Bagi
para penyerang, tidak lah sulit untuk m,elakukan penyerangan, biasanya
penyerang akan di bantu dengan program-program, Program-program DoS itu sendiri
terdiri dari nestea, teardrop, land, boink,jolt dan vadim. Tidak begitu sulit
untuk mendapatkan program-program ini. Berikut ini penjelasan dari macam-macam
penyerangan DoS:
Ping
of Death merupakan jenis serangan yang sudah tidak baru lagi, semua vendor
sistem operasi sudah memperbaiki sistemnya. Jenis serangan ini menggunakan
utility ping yang ada pada sistem operasi komputer. Ping ini digunakan untuk
mengecek waktu yang akan diperlukan untuk mengirim data tertentu dari satu komputer
ke komputerlainnya. Panjang maksimum data menurut TCP protocol IP adalah 65,536
byte.
Selain
itu, paket serangan Ping of Death dapat dengan mudah dispoof atau direkayasa
sehingga tidak bisa diketahui asal sesungguhnya dari mana, dan penyerang hanya
perlu mengetahui alamat IP dari komputer yang ingin diserangnya
Penyerang
dapat mengirimkan berbagai paket ICMP (digunakan untuk melakukan ping) yang
terfragmentasi sehingga waktu paket-paket tersebut disatukan kembali, maka
ukuran paket seluruhnya melebihi batas 65536 byte.Contoh yang sederhana adalah
sebagai berikut: C:\windows>ping -l 65540 Perintah MSDOS di atas melakukan
ping atau pengiriman paket ICMP berukuran 65540 byte ke suatu host/server.
Pada
jenis serangan ini, data yang akan dikirim melebihi panjang maksimum yang
disediakan. Jika sistem tidak siap
pada saat penerimaan data, maka sistem akan hang, crash atau reboot.
Teardrop
Teardrop
attack adalah suatu serangan bertipe Denial of Service (DoS) erhadap suatu server/komputer yang terhubung
dalam suatu jaringan.
Teardrop
attack ini memanfaatkan fitur yang ada di TCP/IP yaitu packet fragmentation
atau pemecahan paket, dan kelemahan yang ada di TCP/IP pada waktu paket-paket
yang terfragmentasi tersebut disatukan kembali. Jenis serangan ini. dikembangkan
dengan cara mengeksplotasi proses disassembly-reassembly paket data. Dalam
jaringan Internet, seringkali data harus di potong kecil-kecil untuk menjamin
reliabilitas & proses multiple akses jaringan. Potongan paket data ini,
kadang harus dipotong ulang menjadi lebih kecil lagi pada saat di salurkan
melalui saluran Wide Area Network (WAN) agar pada saat melalui saluran WAN yang
tidak reliable proses pengiriman data menjadi lebih reliable.
Pada
proses pemotongan data paket yang normal setiap potongan di berikan informasi
offset data yang kira-kira berbunyi “potongan paket ini merupakan potongan 600
byte dari total 800 byte paket yang dikirim”. Program teardrop akan
memanipulasi offset potongan data sehingga akhirnya terjadi overlapping antara
paket yang diterima di bagian penerima setelah potongan-potongan paket ini di
reassembly. Misalnya
ada data sebesar 4000 byte yang ingin dikirim dari komputer A ke komputer B.
Maka, data tersebut akan dipecah menjadi 3 paket demikian:
Di
komputer B, ketiga paket tersebut diurutkan dan disatukan sesua dengan OFFSET
yang ada di TCP header dari masing-masing paket. Terlihat di atas bahwa ketiga
paket dapat diurutkan dan disatukan kembali menjadi data yang berukuran 4000
byte tanpa masalah.
Akibat dari
serangan :
Pada waktu server yang tidak terproteksi menerima
paket-paket Seringkali,
overlapping ini enimbulkan system yang crash, hang & reboot di ujung
sebelah sana.
Penanggulangan :
Server bisa diproteksi dari tipe serangan teardrop ini
dengan paket filtering melalui firewall yang sudah dikonfigurasi untuk memantau
dan memblokir paketpaket yang berbahaya seperti ini.
SYN flood Attack
SYN-Flooding
merupakan network Denial ofService yang memanfaatkan 'loophole' pada saat
koneksi TCP/IP terbentuk. Kernel Linux terbaru (2.0.30 dan yang lebih baru)
telah mempunyai option konfigurasi untuk mencegah Denial of Service dengan
mencegah/menolak cracker untuk mengakses sistem.
Pada kondisi
normal, client akan mengirimkan paket data berupa SYN (synchronization) untuk mensincrokan pada server. Lalu server akan
menerima request dari client dan akan memberikan jawaban ke client berupa ACK (Acknowledgement).
Sebagai tanda bahwa transaksi sudah dimulai (pengiriman & penerimaan data),
maka client akan mengirimkan kembali sebuah paket yang berupa SYN lagi. Jenis
serangan ini akan membajiri server dengan banyak paket SYN. Karena setiap
pengiriman paket SYN oleh client, server pasti akan membalasnya dengan mengirim
paket SYN ACK ke client. Server akan terus mencatat dan membuat antrian backlog
untuk menungu respon ACK dari client yang sudah mengirim paket SYN tadi.
Biasanya memori yang disediakan untuk backlog sangat kecil, . Pada saat antrian backlog ini penuh, sistem tidak akan
merespond paket TCP SYN lain yang masuk – dalam bahasa sederhana-nya sistem
tampak bengong / hang. Sialnya paket TCP SYN ACK yang masuk antrian backlog hanya
akan dibuang dari backlog pada saat terjadi time out dari timer TCP yang
menandakan tidak ada responds dari pengirim.
Land attack
merupakan salah satu jenis serangan SYN, karena menggunakan paket SYN (synchronization)
pada saat melakukan 3-way Handshake untuk membentuk suatu hubungan TCP/IP
antara client dengan server. Namun jenis serangan ini sudah tidak efektif lagi
karena hampir pada setiap sistem sudah di proteksi melalui paket filtering
ataupun firewall.
Berikut ini merupakan langkah –langkah yang akan dilakukan
dalam melancarkan serangan land :
-
pertama-tama client akan mengirimkan sebuah paket pada
server/host. Paket yang dikirim yaitu berupa paket SYN.
-
Setelah itu server/host akan menjawab permintaan dari
client tersebut dengan cara mengirim paket SYN/ACK
(Synchronization/Acknowledgement)
-
Stelah server mengirimkan balasan atas permintaan dari
client, client punt akan kembali menjawab dengan cara mengirimkan sebuah paket
ACK kembali pada server. Dengan demikian
hubungan antara clien dengan server sudah terjalin, sehingga transfer data bisa
dimulai.
-
Client yang bertindak sebagai penyerang akan mengirimkan
sebauh paket SYN ke server yang sudah di Dispoof (direkayasa). Paket data yang
sudah direkayasa tersebut akan berisikan alamat asal (source address) dan port
number asal (alamat dan port number dari server). Dimana akan sama persis
dengan alamat tujuan (destination source) dan nomor port tujuan (destination
port number). Pada saat server/host mengirimkan SYN/ACKK kembali ke pada si
client, maka akan terjadi suatu infinite loop. Karena sebenarnya si server
bukan mengirimkan paket tersebut ke client melainkan pada dirinya sendir.
Akibat dari
serangan :
Seandainya server/host tersebut belum terproteksi
terhadap jenis serangan ini, server akan crash/ hang.
Penanggulangan :
Cara mencegahnya yaitu dengan cara memproteksi sistem
dengan paket filtering atau firewall.
Smurf Attack
Smurf
attack adalah serangan secara paksa pada fitur spesifikasi IP yang kita kenal
sebagai direct broadcast addressing. Seorang Smurf hacker biasanya membanjiri
router kita dengan paket permintaan echo Internet Control Message Protocol
(ICMP) yang kita kenal sebagai aplikasi ping.
Karena alamat IP tujuan pada paket yang dikirim adalah
alamat broadcast dari jaringan anda, maka router akan mengirimkan permintaan
ICMP echo ini ke semua mesin yang ada di jaringan. Kalau ada banyak host di
jaringan, maka akan terhadi trafik ICMP echo respons & permintaan dalam
jumlah yang sangat besar.
Akibat dari serangan :
jika si hacker ini memilih untuk men-spoof alamat IP
sumber permintaan ICMP tersebut, akibatnya ICMP trafik tidak hanya akan
memacetkan jaringan komputer perantara saja, tapi jaringan yang alamat IP-nya
di spoof – jaringan ini di kenal sebagai jaringan korban (victim). Untuk
menjaga agar jaringan kita tidak menjadi perantara bagi serangan Smurf ini,
maka broadcast addressing harus di matikan di router kecuali jika kita sangat
membutuhkannya untuk keperluan multicast, yang saat ini belum 100% di
definikan. Alternatif lain, dengan cara memfilter permohonan ICMP echo pada
firewall.
Penanggulangan :
Untuk menghindari agar jaringan kita tidak menjadi korban
Smurf attack, ada baiknya kita mempunyai upstream firewall (di hulu) yang di
set untuk memfilter ICMP echo atau membatasi trafik echo agar presentasinya
kecil dibandingkan trafik jaringan secara keseluruhan.
UDP
Flood
UDP flood
merupakan serangan yang bersifat connectionless, yaitu tidak memperhatikan
apakah paket yang dikirim diterima atau tidak. flood attack akan menempel pada servis UDP chargen di
salah satu mesin, yang untuk keperluan “percobaan” akan mengirimkan sekelompok
karakter ke mesin lain, yang di program untuk meng-echo setiap kiriman karakter
yang di terima melalui servis chargen. Karena paket UDP tersebut di spoofing
antara ke dua mesin tersebut, maka yang terjadi adalah banjir tanpa henti
kiriman karakter yang tidak berguna antara ke dua mesin tersebut.
Penanggulangan :
Untuk menanggulangi UDP flood, anda dapat men-disable
semua servis UDP di semua mesin di jaringan, atau yang lebih mudah memfilter
pada firewall semua servis UDP yang masuk. Karena UDP dirancang untuk
diagnostik internal, maka masih aman jika menolak semua paket UDP dari
Internet. Tapi jika kita menghilangkan semua trafik UDP, maka beberapa aplikasi
yang betul seperti RealAudio, yang menggunakan UDP sebagai mekanisme
transportasi, tidak akan jalan. Bisa juag dengan menggunakan IDS dan catat dari
log sistem yang biasanya dari port 53, tutp ip address source dan destination.
UDP Bomb Attack
UDP
Bomb attack adalah suatu serangan bertipe Denial of Service (DoS)
terhadap suatu server atau komputer yang terhubung dalam
suatu jaringan. Untuk melakukanserangan UDP Bomb terhadap suatu server, seorang
penyerang mengirim sebuah paket UDP (User Datagram Protocol) yang telah dispoof
atau direkayasa sehingga berisikan nilai-nilai yang tidak valid di field-field
tertentu.
Jika server yang tidak terproteksi masih menggunakan
sistem operasi (operating system) lama yang tidak dapat menangani paketpaket
UDP yang tidak valid ini, maka server akan langsung crash. Contoh sistem
operasi yang bisa dijatuhkan oleh UDP bomb attack adalah SunOS versi 4.1.3a1
atau versi sebelumnya.
Penanggulangan :
Kebanyakan sistem operasiakan membuang paket-paket UDP
yang tidak valid, sehingga sistem operasi tersebut tidak akan crash. Namun,
supaya lebih aman, sebaiknya menggunakan paket filtering melalui firewall untuk
memonitor dan memblokir serangan seperti UDP Bomb attack.
0 komentar:
Posting Komentar