Jika website anda menghilang atau tidak dapat dijangkau mungkin website anda terkena serangan Distributed Denial of Service (DDoS). Anda tidak sendiri, banyak perusahaan besar yang sempat menjadi korban dari jenis serangan ini, contohnya adalah perusahaan cloud hosting Linode, perusahaan game Valve, Xbob Live Network milik Microsoft, BBC, dan lain sebagainya.
Sebuah serangan dasar Denial of Service (DoS) melakukan bombardir terhadap sebuah IP dengan cara memenuhi trafik data yang ada dengan paket yang sangat besar, jika IP address tersebut mengarah pada sebuah web server, maka web server atau router yang terhubung ke web server tersebut akan kewalahan, user lain akan gagal terhubung, dan site yang dituju tidak akan tersedia.
Sebuah Distributed Denial of Service (DDoS) adalah serangan yang berbeda dan spesial dibanding Denial of Service (DoS) biasa, prinsip yang digunakan sama, tapi pada DDoS trafik yang dikirim berasal dari berbagai sumber yang berbeda, sedangkan pada DoS biasa paket besar dikirim hanya dari 1 pusat serangan. Faktanya sumber trafik terbagi ke banyak sumber, bahkan berasal dari seluruh dunia, hal inilah yang membuat DDoS sangat sulit untuk dibendung dibanding serangan DDoS yang menggunakan paket besar dan hanya berasal dari 1 pusat serangan.
| Attacker | Host yang memulai serangan, komputer ini yang mengontrol beberapa handler. |
| Handler | Sistem komputer yang mengontrol banyak PC Zombie. |
| PC Zombie | PC yang sistemnya sudah dicompromised yang ditugaskan untuk mengirim berbagai request ke server korban. |
| Korban | Server korban yang menjadi tujuan serangan, server overload oleh berbagai request, sehingga servis yang ada menjadi tidak tersedia bahkan untuk user yang seharusnya. Request yang diterima didapat dari berbagai IP berbeda, sehingga lebih sulit dibendung dan diblock. |
Jadi, bagaimana cara menghentikan serangan DDoS?
- Identifikasi DDoS Lebih Awal dan Block Aktivitas Mencurigakan
Jika anda menjalankan sendiri server anda, maka anda harus bisa mengidentifikasi kapan anda mendapat serangan. Hal ini dikarenakan lebih cepat anda menyadari bahwa anda terkenda DDoS maka lebih cepat juga anda memulai penanganannya. Dalam posisi ini akan lebih baik jika anda familiar dengan trafik masuk ke server anda, lebih anda tau tentang bagaimana trafik yang normal maka lebih mudah juga Anda menemukan kejanggalan.
Jika anda menggunakan server berbasis linux, salah satu cara melakukan pengecekan selain memantau trafik yaitu dengan cara melihat load mesin kita dengan melakukan command w atau uptime.
#w
12:00:36 up 1 day, 20:27, 5 users, load average: 0.70, 0.70, 0.57
Kita dapat menemukan bahwa ada 5 user yang login dan rata-rata beban pada server adalah 0.70. Biasanya jika beban lebih besar dari 5, kita perlu menyelidiki kemungkinan serangan DDoS. Setelah memeriksa beban server, kita perlu menentukan jumlah HTTP process yang berjalan.
Kita dapat menemukan jumlah HTTP process yang berjalan dengan command dibawah.
#ps -aux | grep HTTP | wc -l
Adalah hal normal jika sebuah server besar memiliki sekitar 100 koneksi dalam satu waktu, namun jika jumlah koneksi jauh lebih banyak dari ini maka anda dapat mulai curiga bahwa itu adalah suatu serangan DDoS. Selanjutnya cek sumber serangan yang berlangsung, perlu diingat bahwa kita harus lebih berfokus pada attacker yang berasal dari network yang sama daripada fokus pada salah 1 individual IP. Jalankan command berikut.
#netstat -lpn | grep :80 | awk ‘{print $5}’ | sort
Sekarang cek setiap block IP yang ditampilkan, jika ada lebih dari 30 koneksi dari salah 1 alamat IP maka coba identifikasi alamat tersebut kemudian cek kembali apakah ada serangan lain yang berasal dari network yang sama. Jika ditemukan, maka lakukan langkah berikut (jika menggunakan ConfigServer Security&Firewall).
# csf -d IP address
eg: # csf -d 127.0.0.0
atau
Untuk melakukan block ke range 111.xxx.xxx.xxx, gunakan command berikut.
# csf -d IP range
Eg: # csf -d 111.0.0.0/8
- Cegah Dengan Memperbesar Bandwidth
Masuk akal apabila anda terpikirkan untuk menyediakan bandwidth yang lebih besar pada web server anda, dengan cara ini anda dapat menampung lonjakan trafik yang tak terduga dan tiba-tiba. Namun bahkan jika anda overprision Bandwidth anda 100 persen atau 500 persen tetap tidak dapat menghentikan serangan DDoS skala besar.
- Pertahankan Network Parameter
Ada beberapa langkah teknis yang dapat diambil untuk mengurangi sebagian efek dari serangan, dan beberapa diantaranya cukup sederhana. Misalnya anda dapat:
- Batasi rate pada router untuk mencegah web server dari kewalahan
- Tambahkan filter di dalam router untuk drop paket dari sumber serangan yang jelas
- Timeout koneksi half-open secara lebih agresif
- Drop paket palsu atau cacat
- Atur thresholds dari SYN, ICMP, dan UDP
- Hubungi ISP atau Hosting Provider
Langkah selanjutnya adalah dengan menghubungi ISP (jika anda tidak run web server anda sendiri), beritahu mereka anda sedang menerima serangan dan membutuhkan bantuan. Tergantung pada kekuatan serangan, pihak ISP mungkin sudah mendeteksi serangan tersebut, atau bahkan mereka sendiri kewalahan menghadapi DDoS yang terjadi.
Anda memiliki peluang lebih baik dalam menghadapi DDoS jika web server Anda berlokasi di sebuah ISP atau hosting center, karena umumnya data center memiliki link bandwidth yang lebih tinggi, router yang memiliki kapasitas lebih besar, dan staff yang ada lebih terbiasa menghadapi serangan seperti DDoS. Disamping itu, memiliki web server yang berlokasi diluar juga memberi Anda keuntungan, setidaknya beberapa bagian bisnis Anda (seperti servis email dan VoIP) masih dapat digunakan secara normal.
Langkah pertama yang dilakukan ISP jika ada customer yang terkena DDoS adalah dengan menerapkan null route, jadi setiap paket yang ditujukan pada web server Anda akan di drop sebelum mereka sampai. Hal ini akan sangat merugikan untuk sebuah perusahaan hosting atau ISP jika mengizinkan DDoS masuk ke jaringan mereka, sebab DDoS mengkonsumsi banyak bandwidth dan dapat berefek pada customer lainnya, jadi hal pertama yang diterapkan adalah menerapkan Black Hole sementara pada web server korban.
- Menghubungi Spesialis DDoS
Untuk serangan-serangan yang lebih besar, cara terbaik yang bisa dilakukan agar web server kita bisa terus online adalah dengan cara menggunakan jasa perusahaan spesialis mitigasi DDoS. Organisasi ini memiliki skala infrastruktur yang sangat besar dan teknologi yang bervariasi, termasuk scrubbing data untuk menolong website anda tetap online.
“Jika customer meminta mitigasi untuk DDoS maka kami akan memindahkan trafik ke Black Lotus,” Menurut Dufficy, “Kami melakukannya dengan menerapkan BGP, sehingga hanya memakan beberapa menit.”
Servis mitigasi DDoS tidak gratis, jadi tergantung Anda apakah ingin membayar untuk tetap online atau menerima serangan dan menunggu hingga serangan DDoS berakhir. Melakukan subscribe pada sebuah perusahaan mitigasi DDoS mengeluarkan biaya sekitar beberapa ratus dollar sebulan.
Beberapa contoh perusahaan mitigasi DDoS:
- F5 Networks
- Incapsula
- Akamai
- Arbor Network
- Black Lotus
- CloudFlare
- dll
Inovasi Informatika Indonesia (I3) merupakan authorize partner EC-Council yang menyediakan berbagai jenis kelas training dan sertifikasi di bidang keamanan (security), mulai dari tingkat fundamental sampai tingkat advance.
Pembelajaran lebih lanjut tentang DDoS dapat dipelajari di kelas Certified Ethical Hacker (CEH) yang diadakan oleh EC-Council, dan jika ingin mempelajari lebih lanjut tentang pertahanan di bidang jaringan Certified Network Defender (CND) cukup baik untuk memperdalam ilmu Anda.
Info lebih lengkap tentang training yang tersedia di I-3 dapat dibaca disini atau hubungi langsung tim sales kami.