Serangan DoS, DDoS dan DRDoS Saya amat tertarik sekali dengan apa yang telah berlaku seperti yang telah dinyatakan oleh webmaster TKO. Justeru, saya rasa terpanggil untuk menulis artikel ini untuk berkongsi maklumat yang pada saya mungkin berguna untuk sama-sama kita baca dan mengkajinya. Mungkin selepas ini, kita boleh memikirkan tentang betapa pentingnya tahap keselamatan dan apa tindakan yang perlu dilakukan pada sesebuah server itu bagi menguatkan pertahanannya. Semua maklumat ini saya ‘curi’ dari laman forum berkenaan IT di Indonesia. Ternyata dari apa yang saya lihat, saya boleh ‘tabik spring’ pada hackers Indonesia. Macam-macam maklumat ada di forum mereka. Dari pelbagai cara hacking, cracking, membuat / dapatkan virus, programming, tutorial software, e-book dan software / tool, dan mereka juga bertindak sebagai perisik virus yang baru untuk pengeluar antivirus. Tak hairanlah masa saya di universiti dulu, budak-budak IT dari Indonesia yang paling ‘otai’. Oklah, berbalik semula kepada cerita tentang DDoS tadi. Saya sediakan di sini sedikit maklumat berkenaannya. Mungkin maklumat ini sudah sedikit usang tapi berguna untuk tambah rujukan dan bacaan. Artikel yang asalnya dalam Bahasa Indonesia dan Bahasa Inggeris, saya terjemahkan semula ke Bahasa Melayu agar mudah difahami. Denial of Service (DoS) Versi pertama serangan ini adalah berupa pengiriman paket data kepada sasaran iaitu DoS (Denial of Service). Dalam serangan ini penyerang hanya menggunakan satu komputer untuk menembak data ke sasaran korbannya. Penjelasan secara sederhananya adalah seperti berikut: Suatu ketika handphone anda berbunyi. Sebelum anda sempat menjawabnya handphone anda telah berhenti berbunyi. Tiba-tiba handphone anda berbunyi lagi dan tanpa sempat anda mengangkatnya, bunyi itupun segera berhenti. Beberapa kali anda membiarkannya tapi masalah ini tak kunjung tiba penyelesaiannya. Beberapa ketika anda yang hendak menghubungi sesuatu nombor terpaksa tidak boleh melakukannya kerana talian handphone anda sibuk berterusan. Itulah gambaran sederhananya mengenai serangan DoS di dunia realiti. Di dunia siber, kes anda tersebut adalah merupakan salah satu serangan jenis DoS (Denial of Service). Apa yang pasti, sebegitu mudahnya DoS ini diterapkan tapi mencegahnya bukanlah suatu hal yang mudah. Sasaran-sasaran serangan DoS biasanya adalah server-server ISP, Internet Banking, e-Commerce, web organisasi, dan kerajaan. Serangan DoS dapat dilakukan dengan mengirimkan query sebanyak mungkin hingga sasaran korban tidak mampu lagi menanganinya sehingga ianya menjadi lumpuh. Cara lain untuk melakukan serangan DoS adalah dengan mengirimkan data rosak atau data yang tidak mampu di tangani oleh server sasaran sehingga server tersebut menjadi ‘hang’ (tidak boleh berfungsi seperti kebiasaannya dan perlu restart berulang-ulang).
Target serangan DoS attack boleh ditujukan ke berbagai bahagian jaringan. Boleh ke routing devices, web, electronic mail, atau server Domain Name System. Ada 5 jenis dasar DoS attack : 1. Penggunaan berlebihan sumber daya komputer, seperti bandwidth, disk space, atau processor. 2. Gangguan terhadap informasi konfigurasi, seperti informasi routing. 3. Gangguan terhadap informasi status, misalnya memaksa me-reset TCP session. 4. Gangguan terhadap komponen-komponen fizik network. 5. Menghalang media komunikasi di antara komputer dengan user sehingga mengganggu komunikasi. DoS attack juga termasuk eksekusi malware, yang dimaksudkan untuk : 1. Memaksimakan kerja processor, sehingga memblok tugas-tugas yang lain. 2. Memicu terjadinya error di dalam microcode. 3. Memicu error pada urutan instruksi dan memaksa komputer menjadi tidak stabil dan locked-up. 4. Memanfaatkan error-error yang ada di sistem pengoperasian yang terbuntu pada ‘kematian’ system. 5. Membuat sistem pengoperasian menjadi crash. 6. iFrame (D)DoS, di dalamnya terdapat sebuah dokumen HTML yang sengaja dibuat untuk mengunjungi halaman web ber-kilobyte tinggi dengan berulang-ulang, hingga melampaui batas bandwidth. DDoS (Distributed Denial of Service)
Aktiviti mengirimkan data secara terus-menerus dengan menggunakan satu komputer tidak begitu efektif kerana biasanya sumber daya server yang diserang itu adalah lebih besar dari komputer penyerang. Daya serangan pembunuh juga akhirnya menjadi lemah. Atas sebab itulah para hackers pun mula ‘memutar-mutarkan’ otaknya. Serangan yang dapat diperlebihkan atau diperhebatkan dalam usaha melumpuhkan sesebuah server iaitu jika menggunakan tenaga komputer yang banyak yang dijadikan satu siri gabungan untuk mewujudkan kebanjiran data yang lebih besar. Komputer-komputer yang diambil alih oleh hacker tersebut disebut sebagai zombie. Zombie berfungsi sebagai anak buah atau agen penyerang yang tersedia untuk menyerang pada saat mendapat perintah dari “tuannya”. Semakin banyak zombie yang dikuasai oleh penyerang, semakin berkuasalah hacker tersebut kerana besarnya tenaga yang digenggamnya. Dengan tenaga besar yang dikumpulkan dari komputer-komputer yang dikuasai (secara illegal tentunya) tersebut, serangan DDoS hampir tidak dapat dikalahkan. Kerana itulah serangan jenis ini sangat popular di kalangan hackers. Beberapa laman raksasa seperti Amazon.com, eBay, dan Yahoo pada Februari 2000 lumpuh selama beberapa jam kerana serangan ini. Sesebuah server terpaksa “memindahkan” IP address lamannya kerana setelah menerima serangan DDoS yang sudah dirancang untuk muncul pada tanggal dan jam tertentu dengan memanfaatkan virus tertentu tanpa mampu mencegahnya. DDoS adalah satu jenis serangan dengan konsep sederhana. Namun efeknya boleh memindahkan “istana negara.” Menghadapi Serangan DDoS: Serangan DDoS adalah serangan dengan teori sederhana namun dengan dampak yang sangat besar. Sayangnya, sampai saat ini belum ditemukan cara paling tepat untuk menghindari serangan ini secara total. Meskipun sampai saat ini belum ada sistem yang kebal terhadap serangan ini, ada sejumlah langkah yang dapat dilakukan untuk memperkecilkan risiko serangan DDoS ini. Kerana serangan DDoS dapat dilakukan dengan memanfaatkan kelemahan operating system yang anda gunakan, jangan pernah lupa update patch untuk memperbaiki sistem pengoperasian anda. Ingatlah bahawa tidak ada satu pun sistem operasi di dunia ini yang aman dan 100% bebas dari kelemahan. Gunakan hardware / server yang kuat. Server tersebut harus mampu menangani beban yang cukup berat sehingga server anda tidak mudah down. Anda boleh merekabentuk network yang saling backup dan akan lebih bagus jika berada pada beberapa daerah sekaligus. Gunakan firewall untuk memblok port-port (pintu masuk) yang tidak diperlukan di servers anda.
Gunakan IDS (Intrusion Detection System) untuk mendeteksi penyusup dan melakukan pencegahan yang lebih pintar. Terminologi dan Tools Pada DDoS (uzi) Terminologi-terminologi yang umum dalam serangan DDoS antara lain adalah seperti tersebut: 1. Client – sebuah aplikasi yang digunakan untuk memicu serangan dengan mengirimkan 2. 3. 4. 5.
perintah ke komponen-komponen lain. Daemon – sebuah proses dalam menjalankan agent yang bertanggungjawab menerima dan melaksanakan perintah yang dikeluarkan client. Master – host yang menjalankan client. Agent – host yang menjalankan Daemon. Target – korban (berupa host atau jaringan) yang dihentam serangan DDoS. Perjalanan serangan DDoS adalah:
Penyerang (Master) -> Client -> Daemon -> Korban (Target) Gejala-gejala DDoS attack : 1. Kinerja jaringan menurun. Tidak seperti biasanya, membuka file atau mengakses web menjadi lebih perlahan. 2. Fitur-fitur tertentu pada sebuah website hilang. 3. Website sama sekali tidak boleh diakses. 4. Peningkatan jumlah email spam yang diterima sangat dramatik. Jenis DoS yang ini sering diistilahkan dengan “Mail Bomb”. Contoh kes DDoS attack : 1. Februari 2007, lebih dari 10,000 server game online seperti Return to Castle Wolfenstein, Halo, Counter-Strike, diserang oleh group hacker “RUS”. DDoS attack berasal dari 1,000 lebih komputer yang terletak di negara bekas Uni Sovyet. Kebanyakan berasal dari Rusia, Uzbekistan dan Belarusia. 2. Julai 2008, banyak blog milik blogger-blogger konservatif, termasuk Macsmind.com, terkena serangan DDoS attack hingga beberapa darinya terpaksa offline. Serangan ini dikaitkan dengan 3 IP address yang didaftarkan melalui GoDaddy.com ke barrackobama.com, web rasmi calon presiden AS dari parti Demokrat, Barrack Obama. Sebelumnya, beberapa pendukung Obama juga melakukan serangan ke web-web pendukung Hillary Rodham Clinton dengan menggunakan google.com. Sehingga 8 Ogos, asal usul serangan masih belum jelas, namun Obama atau kumpulan kompeninya secara personal dianggap terlibat. Tools
Program-program yang dapat digunakan hackers untuk melancarkan serangan DDoS semakin mudah diperolehi dari Internet dan kerana itu semakin berbahaya pula ancaman terhadap server dengan semakin ramainya orang yang dapat melakukannya. Beberapa tool paling terkenal yang sering digunakan untuk melancarkan serangan DDoS adalah TFN2K, Trinoo dan Stacheldraht TFN2K TFN2K (Tribe Flood Network 2000) adalah tool untuk melancarkan serangan DDoS. TFN2K adalah penurunan Trojan TFN. TFN2K memungkinkan master mengeksploitasi sejumlah agent untuk mengkoordinasikan serangan pada satu atau beberapa target yang diincar. Saat ini, Unix, Solaris, dan Windows NT adalah platform-platform yang rentan terhadap serangan ini. TFN2K adalah sistem dengan dua komponen. Yang pertama adalah client yang dikomando oleh master dan sebuah proses daemon yang beroperasi pada sebuah agent. Master menginstruksikan para agent yang telah ditaklukinya untuk menyerang target yang telah ditentukan. Para agent tersebut kemudian memberi respon dengan membanjirkan serbuan paket data. Sejumlah agent, dengan perintah Master, dapat bekerjasama selama serangan ini untuk mematahkan akses target. Komunikasi master-to-agent telah dienkripsi dan bercampur dengan paket-paket yang diluncurkan. Baik komunikasi master-to-agent mahupun serangan itu sendiri dapat dikirimkan melalui paket-paket TCP, UDP, dan ICMP yang telah diacak. Master juga dapat melakukan pemalsuan IP address (spoofing). Hal ini membuat penyangkalan terhadap TFN2K sangat sukar dilakukan. Trinoo Trinoo (a.k.a. trin00) adalah program slave / master terkenal yang digunakan dalam serangan DDoS. Daemon Trinoo pada awalnya ditemukan pada format binary sejumlah sistem Solaris 2.x, yang diidentifikasi dapat dimanfaatkan dengan mengeksploitasi bug buffer overrun. Jaringan Trinoo dapat berupa ratusan bahkan ribuan sistem di Internet yang diambilalih dengan eksploitasi buffer overrun secara remote. Akses ke sistem-sistem yang dijadikan agent tersebut diperolehi dengan menanamkan program back door sekaligus daemon Trinoo. Sebuah jaringan Trinoo yang paling tidak terdiri atas 227 sistem – 114 diantaranya merupakan web-web Internet – pada 17 Ogos 1999 digunakan untuk membanjiri satu sistem yang ada di University of Minnessota. Akibatnya, server malang itu lumpuh dan koma selama dua hari. Saat penanganan terhadap serangan 17 Ogos itu dilakukan, pembanjiran besar data juga diketahui telah menyerang paling tidak 16 sistem lain, yang sebagian terdapat di luar AS. Stacheldraht
Stacheldraht (Bahasa Jerman yang ertinya adalah kawat berduri) adalah tool lain yang popular untuk melancarkan serangan DDoS. Tool ini sangat unik kerana ia menggabungkan fitur-fitur yang dimiliki oleh Trinoo dan TFN generasi pertama. Tool ini juga mempunyai enkripsi komunikasi antara penyerang dan masters Stacheldraht serta mampu melakukan update agent secara automatik. Seperti Trinoo, Stacheldraht terdiri atas program-program master (handler) dan daemon atau bcast (agent). Fitur TFN yang dimiliki Stacheldraht adalah gaya-gaya serangan ICMP flood, SYN flood, UDP flood, dan “Smurf.” (uzi) DRDoS (Distributed Reflectors Denial of Service)
Berbeza dari serangan DDoS biasa, dalam serangan DRDoS tentera penyerang mengandungi penguasaan zombi, zombi hamba, dan pemantul. Senario jenis serangan ini adalah selaras dengan serangan DDoS biasa sehingga satu peringkat khusus. Penyerang-penyerang mempunyai kawalan lebih menguasai zombi, yang bergilir-gilir, mempunyai kawalan lebih menghambakan zombi. Perbezaan dalam jenis serangan adalah zombi hamba yang mendahului bagi penghantaran zombi yang sebelum induknya menggunakan satu aliran bungkus dengan mangsa alamat IP sebagai sumber alamat IP kepada orang lain yang tidak dijangkiti mesin-mesin (diketahui sebagai pemantul), dan menggesa jentera bagi menghubungkan dengan mangsa. Kemudian pemantul itu menghantar mangsa satu jumlah lalu lintas yang lebih besar, seperti satu jawapan untuk desakannya untuk perasmian satu hubungan baru, kerana mereka percaya bahawa mangsa itu adalah tuan rumah yang memintanya. Oleh itu, dalam serangan DRDoS, serangan dilancarkan oleh noncompromised mesin-mesin, yang mendaki tanpa serangan disedari bagi tindakan. Membandingkan dua senario bagi serangan DDoS, kita harus perhatikan yang satu serangan DRDoS adalah lebih banyak menjejaskan daripada satu serangan DDoS biasa. Ini kerana satu serangan DRDoS mempunyai lebih mesin-mesin untuk berkongsi serangan, dan oleh itu serangan lebih tersebar. Senario keduanya adalah serangan DRDoS mencipta satu jumlah lalu lintas yang lebih besar dan disebabkan itu ianya lebih tersebar sifatnya.