Denial of Services dan penanggulangannya

Rekan kopasus, akhir-akhir ini banyak sekali kita dengan banyolan di channel channel di server IRC tentang denial of services, ada yang bilang “diam atau DC” terus ada juga yang teriak “tembaaaaaaaaaaaaaakkkkkkkkkk” hal hal tersebut mungkin membuat kita seakan akan dibayangi oleh ketakutan dengan sistem attacking tersebut. Dan juga munculnya program program perusak yang banyak sekali beredar di cybernet. Ada yang namanya vadim, trinoo, “tembak.c” dan apapun jenisnya.

Under Attack DDOS

Under Attack DDOS

Kasus ini pernah ditemui di situs KPU yang terkena DDOS oleh salah satu orang dari X-Code

Dan satu lagi saat semua smadaver yang biasa online di smadaver.com akan membuka url ke situs tersebut tetapi tidak pernah bisa, knapa? Ya karena ulah saya ini. Ha.ha utk rekan smadaver semua saya minta maaf ya😉

———————–
Denial Of Services Umum
———————–
Layanan IP dan TCP yang bekerja di mesin anda adalah termasuk salah satu celah yang memikat untuk melancarkan serangan serangan. Beberapa contoh Denial of Services yang sering dan banyak terjadi adalah:

1. SYN Flooding — yakni serangan Denial of Services jaringan. Ia mengambil keuntungan dari “loophole” dalam koneksi TCP

2. Pentium “FOOF” bug — merupakan serangkaian kode assembly yang dikirim ke prosesor asli intel pentium sehingga dapat me-reboot sistem, mempengaruhi kinerja mesin berprosesor pentium. Ia juga tidak tergantung pada sistem operasi yang dijalankan.

3. Ping Flooding — adalah serangan brute force sederhana. Penyerang mengirimkan “flood” packet ICMP mesin anda.

4. Ping o death — serangan ini disebabkan lebih besarnya paket ICMP ECHO REQUEST yang masuk dibandingkan kapasitas yang bisa ditangani struktur data kernel.

5. Teardrop / New tear — salah satu exploit terbaru yang melibatkan bug yang ada dikode fragmentasi IP pada platform Linux dan Windows.

Informasi selengkapnya mengenai kode eksploitasi dan deskripsi ttg bentuk bentuk dari serangan “tembak menembak tersebut” dapat anda temukan didalam URL http://www.rootshell.com/ dengan memanfaatkan search engine mereka. 😀

————————————-
Serangan Denial Of Services Jaringan
————————————-
Jaringan jaringan termasuk salah satu servis yang rawan terhadap aksi denial of services. seringkali seseorang berusaha mengganggu atau menghalang halangi user user untuk memanfaatkan akses jaringan. Tiga tipe umum serangan denial of services jaringan adalah: service overloading, message flooding, dan signal grounding. Sedangkan tipe keempat adalah clogging meski tidak setenar seperti yang tiga bentuk serangan tersebut.

———————
Service Overloading:
———————
Hal ini terjadi manakala membanjirnya request request network yang dibuat untuk server daemon dan sebuah single computer. Request request ini dapat dibuat dengan berbagai macam cara, biasanya disengaja. Hasil dari interupsi interupsi paket paket jaringan yang tidak dapat diproses sesuai waktu normal. Beberapa request akan dibuang karena tak tersedia lagi ruang antrian. Apabila ini berupa servis berbasis TCP, mereka akan dikirim ulang untuk di-load.

Anda dapat menggunakan program program monitor jaringan untuk mencegah tipe serangan ini. JIka anda memilikidaftar mesin mesin dan low-level network address (misal: ethernet board level address bukan IP address), ini akan sangat membantu untuk menelusuri sumber masalah yang ada dijaringan anda, dan juga akan membantu menemukan masalah. Jika anda login ke firewall atau router anda, anda dapat secara cepat untuk memeriksa apakah serangan datang dari luar atau dari dalam jaringan anda. Langkah yang lain yang dapat anda tempuh adalah mempersiapkan lebih dini menangani serangan, jika anda memiliki anggaran, belilah program “network monitor” dan penyadap subnet sehingga dapat mengontrol kelancaran traffic jaringan.

——————-
Message Flooding:
——————-
Hal ini terjadi manakala seorang user memperlambat proses sebuah sistem dalam jaringan untuk mem-block sistem atas beban kerja normal. Sering “memberondong/menembak” mesin melalui pesan pesan yang dialamatkan kepadanya. Kasus ini dapat berupa request request untuk layanan file atau login, atau juga request request echo-back sederhana.

Dalam kasus yang besar, aksi flood dapat menyebabkan mesin menjadi crash disertai error error, atau kehabisan memori untuk menangani paket paket yang masuk. Serangan ini otomatis akan mematikan akses bagi sebuah server jaringan.

Sebuah server yang terkena flood tidak dapat merespon request request dalam waktu tertentu. Maka selama tenggang waktu ini penyerang memiliki kesempatan untuk menulis sebuah program yang mampu menjawab request request jaringan dalam server tersebut. Sebagai contoh, seorang penyerang melakukan flood ke sebuah NIS server dan kemudian memberikan balasan balsan untuk request request NIS tersebut – khususnya, request request untuk password password.

Mesin yang digunakan penyerang dapat memberi respon request request, menyamar sebagai server asli dan mensuplai informasi palsu, seperti record record tanpa password. Pada kondisi normal mesin server yang asli sesungguhnya akan menolak paket ini, namun karena mesin server yang asli tidak menerima paket, ia tidak dapat memberikan respons. Oleh sebab itu client dari workstation akan percaya bahwa respon yang ia terima adalah benar, dan penyerang akhirnya mencapai login sistem.

——————-
Signal Grounding:
——————-
Metode metode fisik juga dapat digunakan untuk menutup network. Menghadang signal dalam kabel jaringan, memasukkan signal signal lain, atau mencabut terminator ethernet dapat menggagalkan client client melakukan transmisi atau menrima pesan pesan. Tipe serangan ini dapat digunakan tidak hanya untuk menutup akses ke beragam mesin yang menginduk pada server, tapi juga menyembunyikan usaha usaha break-in pada mesin mesin yang melaporkan bad login ke mesin mesin master melalui gejala gejala jaringan yang tidak normal; yang bisa saja berupa break-in tersembunyi dalam sebuah mesin individual. Usaha yang untuk mengurangi penyerangan jalur belakang ini adalah memproteksi kabel kabel jaringan dari sabotase fisik.

————
Clogging:
————
Implementasi protokol protokol TCP/IP pada kebanyakan versi UNIX sesungguhnya memungkinkan mereka untuk disalahgunakan dengan beragam cara. Untuk membunuh servis, salah satu cara adalah menggunakan batasan terhadap sebagian koneksi koneksi yang terbuka. Pada kasus clogging, analogi berpikirnya apa yang terjadi manakala telepon anda berdering. Anda menjawab dengan “hallo…” tetapi tak seorangpun merespons (bukan hantu Smile) Anda mungkin akan menunggu beberapa saat lalu menyapa “halllooo…” kembali. Dan anda melakukan satu sampei tiga kali sehingga anda hilang kesabaran lalu menutupnya. Pada saat anda menunggu seseorang untuk menjawab sapaaan “haloo..” dari anda, tak seorangpun ada diseberang sana. Koneksi telepon anda sibuk dan tidak memproses panggilan panggilan yang masuk lainnya. Hanya sedikit yang dapat anda lakukan untuk kasus seperti ini. Firewall-firewall secara umum tidak dapat menangani masalah ini.

——————————————
Tips dan cara penanggulangan serangan DoS
——————————————

1. Lakukan pencegahan serangan DoS dengan menutup servis servis/protokol protokol yang dianggap tidak perlu melalui firewall

2. Non aktifkan IP directed broadcast untuk subnetwork subnetwork dalam domain anda guna mencegah serangan ini.

Untuk informasi selengkapnya tentang IP directed broadcast dan hubungannya dengan serangan Denial of Srvice silahkan kunjungi:

AusCERT Alert AL-98.01 – multiscan (mscan) tool
ftp://ftp.auscert.org.au/pub/auscert/advisory/AL-98.01.mscan

CERT/CC advisory CA-1998-001 -smurf IP Denial-of-service Attacks
http://www.cert.org/advisories/CA-1998-001.sscan

AusCERT Alert AL-1999.001 – “sscan” scanning tools
ftp://ftp.auscert.org.au/pub/auscert/advisory/AL-1999.001.sscan

RFC2644/BCP34 – mengubah default untuk directed broadcast dlm router
http://rfc.net/rfc2644.html

UNIX IP stack Tuning Guide v2.7 (Rob Thomas)
http://www.cymru.com/~robt/Docs/Articles/ip-stacking-tuning.html

3. Gunakan filter filter paket HANYA mengizinkan paket paket dengan IP address yang sah yang melewati jaringan. Untuk informasi ini tentang filter anti spoofing silahkan lihat di:

CERT/CC Advisory CA-1998-01 – Smurf Denial of Service Attacks
http://www.cert.org/advisories/CA-1998-01.html

RFC2827/BCP38 – Network Ingress Filtering
http://rfc.net/rfc2827.html

4. Ketahui lebih dini tentang bentuk serangan Denial of Service yang beredar, juga serangan berbasis tool tool yang didistribusikan para intruder, Silahkan kunjungi:

Results of the Distribution-Systems Intruder Tools Workshop
http://www.cert.org/reports/dsit_workshop-final.html