DDoS

Posted on

Serangan DDoS adalah perhatian utama dalam keamanan Internet saat ini. Jelajahi detail tentang bagaimana serangan DDoS berfungsi, dan bagaimana menghentikannya.

Apa itu DDoS Attack

Serangan penolakan layanan (DDoS) terdistribusi terjadi ketika penyerang, atau penyerang, berusaha membuat layanan tidak mungkin untuk dikirimkan. Ini dapat dicapai dengan menggagalkan akses ke hampir semua hal: server, perangkat, layanan, jaringan, aplikasi, dan bahkan transaksi tertentu di dalam aplikasi. Dalam serangan DoS, itu adalah salah satu sistem yang mengirimkan data atau permintaan berbahaya; serangan DDoS berasal dari berbagai sistem.

Umumnya, serangan ini bekerja dengan menenggelamkan sistem dengan permintaan data. Ini bisa jadi mengirimkan begitu banyak permintaan ke server web untuk melayani halaman yang mogok karena permintaan, atau bisa juga database yang terkena kueri dengan volume tinggi. Hasilnya bandwidth internet yang tersedia, kapasitas CPU dan RAM menjadi kewalahan.

Dampaknya dapat berkisar dari gangguan kecil dari layanan yang terganggu hingga mengalami seluruh situs web, aplikasi, atau bahkan seluruh bisnis menjadi offline.

Cara kerja DDoS Attack

Serangan DDoS dilakukan dengan jaringan mesin yang terhubung ke Internet.

Jaringan ini terdiri dari komputer dan perangkat lain (seperti perangkat IoT) yang telah terinfeksi malware, memungkinkannya untuk dikontrol dari jarak jauh oleh penyerang. Perangkat individu ini disebut bot (atau zombie), dan sekelompok bot disebut botnet.

Setelah botnet dibuat, penyerang dapat mengarahkan serangan dengan mengirimkan instruksi jarak jauh ke setiap bot.

Ketika server atau jaringan korban ditargetkan oleh botnet, setiap bot mengirimkan permintaan ke alamat IP target, yang berpotensi menyebabkan server atau jaringan menjadi kewalahan, mengakibatkan penolakan layanan ke lalu lintas normal.

Karena setiap bot adalah perangkat Internet yang sah, memisahkan lalu lintas serangan dari lalu lintas normal bisa jadi sulit.

Cara Mengidentifikasi Serangan DDoS

Gejala serangan DDoS yang paling jelas adalah situs atau layanan tiba-tiba menjadi lambat atau tidak tersedia. Namun karena sejumlah penyebab – lonjakan lalu lintas yang sah – dapat menciptakan masalah kinerja yang serupa, biasanya diperlukan penyelidikan lebih lanjut. Alat analisis lalu lintas dapat membantu Anda melihat beberapa tanda serangan DDoS berikut:

  • Jumlah lalu lintas yang mencurigakan yang berasal dari satu alamat IP atau rentang IP
  • Banjir lalu lintas dari pengguna yang berbagi profil perilaku tunggal, seperti jenis perangkat, lokasi geografis, atau versi browser web
  • Lonjakan permintaan yang tidak dapat dijelaskan ke satu halaman atau titik akhir
  • Pola lalu lintas yang aneh seperti lonjakan pada jam-jam ganjil atau pola yang tampak tidak wajar (misalnya lonjakan setiap 10 menit)

Ada tanda lain yang lebih spesifik dari serangan DDoS yang dapat bervariasi tergantung pada jenis serangannya.

Jenis Serangan DDoS

Berbagai jenis serangan DDoS menargetkan berbagai komponen koneksi jaringan. Untuk memahami bagaimana berbagai serangan DDoS bekerja, perlu diketahui bagaimana koneksi jaringan dibuat.

Sambungan jaringan di Internet terdiri dari banyak komponen atau “lapisan” yang berbeda. Ibarat membangun rumah dari bawah ke atas, setiap lapisan dalam model memiliki tujuan yang berbeda-beda.

Model OSI, yang ditunjukkan di bawah, adalah kerangka kerja konseptual yang digunakan untuk menggambarkan konektivitas jaringan dalam 7 lapisan berbeda.

Meskipun hampir semua serangan DDoS melibatkan banyak sekali perangkat target atau jaringan dengan lalu lintas, serangan dapat dibagi menjadi tiga kategori. Seorang penyerang dapat menggunakan satu atau lebih vektor serangan yang berbeda, atau vektor serangan siklus sebagai tanggapan atas tindakan balasan yang diambil oleh target.

Gejala Serangan DDoS

Serangan DDoS dapat terlihat seperti banyak hal tidak berbahaya yang dapat menyebabkan masalah ketersediaan – seperti server atau sistem yang down, terlalu banyak permintaan yang sah dari pengguna yang sah, atau bahkan kabel yang terputus. Seringkali diperlukan analisis lalu lintas untuk menentukan apa yang sebenarnya terjadi.

Garis Waktu Serangan DDoS

Itu adalah serangan yang akan selamanya mengubah cara pandang serangan denial-of-service. Pada awal tahun 2000, siswa sekolah menengah Kanada Michael Calce, alias MafiaBoy, menghajar Yahoo! dengan serangan penolakan layanan (DDoS) terdistribusi yang berhasil mematikan salah satu pembangkit tenaga web terkemuka saat itu. Selama minggu berikutnya, Calce membidik, dan berhasil mengganggu, situs lain seperti Amazon, CNN, dan eBay.

Tentu saja bukan serangan DDoS pertama, tetapi rangkaian serangan yang sangat publik dan sukses itu mengubah serangan penolakan layanan dari hal baru dan gangguan kecil menjadi pengganggu bisnis yang kuat di benak CISO dan CIO selamanya.

Sejak saat itu, serangan DDoS menjadi ancaman yang terlalu sering terjadi, karena biasanya digunakan untuk membalas dendam, melakukan pemerasan, sebagai sarana aktivisme online, dan bahkan untuk mengobarkan perang dunia maya.

Mereka juga menjadi lebih besar selama bertahun-tahun. Pada pertengahan 1990-an sebuah serangan mungkin terdiri dari 150 permintaan per detik – dan itu sudah cukup untuk menjatuhkan banyak sistem. Hari ini mereka dapat melebihi 1.000 Gbps. Ini sebagian besar didorong oleh ukuran botnet modern.

Pada Oktober 2016, penyedia layanan infrastruktur internet Dyn DNS (Sekarang Oracle DYN) terjebak oleh gelombang kueri DNS dari puluhan juta alamat IP. Serangan itu, dieksekusi melalui botnet Mirai, dilaporkan menginfeksi lebih dari 100.000 perangkat IoT, termasuk kamera IP dan printer. Pada puncaknya, Mirai mencapai 400.000 bot. Layanan termasuk Amazon, Netflix, Reddit, Spotify, Tumblr, dan Twitter terganggu.

Di awal tahun 2018 teknik DDoS baru mulai bermunculan. Pada 28 Februari, layanan hosting kontrol versi GitHub terkena serangan penolakan layanan besar-besaran, dengan 1,35 TB per detik lalu lintas masuk ke situs populer tersebut. Meskipun GitHub hanya dilumpuhkan sebentar-sebentar dan berhasil mengalahkan serangan itu seluruhnya setelah kurang dari 20 menit, skala serangan itu mengkhawatirkan, karena melampaui serangan Dyn, yang memuncak pada 1,2 TB per detik.

Analisis teknologi yang mendorong serangan tersebut mengungkapkan bahwa dalam beberapa hal lebih sederhana daripada serangan lainnya. Sementara serangan Dyn adalah produk dari Mirai botnet, yang membutuhkan malware untuk menyerang ribuan perangkat IoT, serangan GitHub mengeksploitasi server yang menjalankan sistem cache memori Memcached, yang dapat mengembalikan potongan data yang sangat besar sebagai tanggapan atas permintaan sederhana.

Memcache dimaksudkan untuk digunakan hanya di server terlindungi yang berjalan di jaringan internal, dan umumnya memiliki sedikit keamanan untuk mencegah penyerang jahat memalsukan alamat IP dan mengirimkan data dalam jumlah besar ke korban yang tidak menaruh curiga. Sayangnya, ribuan server Memcache berada di internet terbuka, dan telah terjadi peningkatan besar dalam penggunaannya dalam serangan DDoS. Mengatakan bahwa server “dibajak” hampir tidak adil, karena mereka akan dengan senang hati mengirim paket ke mana pun mereka diberi tahu tanpa mengajukan pertanyaan.

Hanya beberapa hari setelah serangan GitHub, serangan DDoS berbasis Memecached lainnya menghantam penyedia layanan AS dengan data 1,7 TB per detik.

Botnet Mirai penting karena, tidak seperti kebanyakan serangan DDoS, botnet memanfaatkan perangkat IoT yang rentan daripada PC dan server, Ini sangat menakutkan ketika orang menganggap bahwa pada tahun 2020, menurut BI Intelligence, akan ada 34 miliar perangkat yang terhubung ke internet, dan mayoritas (24 miliar) akan menjadi perangkat IoT.

Sayangnya, Mirai bukan botnet bertenaga IoT terakhir. Investigasi di seluruh tim keamanan dalam Akamai, Cloudflare, Flashpoint, Google, RiskIQ, dan Team Cymru menemukan botnet berukuran serupa, dijuluki WireX, yang terdiri dari 100.000 perangkat Android yang disusupi di 100 negara. Serangkaian serangan DDoS besar yang menargetkan penyedia konten dan jaringan pengiriman konten mendorong penyelidikan.

Pada 21 Juni 2020, Akamai melaporkan bahwa mereka telah mengurangi serangan DDoS di bank besar Eropa yang mencapai puncaknya pada 809 juta paket per detik (Mpps), volume paket terbesar yang pernah ada. Serangan ini dirancang untuk membanjiri peralatan jaringan dan aplikasi di pusat data target dengan mengirimkan miliaran paket kecil (29 byte termasuk header IPv4).

Peneliti Akamai mengatakan bahwa serangan ini unik karena banyaknya alamat IP sumber yang digunakan. “Jumlah IP sumber yang mendaftarkan lalu lintas ke tujuan pelanggan meningkat secara substansial selama serangan, menunjukkan bahwa itu sangat terdistribusi secara alami. Kami melihat peningkatan 600x jumlah IP sumber per menit, dibandingkan dengan apa yang biasanya kami amati untuk pelanggan ini tujuan, “catat para peneliti.

DDoS Attack Pada Hari Ini

Meskipun volume serangan DDoS telah goyah dari waktu ke waktu, serangan tersebut masih merupakan ancaman yang signifikan. Kaspersky Labs melaporkan bahwa jumlah serangan DDoS untuk Q2 2019 meningkat 32% dibandingkan Q3 2018, terutama karena lonjakan serangan pada bulan September. Untuk tahun 2020, Cloudflare melaporkan bahwa volume serangan DDoS meningkat setiap kuartal kecuali Q4,

Botnet yang baru-baru ini ditemukan seperti Torii dan DemonBot yang mampu meluncurkan serangan DDoS menjadi perhatian, menurut Kaspersky. Torii mampu mengambil alih berbagai perangkat IoT dan dianggap lebih gigih dan berbahaya daripada Mirai. DemonBot membajak cluster Hadoop, yang memberinya akses ke lebih banyak daya komputasi.

Tren mengkhawatirkan lainnya adalah ketersediaan platform peluncuran DDoS baru seperti 0x-booter. Layanan DDos-as-a-service ini memanfaatkan sekitar 16.000 perangkat IoT yang terinfeksi malware Bushido, varian Mirai.

Laporan DDoS dari Imperva menemukan bahwa sebagian besar serangan DDoS pada tahun 2019 relatif kecil. Misalnya, serangan lapisan jaringan biasanya tidak melebihi 50 juta PPS. Penulis laporan mengaitkan hal ini dengan layanan sewaan DDoS, yang menawarkan serangan tak terbatas tetapi kecil. Imperva memang melihat beberapa serangan yang sangat besar pada tahun 2019 termasuk serangan lapisan jaringan yang mencapai 580 juta PPS dan serangan lapisan aplikasi yang mencapai puncaknya pada 292.000 RPS dan berlangsung selama 13 hari.

Tren itu berubah pada Q4 2020 ketika Cloudflare melaporkan “peningkatan besar-besaran” dalam jumlah serangan lebih dari 500Mbps dan 50K pps. Serangan tersebut juga menjadi lebih gigih dengan hampir 9% serangan yang diamati antara Oktober dan Desember berlangsung lebih dari 24 jam.

Cloudflare juga mengamati apa yang disebut “tren mengganggu” dalam peningkatan jumlah serangan RDDoS pada tahun 2020, di mana organisasi menerima ancaman serangan DDoS yang akan mengganggu operasi mereka kecuali uang tebusan dibayarkan. Pihak jahat cenderung menargetkan korban yang kurang mampu merespon dan pulih dari serangan semacam itu.

Alat Serangan DDoS

Biasanya, penyerang DDoS mengandalkan botnet – kumpulan jaringan sistem yang terinfeksi malware yang dikontrol secara terpusat. Titik akhir yang terinfeksi ini biasanya adalah komputer dan server, tetapi semakin banyak menjadi IoT dan perangkat seluler. Penyerang akan memanen sistem ini dengan mengidentifikasi sistem rentan yang dapat mereka infeksi melalui serangan phishing, serangan malvertising, dan teknik infeksi massal lainnya. Semakin banyak, penyerang juga akan menyewa botnet ini dari mereka yang membuatnya.

Bagaimana Serangan DDoS Berevolusi

Seperti yang disebutkan secara singkat di atas, serangan ini menjadi lebih umum dilakukan oleh botnet sewaan. Harapkan tren ini terus berlanjut.

Tren lainnya adalah penggunaan beberapa vektor serangan dalam sebuah serangan, juga dikenal sebagai APDoS Penolakan Layanan Persisten Lanjutan. Misalnya, serangan APDoS mungkin melibatkan lapisan aplikasi, seperti serangan terhadap database dan aplikasi serta secara langsung di server. “Ini lebih dari sekadar ‘banjir’,” kata Chuck Mackey, direktur pengelola kesuksesan mitra di Binary Defense.

Selain itu, Mackey menjelaskan, penyerang sering kali tidak hanya menargetkan korbannya secara langsung, tetapi juga organisasi tempat mereka bergantung seperti ISP dan penyedia cloud. “Ini adalah serangan dengan jangkauan luas dan berdampak tinggi yang terkoordinasi dengan baik,” katanya.

Ini juga mengubah dampak serangan DDoS pada organisasi dan memperluas risikonya. “Bisnis tidak lagi hanya mementingkan serangan DDoS pada diri mereka sendiri, tetapi serangan terhadap sejumlah besar mitra bisnis, vendor, dan pemasok yang diandalkan oleh bisnis tersebut,” kata Mike Overly, pengacara keamanan siber di Foley & Lardner LLP. “Salah satu pepatah tertua dalam keamanan adalah bahwa bisnis hanya seaman tautan terlemahnya. Dalam lingkungan saat ini (seperti yang dibuktikan dengan pelanggaran baru-baru ini), tautan terlemah dapat menjadi, dan seringkali, salah satu pihak ketiga, ”katanya.

Tentu saja, saat penjahat menyempurnakan serangan DDoS mereka, teknologi dan taktik tidak akan berhenti. Seperti yang dijelaskan oleh Rod Soto, direktur riset keamanan di JASK, penambahan perangkat IoT baru, peningkatan pembelajaran mesin, dan AI akan berperan dalam mengubah serangan ini. “Penyerang pada akhirnya akan mengintegrasikan teknologi ini ke dalam serangan juga, membuatnya lebih sulit bagi pembela untuk mengejar serangan DDoS, khususnya yang tidak dapat dihentikan oleh ACL atau tanda tangan sederhana. Teknologi pertahanan DDoS juga harus berkembang ke arah itu, ”kata Soto.

Leave a Reply

Your email address will not be published. Required fields are marked *