sebuah daftar dari agent-agent karena penyerang cukup masuk ke server IRC dan melihat daftar dari semua agent yang ada. Software agent yang terinstal dalam jaringan IRC biasanya berkomunikasi dengan kanal IRC dan memberitahukan penyerang ketika agent berjalan.

2.3.3 Taksonomi Serangan DDoS

Ada berbagai macam teknik serangan DDoS. Ada dua kelas utama dari serangan DDoS, yaitu bandwith depletion dan resource depletion attacks . Gambar 2.12 Taksonomi Serangan DDos Specht dan Lee, 2003 Gambar 2.12 menunjukkan taksonomi dari serangan DDoS, yang terbagi menjadi dua bagian, berikut penjelasannya : 2.3.3.1 Serangan untuk menguras bandwith bandwith depletion attacks Serangan DDoS untuk menguras bandwidth adalah serangan yang dirancang untuk membanjiri jaringan korban dengan traffic yang tidak diinginkan untuk mencegah lalu lintas yang sah mencapai sistem korban primer . Bandwith Depletion dibagi menjadi dua kelas. Sebagai berikut : a. Flood attacks Sebuah flood attack melibatkan secondary victim dengan mengirimkan banyak data pada traffic menuju sistem korban, untuk memenuhi bandwidth pada sistem korban. Besarnya jumlah paket yang dikirim oleh secondary victim ke sistem korban membuat sistem korban menjadi lambat, membuat sistem crash atau memenuhi bandwith . Hal ini mencegah pengguna-pengguna yang sah untuk mengakses sumberdaya-sumberdaya korban. 1 UDP Flood attacks . User Datagram Protocol UDP adalah protokol connectionless . Paket data yang dikirimkan melalui UDP tidak membutuhkan handshaking antara pengirim dan penerima, dan sistem penerima hanya akan menerima paket itu dengan diproses. Paket UDP yang dikirim dalam jumlah besar ke sistem korban dapat menjenuhkan jaringan, menghabiskan Bandwidth yang tersedia untuk permintaan layanan yang sah ke sistem korban. Dalam serangan DDoS UDP flood , serangan ini dirancang untuk menyerang korban secara acak. Menyebabkan sistem korban memproses data yang masuk dan mencoba menentukan aplikasi data yang diminta, jika sistem korban tidak berjalan di aplikasi pada port sasaran, maka sistem korban akan mengirimkan sebuah paket ICMP untuk sistem pengiriman menunjukkan pesan destination port unreachable . DDoS tool penyerang juga akan men- spoof alamat IP address sumber dari paket serangan. Hal ini membantu menyembunyikan identitas korban sekunder dan menjamin bahwa paket-paket dari sistem korban tidak dikirim kembali ke secondary victim , tapi ke komputer lain dengan alamat palsu. 2 ICMP Flood attacks . Paket ICMP Internet Control Message Protocol yang dirancang untuk fitur manajemen jaringan seperti lokasi peralatan jaringan dan menentukan jumlah hop atau round-trip-time untuk mendapatkan lokasi sumber ke tujuan. b. Serangan amplifikasi Suatu serangan amplifikasi DDoS bertujuan untuk menggunakan fitur alamat IP broadcast yang terdapat pada kebanyakan router untuk menguatkan dan memantulkan serangan. Gambar 2.13 Serangan Amplification Specht dan Lee, 2003 Gambar 2.13 menunjukkan serangan amplifikasi. Fitur ini mengijinkan suatu sistem pengirim untuk menentukan sebuah alamat IP broadcast sebagai alamat tujuan dari suatu alamat spesifik. Hal tersebut menginstruksikan router-router yang melayani paket-paket di dalam jaringan untuk menduplikasi paket-paket dan mengirimkan semuanya ke alamat-alamat IP yang ada dalam jangkauan alamat broadcast . Dua jenis serangan amplifikasi, yaitu serangan smurf dan serangan fraggle Specht dan Lee, 2003 : 1 Dalam serangan DDoS Smurf , penyerang mengirimkan paket ke network amplifier sistem pendukung pengalamatan broadcast . Dengan alamat pengirim palsu untuk alamat IP korban. Paket menyerang biasanya ICMP ECHO REQUESTs, paket mirip dengan ping permintaan penerima untuk menghasilkan suatu paket ICMP ECHO REPLY. Penguat mengirimkan paket ICMP ECHO REQUEST ke semua sistem dalam rentang alamat broadcast , dan masing-masing system akan mengembalikan ICMP ECHO REPLY ke alamat IP korban. 2 Sebuah serangan DDoS fraggle mirip dengan serangan smurf bahwa penyerang mengirimkan paket ke network amplifier . Perbedaan fraggle dari smurf terletak pada fraggle menggunakan paket UDP ECHO bukan paket ICMP ECHO. Ada variasi dari serangan fraggle dimana paket-paket UDP ECHO dikirim ke port yang mendukung membangkitkan karakter, dengan alamat pengirim palsu ke layanan echo korban menciptakan infinite loop . 2.3.3.2 Serangan untuk menghabiskan sumberdaya Resource Depletion Attacks Suatu serangan yang menghabiskan sumber daya adalah serangan yang ditujukan pada sebuah server atau proses di sistem korban sehingga sistem tersebut tidak dapat memproses permintaan- permintaan layanan yang sah. a. Protocol Exploit Attacks Serangan protocol exploit dibagi menjadi dua bagian yaitu serangan TCP SYN dan serangan PUSH+ACK. 1 Serangan TCP SYN. Transfer Control Protocol TCP melakukan proses handshake penuh diantara pengirim dan penerima, sebelum paket-paket data dikirim. TCP Synchronization ditunjukkan pada Gambar 2.14 a. a TCP Synchronization b TCP Syn Attack Gambar 2.14 Serangan yang memanfaatkan kelemahan protocol TCP Specht dan Lee, 2003 Gambar 2.14 b menunjukkan TCP Syn Attack . Sistem penerima mengirimkan sebuah ACK Acknowledgement dengan permintaan SYN-nya sendiri. Sistem pengirim kemudian mengirim kembali ACK-nya dan komunikasi dapat dimulai di antara kedua system, jika sistem penerima dikirimi sebuah paket SYNx tetapi tidak menerima sebuah ACKY+1 untuk SYNy yang dikirim balik ke pengirim,penerima akan mengirim ulang sebuah ACK+ SYN yang baru setelah beberapa saat. Sumber daya prosessor dan memori pada sistem penerima dipesan untuk permintaan TCP SYN tersebut hingga batas waktu timeout terjadi. Dalam suatu serangan TCP SYN DDoS, penyerang memerintahkan zombie-zombie untuk mengirimkan permintaan-permintaan TCP SYN palsu ke suatu server korban untuk melumpuhkan sumber daya prosessor server . hal ini mencegah server untuk merespon kepada permintaan- permintaan yang sah. Serangan TCP SYN mengeksploitasi proses handshake three-way diantara system pengirim dan sistem penerima dengan mengirimkan paket-paket TCP SYN dalam jumlah besar ke sistem korban dengan alamat IP address asal yang dipalsukan, sehingga sistem korban merespon ke suatu sistem yang tidak me- request dengan ACK+SYN. Ketika request SYN diproses dalam jumlah besar oleh sebuah server dan tidak ada satu pun respon ACK+SYN, server akan mulai kehabisan sumber daya prosessor dan memori. 2 Serangan PUSH + ACK mirip dengan serangan TCP SYN dimana tujuannya adalah untuk menguras sumber daya sistem korban. Beberapa agent penyerang mengirimkan paket-paket TCP dengan bit-bit PUSH dan ACK di- set ke satu. Paket-paket ini memerintahkan sistem korban untuk membongkar semua data di dalam buffer TCP terlepas dari apakah buffer penuh atau tidak dan mengirimkan suatu acknowledgement k etika selesai. Apabila proses ini diulang dengan beberapa agent , sistem penerima tidak dapat memproses paket-paket yang masuk dalam jumlah besar dan sistem korban akan crash. b. Malformed Packet Attacks Suatu serangan Malformed adalah serangan dimana penyerang memerintahkan zombie-zombie untuk mengirim paket-paket IP yang salah ditujukan ke sistem korban untuk membuat sistem korban crash . Ada dua jenis serangan paket Malformed . Dalam suatu serangan IP address , paket berisi alamat IP asal dan alamat IP tujuan yang sama. Hal ini dapat membingungkan sistem operasi dari sistem korban dan mengakibatkan sistem korban crash . Dalam serangan IP packet options , suatu paket malformed dapat mengacak field-field pilihan di dalam sebuah paket IP dan men- set semua bit Quality of Service QoS ke satu agar sistem korban harus menggunakan tambahan waktu pemprosesan untuk menganalisa trafik. Apabila serangan ini diperbanyak dengan menggunakan jumlah agent yang cukup, serangan ini dapat mematikan kemampuan pemprosesan dari sistem korban.

2.3.4 Taksonomi untuk Mengatasi Serangan DDoS