang yang melakukan
serangan.
4.2.1.2 Menemukan Sumber Serangan DDoS dengan IP Address
Palsu spoofed IP address Cara penulusuran sumber serangan menggunakan tracert
seperti di atas hanya efektif bila penyerang menggunakan IP address real dan jalur tidak mengalami congestion jenuh. Alamat palsu
yang digunakan oleh paket menyebabkan router tidak tahu jalur mana yang akan digunakan untuk meneruskan paket ICMP sehingga
router akan mengirim pesan “Destination Unreachable” ke
pengirim. Jalur yang jenuh mengakibatkan paket ICMP yang dikirim ke sumber serangan di-drop oleh router karena buffer-nya penuh.
Dalam prakteknya, penyerang lebih suka memalsukan IP address- nya agar sulit dilacak dan serangan menjadi lebih efektif.
4.2.2 Melacak Sumber DoS Attack dengan EPPM