DETEKSI DAN PENCEGAHAN FLOODING DATA PADA JARINGAN KOMPUTER Deteksi Dan Pencegahan Flooding Data Pada Jaringan Komputer.
DETEKSI DAN PENCEGAHAN FLOODING DATA
PADA JARINGAN KOMPUTER
MAKALAH
Disusun sebagai salah satu syarat menyelesaikan Program Strata I
Program Studi Teknik Informatika Fakultas Komunikasi dan Informatika
Universitas Muhammadiyah Surakarta
Oleh :
Ahmad Rois Syujak
Pembimbing I : Muhammad Kusban, S.T., M.T.
Pembimbing II : Jan Wantoro, S.T.
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS KOMUNIKASI DAN INFORMATIKA
UNIVERSITAS MUHAMMADIYAH SURAKARTA
2012
DETEKSI DAN PENCEGAHAN FLOODING DATA
PADA JARINGAN KOMPUTER
Ahmad Rois Syujak, Muhammad Kusban, Jan Wantoro
Teknik Informatika, Fakultas Komunikasi dan Informatika
Universitas Muhammadiyah Surakarta
E-mail : ahmad.rois.syujak@gmail.com, muhammadkusban@gmail.com,
janwtr@gmail.com
Abstract
Computer network security as part of a system is to be essential for maintaining
the validity and integrity of data and also ensure availability of services for its
users. An attack on the server computer network can occur at any time. Either at
the time the administrator is working or not. Thus, it takes a security system on
the server itself which able to detect directly whether each incoming packet is the
actual data packet or not. If the data packet is sent by attackter, then the system
will blocking that attackter. Detection and prevention of flooding carried out to
find data on a computer network. Detection and prevention carried out by the
system which designed by create an active firewall and can define any data
entered into the server, whether the data comes it is a flood of data or data
required by the user.
Keywords: Computer Network Security, Data Flooding, Firewall
Abstrak
Keamanan jaringan komputer sebagai bagian dari sebuah sistem menjadi sangat
penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan
layanan bagi penggunanya. Suatu serangan ke dalam server jaringan komputer
dapat terjadi kapan saja. Baik pada saat administrator yang sedang bekerja ataupun
tidak. Dengan demikian dibutuhkan sistem keamanan di dalam server itu sendiri
yang mampu mendeteksi langsung apakah setiap paket yang masuk tersebut
adalah paket data yang sebenarnya atau tidak. Apabila paket tersebut merupakan
paket data yang dikirim oleh penyerang, maka maka sistem mengeblok IP
penyerang tersebut. Deteksi dan pencegahan dilakukan untuk mengetahui flooding
data pada suatu jaringan komputer. Deteksi dan pencegahan dilakukan dengan
sistem yang didesain dengan jalan membuat firewall aktif dan bisa mendifinisikan
setiap data yang masuk kedalam server, apakah data yang datang itu merupakan
sebuah data flood atau data yang diperlukan oleh user.
Kata kunci : Keamanan Jaringan Komputer, Flooding Data, Firewall
1
2
yang terhubung ke dalam suatu
PENDAHULUAN
Kebutuhan akan informasi
jaringan
dan komunikasi dewasa ini menjadi
internet
sangat penting di masyarakat. Seiring
menghadapi berbagai macam bentuk
kemajuan
serangan
dan
perkembangan
dan
terkoneksi
pasti
yang
dengan
akan
selalu
sering
berusaha
teknologi informasi yang semakin
mencari celah dari sistem keamanan
canggih dengan perkembangannya
jaringan komputer yang digunakan.
yang sangat cepat, maka kebutuhan
Kasus yang terjadi bahwa
akan informasi semakin meningkat
jaringan komputer yang terkoneksi
pula.
dengan internet sering mendapatkan
Jaringan komputer sangat
serangan-serangan
yang
berkaitan erat dengan internet dan
mengakibatkan kerusakan bahkan
telah menjadi suatu sarana untuk
kehilangan
membantu
maupun
dalam
melaksanakan
data
yang
dimiliki
kerusakan-kerusakan
aktifitas suatu instansi/perusahaan.
hardware akibat serangan tersebut.
Dalam
hanya
Kerugian karena kasus semacam ini
perusahaan yang bergerak di bidang
bisa mencapai puluhan juta rupiah
telekomunikasi saja, akan tetapi juga
yang meliputi kerugian dalam bentuk
perusahaan lain yang tidak bergerak
fisik (hardware) maupun non-fisik
di bidang tersebut. Kecenderungan
(data). Flooding data menjadi salah
ini disebabkan karena dengan adanya
satu bentuk serangan serangan yang
internet
mendapatkan
mengakibatkan suatu sistem akan
kemudahan dalam hal komunikasi.
terbanjiri oleh data-data secara terus
Kelebihan inilah yang menjadi kunci
menerus dalam waktu yang singkat.
dari mengapa dipilihnya fasilitas
Hal ini juga mengakibatkan
tersebut.
dibalik
lintas jaringan menjadi sangat padat
tersebut,
sehingga lalu lintas yang datang dari
jaringan komputer juga menyimpan
pengguna yang terdaftar menjadi
banyak
tidak dapat masuk ke dalam sistem.
hal
ini
tidak
akan
Akan
tetapi
kelebihan-kelebihan
kekurangan
bagi
para
lalu
penggunanya. Salah satunya adalah
Penelitian
dari keamanan. Setiap komputer
membangun sistem yang mampu
ini
bertujuan
untuk
3
mendeteksi serangan Flooding Data
penelitian ini menggunakan konsep
pada jaringan komputer, dan secara
Snort-Host-Based
otomatis mampu mencegah serangan
pengamatan
tersebut. Hasil penelitian ini di
dilakukan pada perangkat jaringan
harapkan
dimana aplikasi Snort ditempatkan.
dapat
memberikan
IDS,
trafik
sehingga
data
hanya
gambaran tentang bagaimana sistem
Secara teknis, 1 komputer
keamanan jaringan komputer bekerja
server akan menjalankan aplikasi
dan
manfaatkan
Snort serta layanan http server dan
sebagai acuan dalam pengelolaan
database server. Komputer server
sistem keamaman jaringan komputer.
dan
PROSEDUR PENELITIAN
melalui sebuah switch hub dalam
diharapkan
di
Penelitian ini dilakukan
dengan melakukan simulasi serangan
Flooding
data.
Pengujian
komputer
client
terhubung
subnet yang sama. Berikut adalah
skema jaringan yang di gunakan
dalam
Gambar 1. Skema Jaringan Komputer
Dalam penelitian ini akan
Attack, dan Ping of Death. SYN
dilakukan 2 macam pengujian sistem
Attack terjadi bila suatu host hanya
yaitu dengan simulasi serangan Syn
mengirimkan paket SYN TCP saja
4
secara kontinyu tanpa mengirimkan
mendeteksi adanya suatu serangan
paket ACK sebagai konfirmasinya.
maka alert snort akan di gunakan
Hal ini akan menyebabkan host
oleh blockit untuk merekam IP
tujuan akan terus menunggu paket
penyerang
tersebut
menyimpannya
iptables melakukan bloking terhadap
kedalam backlog. Meskipun ukuran
IP yang telah tercatat. Sedangkan
paket kecil, tetapi apabila pengiriman
BASE dapat digunakan sebagai user
SYN tersebut terus menerus akan
interface
dengan
memperbesar backlog. Hal yang
dan
dengan
Snort
Engine
terjadi apabila backlog sudah besar
web-based.
User
^_^
Alert Snort
akan mengakibatkan host tujuan
Mysql dan BASE
Rule
Database
akan otomatis menolak semua paket
memerintahkan
SYN yang datang, sehingga host
Blockit
tersebut tidak bisa dikoneksi oleh
Iptables
host-host yang lain. Sedangkan Ping
of Death merupakan Pengiriman
Akses di tutup
paket echo request ICMP ke dalam
suatu jaringan secara berlebihan.
Pengiriman
paket
ini
bahwa Snort yang di konfigurasikan
dengan
ataupun reboot.
Adapun
sistem
operasi
yang di gunakan adalah Ubuntu
Server 10.04 yang ditanam Snort,
Blockit sebagai IDS dan IPS serta
sebagai
Skema di atas menunjukan
dapat
mengakibatkan sistem crash, hang
BASE
Bagan 1. Skema alur kerja sistem
User
Interface.
Kemudian secara default Ubuntu
Server telah menyediakan Iptables
sebagai firewall nya.
Cara kerja dari sistem
yang dibangun ini adalah ketika snort
blockit
dan
firewall
yang
mampu
merupakan
NIPS
melakukan
blocking
IP
address
terhadap beragam serangan yang
sudah di definisikan pada rule snort.
Blockit ini bekerja dengan membaca
log dari Snort yang berada di
/var/log/snort/alert yang kemudian
akan
mentrigger
menutup
penyerang.
akses
iptables
terhadap
untuk
IP
5
HASIL
paket SYN/ACK sesu
esuai dengan SYN
a.
Packet yang ia terima
ima dan kemudian
Pengujian SYN Flooding
F
Attack
Pengujiann
dengan
mengguna
nakan
hping3
–faster
ster
dilakukan
akan menunggu pake
aket ACK sebagai
perintah
balasan untuk mele
elengkapi proses
-S
tersebut.
Tetapi,
karena
k
alamat
192.168.1.7 dari
ri client
c
dengan ip
sumber dalam pak
aket SYN yang
address 192.168.1.8
.8 yang terlihat
dikirimkan oleh pen
enyerang tidaklah
pada gambar berikut.
valid, mak paket ACK
A
tidak akan
pernah terkirim kee target,
t
dan port
yang menjadi target
et serangan akan
menunggu hingga waktu
wa
pembuatan
koneksi telah habis atau
at timed-out.
Selanjutnya
nya
untuk
pengujian telah di siapkan
sia
lokal rule
Gambar 2. Pengujian
an SYN Flooding
dengan perintah Hpin
ing3.
mendeteksi adanyaa suatu serangan
Pada proses
ses pengujian ini,
client
yang
berti
rtindak
pada snort yang di gunakan untuk
SYN Attack.
sebagai
penyerang mengirimk
mkan paket-paket
SYN ke dalam port-pport yang sedang
berada dalam keadaa
aan terbuka yang
berada dalam server
ver target. Pada
Gambar 3. Rule sno
nort untuk deteksi
SYN Attack
kondisi normal, paket-paket
pak
SYN
yang
dikirimkan
berisi
alamat
sumber yang menunj
unjukan data-data
aktual. Tetapi padaa serangan SYN
Attack,
paket-pak
paket
tersebut
memiliki alamat sum
umber yang tidak
menunjukan
data
aaktual.
Ketika
server menerima pake
ket SYN tersebut,
server
meresponss dengan sebuah
Rule
sebagaimana
di
snort
yang
tunjukan
t
pada
gambar 3. akan membandingkan
m
setiap paket data dari
da jaringan luar
yang mengalir mas
asuk ke server
dengan protocol TCP
CP. Maka ketika
ada paket data yang
ng sesuai dengan
rule
snort
tersebut
but,
menganggapnya
snort
sebagai
se
akan
sebuah
6
serangan dan memberikan peringatan
Selanjutnya
untuk
melalui web BASE. Pesan peringatan
pengujian telah di siapkan lokal rule
yang di tampilkan melalui halaman
pada snort yang di gunakan untuk
web BASE adalah “Syn Flooding
mendeteksi adanya suatu serangan
Simulation”.
ping of death Attack.
Gambar 6. Rule snort untuk deteksi
ping of death Attack
Rule Snort sebagaimana
ditunjukkan pada gambar 6, akan
Gambar 4. Deteksi SYN Attack
membandingkan setiap paket data
b.
dari jaringan luar yang mengalir
Pengujian Ping of Death Attack
Pengujian simulasi Ping of
masuk ke server dengan protokol
Death dilakukan dengan melakukan
ICMP. Parameter perbandingan yang
ping yang menyertakan paket data
digunakan mengacu pada ukuran file,
sebesar
bytes
terhadap
yang ditandai dengan adanya opsi
dari
komputer
dsize pada baris rule. Apabila ukuran
ping
biasanya
file paket ICMP berukuran lebih
berukuran 56 byte atau 84, perintah
besar dari 1500 bytes, maka Snort
yang diberikan pada terminal adalah
IDS akan menganggap paket ICMP
ping 192.168.1.7 –l 10000 –t yang
tersebut sebagai sebuah serangan dan
ditunjukan pada gambar berikut.
memberikan peringatan melalui web
komputer
client.
10000
server
Sebuah
BASE.
Pesan
ditampilkan
BASE
Gambar 5. Hasil pengujian ping of
death.
pada
adalah
Simulation”.
peringatan
halaman
“Ping
of
yang
web
Death
7
Gambar 9. Alert Ping of Death
Attack
Gambar
Gambar 7. Deteksi Ping o death
c.
di
atas
menunjukan adanya serangan yang
Pencegahan
Pengujian pencegahan ini
terdeteksi yang dilakukan oleh Client
dilakukan dengan cara menjalankan
dengan IP 192.168.1.9 selanjutnya
snort dan juga menjalankan Blockit,
Blockit akan mentrigger firewall
sehingga saat serangan terdeteksi,
untuk melakukan Blok alamat IP
maka disaat itu pula serangan yang
Pengirim.
masuk dapat di cegah. Blockit
firewall telah berhasil melakukan
berfungsi untuk mentrigger firewall,
pencegahan serangan dapat dilihat
untuk menjalankan Blockit dilakukan
dengan
dengan
/var/log/blockit/intruders
perintah
/usr/local/blockit/bin/blockit
start.
Setelah
untuk
system
memastikan
berjalan,
bahwa
sistem
Untuk
melihat
perintah
bahwa
tail
–f
yang
dibangun dapat memenuhi tujuannya
maka pengujian dilakukan antara
Gambar 10. Tampilan Blockit saat
Client-Server. Pengujian difokuskan
mentrigger Firewall
Beberapa proses di atas
pada intrusi dari jaringan internal
yaitu serangan dari client ke server.
menunjukan
bahwa
Snort
telah
berhasil mendeteksi dan mencatat
alert dan log ke database. Kemudian
BASE menerima alert tersebut dan
menyajikannya dalam GUI WebGambar 8. Alert SYN Attack
Based. Dan pencegahanya dilakukan
oleh
BlockIt
yang
berhasil
8
mentrigger
Firewall
melakukan
dropping
paket
untuk
keamanan dan pola serangan baru
dan
yang sering terjadi pada sistem
blocking IP Address penyerang.
jaringan komputer .
Hasil
PEMBAHASAN
keluaran
dari
Penelitian yang dilakukan
peringatan Snort dapat diatur untuk
kali ini, melalui beberapa tahapan
memberikan peringatan melalui log,
meliputi perancangan, konfigurasi
tcpdump log ataupun database. Hasil
dan pengujian. Adanya dukungan
keluaran dari peringatan Snort ini
repository
pada
mendukung
Linux
Ubuntu
dapat diatur melalui file konfigurasi
kemudahan
dalam
Snort yaitu file /etc/snort/snort.conf.
installasi dan integrasi Snort
ke
Untuk hasil peringatan Snort IDS
dalam sistem. Konfigurasi Snort
dengan
juga melalui beberapa tahapan yang
diperlukan sebuah database yang
dilalui
menyimpan
secara
memudahkan
melakukan
urut
sehingga
pengguna
dalam
konfigurasi,
terutama
bagi pengguna yang sudah terbiasa
dengan
sistem
berbasis
tampilan
tersebut
pada setiap versi Snort dibuat oleh
dukungan
opensource project dan telah teruji
untuk dapat mendeteksi berbagai
macam jenis serangan keamanan.
Kontributor dari Snort Team adalah
para profesional dalam bidang IT
terutama dalam bidang keamanan
jaringan
komputer,
perkembangan
mengikuti
rule
sehingga
Snort
perkembangan
dapat
interface dengan modul web BASE.
UNIX
File rule yang disediakan
dengan
kemudian
ditampilkan dengan tampilan web
Snort
Team
maka
peringatan-peringatan
yang
sebelumnya.
Snort
web,
dapat
teknik
adalah
perangkat
Intrusion Detection System, bukan
Intrusion Prevention System yang
dapat
mecegah
serangan.
Snort
adanya
suatu
hanya
dapat
memberikan suatu peringatan tentang
adanya sebuah serangan terhadap
suatu sistem, sehingga untuk dapat
melakukan
pencegahan
terhadap
sebuah serangan harus dilakukan
pengaturan firewall atau IPtables
yang ada pada sistem operasi Linux
Ubuntu.
9
Firewall
merupakan
perangkat
keras
yang
sudah
sebuah perangkat yang diletakkan
dilengkapi dengan perangkat lunak
antara
tertentu,
Internet
dengan
jaringan
sehingga
pemakai
internal. Informasi yang keluar atau
(administrator) tinggal melakukan
masuk
firewall
konfigurasi dari firewall tersebut.
firewall
Firewall juga dapat berupa perangkat
adalah untuk menjaga agar akses (ke
lunak yang ditambahkan kepada
dalam maupun ke luar) tidak dapat
sebuah server termasuk iptables pada
dilakukan secara bebas.
Linux
harus
ini. Tujuan
melalui
utama
dari
Firewall merupakan alat
untuk
mengimplementasikan
kebijakan security (security policy).
Semakin ketat kebijakan security,
semakin
layanan
kompleks
informasi
konfigurasi
atau
semakin
sedikit fasilitas yang tersedia di
jaringan.
Sebaliknya,
semakin
banyak
tersedia
atau
sederhananya
dengan
fasilitas
yang
sedemikian
konfigurasi
yang
diterapkan, maka semakin mudah
serangan masuk ke sistem.
Firewall bekerja dengan
mengamati
paket
Protocol)
yang
IP
(Internet
melewatinya.
Berdasarkan konfigurasi dari firewall
maka akses dapat diatur berdasarkan
IP address, port, dan arah informasi.
Detail dari konfigurasi bergantung
kepada
Firewall
masing-masing
dapat
berupa
firewall.
sebuah
ubuntu
server
yang
dikonfigurasi menjadi firewall.
KESIMPULAN
Berdasarkan
hasil
pengujian yang dilakukan, Snort
dapat di-implementasikan sebagai
Intrusion Detection System pada
sistem operasi Ubuntu Server untuk
mendeteksi serangan DoS Attack
yaitu Flooding data dengan SYN
Flood Attack dan Ping of Death
sebagai sampel pengujian serangan.
Snort dapat memberikan
peringatan adanya sebuah serangan
keamanan,
sehingga
dapat
meningkatkan keamanan jaringan.
Dapat atau tidaknya sebuah serangan
terdeteksi oleh Snort IDS tergantung
dari ada atau tidaknya rule dengan
jenis signature pada sebuah pola
serangan.
10
Sistem
Konfigurasi firewall dapat
yang
dibangun
dilakukan sebagai upaya pencegahan
masih memiliki beberapa kelemahan
terhadap suatu serangan. Semakin
bahwa deteksi yang dilakukan oleh
ketat kebijakan security, semakin
snort
kompleks
Flooding data berdasarkan size paket
firewall
konfigurasi
akan
layanan
semakin
sedikit
hanya
yang
mampu
dikirm,
mendeteksi
sehingga
ketika
fasilitas yang tersedia di jaringan.
terdapat paket yang dikirim secara
Sebaliknya, dengan semakin banyak
simultan dengan ukuran yang lebih
fasilitas
atau
kecil dari rule yang di terapkan pada
sederhananya
snort dan kemudian menimbulkan
konfigurasi yang diterapkan, maka
Flooding, maka hal tersebut belum
semakin mudah serangan masuk ke
mampu
system
Akibatnya, sistem tidak memberikan
yang
tersedia
sedemikian
Firewall merupakan sistem
action
terdeteksi
oleh
apapun
sistem.
karena
tidak
yang dapat melawan ancaman yang
menerima alert serangan Fooding
terjadi pada jaringan, tapi firewall
Data.
bukan merupakan solusi sekuriti
yang lengkap yang dapat mengatasi
semua
permasalahan
jaringan.
firewall
Adapun
ini
adalah
sekuriti
kekurangan
sulit
dalam
membuat aturan dan kebijakan pada
packet filtering firewall ini secara
tepat guna dan aturan tersebut akan
semakin banyak seiiring dengan
banyak alamat IP sumber dan tujuan,
port
sumber
dan
tujuan
yang
dimasukan dalam kebijakan packet
filtering firewall ini.
REKOMENDASI
1.
Bagi praktisi jaringan komputer
Sistem keamanan dengan
IDS
Snort
manfaat
dapat
lebih
memberikan
apabila
Snort
diintegrasikan dengan firewall. Snort
cukup
efektif
untuk
mendeteksi
adanya sebuah serangan terhadap
sistem,
namun
Snort
bukanlah
sebuah Intrusion Prevention System
(IPS) yang dapat mencegah atau
memblokir usaha-usaha penyusupan
kedalam sistem. Maka firewall dapat
menjadisalah
satu
solusi
untuk
11
proses pencegahan terhadap suatu
yang selalu berusaha mencari celah
serangan.
dari
2.
komputer yang digunakan. Oleh
Bagi pengguna dunia pendidikan
Saat
menjadi
ini
suatu
membantu
aktifitas
sarana
dalam
rutin
internet
hanya
perusahaan
jaringan
karena itu, implemasi sistem deteksi
untuk
dan pencegahan terhadap serangan
dan
sangatlah di butuhkan.
3.
Bagi pengguna internet
aktifitas rutin lainnya. Dalam hal ini
tidak
keamanan
telah
melaksanakan
perusahaan
sistem
yang
Kebutuhan akan informasi
dan komunikasi dewasa ini sangat
bergerak di bidang telekomunikasi
penting,
saja yang menggunakan jaringan,
perkembangan teknologi informasi
tetapi juga institusi lain yang tidak
yang
bergerak di bidang tersebut termasuk
perkembangannya yang sangat cepat,
dalam dunia pendidikan. Kemudahan
maka kebutuhan
dan kepraktisan merupakan kunci
semakin meningkat pula. Artinya
dari mengapa dipilihnya fasilitas
saat ini kita berada sangat dekat
tersebut.
dengan teknologi, batas ruang dan
seiring
semakin
kemajuan
canggih
akan
dan
dengan
informasi
Disisi jaringan komputer
waktu semakin tidak terlihat. Banyak
juga menyimpan banyak kekurangan
kasus yang terjadi bahwa karena
yang sangat mengkhawatirkan bagi
adanya
para penggunanya. Salah satu yang
seseorang
sangat menjadi kendala adalah dalam
terkendali, penipuan, pencurian pin
bidang keamanan. Setiap komputer
atm, dan lain-lain. Oleh karena itu
yang terhubung ke dalam suatu
membekali diri dengan pengetahuan
jaringan
dengan
menjadi kunci untuk mencegah hal-
sering
hal yang demikian terjadi dan tidak
internet
yang
pasti
tekoneksi
akan
menghadapi berbagai macam bentuk
berbagai macam bentuk serangan
teknologi
ini
juga
semakin
terulang kembali.
perilaku
tidak
12
DAFTAR PUSTAKA
Ajawaila, Thomas Gregory. (2010). “Tutorial Membangun Snort Sebagai
Intrusion Detection System Integrasi terhadap BASE dan MySQL”.
(Online). (http://ilmukomputer.com/ di akses tanggal 15 Mei 2012)
Firdaus, Atiq Zahrial. (2012). “Implementasi Snort sebagai Tool Intrussion
Detection System pada Server FreeBSD di PT. Power Telecom”,
Skripsi, Universitas muhammadiyah Surakarta.
Gullet, David. (2012). “Snort 2.9.2. and Snort Report 1.3.3. On Ubuntu 10.04 LTS
Installation Guide”. Symetrics Technologies.
Herlambang, M. Linto. (2009). Buku Putih CRACKER Kupas tuntas Dos Attack
dan Cara Penanggulanganya. Yogyakarta: Andi.
Moore, Nick. (2009). “Snort 2.8.4.1. Ubuntu 9 Installation Guide”.
Odom, Wendell. (2004). Computer Networking First-Step. Yogyakarta: Andi.
S’to. (2011). CEH( Certified Ethical Hacker) : 400% illegal. Jasakom
Sofana, Iwan. (2010). CISCO CCNA & Jaringan Komputer. Bandung:
Informatika.
PADA JARINGAN KOMPUTER
MAKALAH
Disusun sebagai salah satu syarat menyelesaikan Program Strata I
Program Studi Teknik Informatika Fakultas Komunikasi dan Informatika
Universitas Muhammadiyah Surakarta
Oleh :
Ahmad Rois Syujak
Pembimbing I : Muhammad Kusban, S.T., M.T.
Pembimbing II : Jan Wantoro, S.T.
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS KOMUNIKASI DAN INFORMATIKA
UNIVERSITAS MUHAMMADIYAH SURAKARTA
2012
DETEKSI DAN PENCEGAHAN FLOODING DATA
PADA JARINGAN KOMPUTER
Ahmad Rois Syujak, Muhammad Kusban, Jan Wantoro
Teknik Informatika, Fakultas Komunikasi dan Informatika
Universitas Muhammadiyah Surakarta
E-mail : ahmad.rois.syujak@gmail.com, muhammadkusban@gmail.com,
janwtr@gmail.com
Abstract
Computer network security as part of a system is to be essential for maintaining
the validity and integrity of data and also ensure availability of services for its
users. An attack on the server computer network can occur at any time. Either at
the time the administrator is working or not. Thus, it takes a security system on
the server itself which able to detect directly whether each incoming packet is the
actual data packet or not. If the data packet is sent by attackter, then the system
will blocking that attackter. Detection and prevention of flooding carried out to
find data on a computer network. Detection and prevention carried out by the
system which designed by create an active firewall and can define any data
entered into the server, whether the data comes it is a flood of data or data
required by the user.
Keywords: Computer Network Security, Data Flooding, Firewall
Abstrak
Keamanan jaringan komputer sebagai bagian dari sebuah sistem menjadi sangat
penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan
layanan bagi penggunanya. Suatu serangan ke dalam server jaringan komputer
dapat terjadi kapan saja. Baik pada saat administrator yang sedang bekerja ataupun
tidak. Dengan demikian dibutuhkan sistem keamanan di dalam server itu sendiri
yang mampu mendeteksi langsung apakah setiap paket yang masuk tersebut
adalah paket data yang sebenarnya atau tidak. Apabila paket tersebut merupakan
paket data yang dikirim oleh penyerang, maka maka sistem mengeblok IP
penyerang tersebut. Deteksi dan pencegahan dilakukan untuk mengetahui flooding
data pada suatu jaringan komputer. Deteksi dan pencegahan dilakukan dengan
sistem yang didesain dengan jalan membuat firewall aktif dan bisa mendifinisikan
setiap data yang masuk kedalam server, apakah data yang datang itu merupakan
sebuah data flood atau data yang diperlukan oleh user.
Kata kunci : Keamanan Jaringan Komputer, Flooding Data, Firewall
1
2
yang terhubung ke dalam suatu
PENDAHULUAN
Kebutuhan akan informasi
jaringan
dan komunikasi dewasa ini menjadi
internet
sangat penting di masyarakat. Seiring
menghadapi berbagai macam bentuk
kemajuan
serangan
dan
perkembangan
dan
terkoneksi
pasti
yang
dengan
akan
selalu
sering
berusaha
teknologi informasi yang semakin
mencari celah dari sistem keamanan
canggih dengan perkembangannya
jaringan komputer yang digunakan.
yang sangat cepat, maka kebutuhan
Kasus yang terjadi bahwa
akan informasi semakin meningkat
jaringan komputer yang terkoneksi
pula.
dengan internet sering mendapatkan
Jaringan komputer sangat
serangan-serangan
yang
berkaitan erat dengan internet dan
mengakibatkan kerusakan bahkan
telah menjadi suatu sarana untuk
kehilangan
membantu
maupun
dalam
melaksanakan
data
yang
dimiliki
kerusakan-kerusakan
aktifitas suatu instansi/perusahaan.
hardware akibat serangan tersebut.
Dalam
hanya
Kerugian karena kasus semacam ini
perusahaan yang bergerak di bidang
bisa mencapai puluhan juta rupiah
telekomunikasi saja, akan tetapi juga
yang meliputi kerugian dalam bentuk
perusahaan lain yang tidak bergerak
fisik (hardware) maupun non-fisik
di bidang tersebut. Kecenderungan
(data). Flooding data menjadi salah
ini disebabkan karena dengan adanya
satu bentuk serangan serangan yang
internet
mendapatkan
mengakibatkan suatu sistem akan
kemudahan dalam hal komunikasi.
terbanjiri oleh data-data secara terus
Kelebihan inilah yang menjadi kunci
menerus dalam waktu yang singkat.
dari mengapa dipilihnya fasilitas
Hal ini juga mengakibatkan
tersebut.
dibalik
lintas jaringan menjadi sangat padat
tersebut,
sehingga lalu lintas yang datang dari
jaringan komputer juga menyimpan
pengguna yang terdaftar menjadi
banyak
tidak dapat masuk ke dalam sistem.
hal
ini
tidak
akan
Akan
tetapi
kelebihan-kelebihan
kekurangan
bagi
para
lalu
penggunanya. Salah satunya adalah
Penelitian
dari keamanan. Setiap komputer
membangun sistem yang mampu
ini
bertujuan
untuk
3
mendeteksi serangan Flooding Data
penelitian ini menggunakan konsep
pada jaringan komputer, dan secara
Snort-Host-Based
otomatis mampu mencegah serangan
pengamatan
tersebut. Hasil penelitian ini di
dilakukan pada perangkat jaringan
harapkan
dimana aplikasi Snort ditempatkan.
dapat
memberikan
IDS,
trafik
sehingga
data
hanya
gambaran tentang bagaimana sistem
Secara teknis, 1 komputer
keamanan jaringan komputer bekerja
server akan menjalankan aplikasi
dan
manfaatkan
Snort serta layanan http server dan
sebagai acuan dalam pengelolaan
database server. Komputer server
sistem keamaman jaringan komputer.
dan
PROSEDUR PENELITIAN
melalui sebuah switch hub dalam
diharapkan
di
Penelitian ini dilakukan
dengan melakukan simulasi serangan
Flooding
data.
Pengujian
komputer
client
terhubung
subnet yang sama. Berikut adalah
skema jaringan yang di gunakan
dalam
Gambar 1. Skema Jaringan Komputer
Dalam penelitian ini akan
Attack, dan Ping of Death. SYN
dilakukan 2 macam pengujian sistem
Attack terjadi bila suatu host hanya
yaitu dengan simulasi serangan Syn
mengirimkan paket SYN TCP saja
4
secara kontinyu tanpa mengirimkan
mendeteksi adanya suatu serangan
paket ACK sebagai konfirmasinya.
maka alert snort akan di gunakan
Hal ini akan menyebabkan host
oleh blockit untuk merekam IP
tujuan akan terus menunggu paket
penyerang
tersebut
menyimpannya
iptables melakukan bloking terhadap
kedalam backlog. Meskipun ukuran
IP yang telah tercatat. Sedangkan
paket kecil, tetapi apabila pengiriman
BASE dapat digunakan sebagai user
SYN tersebut terus menerus akan
interface
dengan
memperbesar backlog. Hal yang
dan
dengan
Snort
Engine
terjadi apabila backlog sudah besar
web-based.
User
^_^
Alert Snort
akan mengakibatkan host tujuan
Mysql dan BASE
Rule
Database
akan otomatis menolak semua paket
memerintahkan
SYN yang datang, sehingga host
Blockit
tersebut tidak bisa dikoneksi oleh
Iptables
host-host yang lain. Sedangkan Ping
of Death merupakan Pengiriman
Akses di tutup
paket echo request ICMP ke dalam
suatu jaringan secara berlebihan.
Pengiriman
paket
ini
bahwa Snort yang di konfigurasikan
dengan
ataupun reboot.
Adapun
sistem
operasi
yang di gunakan adalah Ubuntu
Server 10.04 yang ditanam Snort,
Blockit sebagai IDS dan IPS serta
sebagai
Skema di atas menunjukan
dapat
mengakibatkan sistem crash, hang
BASE
Bagan 1. Skema alur kerja sistem
User
Interface.
Kemudian secara default Ubuntu
Server telah menyediakan Iptables
sebagai firewall nya.
Cara kerja dari sistem
yang dibangun ini adalah ketika snort
blockit
dan
firewall
yang
mampu
merupakan
NIPS
melakukan
blocking
IP
address
terhadap beragam serangan yang
sudah di definisikan pada rule snort.
Blockit ini bekerja dengan membaca
log dari Snort yang berada di
/var/log/snort/alert yang kemudian
akan
mentrigger
menutup
penyerang.
akses
iptables
terhadap
untuk
IP
5
HASIL
paket SYN/ACK sesu
esuai dengan SYN
a.
Packet yang ia terima
ima dan kemudian
Pengujian SYN Flooding
F
Attack
Pengujiann
dengan
mengguna
nakan
hping3
–faster
ster
dilakukan
akan menunggu pake
aket ACK sebagai
perintah
balasan untuk mele
elengkapi proses
-S
tersebut.
Tetapi,
karena
k
alamat
192.168.1.7 dari
ri client
c
dengan ip
sumber dalam pak
aket SYN yang
address 192.168.1.8
.8 yang terlihat
dikirimkan oleh pen
enyerang tidaklah
pada gambar berikut.
valid, mak paket ACK
A
tidak akan
pernah terkirim kee target,
t
dan port
yang menjadi target
et serangan akan
menunggu hingga waktu
wa
pembuatan
koneksi telah habis atau
at timed-out.
Selanjutnya
nya
untuk
pengujian telah di siapkan
sia
lokal rule
Gambar 2. Pengujian
an SYN Flooding
dengan perintah Hpin
ing3.
mendeteksi adanyaa suatu serangan
Pada proses
ses pengujian ini,
client
yang
berti
rtindak
pada snort yang di gunakan untuk
SYN Attack.
sebagai
penyerang mengirimk
mkan paket-paket
SYN ke dalam port-pport yang sedang
berada dalam keadaa
aan terbuka yang
berada dalam server
ver target. Pada
Gambar 3. Rule sno
nort untuk deteksi
SYN Attack
kondisi normal, paket-paket
pak
SYN
yang
dikirimkan
berisi
alamat
sumber yang menunj
unjukan data-data
aktual. Tetapi padaa serangan SYN
Attack,
paket-pak
paket
tersebut
memiliki alamat sum
umber yang tidak
menunjukan
data
aaktual.
Ketika
server menerima pake
ket SYN tersebut,
server
meresponss dengan sebuah
Rule
sebagaimana
di
snort
yang
tunjukan
t
pada
gambar 3. akan membandingkan
m
setiap paket data dari
da jaringan luar
yang mengalir mas
asuk ke server
dengan protocol TCP
CP. Maka ketika
ada paket data yang
ng sesuai dengan
rule
snort
tersebut
but,
menganggapnya
snort
sebagai
se
akan
sebuah
6
serangan dan memberikan peringatan
Selanjutnya
untuk
melalui web BASE. Pesan peringatan
pengujian telah di siapkan lokal rule
yang di tampilkan melalui halaman
pada snort yang di gunakan untuk
web BASE adalah “Syn Flooding
mendeteksi adanya suatu serangan
Simulation”.
ping of death Attack.
Gambar 6. Rule snort untuk deteksi
ping of death Attack
Rule Snort sebagaimana
ditunjukkan pada gambar 6, akan
Gambar 4. Deteksi SYN Attack
membandingkan setiap paket data
b.
dari jaringan luar yang mengalir
Pengujian Ping of Death Attack
Pengujian simulasi Ping of
masuk ke server dengan protokol
Death dilakukan dengan melakukan
ICMP. Parameter perbandingan yang
ping yang menyertakan paket data
digunakan mengacu pada ukuran file,
sebesar
bytes
terhadap
yang ditandai dengan adanya opsi
dari
komputer
dsize pada baris rule. Apabila ukuran
ping
biasanya
file paket ICMP berukuran lebih
berukuran 56 byte atau 84, perintah
besar dari 1500 bytes, maka Snort
yang diberikan pada terminal adalah
IDS akan menganggap paket ICMP
ping 192.168.1.7 –l 10000 –t yang
tersebut sebagai sebuah serangan dan
ditunjukan pada gambar berikut.
memberikan peringatan melalui web
komputer
client.
10000
server
Sebuah
BASE.
Pesan
ditampilkan
BASE
Gambar 5. Hasil pengujian ping of
death.
pada
adalah
Simulation”.
peringatan
halaman
“Ping
of
yang
web
Death
7
Gambar 9. Alert Ping of Death
Attack
Gambar
Gambar 7. Deteksi Ping o death
c.
di
atas
menunjukan adanya serangan yang
Pencegahan
Pengujian pencegahan ini
terdeteksi yang dilakukan oleh Client
dilakukan dengan cara menjalankan
dengan IP 192.168.1.9 selanjutnya
snort dan juga menjalankan Blockit,
Blockit akan mentrigger firewall
sehingga saat serangan terdeteksi,
untuk melakukan Blok alamat IP
maka disaat itu pula serangan yang
Pengirim.
masuk dapat di cegah. Blockit
firewall telah berhasil melakukan
berfungsi untuk mentrigger firewall,
pencegahan serangan dapat dilihat
untuk menjalankan Blockit dilakukan
dengan
dengan
/var/log/blockit/intruders
perintah
/usr/local/blockit/bin/blockit
start.
Setelah
untuk
system
memastikan
berjalan,
bahwa
sistem
Untuk
melihat
perintah
bahwa
tail
–f
yang
dibangun dapat memenuhi tujuannya
maka pengujian dilakukan antara
Gambar 10. Tampilan Blockit saat
Client-Server. Pengujian difokuskan
mentrigger Firewall
Beberapa proses di atas
pada intrusi dari jaringan internal
yaitu serangan dari client ke server.
menunjukan
bahwa
Snort
telah
berhasil mendeteksi dan mencatat
alert dan log ke database. Kemudian
BASE menerima alert tersebut dan
menyajikannya dalam GUI WebGambar 8. Alert SYN Attack
Based. Dan pencegahanya dilakukan
oleh
BlockIt
yang
berhasil
8
mentrigger
Firewall
melakukan
dropping
paket
untuk
keamanan dan pola serangan baru
dan
yang sering terjadi pada sistem
blocking IP Address penyerang.
jaringan komputer .
Hasil
PEMBAHASAN
keluaran
dari
Penelitian yang dilakukan
peringatan Snort dapat diatur untuk
kali ini, melalui beberapa tahapan
memberikan peringatan melalui log,
meliputi perancangan, konfigurasi
tcpdump log ataupun database. Hasil
dan pengujian. Adanya dukungan
keluaran dari peringatan Snort ini
repository
pada
mendukung
Linux
Ubuntu
dapat diatur melalui file konfigurasi
kemudahan
dalam
Snort yaitu file /etc/snort/snort.conf.
installasi dan integrasi Snort
ke
Untuk hasil peringatan Snort IDS
dalam sistem. Konfigurasi Snort
dengan
juga melalui beberapa tahapan yang
diperlukan sebuah database yang
dilalui
menyimpan
secara
memudahkan
melakukan
urut
sehingga
pengguna
dalam
konfigurasi,
terutama
bagi pengguna yang sudah terbiasa
dengan
sistem
berbasis
tampilan
tersebut
pada setiap versi Snort dibuat oleh
dukungan
opensource project dan telah teruji
untuk dapat mendeteksi berbagai
macam jenis serangan keamanan.
Kontributor dari Snort Team adalah
para profesional dalam bidang IT
terutama dalam bidang keamanan
jaringan
komputer,
perkembangan
mengikuti
rule
sehingga
Snort
perkembangan
dapat
interface dengan modul web BASE.
UNIX
File rule yang disediakan
dengan
kemudian
ditampilkan dengan tampilan web
Snort
Team
maka
peringatan-peringatan
yang
sebelumnya.
Snort
web,
dapat
teknik
adalah
perangkat
Intrusion Detection System, bukan
Intrusion Prevention System yang
dapat
mecegah
serangan.
Snort
adanya
suatu
hanya
dapat
memberikan suatu peringatan tentang
adanya sebuah serangan terhadap
suatu sistem, sehingga untuk dapat
melakukan
pencegahan
terhadap
sebuah serangan harus dilakukan
pengaturan firewall atau IPtables
yang ada pada sistem operasi Linux
Ubuntu.
9
Firewall
merupakan
perangkat
keras
yang
sudah
sebuah perangkat yang diletakkan
dilengkapi dengan perangkat lunak
antara
tertentu,
Internet
dengan
jaringan
sehingga
pemakai
internal. Informasi yang keluar atau
(administrator) tinggal melakukan
masuk
firewall
konfigurasi dari firewall tersebut.
firewall
Firewall juga dapat berupa perangkat
adalah untuk menjaga agar akses (ke
lunak yang ditambahkan kepada
dalam maupun ke luar) tidak dapat
sebuah server termasuk iptables pada
dilakukan secara bebas.
Linux
harus
ini. Tujuan
melalui
utama
dari
Firewall merupakan alat
untuk
mengimplementasikan
kebijakan security (security policy).
Semakin ketat kebijakan security,
semakin
layanan
kompleks
informasi
konfigurasi
atau
semakin
sedikit fasilitas yang tersedia di
jaringan.
Sebaliknya,
semakin
banyak
tersedia
atau
sederhananya
dengan
fasilitas
yang
sedemikian
konfigurasi
yang
diterapkan, maka semakin mudah
serangan masuk ke sistem.
Firewall bekerja dengan
mengamati
paket
Protocol)
yang
IP
(Internet
melewatinya.
Berdasarkan konfigurasi dari firewall
maka akses dapat diatur berdasarkan
IP address, port, dan arah informasi.
Detail dari konfigurasi bergantung
kepada
Firewall
masing-masing
dapat
berupa
firewall.
sebuah
ubuntu
server
yang
dikonfigurasi menjadi firewall.
KESIMPULAN
Berdasarkan
hasil
pengujian yang dilakukan, Snort
dapat di-implementasikan sebagai
Intrusion Detection System pada
sistem operasi Ubuntu Server untuk
mendeteksi serangan DoS Attack
yaitu Flooding data dengan SYN
Flood Attack dan Ping of Death
sebagai sampel pengujian serangan.
Snort dapat memberikan
peringatan adanya sebuah serangan
keamanan,
sehingga
dapat
meningkatkan keamanan jaringan.
Dapat atau tidaknya sebuah serangan
terdeteksi oleh Snort IDS tergantung
dari ada atau tidaknya rule dengan
jenis signature pada sebuah pola
serangan.
10
Sistem
Konfigurasi firewall dapat
yang
dibangun
dilakukan sebagai upaya pencegahan
masih memiliki beberapa kelemahan
terhadap suatu serangan. Semakin
bahwa deteksi yang dilakukan oleh
ketat kebijakan security, semakin
snort
kompleks
Flooding data berdasarkan size paket
firewall
konfigurasi
akan
layanan
semakin
sedikit
hanya
yang
mampu
dikirm,
mendeteksi
sehingga
ketika
fasilitas yang tersedia di jaringan.
terdapat paket yang dikirim secara
Sebaliknya, dengan semakin banyak
simultan dengan ukuran yang lebih
fasilitas
atau
kecil dari rule yang di terapkan pada
sederhananya
snort dan kemudian menimbulkan
konfigurasi yang diterapkan, maka
Flooding, maka hal tersebut belum
semakin mudah serangan masuk ke
mampu
system
Akibatnya, sistem tidak memberikan
yang
tersedia
sedemikian
Firewall merupakan sistem
action
terdeteksi
oleh
apapun
sistem.
karena
tidak
yang dapat melawan ancaman yang
menerima alert serangan Fooding
terjadi pada jaringan, tapi firewall
Data.
bukan merupakan solusi sekuriti
yang lengkap yang dapat mengatasi
semua
permasalahan
jaringan.
firewall
Adapun
ini
adalah
sekuriti
kekurangan
sulit
dalam
membuat aturan dan kebijakan pada
packet filtering firewall ini secara
tepat guna dan aturan tersebut akan
semakin banyak seiiring dengan
banyak alamat IP sumber dan tujuan,
port
sumber
dan
tujuan
yang
dimasukan dalam kebijakan packet
filtering firewall ini.
REKOMENDASI
1.
Bagi praktisi jaringan komputer
Sistem keamanan dengan
IDS
Snort
manfaat
dapat
lebih
memberikan
apabila
Snort
diintegrasikan dengan firewall. Snort
cukup
efektif
untuk
mendeteksi
adanya sebuah serangan terhadap
sistem,
namun
Snort
bukanlah
sebuah Intrusion Prevention System
(IPS) yang dapat mencegah atau
memblokir usaha-usaha penyusupan
kedalam sistem. Maka firewall dapat
menjadisalah
satu
solusi
untuk
11
proses pencegahan terhadap suatu
yang selalu berusaha mencari celah
serangan.
dari
2.
komputer yang digunakan. Oleh
Bagi pengguna dunia pendidikan
Saat
menjadi
ini
suatu
membantu
aktifitas
sarana
dalam
rutin
internet
hanya
perusahaan
jaringan
karena itu, implemasi sistem deteksi
untuk
dan pencegahan terhadap serangan
dan
sangatlah di butuhkan.
3.
Bagi pengguna internet
aktifitas rutin lainnya. Dalam hal ini
tidak
keamanan
telah
melaksanakan
perusahaan
sistem
yang
Kebutuhan akan informasi
dan komunikasi dewasa ini sangat
bergerak di bidang telekomunikasi
penting,
saja yang menggunakan jaringan,
perkembangan teknologi informasi
tetapi juga institusi lain yang tidak
yang
bergerak di bidang tersebut termasuk
perkembangannya yang sangat cepat,
dalam dunia pendidikan. Kemudahan
maka kebutuhan
dan kepraktisan merupakan kunci
semakin meningkat pula. Artinya
dari mengapa dipilihnya fasilitas
saat ini kita berada sangat dekat
tersebut.
dengan teknologi, batas ruang dan
seiring
semakin
kemajuan
canggih
akan
dan
dengan
informasi
Disisi jaringan komputer
waktu semakin tidak terlihat. Banyak
juga menyimpan banyak kekurangan
kasus yang terjadi bahwa karena
yang sangat mengkhawatirkan bagi
adanya
para penggunanya. Salah satu yang
seseorang
sangat menjadi kendala adalah dalam
terkendali, penipuan, pencurian pin
bidang keamanan. Setiap komputer
atm, dan lain-lain. Oleh karena itu
yang terhubung ke dalam suatu
membekali diri dengan pengetahuan
jaringan
dengan
menjadi kunci untuk mencegah hal-
sering
hal yang demikian terjadi dan tidak
internet
yang
pasti
tekoneksi
akan
menghadapi berbagai macam bentuk
berbagai macam bentuk serangan
teknologi
ini
juga
semakin
terulang kembali.
perilaku
tidak
12
DAFTAR PUSTAKA
Ajawaila, Thomas Gregory. (2010). “Tutorial Membangun Snort Sebagai
Intrusion Detection System Integrasi terhadap BASE dan MySQL”.
(Online). (http://ilmukomputer.com/ di akses tanggal 15 Mei 2012)
Firdaus, Atiq Zahrial. (2012). “Implementasi Snort sebagai Tool Intrussion
Detection System pada Server FreeBSD di PT. Power Telecom”,
Skripsi, Universitas muhammadiyah Surakarta.
Gullet, David. (2012). “Snort 2.9.2. and Snort Report 1.3.3. On Ubuntu 10.04 LTS
Installation Guide”. Symetrics Technologies.
Herlambang, M. Linto. (2009). Buku Putih CRACKER Kupas tuntas Dos Attack
dan Cara Penanggulanganya. Yogyakarta: Andi.
Moore, Nick. (2009). “Snort 2.8.4.1. Ubuntu 9 Installation Guide”.
Odom, Wendell. (2004). Computer Networking First-Step. Yogyakarta: Andi.
S’to. (2011). CEH( Certified Ethical Hacker) : 400% illegal. Jasakom
Sofana, Iwan. (2010). CISCO CCNA & Jaringan Komputer. Bandung:
Informatika.