T1 672011708 Full text
Pemanfaatan Intelligent Packet Filtering untuk Mengatasi
Serangan DDoS
1)
Surya Karta Sembiring, 2) Indrastanti Ratna Widiasari
Email : 1)
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. Diponegoro 52-60, Salatiga 50711, Indonesia
672011708@student.uksw.edu, 2)indrastanti@staff.uksw.edu
Abstract
Nowadays the internet network security get a new challenge to secure their
networks from a new threats which known as DDoS attack. DDoS attack today are quite
worrying, especially at this time due to the emergence of a variety attacks at a vital
region. Because of the vulnerability of attacks to the internet then required the new
security to the network firewall. One of the safeguards that allow to do is to put the new
rules in an iptables on the server side in anticipation of DDoS attacks. This study makes a
new rule at iptables which known as intelligent packet filtering a fairly capable to limit
the DDoS attacks
Keywords : DDoS, Iptables, firewall, Intelligent packet filtering.
1
Abstrak
Saat ini keamanan jaringan internet mendapatkan tantangan baru dalam
melakukakan pengamanan terhadap jaringan mereka yang dikenal dengan sebutan
serangan DDoS. Serangan DDoS saat ini sudah cukup mengkhawatirkan
dikarenakan serangan DDoS sudah menyentuh wilayah-wilayah yang vital.
Karena rentannya jaringan internet terhadap serangan DDoS maka dibutuhkan
pengamanan baru pada sisi firewall jaringan. Salah satu pengamanan yang dapat
dilakukan adalah dengan menempatkan sebuah rule baru pada iptables pada sisi
server untuk mengantisipasi serangan DDoS. Penelitian ini membuat rule baru
pada iptables yang disebut sebagai intelligent packet filtering yang dapat
membatasi serangan DDoS.
Kata Kunci : DDoS, Iptables, Firewall, Intelligent Packet Filtering.
1.
Pendahuluan
Tingginya kebutuhan akan internet saat ini membuat keamanan jaringan
internet menjadi sangat penting. Banyak masalah keamanan yang muncul pada
jaringan internet salah satu di antaranya adalah serangan DDoS. DDoS atau
distributed denial of service adalah aktifitas membanjiri server dengan traffic
jaringan yang tinggi sehingga server sulit diakses oleh client yang
berkepentingan terhadap server tersebut. Teknik ini menggunakan banyak cilent
1)
Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas
Kristen SatyaWacana
2)
Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen SatyaWacana
untuk menyerang sebuah host server dengan membanjirinya dengan banyak
traffic data sehingga network traffic menjadi sangat tinggi yang mengakibatkan
host server sulit melayani client yang valid selain itu serangan DDoS juga dapat
berupa perintah request yang sangat banyak sehingga client akan sulit terlayani
oleh server, dan yang terakhir adalah mengganggu komunikasi host server
dengan client nya dengan mengganti informasi konfigurasi system.
Menurut defense.net awal mula terbentuknya serangan DDoS adalah pada
tahun 1989 dimana dimunculkan –f (flood) di ping.com source code. Di dalam
defense.net juga disebutkan bahwa serangan DDoS pertama kali muncul pada
tahun 1996 dimana serangan DDoS menyerang sebuah isp di newyork yang
bernama panix.com. Defense.net juga menyebutkan pada 2000 seorang anak
berumur 15 tahun juga berhasil menjatuhkan website yahoo, sehingga defense.net
menyimpulkan semua host server sangat rentan terhadap serangan DDoS.
Saat ini serangan DDoS juga semakin berbahaya, data terakhir yang
dipublikasikan oleh arbornetworks.com menunjukkan peningkatan serangan
DDoS pada tahun 2013. Serangan DDoS telah menyentuh angka 300 gigabits
data traffic 3 kali lebih besar dari serangan yang pernah diketahui sebelumnya
Gambar 1 Perkembangan Serangan DDoS (arbonetworks.com)
melihat dari data yang ada maka dapat disimpulkan bahwa jaringan internet masih
sangat rentan terhadap serangan DDoS. Kerentanan terhadap serangan inilah yang
membuat serangan DDoS juga perlu mendapat penanganan yang khusus untuk
menghindarkan jaringan dari serangan DDoS.
2.
Tinjauan Pustaka
Dalam jurnal yang dibuat olhe Fasheng Yi dan kawan kawan [1], serangan
DDoS sulit untuk diatasi jika didasarkan pada sumber serangan. Penyerang (DDoS
Attacker) biasanya melakukan ip spoofing sehingga sumber serangan atau
computer menjadi tersamarkan, selain itu penyerang juga menggunakan sumbersumber komputer yang lain sebagai penyerang, sehingga serangan menjadi sangat
kuat dan tidak terdeteksi. Untuk mengatasi serangan seperti ini dibutuhkan sebuah
teknik yang baik untuk membendung serangan DDoS. Salah satu yang dapat
dilakukan adalah dengan membuat packet filtering dengan mengamati perilakuperilaku attacker dengan terlebih dahulu membuat module untuk menyimpan data
karakteristik dari serangan DDoS
Dalam jurnal A Taxonomy of DDoS Attack and DDoS Defense Mechanism,
Distributed Denial of Service (DDoS)[2], proses serangan dan pertahanan dari
serangan DDoS dibuat berdasarkan taksonomi. Didalam jurnal ini dibuat dua
taksonomi untuk memisahkan serangan dan pertahanannya. Taksonomi serangan
meliputi serangan yang telah dikenali dan juga serangan yang belum muncul tetapi
berpotensi menjadi ancaman dikemudian hari dan berpotensi menjadi ancaman
terhadap pertahanan yang ada saat ini. Sedangkan system taksonomi pertahanan
adalah taksonomi yang tidak hanya mencakup metode pendekatan tetapi juga
beberapa pendekatan komersial yang menghasilkan dokumentasi yang cukup
untuk dianalisis. Bidang DDoS mengandung banyak mekanisme serangan dan
pertahanan,yang mengaburkan pandangan global akan serangan DDoS.
Taksonomi yangdiusulkan dimaksudkan untuk membantu masyarakat berpikir
tentang ancaman yang dihadapi dan tindakan pencegahan yang mungkin
dilakukan. Satu keuntungan taksonomi tersebut adalah mendorong kerjasama
lebih mudah diantara para peneliti.
Dalam jurnal Hash-Based IP Traceback [3] dikenalkan metode IP
Traceback yang dapat digunakan untuk mengenali sumber paket pada internet.
Metode ini muncul dikarenakan oleh banyaknya serangan DDoS pada jaringan
internet belakangan ini. Banyaknya serangan DDoS seringkali disebabkan oleh
sumber packet yang tidak bias dilacak. Alasannya adalah karena ip header tidak
menyimpan sumber data packet kecuali alamat IP itu sendiri sehingga mudah
untuk dipalsukan oleh penyerang, selain itu internet juga tidak menyimpan data
lintasan yang dilalui sebuah packet sehingga akan sulit untuk melacak packet
tersebut. Oleh karena sulitnya melacak packet tersebut maka muncullah teknik IP
Traceback. Ada dua jenis IP Traceback yang sering muncul yaitu, probabilistic
packet marking (ppm) dimana teknik menandai setiap packet dengan partial path
information probabistically sehingga korban dapat membuat alur serangan DDoS.
Selain teknik tersebut ada juga tehknik dengan menyimpan packet digest kedalam
bloom filters pada masing masing routers. Dengan iterasi packet tetangga pada
packet serangan maka jalur serangan dapat dikonstruksikan teknik ini disebut
skema Hash. Kedua tehknik ini juga pada kenyataannya memiliki kelemahan.
Teknik probabilistic packet marking (ppm) tidak dapat digunakan pada kasus
serangan dalam jumlah besar karena probabilistic packet marking hanya dapat
melacak serangan dengan jumlah maksimal 100 penyerang dengan 17 bit field,
sedangkan pada pada skema hash menjadi tidak efektif karena membutuhkan
komputasi yang tinggi dan media penyimpanan yang besar. Dalam
perkembangannya teknik ip traceback baru bermunculan untuk meningkatkan
efektifitas dalam menanggulangi serangan DDoS. Modifikasi dari teknik tersebut
menghasilkan teknik yang lebih efisien seperti intelligent packet filtering yang
dibahas dalam penelitian ini.
DDoS adalah salah satu jenis serangan denial of service. Dalam serangan
DDoS penyerang akan melakukan serangan dengan membanjiri traffic jaringan
dengan banyak data sehingga pengguna yang valid tidak dapat masuk kedalam
system jaringan. Selain itu serangan DDoS juga melakukan serangan dengan cara
membanjiri jaringan dengan banyak request terhadap layanan yang disediakan
oleh penyedia layanan sehingga pengguna yang valid tidak dapat dilayani oleh
host. DDoS juga melakukan serangan dengan cara mengubah konfigurasi system
dan bahkan merusak komponen dan server. Dalam proses penyerangan DDoS
menggunakan banyak host penyerang baik yang memang didedikasikan untuk
melakukan serangan maupun komputer yang dipaksa (dijadikan zombie) untuk
melakukan serangan. Komunikasi yang dilakukan oleh penyarang utama dan
“zombie”nya meliputi beberapa cara yaitu trinoo yang menempatkan paket Trojan
master agent didalam komputer yang dijadikan sebagai “zombie” Komunikasi
antar master dan agen menggunakan paket UDP, sehingga penyerang cukup
mengirimkan paket UDP tertentu melalui master untuk diteruskan ke agen. Agen
akan merespon pesan dari penyerang yang diteruskan oleh master dengan
mengirim paket serangan dalam jumlah yang banyak ke komputer target. Tribal
Flood Net w ork Teknik serangan mirip dengan Trinoo dengan menggunakan
master dan agen. Program saling berkoordinasi satu sama lain untuk melakukan
serangan terhadap komputer target dengan menggunakan ICMP echo, TCP
maupun UDP. Serangan yang dilakukan oleh TFN DDoS bisa berupa SYN flood,
icmp flood serta smurf. Kemampuan dan fitur serangan yang disediakan TFN jauh
lebih lengkap daripada trinoo. Spoofing dan serangan exploit pada sistem operasi
sudah disediakan. Dengan kemampuan seperti itu maka TFN cenderung lebih
rumit dari trinoo dari sisi penangannya karena paket yang dikirim memiliki alamat
source yang sudah dimodifikasi sehingga akan sulit untuk dilacak.
Firewall adalah sebuah bagian keamanan jaringan dari komputer yang
melakukan fungsi kontrol aliran data antara dua atau lebih jaringan yang
mempunyai perbedaan tingkat keamanan. Firewall bertugas untuk menjaga server
dapat terhindar dari serangan yang berasal dari luar.
Packet filtering adalah teknik firewall yang digunakan untuk mengontrol
akses jaringan dengan memonitor packet keluar dan masukdan memungkinkan
packet tersebut diteruskan atau dihentikan, berdasarkan sumber dan tujuan alamat
IP, protocol dan port. Jaringan lapisan firewall menentukan set aturan packet
filtering, yang menyediakan mekanisme keamanan yang sangat efisien. Pada
dasarnya, firewall dimaksudkan untuk memungkinkan dua jaringan untuk
berkomunikasi dengan cara yang aman. Firewall bertindak sebagai gateway yang
membatasi dan mengendalikan arus lalu lintas antar jaringan, biasanya antara
jaringan internal yang satu dengan jaringan internal lainnya dan internet.
Informasi yang ditransmisikan pada jaringan dalam bentuk packet. Dengan kata
lain informasi dibagi menjadi potongan-potongan kecil pada sumbernya, dikirim
dan dipasang kembali pada penerima akhir. Firewall memeriksa bagian yang
relevan dari sebuah packet dan hanya memungkinkan orang-orang yang sesuai
dengan konfigurasi yang akan berhasil dikirim. Inilah sebabnya beberapa packet
yanb tepat namun dikonfigurasi salah selalu ditolak oleh firewall. Dalam kasus
firewall proxy, traffic tidak pernah mengalir langsung antar jaringan, tidak ada
host internal yang dapat diakses secara langsung oleh host externall. Demikian
juga tidak ada host internal yang dapat diakses secara langsung oleh host external.
Tugas utama dari firewall inilah yang disebut sebagai packet filtering. Packet
filtering yang merupakan level firewall tingkat pertama beroperasi dengan
mengidentifikasi kebijakan yaitu dengan mendefinisikan dokumen akses yang
diterima dan dilindungi, DMZ, dan jaringan yang tidak dilindungidan menetapkan
pedoman umum untuk apa yang dapat dan tidak dapat diterima untuk jaringan
akses oleh pengguna yang sah. Kebijakan kemanan adalah seperangkat aturan
yang dapat membantu menjaga system tetap aman. Setiap system terhubung ke
internet, secara langsung atau tidak langsung harus memiliki kebijakan keamanan.
Packet filtering juga menganalisis lalu lintas jaringan pada lapisan jaringan.
Analisis adalah mekanisme yang digunakan untuk memberikan tingkat keamanan
dengan memeriksa beberapa informasi kunci dalam header packet. Packet
filtering menentukan apakah packet diizinkan untuk pergi melalui suatu titik
tertentu, berdasarkan kebijakan pengendalian yang ditetapkan oleh administrator
jaringan. Setiap paket diperiksa untuk melihat apakah telah sesuai dengan definisi
aturan aliran data yang diperbolehkan atau tidak. Aturan-aturan ini dibuat untuk
mengidentifikasi apakah komunikasi diperbolehkan atau tidak yang didasari oleh
informasi yang terkandung didalam transport layer header dan internet serta
kemana packet akan dikirimkan. Hal ini dilakukan dengan membandingkan
header bidang protokol dari sebuah paket dengan spesifikasi filter. Proses
pengendalian akses dengan memeriksa packet berdasarkan isi dari header packet.
Informasi header, seperti alamat IP atau nomor port, diperiksa untuk menentukan
apakah sebuah packet harus diperbolehkan, berdasarkan aturan yang ditetapkan
yaitu kumpulan aturan control akses yang menentukan packet yang akan
diteruskan atau ditolak (drop).
Intelligent packet filtering adalah salah satu teknik packet filtering yang
digunakan untuk mengontrol akses jaringan dengan memonitor paket yang keluar
dan masuk. Packet filtering yang ada pada intelligent packet filtering adalah smart
filtering dimana didalam intelligent packet filtering terdapat iptables rules yang
mampu mengantisipasi serangan DDoS berdasarkan karakteristik DDoS yang
muncul. Inteliigent packet filtering menjadi berbeda dengan packet filtering yang
lain dikarenakan pada intelligent packet filtering mampu membatasi kesalahan
yang sering muncul pada packet filtering yang lain yaitu men-drop semua ip jika
sesuai dengan rule yang ada tanpa memperhatikan kemungkinan ip tersebut
sedang digunakan oleh pihak lain. Pada intelligent packet filtering hal ini
diminimalisir dengan adanya rules yang akan menghentikan packet drop pada
sebuah ip jika sebuah ip tidak lagi menunjukkan karakter serangan DDoS.
3.
Metode penelitian
DDoS merupakan salah satu jenis serangan terhadap server yang sangat
tidak bisa diprediksi. Serangan yang berupa kiriman packet yang sangat besar dan
melalui banyak sumber membuatnya dapat menjadi sebuah serangan yang sangat
merusak pada sisi server. Oleh karena itu dibutuhkan pengamatan terhadap
packet yang masuk ke sisi server, dan dibutuhkan percobaan-percobaan untuk
menguji pertahanan disisi server atas serangan DDoS, dan mengembangkan pola
pertahanan yang dapat mengatasi serangan-serangan yang muncul berdasarkan
karakteristik serangan yang sudah diketahui melalui percobaan-percobaaan yang
telah dilakukan.
Penelitian ini dimulai dengan melihat proses serangan DDoS secara umum
yang sering terjadi. Serangan lebih dahulu dimulai dengan mengaktifkan semua
penyerang, baik penyerang utama maupun penyerang “zombie”. Semua
penyerang melakukan request secara bersama-sama untuk menjatuhkan server.
Semua packet akan lebih dahulu diterima di firewall server lalu seterusnya
request dilanjutkan oleh server. Pada saat berada di firewall semua packet akan
diperiksa oleh intelligent packet filtering dengan melihat semua rule yang ada,
jika ada packet yang tidak sesuai dengan rule maka packet akan dihentikan
sehingga tidak mengganggu server yang disebabkan adanya traffic jaringan yang
tinggi yang dapat merusak atau membuat server menjadi down. Proses serangan
DDos secara umum dapat dilihat pada Gambar 2
diteruskan
firewall
request
Penyerang utama
Target (server)
request
request
Penyerang zombie
Penyerang zombie
Gambar 2 Proses Serangan DDoS Secara Umum
Untuk menguji serangan DDoS maka pada dalam penelitian ini digunakan
beberapa tools yang sudah umum digunakan untuk melakukan serangan DDoS.
Tools yang digunakan antara lain loic dan slowloris. Kedua tools ini banyak
digunakan karena penggunaannya lebih mudah. Selanjutnya tools yang digunakan
adalah wireshark. Wireshark digunakan untuk melihat aktifitas trafiic jaringan
yang sedang terjadi. Untuk membuktikan bahwa serangan yang dilakukan melalui
tools yang telah ada benar benar menuju ke target yang diinginkan
Melihat peran dari firewall maka dibutuhkan sebuah firewall yang baik
untuk mampu mengamankan server dari serangan serangan yang muncul. Oleh
karenanya untuk mengatasi serangan-serangan yang muncul dibuat firewall yang
didasarakan pada intelligent packet filtering yang ditempatkan pada iptables linux
yang berfungsi sebagai firewall. Proses filtering yang terjadi dapat dilihat dalam
flowchart pada Gambar 3
Gambar 3 Flowchart Proses Kerja Sistem
Dari flowchart yang ada dapat dijabarkan alur proses yaitu pertama
dilakukan pemeriksaan terhadap seluruh packet syn, fragmented dan juga packet
kosong setelah semua packet diperiksa dilanjutkan dengan memasukkan semua
packet tersebut kedalam banned ip. Setelah measukkan packet tersebut kedalam
banned ip selanjutnya akan dibuat module sementara yang akan berisi database ip
yang mengirimkan 100 packet per 3600 detik dan memasukkan ip tersebut
kedalam banned ip selanjutnya dibuat attack cahain module yang digunakan untuk
memeriksa semua packet serangan yang berisi 20 attack per 180 detik. Setelah
semua packet dipisahkan maka packet yang masuk kedalam banned ip akan
didrop dan ip yang tidak sesuai dengan data yang ada di banned ip akan
diteruskan karena dianggap sebagai client yang valid atau legitimate.
4.
Hasil dan Pembahasan
Untuk memulai pengujian maka serangan DDoS dilakukan dengan
menggunakan LOIC dengan tujuan untuk menjatuhkan server. Software ini
merupakan tols yang banyak saat ini digunakan untuk melakukan serangan DDoS.
Dengan tools ini kita dapat melakukan serangan berdasarkan ip dan menentukan
port serangan yang diinginkan.
Gambar 4 Serangan Menggunakan Loic
Pada gambar 4 dapat dilihat bahwa serangan sukses dilakukan menuju port 80
menuju ip 103.26.128.84. Selanjutnya dilakukan serangan menggunakan tools
yang lain yang juga banyak digunakan untuk melakukan serangan DDoS yaitu
slowloris. Serangan dengan slowloris dapat dilihat pada Gambar 5
Gambar 5 Serangan Menggunakan Slowloris
Pada Gambar 5 dapat dilihat bahwa serangan menggunakan slowloris
juga sukses dilakukan menuju ip tujuan yang ingin diserang. Selanjutnya kita
akan menggunakan wireshark untuk melihat apakah packet yang dikirim benarbenar menuju target yang diinginkan.
Gambar 6 hasil Capture Wireshark
Berdasarkan hasil capture wireshark pada Gambar 6 dapat dilihat bahwa
packet serangan benar menuju target yang akan diserang dari hasil pengujian
menggunakan ketiga tools yang ada maka dapat disimpulkan bahwa serangan
sukses dilakukan menuju target. Selanjutnya akan digunakan intrusion detection
system untuk melihat apakah ada alert serangan yang dianggap sebagai serangan
denial of service
Gambar 7 intrusion detection system
Berdasarkan dari alert yang muncul pada intrusion detection system maka
dapat disimpulkan bahwa serangan menuju ip yang dimaksud benar-benar terjadi
dan dibutuhkan penanganan untuk mengantisipasi serangan tersebut.
Setelah melakukan proses serangan selanjutnya dilakukan proses untuk
mengantisipasi serangan yang muncul dengan memasukkan intelligent packet
filtering yang telah dibuat ke dalam iptables dalam hal ini yang digunakan adalah
iptables dalam system operasi linux.
Kode program
#!/bin/bash
Iptables –F
Iptables –X
Iptables –N ATTACKED
Iptables –N ATTK_CHECK
Iptables –N SYN_FLOOD
Iptables –A INPUT –p tcp ! –syn –m state –state NEW –j DROP
Iptables –INPUT A –f –j DROP
Iptables –A INPUT –p tcp –tcp-flags AAL AAL –j DROP
Iptables –A INPUT –p tcp –tcp-flags ALL NONE –j DROP
Iptables –A INPUT –p tcp –syn –j SYN_FLOOD
Iptables –A SYN_FLOOD –p tcp –syn –m hashlimit –hashlimit 100/sec –hashlimit-burst
3 –hashlimit-htable-expire 3600 –hashlimit-mode srcip –hashlimit-name synflood –j
ACCEPT
Iptables –A SYN_FLOOD –j ATTK_CHECK
Iptables –A INPUT –m state –state ESTABLISHED,RATED –j ACCEPT
Iptables –A INPUT –p tcp –m tcp –dport 80 –m recent –update –seconds 1800 –name
BANNED –rsource –j DROP
Iptables –A ATTACKED –m limit –-limit 5/min –j LOG –log-prefix “IPTABLES (Rule
ATTACKED):” –log-level 7 Iptables –A ATTACKED –m recent –set –name BANNED –rsource
–j DROP
Iptables –A ATTK_CHECK –m recent –set –name ATTK
Iptables –A ATTK_CHECK –m recent
rsource –j ATTACKED
--update –seconds 180 –hitcount 20 –name ATTK –
Iptables –A INPUT –p tcp –m tcp –dport 80 –m state –state NEW –j ATTK_CHECK
Iptables –A ATTK_CHECK –m recent –update –seconds 60 –hitcount6 –name ATTK –
rsource –j ATTACKED
Iptables –A ATTK_CHECK –j accept
Iptables –F
Iptables –X
Perintah digunakan untuk menghapus semua chain rule yang telah ada
untuk menghindari bentrokan antar chain
Iptables –N ATTACKED
Iptables –N ATTK_CHECK
Iptables –N SYN_FLOOD
Perintah digunakan untuk membuat tiga chain baru yang akan digunakan untuk
memfilter serangan yang akan masuk ke server
Iptables –A INPUT –p tcp ! –syn –m state –state NEW –j DROP
Perintah digunakan untuk melihat apakah paket yang masuk merupakan sebuah
paket syn, jika paket yang masuk merupakan paket syn maka paket akan di-drop
atau dijatuhkan
Iptables –INPUT A –f –j DROP
Fragmented packet akan di-drop
Iptables –A INPUT –p tcp –tcp-flags AAL AAL –j DROP
XMAS packet akan di-drop
Iptables –A INPUT –p tcp –tcp-flags ALL NONE –j DROP
Packet kosong akan di-drop
Iptables –A INPUT –p tcp –syn –j SYN_FLOOD
Semua packet TCP yang masuk akan diteruskan ke SYN_FLOOD chain
Iptables –A SYN_FLOOD –p tcp –syn –m hashlimit –hashlimit 100/sec –hashlimit-burst
3 –hashlimit-htable-expire 3600 –hashlimit-mode srcip –hashlimit-name synflood –j
ACCEPT
Modul hashlimit digunakan untuk membuat “database” dari sebuah ip untuk
menjatuhkan semua packet dari sebuah ip yang melebihi 100 packet per detik dan
menyimpan database tersebut selama 3600 detik.
Iptables –A SYN_FLOOD –j ATTK_CHECK
Semua packet yang tidak sesuai dengan chain SYN_FLOOD akan diteruskan ke
chain ATTK_CHECK
Iptables –A INPUT –m state –state ESTABLISHED,RATED –j ACCEPT
Meneruskan semua packet data traffic yang valid dan legitimate
Iptables –A INPUT –p tcp –m tcp –dport 80 –m recent –update –seconds 1800 –name
BANNED –rsource –j DROP
Membuat sebuah database BANNED dengan module yang telah ada, dan berisi
semua ip yang cocok dengan rules, dan disimpan selama 1800 detik. Jika tidak
ditemukan ip yang sesuai maka module akan dihapus
Iptables –A INPUT –p tcp –m tcp –dport 80 –m state –state NEW –j ATTK_CHECK
Semua packet yang menuju port 80 akan diteruskan ke ATTK_CHECK chain
Iptables –A ATTACKED –m limit –-limit 5/min –j LOG –log-prefix “IPTABLES (Rule
ATTACKED):” –log-level 7 Iptables –A ATTACKED –m recent –set –name BANNED –rsource
–j DROP
Membuat logging option untuk ATTACKED chain dan men-drop semua packet
pada chain tersebut dan menempatkan ip pada database BANNED
Iptables –A ATTK_CHECK –m recent –set –name ATTK
Semua packet yang masuk yang tidak sesuai dengan rules dan dianggap sebagai
sebuah serangan akan dimasukkan ke sebuah database recent
Iptables –A ATTK_CHECK –m recent
rsource –j ATTACKED
--update –seconds 180 –hitcount 20 –name ATTK –
Jika sebuah ip cocok dengan rule yang ada selama 20 kali dalam 180 detik maka
akan ditandai sebagai penyerang dan memasukkannya kedalam database ATTK
dan meneruskannya ke chain ATTACKED
Iptables –A ATTK_CHECK –m recent –update –seconds 60 –hitcount6 –name ATTK –
rsource –j ATTACKED
Jika sebua ip cocok 6 kali selama 60 detik maka akan ditandai sebagai penyerang
dan meneruskannya ke chain ATTACKED
Iptables –A ATTK_CHECK –j accept
Semua ip yang tidak sesuai dengan rule yang ada akan diteruskan karena
dianggap sebagai client yang valid. Hasil dari memasukkan rule baru ke dalam
iptables dapat dilihat pada Gambar 8.
Gambar 8 Proses Input ptables dalam Linux
Setelah memasukkan intelligent packet filtering ke dalam iptables linux
langkah selanjutnya yang akan dilakukan adalah dengan kembali menguji
kesuksesan intelligent packet filtering dengan menggunakan tools yang telah
digunakan sebelumnya
Gambar 9 Serangan Menggunakan loic
Pada Gambar 9 dapat dilihat bahwa Setelah iptables dimasukkan packet DDoS
tidak berhasil masuk ke dalam firewall. Hal ini dapat dilihat dari gagalnya request
dari tools loic yang digunakan. Oleh karena gagalnya loic menembus firewall
yang telah dibuat maka dapat disimpulkan bahwa firewall yang dibuat telah
berhasil. Untuk lebih memastikan bahwa tidak ada traffic dari DDoS yang masuk
ke dalam system selanjutnya melihat ke dalam intrusion detection system apakah
ada alert denial of service baru yang muncul.
Gambar 10 Pemeriksaan Alert Serangan Baru
Pada gambar 10 dapat dilihat bahwa setelah serangan dilakukan tidak ada
alert baru yang muncul oleh karenanya berdasarkan hasil yang telah dibuat dapat
dilihat bahwa serangan yang dilakukan menggunakan tools yang sebelumnya
berhasil, menjadi gagal setelah intelligent packet filtering dimasukkan ke dalam
iptables. Berdasarkan hasil pengujian yang telah dilakukan maka dapat
disimpulkan bahwa intelligent packet filtering dapat digunakan untuk mengatasi
serangn DDoS
5.
Simpulan
Dalam proses yang telah dilakukan dapat terlihat bahwa iptables yang
digunakan untuk Intelligent Packet Filtering melakukan pembatasan terhadap
serangan DDoS, dengan menghentikan semua Packet yang tidak sesuai dengan
rules yang ada didalam Iptables. Dalam Iptables terdapat rules yang berfungsi
untuk membatasi semua Packet yang Abnormal yang masuk ke dalam jaringan.
Intelligent packet Filtering juga memuat rules yang juga difungsikan untuk
meminimalisir kesalahan yang ada pada Packet filtering yang lain dengan adanya
module sementara yang berfungsi untuk menahan serangan DDoS sehingga
Packet filtering ini menjadi lebih “pintar”, karena pada banyak kasus serangan
DDoS banyak komputer penyerang tidak sadar komputernya digunakan oleh
pihak lain untuk melakukan serangan DDoS. Dengan adanya modul tersebut
situasi seperti ini dapat diatasi karena jika sebuah komputer tidak terlibat didalam
serangan DDoS dalam waktu tertentu maka komputer tersebut akan dihapus dari
blacklist filrewall.
Intelligent packet filtering membutuhkan pengamatan terhadap karakter dari
penyerang. Dengan melakukan pengamatan terhadap karakter penyerang maka
dapat dibuat rules yang lebih efektif untuk menahan serangan serangan DDoS
yang muncul. Karakter-karakter yang utama dari penyerang yang perlu untuk
diketahui adalah lama serangan yang muncul, besarnya Packet masuk yang sudah
bisa menggangu proses di dalam jaringan, dan tipe serangan yang seringkali
muncul.
6.
Daftar Pustaka
[1]
Fasheng Yi, Shui Yu, Wanlei Zhou, dkk, Source-Based Filtering Scheme
against DDoS Attacks, International Journal of Database Theory and
Application, 2006.
Jelena Mirkovic, Peter Reiher, 2004, A taxonomy of DDoS Attack and DDoS
Defense mechanisms
Alex.C.Snoren, Craig Partridge, Luis. A. Sanchez, dkk, Hash-Based IP
Traceback, SIGCOMM’01, 2001.
Bhisham Sharma, Karan Bajaj, 2011, Packet Filtering Using IP Tables in
Linux, IJCSI International journal of Computer Science iSSues, vol.8 no 2.
Minho sung, Jun xu, 2002, IP Traceback-Based Intelligent Packet Filtering:
A Novel Technique for Defending Againts Internet DDoS Attacks,
Proceedings of the 10th IEEE International Conference on Network
Protocols (ICNP.2), 2002.
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
Dawn Xiaodong Song, Adrian Perrig, 2001, Advanced and Authenticated
Marking Schemes for IP Traceback, IEEE Infocom, 2001.
Esraa Alomari, Selvakumar Manickam, B.B.Gupta, dkk, 2012, Botnet based
Distributed Denial of Service (DDoS) Attack on Web Servers: Clasification
and Art, International journal of Computer Applications (0975-8887),
volume 49, no 7, juli, 2012.
Mansfield, Nial (2004), Practical TCP/IP : mendesain, menggunakan dan
Troubleshooting jaringan TCP/IP di linux (jilid 1)/ Nial Mansfield;
Diterjemahlan oleh: prabantini. –Ed I –Yogyakarta: Andi, 2004
Bahaa Qasim M. ALL-Mussawi, Mitigating Dos/DDoS Attack using
iptables, International Journal of Engineering & Technology IJET-IJENS,
vol: 12 no:3, juni, 2012
Serangan DDoS
1)
Surya Karta Sembiring, 2) Indrastanti Ratna Widiasari
Email : 1)
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. Diponegoro 52-60, Salatiga 50711, Indonesia
672011708@student.uksw.edu, 2)indrastanti@staff.uksw.edu
Abstract
Nowadays the internet network security get a new challenge to secure their
networks from a new threats which known as DDoS attack. DDoS attack today are quite
worrying, especially at this time due to the emergence of a variety attacks at a vital
region. Because of the vulnerability of attacks to the internet then required the new
security to the network firewall. One of the safeguards that allow to do is to put the new
rules in an iptables on the server side in anticipation of DDoS attacks. This study makes a
new rule at iptables which known as intelligent packet filtering a fairly capable to limit
the DDoS attacks
Keywords : DDoS, Iptables, firewall, Intelligent packet filtering.
1
Abstrak
Saat ini keamanan jaringan internet mendapatkan tantangan baru dalam
melakukakan pengamanan terhadap jaringan mereka yang dikenal dengan sebutan
serangan DDoS. Serangan DDoS saat ini sudah cukup mengkhawatirkan
dikarenakan serangan DDoS sudah menyentuh wilayah-wilayah yang vital.
Karena rentannya jaringan internet terhadap serangan DDoS maka dibutuhkan
pengamanan baru pada sisi firewall jaringan. Salah satu pengamanan yang dapat
dilakukan adalah dengan menempatkan sebuah rule baru pada iptables pada sisi
server untuk mengantisipasi serangan DDoS. Penelitian ini membuat rule baru
pada iptables yang disebut sebagai intelligent packet filtering yang dapat
membatasi serangan DDoS.
Kata Kunci : DDoS, Iptables, Firewall, Intelligent Packet Filtering.
1.
Pendahuluan
Tingginya kebutuhan akan internet saat ini membuat keamanan jaringan
internet menjadi sangat penting. Banyak masalah keamanan yang muncul pada
jaringan internet salah satu di antaranya adalah serangan DDoS. DDoS atau
distributed denial of service adalah aktifitas membanjiri server dengan traffic
jaringan yang tinggi sehingga server sulit diakses oleh client yang
berkepentingan terhadap server tersebut. Teknik ini menggunakan banyak cilent
1)
Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas
Kristen SatyaWacana
2)
Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen SatyaWacana
untuk menyerang sebuah host server dengan membanjirinya dengan banyak
traffic data sehingga network traffic menjadi sangat tinggi yang mengakibatkan
host server sulit melayani client yang valid selain itu serangan DDoS juga dapat
berupa perintah request yang sangat banyak sehingga client akan sulit terlayani
oleh server, dan yang terakhir adalah mengganggu komunikasi host server
dengan client nya dengan mengganti informasi konfigurasi system.
Menurut defense.net awal mula terbentuknya serangan DDoS adalah pada
tahun 1989 dimana dimunculkan –f (flood) di ping.com source code. Di dalam
defense.net juga disebutkan bahwa serangan DDoS pertama kali muncul pada
tahun 1996 dimana serangan DDoS menyerang sebuah isp di newyork yang
bernama panix.com. Defense.net juga menyebutkan pada 2000 seorang anak
berumur 15 tahun juga berhasil menjatuhkan website yahoo, sehingga defense.net
menyimpulkan semua host server sangat rentan terhadap serangan DDoS.
Saat ini serangan DDoS juga semakin berbahaya, data terakhir yang
dipublikasikan oleh arbornetworks.com menunjukkan peningkatan serangan
DDoS pada tahun 2013. Serangan DDoS telah menyentuh angka 300 gigabits
data traffic 3 kali lebih besar dari serangan yang pernah diketahui sebelumnya
Gambar 1 Perkembangan Serangan DDoS (arbonetworks.com)
melihat dari data yang ada maka dapat disimpulkan bahwa jaringan internet masih
sangat rentan terhadap serangan DDoS. Kerentanan terhadap serangan inilah yang
membuat serangan DDoS juga perlu mendapat penanganan yang khusus untuk
menghindarkan jaringan dari serangan DDoS.
2.
Tinjauan Pustaka
Dalam jurnal yang dibuat olhe Fasheng Yi dan kawan kawan [1], serangan
DDoS sulit untuk diatasi jika didasarkan pada sumber serangan. Penyerang (DDoS
Attacker) biasanya melakukan ip spoofing sehingga sumber serangan atau
computer menjadi tersamarkan, selain itu penyerang juga menggunakan sumbersumber komputer yang lain sebagai penyerang, sehingga serangan menjadi sangat
kuat dan tidak terdeteksi. Untuk mengatasi serangan seperti ini dibutuhkan sebuah
teknik yang baik untuk membendung serangan DDoS. Salah satu yang dapat
dilakukan adalah dengan membuat packet filtering dengan mengamati perilakuperilaku attacker dengan terlebih dahulu membuat module untuk menyimpan data
karakteristik dari serangan DDoS
Dalam jurnal A Taxonomy of DDoS Attack and DDoS Defense Mechanism,
Distributed Denial of Service (DDoS)[2], proses serangan dan pertahanan dari
serangan DDoS dibuat berdasarkan taksonomi. Didalam jurnal ini dibuat dua
taksonomi untuk memisahkan serangan dan pertahanannya. Taksonomi serangan
meliputi serangan yang telah dikenali dan juga serangan yang belum muncul tetapi
berpotensi menjadi ancaman dikemudian hari dan berpotensi menjadi ancaman
terhadap pertahanan yang ada saat ini. Sedangkan system taksonomi pertahanan
adalah taksonomi yang tidak hanya mencakup metode pendekatan tetapi juga
beberapa pendekatan komersial yang menghasilkan dokumentasi yang cukup
untuk dianalisis. Bidang DDoS mengandung banyak mekanisme serangan dan
pertahanan,yang mengaburkan pandangan global akan serangan DDoS.
Taksonomi yangdiusulkan dimaksudkan untuk membantu masyarakat berpikir
tentang ancaman yang dihadapi dan tindakan pencegahan yang mungkin
dilakukan. Satu keuntungan taksonomi tersebut adalah mendorong kerjasama
lebih mudah diantara para peneliti.
Dalam jurnal Hash-Based IP Traceback [3] dikenalkan metode IP
Traceback yang dapat digunakan untuk mengenali sumber paket pada internet.
Metode ini muncul dikarenakan oleh banyaknya serangan DDoS pada jaringan
internet belakangan ini. Banyaknya serangan DDoS seringkali disebabkan oleh
sumber packet yang tidak bias dilacak. Alasannya adalah karena ip header tidak
menyimpan sumber data packet kecuali alamat IP itu sendiri sehingga mudah
untuk dipalsukan oleh penyerang, selain itu internet juga tidak menyimpan data
lintasan yang dilalui sebuah packet sehingga akan sulit untuk melacak packet
tersebut. Oleh karena sulitnya melacak packet tersebut maka muncullah teknik IP
Traceback. Ada dua jenis IP Traceback yang sering muncul yaitu, probabilistic
packet marking (ppm) dimana teknik menandai setiap packet dengan partial path
information probabistically sehingga korban dapat membuat alur serangan DDoS.
Selain teknik tersebut ada juga tehknik dengan menyimpan packet digest kedalam
bloom filters pada masing masing routers. Dengan iterasi packet tetangga pada
packet serangan maka jalur serangan dapat dikonstruksikan teknik ini disebut
skema Hash. Kedua tehknik ini juga pada kenyataannya memiliki kelemahan.
Teknik probabilistic packet marking (ppm) tidak dapat digunakan pada kasus
serangan dalam jumlah besar karena probabilistic packet marking hanya dapat
melacak serangan dengan jumlah maksimal 100 penyerang dengan 17 bit field,
sedangkan pada pada skema hash menjadi tidak efektif karena membutuhkan
komputasi yang tinggi dan media penyimpanan yang besar. Dalam
perkembangannya teknik ip traceback baru bermunculan untuk meningkatkan
efektifitas dalam menanggulangi serangan DDoS. Modifikasi dari teknik tersebut
menghasilkan teknik yang lebih efisien seperti intelligent packet filtering yang
dibahas dalam penelitian ini.
DDoS adalah salah satu jenis serangan denial of service. Dalam serangan
DDoS penyerang akan melakukan serangan dengan membanjiri traffic jaringan
dengan banyak data sehingga pengguna yang valid tidak dapat masuk kedalam
system jaringan. Selain itu serangan DDoS juga melakukan serangan dengan cara
membanjiri jaringan dengan banyak request terhadap layanan yang disediakan
oleh penyedia layanan sehingga pengguna yang valid tidak dapat dilayani oleh
host. DDoS juga melakukan serangan dengan cara mengubah konfigurasi system
dan bahkan merusak komponen dan server. Dalam proses penyerangan DDoS
menggunakan banyak host penyerang baik yang memang didedikasikan untuk
melakukan serangan maupun komputer yang dipaksa (dijadikan zombie) untuk
melakukan serangan. Komunikasi yang dilakukan oleh penyarang utama dan
“zombie”nya meliputi beberapa cara yaitu trinoo yang menempatkan paket Trojan
master agent didalam komputer yang dijadikan sebagai “zombie” Komunikasi
antar master dan agen menggunakan paket UDP, sehingga penyerang cukup
mengirimkan paket UDP tertentu melalui master untuk diteruskan ke agen. Agen
akan merespon pesan dari penyerang yang diteruskan oleh master dengan
mengirim paket serangan dalam jumlah yang banyak ke komputer target. Tribal
Flood Net w ork Teknik serangan mirip dengan Trinoo dengan menggunakan
master dan agen. Program saling berkoordinasi satu sama lain untuk melakukan
serangan terhadap komputer target dengan menggunakan ICMP echo, TCP
maupun UDP. Serangan yang dilakukan oleh TFN DDoS bisa berupa SYN flood,
icmp flood serta smurf. Kemampuan dan fitur serangan yang disediakan TFN jauh
lebih lengkap daripada trinoo. Spoofing dan serangan exploit pada sistem operasi
sudah disediakan. Dengan kemampuan seperti itu maka TFN cenderung lebih
rumit dari trinoo dari sisi penangannya karena paket yang dikirim memiliki alamat
source yang sudah dimodifikasi sehingga akan sulit untuk dilacak.
Firewall adalah sebuah bagian keamanan jaringan dari komputer yang
melakukan fungsi kontrol aliran data antara dua atau lebih jaringan yang
mempunyai perbedaan tingkat keamanan. Firewall bertugas untuk menjaga server
dapat terhindar dari serangan yang berasal dari luar.
Packet filtering adalah teknik firewall yang digunakan untuk mengontrol
akses jaringan dengan memonitor packet keluar dan masukdan memungkinkan
packet tersebut diteruskan atau dihentikan, berdasarkan sumber dan tujuan alamat
IP, protocol dan port. Jaringan lapisan firewall menentukan set aturan packet
filtering, yang menyediakan mekanisme keamanan yang sangat efisien. Pada
dasarnya, firewall dimaksudkan untuk memungkinkan dua jaringan untuk
berkomunikasi dengan cara yang aman. Firewall bertindak sebagai gateway yang
membatasi dan mengendalikan arus lalu lintas antar jaringan, biasanya antara
jaringan internal yang satu dengan jaringan internal lainnya dan internet.
Informasi yang ditransmisikan pada jaringan dalam bentuk packet. Dengan kata
lain informasi dibagi menjadi potongan-potongan kecil pada sumbernya, dikirim
dan dipasang kembali pada penerima akhir. Firewall memeriksa bagian yang
relevan dari sebuah packet dan hanya memungkinkan orang-orang yang sesuai
dengan konfigurasi yang akan berhasil dikirim. Inilah sebabnya beberapa packet
yanb tepat namun dikonfigurasi salah selalu ditolak oleh firewall. Dalam kasus
firewall proxy, traffic tidak pernah mengalir langsung antar jaringan, tidak ada
host internal yang dapat diakses secara langsung oleh host externall. Demikian
juga tidak ada host internal yang dapat diakses secara langsung oleh host external.
Tugas utama dari firewall inilah yang disebut sebagai packet filtering. Packet
filtering yang merupakan level firewall tingkat pertama beroperasi dengan
mengidentifikasi kebijakan yaitu dengan mendefinisikan dokumen akses yang
diterima dan dilindungi, DMZ, dan jaringan yang tidak dilindungidan menetapkan
pedoman umum untuk apa yang dapat dan tidak dapat diterima untuk jaringan
akses oleh pengguna yang sah. Kebijakan kemanan adalah seperangkat aturan
yang dapat membantu menjaga system tetap aman. Setiap system terhubung ke
internet, secara langsung atau tidak langsung harus memiliki kebijakan keamanan.
Packet filtering juga menganalisis lalu lintas jaringan pada lapisan jaringan.
Analisis adalah mekanisme yang digunakan untuk memberikan tingkat keamanan
dengan memeriksa beberapa informasi kunci dalam header packet. Packet
filtering menentukan apakah packet diizinkan untuk pergi melalui suatu titik
tertentu, berdasarkan kebijakan pengendalian yang ditetapkan oleh administrator
jaringan. Setiap paket diperiksa untuk melihat apakah telah sesuai dengan definisi
aturan aliran data yang diperbolehkan atau tidak. Aturan-aturan ini dibuat untuk
mengidentifikasi apakah komunikasi diperbolehkan atau tidak yang didasari oleh
informasi yang terkandung didalam transport layer header dan internet serta
kemana packet akan dikirimkan. Hal ini dilakukan dengan membandingkan
header bidang protokol dari sebuah paket dengan spesifikasi filter. Proses
pengendalian akses dengan memeriksa packet berdasarkan isi dari header packet.
Informasi header, seperti alamat IP atau nomor port, diperiksa untuk menentukan
apakah sebuah packet harus diperbolehkan, berdasarkan aturan yang ditetapkan
yaitu kumpulan aturan control akses yang menentukan packet yang akan
diteruskan atau ditolak (drop).
Intelligent packet filtering adalah salah satu teknik packet filtering yang
digunakan untuk mengontrol akses jaringan dengan memonitor paket yang keluar
dan masuk. Packet filtering yang ada pada intelligent packet filtering adalah smart
filtering dimana didalam intelligent packet filtering terdapat iptables rules yang
mampu mengantisipasi serangan DDoS berdasarkan karakteristik DDoS yang
muncul. Inteliigent packet filtering menjadi berbeda dengan packet filtering yang
lain dikarenakan pada intelligent packet filtering mampu membatasi kesalahan
yang sering muncul pada packet filtering yang lain yaitu men-drop semua ip jika
sesuai dengan rule yang ada tanpa memperhatikan kemungkinan ip tersebut
sedang digunakan oleh pihak lain. Pada intelligent packet filtering hal ini
diminimalisir dengan adanya rules yang akan menghentikan packet drop pada
sebuah ip jika sebuah ip tidak lagi menunjukkan karakter serangan DDoS.
3.
Metode penelitian
DDoS merupakan salah satu jenis serangan terhadap server yang sangat
tidak bisa diprediksi. Serangan yang berupa kiriman packet yang sangat besar dan
melalui banyak sumber membuatnya dapat menjadi sebuah serangan yang sangat
merusak pada sisi server. Oleh karena itu dibutuhkan pengamatan terhadap
packet yang masuk ke sisi server, dan dibutuhkan percobaan-percobaan untuk
menguji pertahanan disisi server atas serangan DDoS, dan mengembangkan pola
pertahanan yang dapat mengatasi serangan-serangan yang muncul berdasarkan
karakteristik serangan yang sudah diketahui melalui percobaan-percobaaan yang
telah dilakukan.
Penelitian ini dimulai dengan melihat proses serangan DDoS secara umum
yang sering terjadi. Serangan lebih dahulu dimulai dengan mengaktifkan semua
penyerang, baik penyerang utama maupun penyerang “zombie”. Semua
penyerang melakukan request secara bersama-sama untuk menjatuhkan server.
Semua packet akan lebih dahulu diterima di firewall server lalu seterusnya
request dilanjutkan oleh server. Pada saat berada di firewall semua packet akan
diperiksa oleh intelligent packet filtering dengan melihat semua rule yang ada,
jika ada packet yang tidak sesuai dengan rule maka packet akan dihentikan
sehingga tidak mengganggu server yang disebabkan adanya traffic jaringan yang
tinggi yang dapat merusak atau membuat server menjadi down. Proses serangan
DDos secara umum dapat dilihat pada Gambar 2
diteruskan
firewall
request
Penyerang utama
Target (server)
request
request
Penyerang zombie
Penyerang zombie
Gambar 2 Proses Serangan DDoS Secara Umum
Untuk menguji serangan DDoS maka pada dalam penelitian ini digunakan
beberapa tools yang sudah umum digunakan untuk melakukan serangan DDoS.
Tools yang digunakan antara lain loic dan slowloris. Kedua tools ini banyak
digunakan karena penggunaannya lebih mudah. Selanjutnya tools yang digunakan
adalah wireshark. Wireshark digunakan untuk melihat aktifitas trafiic jaringan
yang sedang terjadi. Untuk membuktikan bahwa serangan yang dilakukan melalui
tools yang telah ada benar benar menuju ke target yang diinginkan
Melihat peran dari firewall maka dibutuhkan sebuah firewall yang baik
untuk mampu mengamankan server dari serangan serangan yang muncul. Oleh
karenanya untuk mengatasi serangan-serangan yang muncul dibuat firewall yang
didasarakan pada intelligent packet filtering yang ditempatkan pada iptables linux
yang berfungsi sebagai firewall. Proses filtering yang terjadi dapat dilihat dalam
flowchart pada Gambar 3
Gambar 3 Flowchart Proses Kerja Sistem
Dari flowchart yang ada dapat dijabarkan alur proses yaitu pertama
dilakukan pemeriksaan terhadap seluruh packet syn, fragmented dan juga packet
kosong setelah semua packet diperiksa dilanjutkan dengan memasukkan semua
packet tersebut kedalam banned ip. Setelah measukkan packet tersebut kedalam
banned ip selanjutnya akan dibuat module sementara yang akan berisi database ip
yang mengirimkan 100 packet per 3600 detik dan memasukkan ip tersebut
kedalam banned ip selanjutnya dibuat attack cahain module yang digunakan untuk
memeriksa semua packet serangan yang berisi 20 attack per 180 detik. Setelah
semua packet dipisahkan maka packet yang masuk kedalam banned ip akan
didrop dan ip yang tidak sesuai dengan data yang ada di banned ip akan
diteruskan karena dianggap sebagai client yang valid atau legitimate.
4.
Hasil dan Pembahasan
Untuk memulai pengujian maka serangan DDoS dilakukan dengan
menggunakan LOIC dengan tujuan untuk menjatuhkan server. Software ini
merupakan tols yang banyak saat ini digunakan untuk melakukan serangan DDoS.
Dengan tools ini kita dapat melakukan serangan berdasarkan ip dan menentukan
port serangan yang diinginkan.
Gambar 4 Serangan Menggunakan Loic
Pada gambar 4 dapat dilihat bahwa serangan sukses dilakukan menuju port 80
menuju ip 103.26.128.84. Selanjutnya dilakukan serangan menggunakan tools
yang lain yang juga banyak digunakan untuk melakukan serangan DDoS yaitu
slowloris. Serangan dengan slowloris dapat dilihat pada Gambar 5
Gambar 5 Serangan Menggunakan Slowloris
Pada Gambar 5 dapat dilihat bahwa serangan menggunakan slowloris
juga sukses dilakukan menuju ip tujuan yang ingin diserang. Selanjutnya kita
akan menggunakan wireshark untuk melihat apakah packet yang dikirim benarbenar menuju target yang diinginkan.
Gambar 6 hasil Capture Wireshark
Berdasarkan hasil capture wireshark pada Gambar 6 dapat dilihat bahwa
packet serangan benar menuju target yang akan diserang dari hasil pengujian
menggunakan ketiga tools yang ada maka dapat disimpulkan bahwa serangan
sukses dilakukan menuju target. Selanjutnya akan digunakan intrusion detection
system untuk melihat apakah ada alert serangan yang dianggap sebagai serangan
denial of service
Gambar 7 intrusion detection system
Berdasarkan dari alert yang muncul pada intrusion detection system maka
dapat disimpulkan bahwa serangan menuju ip yang dimaksud benar-benar terjadi
dan dibutuhkan penanganan untuk mengantisipasi serangan tersebut.
Setelah melakukan proses serangan selanjutnya dilakukan proses untuk
mengantisipasi serangan yang muncul dengan memasukkan intelligent packet
filtering yang telah dibuat ke dalam iptables dalam hal ini yang digunakan adalah
iptables dalam system operasi linux.
Kode program
#!/bin/bash
Iptables –F
Iptables –X
Iptables –N ATTACKED
Iptables –N ATTK_CHECK
Iptables –N SYN_FLOOD
Iptables –A INPUT –p tcp ! –syn –m state –state NEW –j DROP
Iptables –INPUT A –f –j DROP
Iptables –A INPUT –p tcp –tcp-flags AAL AAL –j DROP
Iptables –A INPUT –p tcp –tcp-flags ALL NONE –j DROP
Iptables –A INPUT –p tcp –syn –j SYN_FLOOD
Iptables –A SYN_FLOOD –p tcp –syn –m hashlimit –hashlimit 100/sec –hashlimit-burst
3 –hashlimit-htable-expire 3600 –hashlimit-mode srcip –hashlimit-name synflood –j
ACCEPT
Iptables –A SYN_FLOOD –j ATTK_CHECK
Iptables –A INPUT –m state –state ESTABLISHED,RATED –j ACCEPT
Iptables –A INPUT –p tcp –m tcp –dport 80 –m recent –update –seconds 1800 –name
BANNED –rsource –j DROP
Iptables –A ATTACKED –m limit –-limit 5/min –j LOG –log-prefix “IPTABLES (Rule
ATTACKED):” –log-level 7 Iptables –A ATTACKED –m recent –set –name BANNED –rsource
–j DROP
Iptables –A ATTK_CHECK –m recent –set –name ATTK
Iptables –A ATTK_CHECK –m recent
rsource –j ATTACKED
--update –seconds 180 –hitcount 20 –name ATTK –
Iptables –A INPUT –p tcp –m tcp –dport 80 –m state –state NEW –j ATTK_CHECK
Iptables –A ATTK_CHECK –m recent –update –seconds 60 –hitcount6 –name ATTK –
rsource –j ATTACKED
Iptables –A ATTK_CHECK –j accept
Iptables –F
Iptables –X
Perintah digunakan untuk menghapus semua chain rule yang telah ada
untuk menghindari bentrokan antar chain
Iptables –N ATTACKED
Iptables –N ATTK_CHECK
Iptables –N SYN_FLOOD
Perintah digunakan untuk membuat tiga chain baru yang akan digunakan untuk
memfilter serangan yang akan masuk ke server
Iptables –A INPUT –p tcp ! –syn –m state –state NEW –j DROP
Perintah digunakan untuk melihat apakah paket yang masuk merupakan sebuah
paket syn, jika paket yang masuk merupakan paket syn maka paket akan di-drop
atau dijatuhkan
Iptables –INPUT A –f –j DROP
Fragmented packet akan di-drop
Iptables –A INPUT –p tcp –tcp-flags AAL AAL –j DROP
XMAS packet akan di-drop
Iptables –A INPUT –p tcp –tcp-flags ALL NONE –j DROP
Packet kosong akan di-drop
Iptables –A INPUT –p tcp –syn –j SYN_FLOOD
Semua packet TCP yang masuk akan diteruskan ke SYN_FLOOD chain
Iptables –A SYN_FLOOD –p tcp –syn –m hashlimit –hashlimit 100/sec –hashlimit-burst
3 –hashlimit-htable-expire 3600 –hashlimit-mode srcip –hashlimit-name synflood –j
ACCEPT
Modul hashlimit digunakan untuk membuat “database” dari sebuah ip untuk
menjatuhkan semua packet dari sebuah ip yang melebihi 100 packet per detik dan
menyimpan database tersebut selama 3600 detik.
Iptables –A SYN_FLOOD –j ATTK_CHECK
Semua packet yang tidak sesuai dengan chain SYN_FLOOD akan diteruskan ke
chain ATTK_CHECK
Iptables –A INPUT –m state –state ESTABLISHED,RATED –j ACCEPT
Meneruskan semua packet data traffic yang valid dan legitimate
Iptables –A INPUT –p tcp –m tcp –dport 80 –m recent –update –seconds 1800 –name
BANNED –rsource –j DROP
Membuat sebuah database BANNED dengan module yang telah ada, dan berisi
semua ip yang cocok dengan rules, dan disimpan selama 1800 detik. Jika tidak
ditemukan ip yang sesuai maka module akan dihapus
Iptables –A INPUT –p tcp –m tcp –dport 80 –m state –state NEW –j ATTK_CHECK
Semua packet yang menuju port 80 akan diteruskan ke ATTK_CHECK chain
Iptables –A ATTACKED –m limit –-limit 5/min –j LOG –log-prefix “IPTABLES (Rule
ATTACKED):” –log-level 7 Iptables –A ATTACKED –m recent –set –name BANNED –rsource
–j DROP
Membuat logging option untuk ATTACKED chain dan men-drop semua packet
pada chain tersebut dan menempatkan ip pada database BANNED
Iptables –A ATTK_CHECK –m recent –set –name ATTK
Semua packet yang masuk yang tidak sesuai dengan rules dan dianggap sebagai
sebuah serangan akan dimasukkan ke sebuah database recent
Iptables –A ATTK_CHECK –m recent
rsource –j ATTACKED
--update –seconds 180 –hitcount 20 –name ATTK –
Jika sebuah ip cocok dengan rule yang ada selama 20 kali dalam 180 detik maka
akan ditandai sebagai penyerang dan memasukkannya kedalam database ATTK
dan meneruskannya ke chain ATTACKED
Iptables –A ATTK_CHECK –m recent –update –seconds 60 –hitcount6 –name ATTK –
rsource –j ATTACKED
Jika sebua ip cocok 6 kali selama 60 detik maka akan ditandai sebagai penyerang
dan meneruskannya ke chain ATTACKED
Iptables –A ATTK_CHECK –j accept
Semua ip yang tidak sesuai dengan rule yang ada akan diteruskan karena
dianggap sebagai client yang valid. Hasil dari memasukkan rule baru ke dalam
iptables dapat dilihat pada Gambar 8.
Gambar 8 Proses Input ptables dalam Linux
Setelah memasukkan intelligent packet filtering ke dalam iptables linux
langkah selanjutnya yang akan dilakukan adalah dengan kembali menguji
kesuksesan intelligent packet filtering dengan menggunakan tools yang telah
digunakan sebelumnya
Gambar 9 Serangan Menggunakan loic
Pada Gambar 9 dapat dilihat bahwa Setelah iptables dimasukkan packet DDoS
tidak berhasil masuk ke dalam firewall. Hal ini dapat dilihat dari gagalnya request
dari tools loic yang digunakan. Oleh karena gagalnya loic menembus firewall
yang telah dibuat maka dapat disimpulkan bahwa firewall yang dibuat telah
berhasil. Untuk lebih memastikan bahwa tidak ada traffic dari DDoS yang masuk
ke dalam system selanjutnya melihat ke dalam intrusion detection system apakah
ada alert denial of service baru yang muncul.
Gambar 10 Pemeriksaan Alert Serangan Baru
Pada gambar 10 dapat dilihat bahwa setelah serangan dilakukan tidak ada
alert baru yang muncul oleh karenanya berdasarkan hasil yang telah dibuat dapat
dilihat bahwa serangan yang dilakukan menggunakan tools yang sebelumnya
berhasil, menjadi gagal setelah intelligent packet filtering dimasukkan ke dalam
iptables. Berdasarkan hasil pengujian yang telah dilakukan maka dapat
disimpulkan bahwa intelligent packet filtering dapat digunakan untuk mengatasi
serangn DDoS
5.
Simpulan
Dalam proses yang telah dilakukan dapat terlihat bahwa iptables yang
digunakan untuk Intelligent Packet Filtering melakukan pembatasan terhadap
serangan DDoS, dengan menghentikan semua Packet yang tidak sesuai dengan
rules yang ada didalam Iptables. Dalam Iptables terdapat rules yang berfungsi
untuk membatasi semua Packet yang Abnormal yang masuk ke dalam jaringan.
Intelligent packet Filtering juga memuat rules yang juga difungsikan untuk
meminimalisir kesalahan yang ada pada Packet filtering yang lain dengan adanya
module sementara yang berfungsi untuk menahan serangan DDoS sehingga
Packet filtering ini menjadi lebih “pintar”, karena pada banyak kasus serangan
DDoS banyak komputer penyerang tidak sadar komputernya digunakan oleh
pihak lain untuk melakukan serangan DDoS. Dengan adanya modul tersebut
situasi seperti ini dapat diatasi karena jika sebuah komputer tidak terlibat didalam
serangan DDoS dalam waktu tertentu maka komputer tersebut akan dihapus dari
blacklist filrewall.
Intelligent packet filtering membutuhkan pengamatan terhadap karakter dari
penyerang. Dengan melakukan pengamatan terhadap karakter penyerang maka
dapat dibuat rules yang lebih efektif untuk menahan serangan serangan DDoS
yang muncul. Karakter-karakter yang utama dari penyerang yang perlu untuk
diketahui adalah lama serangan yang muncul, besarnya Packet masuk yang sudah
bisa menggangu proses di dalam jaringan, dan tipe serangan yang seringkali
muncul.
6.
Daftar Pustaka
[1]
Fasheng Yi, Shui Yu, Wanlei Zhou, dkk, Source-Based Filtering Scheme
against DDoS Attacks, International Journal of Database Theory and
Application, 2006.
Jelena Mirkovic, Peter Reiher, 2004, A taxonomy of DDoS Attack and DDoS
Defense mechanisms
Alex.C.Snoren, Craig Partridge, Luis. A. Sanchez, dkk, Hash-Based IP
Traceback, SIGCOMM’01, 2001.
Bhisham Sharma, Karan Bajaj, 2011, Packet Filtering Using IP Tables in
Linux, IJCSI International journal of Computer Science iSSues, vol.8 no 2.
Minho sung, Jun xu, 2002, IP Traceback-Based Intelligent Packet Filtering:
A Novel Technique for Defending Againts Internet DDoS Attacks,
Proceedings of the 10th IEEE International Conference on Network
Protocols (ICNP.2), 2002.
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
Dawn Xiaodong Song, Adrian Perrig, 2001, Advanced and Authenticated
Marking Schemes for IP Traceback, IEEE Infocom, 2001.
Esraa Alomari, Selvakumar Manickam, B.B.Gupta, dkk, 2012, Botnet based
Distributed Denial of Service (DDoS) Attack on Web Servers: Clasification
and Art, International journal of Computer Applications (0975-8887),
volume 49, no 7, juli, 2012.
Mansfield, Nial (2004), Practical TCP/IP : mendesain, menggunakan dan
Troubleshooting jaringan TCP/IP di linux (jilid 1)/ Nial Mansfield;
Diterjemahlan oleh: prabantini. –Ed I –Yogyakarta: Andi, 2004
Bahaa Qasim M. ALL-Mussawi, Mitigating Dos/DDoS Attack using
iptables, International Journal of Engineering & Technology IJET-IJENS,
vol: 12 no:3, juni, 2012