sebuah daftar dari
agent-agent
karena penyerang cukup masuk ke
server
IRC dan melihat daftar dari semua
agent
yang ada.
Software agent
yang terinstal dalam jaringan IRC biasanya berkomunikasi dengan kanal IRC dan memberitahukan penyerang
ketika
agent
berjalan.
2.3.3 Taksonomi Serangan DDoS
Ada berbagai macam teknik serangan DDoS. Ada dua kelas
utama dari serangan DDoS, yaitu
bandwith depletion
dan
resource depletion attacks
.
Gambar 2.12 Taksonomi Serangan DDos Specht dan Lee, 2003
Gambar 2.12 menunjukkan taksonomi dari serangan DDoS, yang terbagi menjadi dua bagian, berikut penjelasannya :
2.3.3.1 Serangan untuk menguras
bandwith bandwith depletion
attacks
Serangan DDoS untuk menguras
bandwidth
adalah serangan yang dirancang untuk membanjiri jaringan korban dengan
traffic
yang tidak diinginkan untuk mencegah lalu
lintas yang
sah mencapai sistem korban
primer
.
Bandwith Depletion
dibagi menjadi dua kelas. Sebagai berikut :
a. Flood attacks
Sebuah
flood attack
melibatkan
secondary victim
dengan mengirimkan banyak data pada
traffic
menuju sistem korban, untuk memenuhi
bandwidth
pada sistem korban. Besarnya jumlah paket yang dikirim oleh
secondary victim
ke sistem korban membuat sistem korban menjadi lambat, membuat sistem
crash
atau memenuhi
bandwith
. Hal ini mencegah pengguna-pengguna yang sah untuk mengakses sumberdaya-sumberdaya korban.
1 UDP
Flood attacks
.
User Datagram Protocol
UDP adalah protokol
connectionless
. Paket data yang dikirimkan melalui UDP tidak membutuhkan
handshaking
antara pengirim dan penerima, dan sistem penerima hanya akan menerima paket itu
dengan diproses. Paket UDP yang dikirim dalam jumlah besar ke sistem korban dapat menjenuhkan jaringan, menghabiskan
Bandwidth
yang tersedia untuk permintaan layanan yang sah ke sistem korban. Dalam serangan DDoS UDP
flood
, serangan ini dirancang untuk menyerang korban secara acak.
Menyebabkan sistem korban memproses data yang masuk dan mencoba menentukan aplikasi data yang diminta, jika sistem
korban tidak berjalan di aplikasi pada
port
sasaran, maka sistem
korban akan mengirimkan sebuah paket ICMP untuk sistem pengiriman menunjukkan pesan
destination port unreachable
. DDoS
tool
penyerang juga akan men-
spoof
alamat IP
address
sumber dari
paket serangan.
Hal ini
membantu menyembunyikan identitas korban sekunder dan menjamin
bahwa paket-paket dari sistem korban tidak dikirim kembali ke
secondary victim
, tapi ke komputer lain dengan alamat palsu. 2
ICMP
Flood attacks
. Paket
ICMP
Internet Control Message Protocol
yang dirancang untuk fitur manajemen jaringan seperti lokasi peralatan jaringan dan menentukan jumlah
hop
atau
round-trip-time
untuk mendapatkan lokasi sumber ke tujuan.
b. Serangan amplifikasi
Suatu serangan
amplifikasi DDoS
bertujuan untuk
menggunakan fitur alamat IP
broadcast
yang terdapat pada kebanyakan
router
untuk menguatkan dan memantulkan serangan.
Gambar 2.13 Serangan Amplification Specht dan Lee, 2003
Gambar 2.13 menunjukkan serangan amplifikasi. Fitur ini mengijinkan suatu sistem pengirim untuk menentukan sebuah alamat
IP
broadcast
sebagai alamat tujuan dari suatu alamat spesifik. Hal tersebut menginstruksikan
router-router
yang melayani paket-paket di dalam jaringan untuk menduplikasi paket-paket dan mengirimkan
semuanya ke alamat-alamat IP yang ada dalam jangkauan alamat
broadcast
. Dua jenis serangan amplifikasi, yaitu serangan
smurf
dan serangan
fraggle
Specht dan Lee, 2003 :
1 Dalam serangan DDoS
Smurf
, penyerang mengirimkan paket ke
network amplifier
sistem pendukung pengalamatan
broadcast
. Dengan alamat pengirim palsu untuk alamat IP korban. Paket
menyerang biasanya ICMP ECHO REQUESTs, paket mirip dengan
ping
permintaan penerima untuk menghasilkan suatu paket ICMP ECHO REPLY. Penguat mengirimkan paket
ICMP ECHO REQUEST ke semua sistem dalam rentang alamat
broadcast
, dan
masing-masing system
akan mengembalikan ICMP ECHO REPLY ke alamat IP korban.
2 Sebuah serangan DDoS
fraggle
mirip dengan serangan
smurf
bahwa penyerang mengirimkan paket ke
network amplifier
. Perbedaan
fraggle
dari
smurf
terletak pada
fraggle
menggunakan paket UDP ECHO bukan paket ICMP ECHO. Ada variasi dari serangan
fraggle
dimana paket-paket UDP ECHO dikirim ke
port
yang mendukung membangkitkan karakter, dengan alamat pengirim palsu ke layanan
echo
korban menciptakan
infinite loop
.
2.3.3.2 Serangan untuk menghabiskan sumberdaya
Resource Depletion Attacks
Suatu serangan yang menghabiskan sumber daya adalah serangan yang ditujukan pada sebuah
server
atau proses di sistem korban sehingga sistem tersebut tidak dapat memproses permintaan-
permintaan layanan yang sah.
a. Protocol Exploit Attacks
Serangan
protocol exploit
dibagi menjadi dua bagian yaitu serangan TCP SYN dan serangan PUSH+ACK.
1 Serangan TCP SYN.
Transfer Control Protocol
TCP melakukan proses
handshake
penuh diantara pengirim dan penerima,
sebelum paket-paket
data dikirim.
TCP
Synchronization
ditunjukkan pada Gambar 2.14 a.
a TCP Synchronization b TCP Syn Attack
Gambar 2.14 Serangan yang memanfaatkan kelemahan protocol TCP
Specht dan Lee, 2003
Gambar 2.14 b menunjukkan TCP
Syn Attack
. Sistem penerima mengirimkan sebuah ACK
Acknowledgement
dengan permintaan SYN-nya sendiri. Sistem pengirim kemudian mengirim kembali ACK-nya dan komunikasi dapat
dimulai di antara kedua system, jika sistem penerima dikirimi sebuah paket SYNx tetapi tidak menerima sebuah ACKY+1
untuk SYNy yang dikirim balik ke pengirim,penerima akan mengirim ulang sebuah ACK+ SYN yang baru setelah beberapa
saat. Sumber daya prosessor dan memori pada sistem penerima dipesan untuk permintaan TCP SYN tersebut hingga batas
waktu
timeout
terjadi. Dalam suatu serangan TCP SYN DDoS, penyerang
memerintahkan zombie-zombie
untuk mengirimkan
permintaan-permintaan TCP SYN palsu ke suatu
server
korban untuk melumpuhkan sumber daya prosessor
server
. hal
ini mencegah
server
untuk merespon kepada permintaan- permintaan yang sah. Serangan TCP SYN mengeksploitasi
proses
handshake three-way
diantara system pengirim dan
sistem penerima dengan mengirimkan paket-paket TCP SYN dalam jumlah besar ke sistem korban dengan alamat
IP
address
asal yang dipalsukan, sehingga sistem korban merespon ke suatu sistem yang tidak me-
request
dengan ACK+SYN. Ketika
request
SYN diproses dalam jumlah besar oleh sebuah
server
dan tidak ada satu pun respon ACK+SYN,
server
akan mulai kehabisan sumber daya prosessor dan memori.
2 Serangan PUSH + ACK mirip dengan serangan TCP SYN
dimana tujuannya adalah untuk menguras sumber daya sistem korban. Beberapa
agent
penyerang mengirimkan paket-paket TCP dengan bit-bit PUSH dan ACK di-
set
ke satu. Paket-paket ini memerintahkan sistem korban untuk membongkar
semua
data di dalam
buffer
TCP terlepas dari apakah
buffer
penuh atau tidak dan mengirimkan suatu
acknowledgement k
etika selesai. Apabila proses ini diulang dengan beberapa
agent
,
sistem penerima tidak dapat memproses paket-paket yang masuk dalam jumlah besar dan sistem korban akan
crash.
b.
Malformed Packet Attacks
Suatu serangan
Malformed
adalah serangan dimana penyerang memerintahkan zombie-zombie untuk mengirim paket-paket IP yang
salah ditujukan ke sistem korban untuk membuat sistem korban
crash
. Ada dua jenis serangan paket
Malformed
. Dalam suatu serangan IP
address
, paket berisi alamat IP asal dan alamat IP tujuan yang sama. Hal ini dapat membingungkan sistem operasi dari sistem
korban dan mengakibatkan sistem korban
crash
. Dalam serangan IP
packet options
, suatu paket
malformed
dapat mengacak
field-field
pilihan di dalam sebuah paket IP dan men-
set
semua
bit Quality of
Service
QoS ke satu agar sistem korban harus menggunakan tambahan waktu pemprosesan untuk menganalisa trafik. Apabila
serangan ini diperbanyak dengan menggunakan jumlah
agent
yang cukup, serangan ini dapat mematikan kemampuan pemprosesan dari
sistem korban.
2.3.4 Taksonomi untuk Mengatasi Serangan DDoS