nstan membutuhkan waktu sepuluh detik untuk dikirim. Insinyur
jaringan mengamati bahwa satu sakelar jaringan inti dipenuhi oleh lonjakan lalu
lintas yang tiba-tiba dari sumber yang tidak dikenal. Untuk mengatasi volume ini
dari penyebab yang tidak diketahui, para insinyur mulai menghancurkan jaringan,
menutup koneksi untuk menyederhanakan arus lalu lintas dalam jaringan dan juga
untuk membantu mengidentifikasi sumber masalah. Kemudian para insinyur akan
mengetahui bahwa menutup bagian jaringan sebenarnya memperburuk masalah.
Ternyata jaringan meronta-ronta sebab sesuatu yang disebut loop protokol pohon
rentang. Arsitektur jaringan rumah sakit mencakup banyak sakelar, yang masing-
masing memakai algoritme pohon rentang, yang pada dasarnya yaitu peta
rute terpendek ke setiap tujuan yang diketahui dalam jaringan. Setiap sakelar
bertanggung jawab untuk menguji koneksinya dan berkomunikasi dengan sakelar
tetangga untuk membangun pohon rentangnya sendiri. namun untuk menghindari
pengulangan tanpa akhir (simpul A menentukan bahwa cara ke simpul C yaitu
pergi dulu ke simpul B, namun simpul B menganggap jalur yang lebih baik yaitu
melalui simpul A, sehingga komunikasi berulang tanpa henti antara simpul A dan
B), algoritma membatasi perhitungan panjang jalur pada tujuh. Di Beth Israel, satu
transfer data yang sangat besar terjebak dalam loop yang lebih panjang yang sangat
memperlambat lalu lintas. namun saat para insinyur mulai memotong sirkuit, tindakan
itu memicu semua sakelar mencoba menghitung ulang jalur pohon rentang
mereka, yang pada gilirannya memperlambat lalu lintas dan memicu para
insinyur memutuskan lebih banyak tautan, yang pada gilirannya memicu lebih
banyak penghitungan ulang sakelar.
Bagian penting dari masalah yaitu bahwa desain jaringan sesuai untuk tahun
1996, saat pertama kali dipasang, namun arsitektur jaringan belum ditingkatkan
untuk memperhitungkan ekspansi besar, sebab Beth Israel membawa beberapa
rumah sakit regional untuk bergabung dengan jaringan TI-nya. , atau untuk kemajuan
teknologi, sebab router menggantikan sakelar di segmen jaringan besar dengan
konektivitas yang kompleks. Jaringan tahun 1996 berfungsi secara memadai pada
tahun 2002 pada saat tekanan rendah, namun ledakan besar lalu lintas jaringan
memFlooding i jaringan, menolak akses cepat ke semua pemakai .
Permintaan tes laboratorium, grafik catatan pasien, pesanan resep, hasil x-ray digital,
catatan tagihan, semua data yang biasanya dapat ditangani dengan mudah secara
elektronik tiba-tiba berhenti bekerja. Pada hari Kamis 14 November administrator
penelitian Kasus 3-16 : Sistem Rumah Sakit Beth Israel-Deaconess Down
191
memutuskan untuk menyerahkan seluruh sistem elektronik untuk memungkinkan
insinyur jaringan akses penuh ke jaringan. Rumah sakit kembali memakai
formulir kertas, jelas lebih lambat dan lebih rumit. Namun meskipun demikian,
jaringan ini sangat padat sehingga sulit untuk memetakan konektivitas dari
25.000 node-nya. Rumah sakit memanggil pemasok peralatan jaringannya, Cisco,
untuk membantu mendesain ulang dan mengimplementasikan kembali jaringannya.
Selama akhir pekan, insinyur rumah sakit dan Cisco menguji komponen dan segmen
dan mengganti sakelar dengan router yang tidak terkena masalah pohon rentang.
Pada Senin 18 November, jaringan baru berkinerja andal dan pemakai kembali
memakai jaringan TI alih-alih kertas.
Insiden ini terjadi pada tahun 2002, namun kerentanannya tetap relevan. Organisasi
enggan untuk mendesain ulang dan mengimplementasikan kembali jaringan kompleks
yang telah berkembang dari waktu ke waktu; biaya dan ketidaknyamanan yaitu dua
motivator kuat untuk mempertahankan status quo. namun saat anggota staf pindah,
orang-orang melupakan arsitektur jaringan dan alasan desain, sehingga pemeliharaan
sering kali terdiri dari meninggalkan segala sesuatunya sendiri sebanyak mungkin.
Seperti yang ditunjukkan oleh contoh ini, strategi itu memiliki rentang hidup yang
terbatas dan sering kali menimbulkan konsekuensi bencana.
Seperti yang ditunjukkan penelitian Kasus 3-16, penolakan layanan dapat muncul dari penyebab yang
berbahaya atau tidak berbahaya. Pada awal insiden, mungkin sulit untuk membedakan antara
serangan yang disengaja dan kegagalan perangkat keras atau perangkat lunak acak. Selanjutnya,
seperti dalam situasi ini, beberapa penyebab, tidak ada satu pun yang cukup memicu masalah,
dapat berinteraksi secara serius. Namun mencari penyebab individu dapat menjadi tantangan bagi
administrator, terutama saat dihadapkan dengan masalah langsung mencoba untuk mendapatkan
sistem yang gagal beroperasi kembali.
Dari tiga penyebab dasar layanan yang gagal—kurangnya kapasitas atau kelebihan beban, akses
yang diblokir, dan komponen yang tidak responsif—kita sekarang bergerak untuk mengidentifikasi
kerentanan yang dapat memicu kegagalan ini.
Lebih Lengkap tentang Serangan Flooding
Jenis serangan denial-of-service berbahaya yang paling umum yaitu Flooding.Sepertinya
memFlooding i korban akan membutuhkan sumber daya yang luar biasa. Namun, mengeksploitasi
kelemahan dalam protokol dan utilitas jaringan dapat menghasilkan penolakan layanan; pada
kenyataannya, beberapa baris kode dari satu komputer dapat menjatuhkan entitas jaringan yang
tampaknya lebih kuat. Pada bagian ini kita memeriksa bagaimana serangan Flooding dirakit.
Sumber Daya Tidak Memadai
Dalam contoh kita tentang guru dan anak-anak berusia enam tahun, guru tidak dapat menangani
tuntutan dari semua siswa: satu per satu, mungkin, namun tidak sekaligus. Satu guru dengan dua
atau tiga siswa mungkin bisa mengatasinya, atau sepuluh guru dengan tiga puluh siswa, namun
tidak satu lawan tiga puluh. Demikian pula dengan sistem komputasi, penyerang dapat mencoba
mengkonsumsi sejumlah besar sumber daya yang langka.
192
Membanjiri korban pada dasarnya yaitu serangan yang tidak canggih, meskipun cara melakukan
flooding bisa menjadi canggih. Cara lain untuk menolak layanan yaitu dengan memblokir akses
ke sumber daya, yang akan kami pertimbangkan selanjutnya.
Kapasitas Tidak Memadai
Jika bandwidth penyerang lebih besar dari korban, penyerang dapat memFlooding i korban dengan
asimetri. Seorang korban selalu berpotensi rentan terhadap penyerang dengan lebih banyak sumber
daya. Contoh sumber daya yang tidak mencukupi mungkin slot dalam Tabel koneksi jaringan, ruang
dalam buffer, atau siklus prosesor. Flooding terjadi sebab bandwidth yang masuk tidak mencukupi
atau sumber daya—perangkat keras, daya komputasi, perangkat lunak, atau kapasitas Tabel —tidak
memadai.
Denial of service terutama terlihat dalam serangan jaringan, di mana penyerang dapat menghabiskan
terlalu banyak bandwidth jaringan yang tersedia. Kami mempertimbangkan kelelahan kapasitas
jaringan berikutnya.
Serangan Jaringan Flooding Disebabkan oleh Kode Berbahaya
Serangan penolakan layanan yang paling primitif yaitu memFlooding i koneksi. Jika penyerang
mengirimi Anda data sebanyak yang dapat ditangani oleh sistem komunikasi Anda, Anda tidak dapat
menerima data lainnya. Bahkan jika paket sesekali mencapai Anda dari orang lain, komunikasi
kepada Anda akan sangat terganggu. Ironisnya, masalah ini diperparah oleh kekokohan protokol
TCP: Jika, sebab kemacetan, paket 1 dan 2 tertunda namun paket 3 berhasil lolos terlebih dahulu,
pengendali protokol akan melihat bahwa 1 dan 2 hilang. Penerima menerima dan menyimpan paket
3, namun pengirim dapat mengirim ulang paket 1 dan 2, yang menambah kemacetan.
Serangan yang lebih canggih memakai atau menyalahgunakan elemen protokol Internet.
Selain TCP dan UDP, ada protokol kelas ketiga, yang disebut ICMP atau Internet Control Message
Protocols. Biasanya dipakai untuk diagnostik sistem, protokol ini tidak terkait aplikasi pemakai .
Protokol ICMP termasuk:
• ping, yang meminta tujuan untuk mengembalikan balasan, dimaksudkan untuk menunjukkan
bahwa sistem tujuan dapat dijangkau dan berfungsi
• echo, yang meminta tujuan untuk mengembalikan data yang dikirim ke sana, dimaksudkan untuk
menunjukkan bahwa tautan koneksi dapat diandalkan (ping sebenarnya yaitu versi echo)
• destination unreachable, yang menunjukkan bahwa alamat tujuan tidak dapat diakses
• sumber quench, yang berarti tujuan menjadi jenuh dan sumber harus menunda pengiriman
paket untuk sementara waktu
Protokol ini memiliki kegunaan penting untuk manajemen jaringan. namun mereka juga dapat
dipakai untuk menyerang suatu sistem. Protokol ditangani dalam tumpukan jaringan, sehingga
serangan mungkin sulit dideteksi atau diblokir pada host penerima. namun keanehan atau kelalaian
dalam protokol atau implementasinya dapat membuka jalan bagi penyerang untuk mengeksploitasi
kelemahan untuk memFlooding i kode yang mendukung fungsi protokol. Kami memeriksa bagaimana
protokol ini dapat dipakai untuk menyerang korban. Dan kami menekankan bahwa paket tidak
diautentikasi: Penyerang dapat memakai paket ping atau gema untuk menjenuhkan jaringan
sama mudahnya seperti administrator memakai nya untuk mengelola kinerja jaringan.
193
Ping Kematian
Ping Kematian (Ping of death) yaitu serangan sederhana, memakai perintah ping yang
biasanya dipakai untuk menguji waktu respons dari sebuah host. sebab ping membutuhkan
penerima untuk menanggapi paket, yang perlu dilakukan penyerang hanyalah mengirim banyak
ping ke korban yang dituju. Serangan dibatasi oleh bandwidth terkecil pada rute serangan, seperti
yang ditunjukkan pada Gambar 3-18. Jika penyerang berada pada koneksi 10 megabyte (MB) dan
jalur ke korban 100 MB atau lebih, secara matematis penyerang saja tidak dapat memFlooding i
korban. namun serangan berhasil jika angkanya dibalik: Penyerang pada koneksi 100 MB pasti dapat
memFlooding i korban 10 MB. Paket ping akan memenuhi bandwidth korban.
(a) Penyerang memiliki bandwidth yang lebih besar
(b) Korban memiliki bandwidth yang lebih besar
Korban
KorbanPenyerang
Penyerang
Gambar 3-18 Serangan Ping
Smurf
Serangan smurf yaitu variasi dari serangan ping. Ia memakai kendaraan yang sama, paket
ping, dengan dua putaran ekstra. Pertama, penyerang memilih jaringan korban tanpa disadari
yang menjadi kaki tangannya. Penyerang memalsukan alamat sumber dalam paket ping sehingga
seolah-olah berasal dari korban, yang berarti penerima akan merespons korban.
Penyerang
Penyerang mengirim broadcast
ECHO request melalui jaringan,
dengan alamat pengembalian
korban Semua host jaringan
membalas korban
Korban jenuh dengan
balasan ECHO pada
jaringan
Korban
Gambar 3-19 Serangan Smurf
Kemudian, penyerang mengirimkan permintaan ini ke jaringan dalam mode siaran dengan menyetel
byte terakhir alamat ke semua 1; paket mode siaran didistribusikan ke semua host di subnetwork.
194
Serangan ini digambarkan pada Gambar 3-19, menunjukkan serangan siaran tunggal yang
dipantulkan kembali pada korban. Dengan cara ini penyerang memakai seluruh subnetwork
untuk melipatgandakan efek serangan.
Echo–Chargen
Serangan echo-charge bekerja antara dua host. Chargen yaitu protokol ICMP yang menghasilkan
aliran paket untuk menguji kapasitas jaringan. Echo yaitu protokol ICMP lain yang dipakai untuk
pengujian; host yang menerima gema mengembalikan semua yang diterimanya ke pengirim.
Penyerang memilih dua korban, A dan B, dan kemudian menyiapkan proses charge pada host A
yang menghasilkan paketnya sebagai paket gema dengan tujuan host B. Jadi, A memFlooding i B
dengan paket gema. namun sebab paket-paket ini meminta penerima untuk mengirimkannya kembali
ke pengirim, host B membalas dengan mengembalikannya ke host A. Seperti yang ditunjukkan pada
Gambar 3-20, rangkaian ini menempatkan infrastruktur jaringan A dan B ke dalam loop tanpa akhir,
sebab A menghasilkan string gema yang B patuh kembali ke A, seperti dalam permainan tenis. Atau,
penyerang dapat menjadikan B sebagai alamat sumber dan tujuan dari paket pertama, sehingga B
menggantung dalam satu lingkaran, terus-menerus membuat dan membalas pesannya sendiri.
Chargen paket yang terisi dengan echo bit on
Meng-Echo kan apa yang baru saja kamu kirim
Meng-Echo kan lagi
Chargen paket lain dengan echo bit on
Chargen paket lain dengan echo bit on
Korban A Korban B
Gambar 3-20 Serangan Echo–Chargen
SYN Flood
Serangan penolakan layanan populer lainnya yaitu Flooding SYN. Serangan ini memakai
paket protokol TCP, membuat sifat berorientasi sesi dari protokol ini bekerja melawan korban. Untuk
protokol seperti Telnet atau SMTP, rekan protokol membuat koneksi virtual, yang disebut sesi, untuk
menyinkronkan sifat interaksi perintah-respons bolak-balik. Sesi dibuat dengan jabat tangan TCP tiga
arah. Setiap paket TCP memiliki bit flag, salah satunya dilambangkan SYN (sinkronisasi) dan satu
dilambangkan ACK (acknowledge). Pertama, untuk memulai koneksi TCP, originator mengirimkan
paket dengan bit SYN aktif. Kedua, jika penerima siap untuk membuat koneksi, ia membalas
dengan paket dengan bit SYN dan ACK aktif. Akhirnya, pihak pertama menyelesaikan pertukaran
untuk mendemonstrasikan saluran komunikasi yang jelas dan lengkap dengan mengirimkan paket
dengan bit ACK aktif, seperti yang ditunjukkan pada Gambar 3-21.
Kadang-kadang paket hilang atau rusak dalam transmisi. Tujuan (yang kita sebut penerima)
mempertahankan antrian yang disebut koneksi SYN_RECV, melacak item-item yang SYN–ACK telah
195
dikirim namun belum ada ACK yang sesuai yang diterima. Biasanya, koneksi ini selesai dalam waktu
singkat. Jika paket SYN–ACK (2) atau ACK (3) hilang, pada akhirnya host tujuan akan mengatur
waktu koneksi yang tidak lengkap dan membuangnya dari antrian tunggu.
Gambar 3-21 Jabat Tangan TCP Tiga Arah
Penyerang dapat menolak layanan ke target dengan mengirimkan banyak permintaan SYN, yang
mana target merespons dengan benar dengan SYN-ACK; namun, penyerang tidak pernah membalas
dengan ACK untuk menyelesaikan koneksi, sehingga mengisi antrian SYN_RECV korban. Biasanya,
antrian SYN_RECV cukup kecil, menampung 10 atau 20 entri. sebab potensi penundaan perutean
di Internet, waktu penahanan tipikal untuk antrian SYN_RECV bisa beberapa menit. Jadi penyerang
hanya perlu mengirim permintaan SYN baru setiap beberapa detik, dan antrian akan terisi.
Penyerang yang memakai pendekatan ini biasanya melakukan satu hal lagi: Mereka memalsukan
alamat pengirim yang tidak ada dalam paket SYN awal. Mengapa? sebab dua alasan. Pertama,
penyerang tidak ingin mengungkapkan alamat sumber sebenarnya jika pelaku harus memeriksa
paket dalam antrian SYN_RECV untuk mencoba mengidentifikasi penyerang. Kedua, penyerang
ingin membuat paket SYN berbahaya tidak dapat dibedakan dari paket SYN yang sah untuk membuat
koneksi nyata. Memilih alamat sumber yang berbeda (palsu) untuk masing-masing membuatnya
unik, seperti lalu lintas biasa. Paket SYN-ACK ke alamat yang tidak ada menghasilkan respons
ICMP Destination Unreachable, namun ini bukan ACK yang menunggu koneksi TCP. (TCP dan ICMP
yaitu suite protokol yang berbeda, jadi balasan ICMP tidak selalu kembali ke pengendali TCP
pengirim.)
Serangan ini menyalahgunakan fitur sah dari protokol jaringan untuk membanjiri korban, namun fitur
ini tidak dapat dinonaktifkan sebab memiliki tujuan yang diperlukan dalam rangkaian protokol.
Namun, kapasitas jaringan yang luar biasa bukan satu-satunya cara untuk menolak layanan. Di
bagian selanjutnya kita akan memeriksa serangan yang menghabiskan sumber daya lain yang
tersedia.
3.4.2 Flooding Jaringan dengan Resource Exhaustion
Komputer mendukung banyak aplikasi dengan membagi waktu antar aplikasi; penelitian sistem
operasi telah membantu orang merancang algoritme yang efektif untuk memutuskan berapa banyak
(berapa proporsi) waktu pemrosesan untuk dialokasikan ke aplikasi mana. Berpindah dari satu
aplikasi ke aplikasi lain, yang disebut pengalihan konteks, membutuhkan waktu dan memori sebab
status aplikasi saat ini disimpan dan status aplikasi berikutnya dimuat ulang. Nilai register harus
196
ditulis ke memori, aktivitas asinkron yang luar biasa harus diselesaikan, dijatuhkan atau direkam,
dan memori harus dipertahankan atau dibebaskan. Jika ada sedikit proses aktif dan sedikit sakelar
konteks, overhead untuk setiap sakelar dapat diabaikan, namun dengan meningkatnya jumlah proses
aktif, proporsi waktu yang dihabiskan dalam pengalihan konteks juga bertambah, yang berarti
proporsi waktu untuk komputasi aktual berkurang. Dengan terlalu banyak proses, sistem dapat
memasuki keadaan yang disebut thrashing, di mana kinerjanya gagal sebab pengalihan konteks
yang hampir terus menerus.
Waktu bukan satu-satunya sumber daya yang bisa habis. Buffer untuk email masuk dapat kewalahan
oleh Flooding pesan masuk yang tiba-tiba. Logging dan file log dapat diFlooding i oleh sejumlah besar
kesalahan atau kondisi kesalahan yang harus ditangani. Buffer untuk merakit kembali komunikasi
yang terfragmentasi juga bisa habis.
Bahkan identifikasi dan otentikasi dapat menjadi rentan dalam serangan kelelahan. Untuk melindungi
dari serangan tebak-tebakan otomatis, beberapa layanan otentikasi menonaktifkan akses akun
untuk sementara atau permanen sesudah beberapa nomor, seperti tiga atau lima, upaya login yang
gagal. Dengan demikian, pemakai jahat dapat memblokir akses dengan berulang kali gagal login
sebagai korban.
Fragmentasi IP: Teardrops
Serangan tetesan air mata menyalahgunakan fitur yang ironisnya dimaksudkan untuk meningkatkan
komunikasi jaringan. Datagram IP jaringan yaitu objek dengan panjang variabel. Untuk mendukung
aplikasi dan kondisi yang berbeda, protokol datagram mengizinkan satu unit data untuk difragmentasi,
yaitu, dipecah menjadi beberapa bagian dan ditransmisikan secara terpisah. Setiap fragmen
menunjukkan panjang dan posisi relatifnya dalam unit data. Ujung penerima menyusun kembali
fragmen-fragmen itu menjadi satu unit data tunggal.
Seperti yang ditunjukkan pada Gambar 3-22, dalam serangan tetesan air mata, penyerang
mengirimkan serangkaian datagram yang tidak dapat disatukan dengan benar. Satu datagram
mungkin mengatakan itu yaitu posisi 0 untuk panjang 60 byte, posisi lain 30 untuk 90 byte, dan
posisi lain 41 untuk 173 byte. Ketiga bagian ini tumpang tindih, sehingga tidak dapat dipasang
kembali dengan benar. Dalam kasus ekstrim, sistem operasi terkunci dengan unit data parsial yang
tidak dapat dipasang kembali, sehingga memicu penolakan layanan.
Penyebab lain penolakan layanan didasarkan pada perutean jaringan: Jika Tabel perutean tidak
lagi mengarah ke suatu situs, situs ini secara efektif tidak dapat dijangkau. Kami menjelaskan
serangan perutean berikutnya.
197
Gambar 3-22 Serangan Teardrops
3.4.3 Denial of Service dengan Kegagalan Addressing
Seperti yang kami jelaskan sebelumnya, cara lain penyerang dapat menolak layanan yaitu dengan
mencegah akses, secara fisik atau logis. Di bagian ini kami mempertimbangkan cara untuk mencegah
data sampai ke korban. Anda dapat melihat bahwa siapa pun yang dapat memutuskan, mengganggu,
atau membebani kapasitas sistem dapat menolak layanan. Ancaman fisik agak jelas dan dijelaskan
kemudian dalam bab ini. Kami mempertimbangkan sebagai gantinya beberapa serangan elektronik
yang dapat memicu penolakan layanan. Di bagian ini kita melihat cara layanan dapat ditolak
dengan sengaja atau tidak sengaja.
Misrouting yaitu serangan yang mencapai dua tujuan. Misalkan alamat rumah tetangga Anda
yaitu 217 Main Street, namun Anda mencatat nomor di rumahnya dan menempatkan 217 di atas
rumah Anda sendiri. Kemudian, semua surat tetangga Anda akan dikirim ke rumah Anda dan
tetangga Anda tidak akan mendapatkannya. Anda akan diposisikan secara ideal untuk memeriksa
(dan mungkin membuka) semua yang seharusnya diterima tetangga Anda, dan Anda akan memblokir
semua pengiriman ke tetangga Anda. Perubahan pengalamatan ini akan memfasilitasi intersepsi
dan penolakan layanan. Situasi serupa terjadi dengan alamat jaringan, seperti yang kami jelaskan
sekarang.
Pemalsuan DNS
Inti dari pengalamatan Internet yaitu protokol yang disebut protokol DNS atau Domain Name
System. DNS yaitu database terjemahan nama Internet ke alamat, dan protokol DNS menyelesaikan
nama ke alamat. Untuk efisiensi, server DNS membuat cache dari nama domain yang baru saja
198
dipakai ; dengan serangan yang disebut keracunan DNS, penyerang mencoba memasukkan
entri yang tidak akurat ke dalam cache itu sehingga permintaan di masa mendatang diarahkan ke
alamat yang dipilih penyerang. Permintaan dan respons DNS standar ditunjukkan pada Gambar
3-23, di mana pemakai meminta terjemahan URL microsoft.com, dan server nama merespons
dengan alamat 207.46.197.32.
Gambar 3-23 Menyelesaikan Nama Domain ke Alamat
Layanan DNS diimplementasikan pada server jarak jauh, sehingga serangan man-in-the-middle
melibatkan penyerang yang mencegat dan membalas kueri sebelum server DNS sebenarnya dapat
merespons. Situasi seperti itu, yang disebut DNS spoofing, ditunjukkan pada Gambar 3-24. Dalam
contoh itu, penyerang dengan cepat merespons dengan alamat 7.0.1.1 (mungkin alamat yang
dikendalikan oleh penyerang). Dengan perubahan itu, penyerang dapat masuk ke tengah komunikasi
pemakai dengan www.microsoft.com, meneruskan apa pun yang diinginkan penyerang ke situs
web Microsoft yang sebenarnya. Browser pemakai mengabaikan respons yang benar dari server
DNS yang datang sesudah browser menerima alamat palsu dari penyerang.
Gambar 3-24 Resolusi Alamat yang Melibatkan DNS Spoofing
Perutean Ulang Routing
Salah satu contoh serangan man-in-the-middle melibatkan satu node yang mengarahkan ulang
jaringan sehingga semua lalu lintas mengalir melalui node yang menyerang, yang mengarah ke
potensi intersepsi. Router jaringan yaitu konfederasi longgar dari komponen yang saling percaya
yang mengatur pengiriman semua data melalui jaringan, termasuk Internet. Penjelasan man-in-the-
middle untuk router agak rumit, jadi kami menyajikan versi sederhana yang menyoroti peran tengah;
untuk deskripsi yang lebih lengkap tentang fenomena ini.
199
Setiap router mengirim pesan ke router lain, daftar alamat yang memiliki jalur; router lain kemudian
menambahkan jalur mereka dan meneruskan daftar yang diperluas ke router lain juga. Dengan cara
ini, semua router mempelajari koneksi router lain. Pada Gambar 3-25, empat router mengontrol
empat subnet: A mengontrol subnet 10.0.0.0; B, 20.0.0.0, dan seterusnya. A berdekatan dengan
B, B berdekatan dengan C, dan T yaitu router lain yang tidak berdekatan dengan salah satu dari
tiga lainnya. A mengiklankan ke tetangganya bahwa jaraknya 1 dari mesin mana pun di subnet
10.0.0.0.
Gambar 3-25 Router Mengiklankan Subnetnya
sebab B baru mengetahui bahwa router A hanya berjarak 1 dari subnet 10.0.0.0, B mengiklankan
ke tetangganya A dan C bahwa jarak 1 dari subnetnya sendiri dan jarak 2 dari subnet 10.0.0.0,
seperti yang ditunjukkan pada Gambar 3-26. Tentu saja, A tidak peduli bahwa ia dapat mencapai
alamat 10.0.0.0 dengan melewati B; itu akan menjadi loop yang tidak masuk akal, namun itu mencatat
bahwa B yaitu jalur terdekat ke alamat 20.0.0.0.
Gambar 3-26 Router Mengiklankan Subnetnya Sendiri dan Subnet Tetangganya
Gambar 3-27 menunjukkan bagaimana C mengambil apa yang baru saja dipelajari dari B dan
menyiarkannya ke router lain yang berdekatan dengannya. Dengan cara ini, router mengumumkan
kemampuannya di seluruh jaringan. Seiring waktu, router berbagi informasi yang merinci topologi
jaringan lengkap. Setiap router memelihara Tabel tujuan dan langkah selanjutnya, jadi jika C memiliki
sesuatu untuk subnetwork 10.0.0.0, Tabel nya akan menunjukkan bahwa ia harus meneruskan
aliran data ini ke B.
200
Gambar 3-27 Router Menyebarkan Informasi Routing
Pada Gambar 3-28 kami sedikit memperumit adegan dengan menambahkan lebih banyak router; untuk
kesederhanaan kami tidak menunjukkan subnetwork mereka. Semua router ini akan mengiklankan
konektivitas mereka, dari mana mereka dapat menentukan jalur terpendek antara setiap pasangan
titik. Perhatikan bahwa A agak terisolasi dari T; jalur terpendeknya yaitu B-N-P-Q-T.
Gambar 3-28 Diagram Konektivitas Router yang Lebih Kompleks
Router beroperasi pada kepercayaan implisit; apa yang dilaporkan router diyakini benar. Namun,
router terkadang mengalami malfungsi atau administratornya memasukkan data yang tidak akurat,
sehingga Tabel perutean dapat rusak sebab penyebab yang tidak berbahaya (dan berbahaya).
Dalam contoh kita, jika router A mengiklankan jarak 1 dari subnetwork 90.0.0.0, sebagian besar lalu
lintas ke subnetwork ini akan dirutekan ke A, sebab jarak ini akan mengalahkan jalur
apa pun kecuali T itu sendiri. Jika A menerima lalu lintas itu, ia dapat dengan mudah mencegat dan
memodifikasi lalu lintas apa pun ke jaringan itu, sehingga router jahat dalam jaringan dapat memicu
serangan man-in-the-middle dengan cara ini.
201
Router Mengambil alih Jaringan
Pada konferensi Defcon 2008, sebagian besar peserta tidak menyadari bahwa dua peneliti telah
mengubah rute jaringan nirkabel konferensi melalui peralatan mereka. Para peneliti, Pilosov dan
Kapela [PIL08] menjelaskan dan mendemonstrasikan serangan mereka. Meskipun serangannya
lebih mendetail dibandingkan yang ingin kami sajikan di sini, serangan ini memperluas pendekatan
yang baru saja dijelaskan. Makalah lain (seperti [HEP09, KUH07, dan BEL89]) telah membahas
kerentanan serupa.
Router mengomunikasikan jalur yang tersedia dengan protokol BGP (Border Gateway), yang
kompleks, sehingga serangan terhadapnya canggih namun tentu saja layak. Detail seperti waktu
dan nomor urut harus ditangkap dan dipakai dengan benar agar pembaruan BGP dapat dikenali
dan diterima oleh seluruh jaringan. Selain itu, serangan pada protokol bergantung pada perangkat
yang berada di "ujung" subjaringan, yaitu, terhubung langsung ke dua subjaringan yang berbeda.
Meskipun penyerang dapat mewakili berada di tepi subnetwork lokal, misalnya, jaringan nirkabel
di hotel atau laboratorium, lebih sulit untuk mewakili berada di tepi subnetwork yang lebih besar,
misalnya, meniru ISP dalam koneksi langsung ke Internet. Namun, penyerang yang berhasil dapat
mengalihkan, membaca, menyalin, memodifikasi, atau menghapus semua lalu lintas jaringan yang
diserang.
Source Routing dan Spoofing Addressing
Lalu lintas internet biasanya menempuh rute terbaik yang tersedia; yaitu, setiap router menentukan
jalur terbaik berikutnya (disebut hop berikutnya) untuk mengarahkan unit data. Namun, pengirim,
memakai proses yang disebut perutean sumber, dapat menentukan beberapa atau semua
titik perantara di mana unit data ditransfer. Dengan perutean sumber yang ketat, jalur lengkap
dari sumber ke tujuan ditentukan; dengan perutean sumber yang longgar, titik perantara tertentu
(beberapa atau semua) yang diperlukan ditentukan.
Salah satu pemakaian perutean sumber yaitu untuk menguji atau memecahkan masalah router
dengan memaksa lalu lintas untuk mengikuti jalur tertentu yang kemudian dapat dilacak oleh
seorang insinyur. pemakaian perutean sumber yang lebih kejam yaitu memaksa data mengalir
melalui perute jahat atau tautan jaringan. Jelas, menambahkan perutean sumber ke aliran data
memungkinkan orang di tengah untuk memaksa lalu lintas mengalir melalui routernya. sebab
potensi penyalahgunaannya, perutean sumber longgar diblokir oleh banyak perute Internet.
3.4.4 PengalihanTraffic
Seperti yang kita lihat sebelumnya, pada lapisan jaringan, router yaitu perangkat yang meneruskan
lalu lintas dalam perjalanannya melalui jaringan perantara antara jaringan host sumber dan jaringan
tujuan. Jadi jika penyerang dapat merusak perutean, lalu lintas dapat hilang.
Router memakai algoritma yang kompleks untuk memutuskan bagaimana merutekan lalu
lintas. Apa pun algoritmanya, mereka pada dasarnya mencari jalur terbaik (di mana "terbaik" diukur
dalam beberapa kombinasi jarak, waktu, biaya, kualitas, dan sejenisnya). Router hanya mengetahui
router yang mereka gunakan untuk berbagi koneksi jaringan langsung, dan mereka memakai
protokol gateway untuk berbagi informasi tentang kemampuan mereka. Setiap router memberi
202
tahu tetangganya tentang seberapa baik ia dapat mencapai alamat jaringan lain. sifat ini
memungkinkan penyerang untuk mengganggu jaringan.
Untuk melihat caranya, perlu diingat bahwa terlepas dari kecanggihannya, router hanyalah sebuah
komputer dengan dua atau lebih antarmuka jaringan. Misalkan router mengiklankan ke tetangganya
bahwa ia memiliki jalur terbaik ke setiap alamat lain di seluruh jaringan. Segera semua router akan
mengarahkan semua lalu lintas ke satu router itu. Satu router mungkin keFlooding an, atau mungkin
hanya menurunkan banyak lalu lintasnya. Dalam kedua kasus, banyak lalu lintas tidak pernah
sampai ke tujuan yang diinginkan.
Seperti yang kami sebutkan sebelumnya, router saling percaya untuk menyediakan data yang akurat.
Kadang-kadang, sebab korupsi yang tidak berbahaya, router akan mengirim data yang salah,
namun kegagalan sporadis ini memiliki efek lokal dan sembuh sendiri dari waktu ke waktu berkat
keandalan jaringan. Namun, router yang sengaja menyesatkan (atau perangkat yang menyamar
sebagai router) dapat bertahan sebab kepercayaan implisit. Seperti yang Anda ketahui, tindakan
pencegahan standar untuk mengecualikan penipu yaitu identifikasi dan otentikasi. namun untuk
efisiensi, protokol komunikasi router dirancang tanpa otentikasi. Hanya sekarang langkah-langkah
otentikasi ditambahkan ke protokol router.
3.4.5 Serangan DNS
Serangan penolakan layanan terakhir kami sebenarnya yaitu kelas serangan berdasar konsep
server nama domain. Server nama domain meminta server nama lain untuk menyelesaikan nama
domain yang tidak diketahuinya. Untuk efisiensi, ia menyimpan jawaban yang diterimanya sehingga
dapat mengubah nama itu lebih cepat di masa mendatang. Alamat yang dipetakan oleh server DNS
dapat disimpan selama berminggu-minggu atau berbulan-bulan.
Flaw pada Server Nama Aplikasi Perangkat Lunak
Dalam implementasi Unix yang paling umum, server nama menjalankan perangkat lunak yang disebut
Berkeley Internet Name Domain, atau BIND, atau bernama (singkatan untuk "nama daemon"). BIND
memiliki banyak kekurangan, termasuk buffer overflow yang sekarang dikenal. Dengan menyalip
server nama atau memicu nya menyimpan entri palsu, penyerang dapat mengalihkan perutean
lalu lintas apa pun, dengan implikasi yang jelas untuk penolakan layanan.
Serangan Domain Top Level
Cara lain untuk menolak layanan melalui kegagalan resolusi alamat melibatkan melumpuhkan
sistem DNS Internet itu sendiri. Pada bulan Oktober 2002, Flooding besar lalu lintas memFlooding i
server DNS domain tingkat atas Internet, server yang membentuk dasar dari struktur pengalamatan
Internet. Ada 13 server domain tingkat atas yang tersebar di seluruh dunia; server ini menerjemahkan
tingkat teratas, atau bagian terakhir dari alamat jaringan: .com, .edu, .fr, .uk, .org, atau .biz bagian
dari URL. Pada serangan tahun 2002, kira-kira setengah dari Flooding lalu lintas datang dari hanya
200 alamat. Meskipun beberapa orang berpikir masalahnya yaitu seperangkat firewall yang salah
konfigurasi, tidak ada yang tahu pasti apa yang memicu serangan itu, dan bahkan apakah itu
serangan atau insiden anomali.
203
Sekali lagi pada tahun 2007, hal serupa terjadi. Pada tanggal 6 Februari 2007, server nama root
DNS diserang dengan dua serangan penolakan layanan besar-besaran selama total enam jam.
Kali ini jelas merupakan serangan, setidaknya sebagian berasal dari kawasan Asia-Pasifik [ICA07].
Dalam situasi ini juga, dampak serangan berkurang secara signifikan sebab , antara tahun 2002
dan 2007, Internet mulai memakai desain baru untuk server nama root.
Disebut anycast, teknologi ini memungkinkan fungsi pencarian tersebar di banyak komputer, bahkan
ratusan. Dengan demikian, serangan pada satu server DNS, atau bahkan sejumlah kecil server,
memiliki dampak yang kecil.
Sebuah serangan pada bulan Maret 2005 memakai cacat pada firewall Symantec untuk
memungkinkan perubahan dalam catatan DNS yang dipakai pada mesin Windows. Namun,
tujuan serangan ini bukanlah penolakan layanan. Dalam serangan ini, cache DNS yang diracuni
mengarahkan pemakai ke situs iklan yang menerima uang dari klien setiap kali pemakai
mengunjungi situs ini . Namun demikian, serangan itu juga mencegah pemakai mengakses
situs yang sah.
Serangan ini mencoba untuk menolak layanan dengan membatasi kemampuan sistem untuk
menyelesaikan alamat. sebab resolusi alamat didistribusikan di Internet, serangan ini cenderung
lebih efektif memicu penolakan layanan lokal dan kurang efektif terhadap segmen besar.
Serangan penolakan layanan sering kali merupakan serangan tingkat kedua. Pertama, penyerang
memasukkan kode serangan ke sistem target dan kemudian, sesudah kode ditempatkan,
penyerang memicu kode ini untuk menerapkan serangan penolakan layanan. Selanjutnya
kami mempertimbangkan bagaimana penyerang dapat menyusup ke sistem target untuk memulai
serangan penolakan layanan.
Session Hijack
Dalam serangan pembajakan sesi, penyerang memungkinkan pertukaran dimulai antara dua
pihak namun kemudian mengalihkan komunikasi, seperti halnya seorang pria di tengah. Pikirkan,
misalnya, masuk ke situs keuangan, menyelesaikan otentikasi, dan kemudian kehilangan sesi
sebab penyerang. Situs keuangan biasanya terlindungi dengan baik dengan enkripsi, namun situs
lain mungkin rentan, misalnya, situs yang mengomunikasikan catatan medis atau mendukung
interaksi antara siswa dan guru.
Pembajakan sesi difasilitasi oleh elemen desain protokol TCP/IP. Pertama, perhatikan header
protokol IP, seperti yang ditunjukkan pada Gambar 3-29. Bagian penting yaitu byte 12-19, yang
berisi alamat IP sumber dan tujuan. Tujuan dari tujuan itu jelas; sumber diperlukan agar penerima
dapat menghasilkan pesan tanggapan kepada pengirim. Pada titik mana pun di sepanjang perjalanan
dari sumber ke tujuan, penyerang dapat mengubah alamat sumber itu, sehingga mengarahkan
respons ke penyerang, bukan pengirim asli.
Dalam pembajakan sesi, penyerang secara harfiah mencuri koneksi TCP yang sudah ada dengan
menulis ulang alamat sumber dan tujuan.
204
Gambar 3-29 IP Header
Sekarang perhatikan header protokol TCP, seperti yang ditunjukkan pada Gambar 3-30. Seluruh
paket TCP terkandung dalam datagram IP dari Gambar 3-29; dengan demikian semua Gambar
3-29 ada dalam bidang Data (byte 20 dan seterusnya) dari Gambar 3-30.
Gambar 3-30 TCP Header
Jika paket tiba tidak sesuai pesanan, penangan protokol memakai urutan TCP dan nomor
pengakuan, byte 4-11 pada Gambar 3-30, untuk merekonstruksi item data. Protokol TCP dirancang
dengan mempertimbangkan jaringan yang tidak stabil, sehingga berisi fitur untuk mengenali dan
memperbaiki kesalahan, tidak hanya kerusakan pada data pesan namun juga kerusakan pada data
pengendalian yang ditampilkan di header ini.
Pengirim membuat dan mengirim paket 1, lalu 2, lalu 3, dan seterusnya, dan penerima mengembalikan
paket dengan nomor pengakuan saat paket diterima, seperti yang ditunjukkan pada Gambar 3-31.
Kami menyederhanakan penjelasan sedikit dengan hanya menampilkan urutan dari sudut pandang
klien. Klien mengirimkan pointer buffer saat ini, dan server mengakui pointer yang sama. (Untuk
protokol lengkap, masing-masing mengakui penunjuk terakhir yang lain dan mengirimkan penunjuk
saat ini yang memperhitungkan penerimaan data terbaru.) Jika klien mengirim paket dengan urutan
yang salah dan pasangan nomor pengakuan, ini mengganggu sinkronisasi dan penerima membuang
paket sampai menerima satu yang cocok dengan nomor pengakuan sebelumnya. Jika mereka
205
tidak menyinkronkan ulang, mereka mengakhiri dan membangun kembali sesi. Protokol dengan
demikian menyembuhkan diri sendiri sebab begitu kedua ujungnya disinkronkan ulang, mereka
dapat menentukan pertukaran terakhir yang berhasil dan mentransmisikan ulang dari titik itu ke
depan.
Gambar 3-31 Pertukaran TCP Normal
Penyerang dapat memanfaatkan koreksi ini dengan memasukkan paket yang mempertahankan
sinkronisasi dengan penerima namun menghancurkan sinkronisasi dengan pengirim sebenarnya.
Penyerang dan penerima sekarang disinkronkan ulang dan melanjutkan pertukaran yang dimulai
oleh pengirim asli. Dengan cara ini, seperti yang ditunjukkan pada Gambar 3-32, penyerang diam-
diam menyelinap ke dalam sesi, menggantikan pengirim asli. Paket yang dimasukkan ini yaitu
replay yang dibuat dengan hati-hati oleh seorang pria di tengah. Serangan ini ditemukan oleh Robert
Morris, Sr. dan diperluas oleh Steven Bellovin.
Gambar 3-32 Pembajakan TCP
Sementara itu, seperti yang ditunjukkan pada Gambar 3-33, penyerang mengirimkan perintah RST
(reset) ke pengirim asli, meyakinkan pengirim bahwa penerima telah menutup koneksi asli. Pengirim
206
dapat mencoba membuka koneksi baru dengan penerima, tanpa menyadari bahwa penyerang
melanjutkan sesi sebelumnya. Bergantung pada aplikasi yang sedang berjalan, penyerang dapat
menerima pengirim sebagai pemakai baru (mungkin mengharuskan pemakai untuk mengautentikasi
ulang) atau menolak pemakai sebab menduplikasi koneksi yang sudah berlangsung.
Gambar 3-33 Mengatur Ulang Pengirim Asli
Jadi, dengan serangan pembajakan sesi, penyerang dapat meluncur ke aliran komunikasi yang
sedang berlangsung tanpa terlihat jelas oleh salah satu dari dua pihak asli; komunikasi berlanjut
dengan penyerang menggantikan pengirim asli, sementara pengirim itu dihentikan. sebab kehilangan
koneksi sesaat terjadi sebab banyak alasan yang tidak berbahaya, pemakai cenderung tidak
mencurigai adanya serangan dalam situasi ini; sesi sering dibuat kembali oleh penangan protokol
jaringan tanpa sepengetahuan pemakai .
Penyerang hanya menyatu dengan aliran komunikasi, mengambil alih interaksi dari pengirim asli.
Serangan berhasil sebab penyerang dapat melihat dan memanipulasi header TCP dan IP, namun
tentu saja ini perlu terlihat di seluruh jaringan sebab itulah yang memungkinkan lalu lintas dikirimkan.
Namun, kami menunjukkan di bagian berikutnya, cara untuk melindungi dari pembajakan, baik
dengan menyembunyikan data penghubung di dalam aplikasi maupun dengan menyembunyikan
data header.
Keracunan Cache DNS
Serangan keracunan cache DNS yaitu cara untuk menumbangkan pengalamatan untuk
memicu server DNS mengarahkan klien ke alamat yang ditentukan. Serangan keracunan
DNS secara konseptual sederhana yaitu memalsukan pesan ke pencatat DNS, meminta nama
domain tertentu diubah dari satu alamat ke alamat lainnya. Permintaan ini biasanya terjadi saat
situs web dipindahkan dari satu penyedia hosting ke penyedia hosting lainnya atau saat organisasi
mengubah struktur alamatnya. Namun, penyerang jahat dapat memakai permintaan perubahan
207
DNS untuk mengarahkan lalu lintas yang ditujukan untuk nama domain tertentu. sebab persyaratan
otentikasi yang kuat, pendaftar jarang menyerah pada pemalsuan seperti itu.
Serangan yang lebih mungkin yaitu memakai pesan protokol DNS yang dengannya semua
server nama Internet mengoordinasikan terjemahan alamat mereka. Dan Kaminsky [KAM08]
memperluas beberapa metode yang diketahui sebelumnya untuk meracuni cache DNS. Protokol
DNS rumit, namun Anda tidak perlu memahami detailnya untuk menghargai serangan ini.
Klien yang memerlukan alamat yang sesuai dengan nama domain mengirimkan kueri ke server
nama DNS lokalnya. Jika server ini tidak memiliki jawabannya, ia akan meneruskan kueri ke
server nama root; kueri diteruskan ke server nama yang lebih spesifik sampai pelaku membalas
secara otoritatif dengan alamatnya. Alamat itu disebarkan melalui rantai server yang terlibat dalam
menyelesaikan kueri dan akhirnya kembali ke klien. Server di sepanjang jalan men-cache respons
sehingga mereka dapat merespons langsung ke kueri di masa mendatang untuk alamat yang
sama.
Kaminsky melihat kekurangan dalam perkembangan ini: yaitu, kueri ini tetap terbuka hingga dijawab
dan bahwa respons yang cocok dengan nomor ID untuk kueri akan di-cache. Jika penyerang
dapat menebak urutan nomor ID kueri, penyerang dapat memalsukan respons yang memenuhi ID
kueri terbuka; balasan palsu itu dapat memberikan alamat apa pun sebagai tanggapan. Sampai
tanggapan dihapus dari cache, semua lalu lintas untuk alamat yang diminta akan diarahkan ke
alamat yang diberikan dalam balasan palsu. Jadi, dengan memprediksi nomor urut dengan benar
dan menghasilkan lalu lintas jaringan ke server nama tertentu, penyerang dapat mengarahkan lalu
lintas secara diam-diam ke alamat yang dipilih. Dalam keracunan cache, konversi DNS nama-ke-
alamat yang salah ditempatkan dan tetap dalam cache terjemahan.
Contoh ini menunjukkan kerentanan nomor urut yang dapat diprediksi. Penanggulangan untuk jenis
serangan ini yaitu serangkaian nomor urut yang tidak dapat diprediksi, sebaiknya diambil dari
berbagai kemungkinan.
Selama bertahun-tahun, badan pengatur Internet telah bekerja untuk menerapkan perlindungan
terhadap serangan replay dan pembajakan ini . Tujuan ini ditangani dengan DNSSEC,
ekstensi keamanan DNS. Pada bulan Juni 2010, server DNS root pertama diberi kunci pribadi
untuk menandatangani catatan DNS; server root lainnya akan diberikan kunci. Setiap catatan DNS
di tingkat root akan ditandatangani dan diterbitkan, bersama dengan kunci publik administrator root,
di DNS itu sendiri. Saat catatan server nama root ditandatangani, server nama lain secara bertahap
akan memperoleh kunci publik dan menandatangani catatan mereka. Pada akhirnya, permintaan
alamat klien juga akan memerlukan perolehan dan pemeriksaan tanda tangan dari semua catatan
yang merupakan bagian dari jalur resolusi nama.
3.4.6 Memanfaatkan Kerentanan yang Diketahui
Penyerang tidak memiliki kekurangan alat untuk memulai serangan. Alat peretas sering kali dimulai
dengan kerentanan yang diketahui, kadang-kadang yang terkenal yang patchnya telah lama tersedia;
orang memiliki kebiasaan gagal menerapkan tambalan ke sistem yang lebih lama atau yang berada
di lokasi terpencil. Kegagalan untuk menambal sistem menjadi masalah serius sebab waktu antara
publisitas mengenai kerentanan dan eksploitasi pertama. Symantec [SYM10] melaporkan bahwa
208
pada tahun 2009, jarak antara pengungkapan dan eksploitasi rata-rata kurang dari satu hari untuk
28 kerentanan yang ditambal Microsoft di Internet Explorer; eksploitasi muncul rata-rata dua hari
sesudah kerentanan diketahui. Jendela antara hari patch tersedia dan hari kerentanan pertama kali
dieksploitasi memang sangat singkat. Selanjutnya, pada tahun 2009, Symantec mengidentifikasi
12 eksploitasi zero-day. Eksploitasi zero-day yaitu eksploitasi yang terjadi sebelum kerentanan
diketahui publik dan sebab nya sebelum tambalan tersedia.
Beberapa alat, seperti R-U-Dead-Yet dan EvilGrade, memeriksa banyak kerentanan. Trojan
horse, virus, dan jenis malware lainnya dapat menjadi dasar serangan penolakan layanan. Salah
satu toolkit serangan yang populer namun sangat efektif yaitu Zeus, yang harganya kurang dari
$700 namun juga beredar gratis di bawah tanah hacker. Perusahaan keamanan Symantec telah
mendokumentasikan lebih dari 90.000 varian Zeus [SYM10]. Dalam alat seperti ini, penolakan
layanan terkadang merupakan produk sampingan; alat ini mengeksploitasi kerentanan yang pada
akhirnya memicu sistem crash, sehingga menolak layanan, atau setidaknya mengganggunya.
Seperti yang kami jelaskan nanti dalam bab ini, mengeksploitasi kerentanan sering kali merupakan
langkah pertama dalam mengendalikan komputer penyerang yang kemudian direkrut menjadi
tentara penyerang.
3.4.7 Pemutusan Secara Fisik
Akhirnya, kami mempertimbangkan penyebab penolakan layanan terakhir kami: kegagalan fisik.
Jaringan terdiri dari peralatan, konektor, dan media transmisi, yang mana saja bisa gagal. Kabel yang
rusak, papan sirkuit yang rusak, atau sakelar atau router yang tidak berfungsi dapat memicu
penolakan layanan yang sama berbahayanya dengan serangan peretas. Dan sama seperti penyerang
menyerang tanpa peringatan dan seringkali tanpa penyebab yang jelas, kegagalan perangkat keras
tidak terduga.
Kegagalan Transmisi
Komunikasi gagal sebab berbagai alasan. Misalnya, garis dipotong. Atau gangguan jaringan membuat
paket tidak dapat dikenali atau tidak terkirim. Mesin di sepanjang jalur transmisi gagal sebab alasan
perangkat keras atau perangkat lunak. Perangkat dihapus dari layanan untuk diperbaiki atau diuji.
Perangkat jenuh dan menolak data yang masuk hingga dapat menghapus kelebihannya. Banyak
dari masalah ini bersifat sementara atau diperbaiki secara otomatis (dielakkan) di jaringan utama,
termasuk Internet.
Namun, beberapa kegagalan tidak dapat dengan mudah diperbaiki. Putusnya saluran komunikasi
tunggal ke komputer Anda (misalnya, dari jaringan ke kartu antarmuka jaringan Anda atau saluran
telepon ke modem Anda) hanya dapat diperbaiki dengan membuat tautan alternatif atau memperbaiki
yang rusak. Administrator jaringan akan mengatakan "layanan ke seluruh jaringan tidak terpengaruh,"
tapi itu sedikit menghibur Anda.
Kegagalan Komponen
Komponen, misalnya, router, papan sirkuit, firewall, perangkat pemantauan, perangkat penyimpanan,
dan sakelar, gagal sebab alasan yang tidak diketahui. Usia, cacat pabrik, lonjakan daya, panas, dan
gangguan dapat memengaruhi perangkat keras. Jaringan seringkali merupakan rantai komponen
209
yang rapuh, yang semuanya diperlukan untuk menjaga jaringan tetap beroperasi. Dalam kasus
terburuk, kegagalan komponen apa pun memicu seluruh jaringan gagal. Di penelitian Kasus
3-17 kami menjelaskan bagaimana kegagalan satu atau dua papan sirkuit mempengaruhi Negara
Bagian Virginia.
Kegagalan perangkat keras hampir selalu merupakan kejadian alami. Meskipun kerusakan perangkat
keras yang disebabkan jarang terjadi, itu bukan tidak mungkin. Sebagai contoh, worm Stuxnet yang
sebelumnya dijelaskan di penelitian Kasus 3-7 dapat menjalankan peralatan mekanis sampai pada titik
kegagalan.
Kami telah mempertimbangkan apa yang mungkin disebut serangan penolakan layanan individu,
tindakan yang menonaktifkan satu host atau menolak layanan ke satu alamat atau segmen jaringan.
Misalnya situasi ini disesalkan untuk host atau alamat yang terpengaruh. Meskipun kerusakan
semacam itu dapat melumpuhkan pemakai biasa, instalasi besar seperti perusahaan atau
fasilitas utama pemerintah tidak terpengaruh sebab memiliki kapasitas dan ketahanan yang besar.
Namun, alasan yang lebih serius untuk mempelajari serangan ini yaitu sebab mereka dapat
dipakai sebagai komponen berulang dalam serangan yang jauh lebih besar yang dapat dan
sangat memengaruhi pemakai utama. Di bagian selanjutnya kita mempelajari serangan penolakan
layanan terdistribusi ini.
penelitian Kasus 3-17 : Negara Bagian Virginia Dihentikan sebab Kegagalan TI
Pada tanggal 25 Agustus 2010, layanan komputer untuk 26 dari 89 lembaga Negara
Bagian Virginia gagal, mempengaruhi 13 persen dari server file negara bagian.
Lembaga negara tidak dapat mengakses data yang diperlukan untuk melayani
pelanggan. Mungkin yang paling terpengaruh yaitu Departemen Kendaraan
Bermotor negara bagian, yang tidak dapat mengeluarkan SIM atau kartu identitas.
Departemen Pajak Negara Bagian dan Dewan Pemilihan Negara Bagian juga
terkena dampak yang parah, sebab tidak memiliki akses ke database selama
hampir seminggu; lembaga negara lainnya terpengaruh hingga tiga hari. Selama
pemadaman, Departemen Perpajakan tidak dapat mengakses rekening pembayar
pajak, negara bagian tidak dapat mengeluarkan cek pengangguran, dan tunjangan
kesejahteraan dibayarkan hanya sebab upaya besar oleh karyawan yang bekerja
selama akhir pekan.
Penyebab hilangnya layanan akhirnya ditemukan sebab komponen perangkat
keras yang gagal, khususnya perangkat jaringan area penyimpanan (SAN) EMC.
Ironisnya, perangkat keras ini dimaksudkan untuk meningkatkan keandalan
penyimpanan data dengan mendukung redundansi dan pencadangan umum dan
memungkinkan data dikumpulkan dari berbagai jenis perangkat penyimpanan yang
berbeda. Dalam SAN dua papan sirkuit gagal, memicu hilangnya akses secara
luas; satu papan ditemukan rusak dan, saat diganti, jaringan penyimpanan gagal
begitu parah sehingga seluruh sistem harus dimatikan selama lebih dari dua hari.
Pabrikan mengatakan kegagalan besar seperti itu belum pernah terjadi sebelumnya
dan teknologinya memiliki tingkat keandalan 99,999 persen.
210
saat perangkat keras bekerja kembali, pejabat negara dan teknisi dari Northrop
Grumman, kontraktor negara bagian yang menjalankan seluruh sistem, menemukan
bahwa basis data utama telah rusak dan satu-satunya tindakan yaitu membangun
kembali basis data dari salinan cadangan pada pita. Data yang baru saja dimasukkan—
mewakili 3 persen dari database—hilang secara permanen.
Tidak semua masalah penolakan layanan yaitu akibat dari serangan jahat, namun
konsekuensi penolakan layanan bisa sama parahnya dari penyebab jahat atau tidak
berbahaya.
3.5 Distributed Denial of Service (DDoS)
Distributed Denial of Service atau DoS - Penolakan Layanan Terdistribusi - merupakan serangan
yang terbilang cukup kuat untuk melukai sebuah infrastruktur dari suatu organisasi. Serangan ini
bertujuan untuk mencegah pemakai menikmati layanan yang diberikan suatu server dan pada
akhirnya server ini akan down. Serangan DDoS menghancurkan perusahaan komersial yang
bergantung pada komputasi untuk interaksi pelanggan, serta fungsi back-end seperti manajemen
inventaris dan penjadwalan. Pemerintah terus memindahkan layanan ke web, sehingga akses yang
gagal berarti warga tidak dapat menangani interaksi pemerintah biasa. Kemajuan terbaru dalam
rekam medis elektronik telah membawa keuntungan, namun sebab ketergantungan pada mode
manajemen data itu tumbuh, merawat pasien akan menjadi berbahaya tanpa akses data. Dan
pengendalian perangkat komputerisasi dari lampu lalu lintas ke satelit berarti bahwa kegagalan layanan
dapat memicu komplikasi serius di dunia fisik juga. Untuk alasan ini, kami mengeksplorasi
penyebab dan tindakan pencegahan untuk penolakan layanan.
Serangan penolakan layanan yang baru saja kami jelaskan sangat kuat, dan penelitian Kasus 3-19
menunjukkan kepada kita bahwa banyak yang diluncurkan. namun seorang penyerang dapat membuat
serangan dua tahap yang melipatgandakan efeknya berkali-kali. Efek multiplikasi ini memberikan
kekuatan untuk penolakan layanan terdistribusi.
penelitian Kasus 3-18 : Denial of Service: Apa Perbedaan yang Dibuat Satu Dekade
Berapa banyak aktivitas penolakan layanan yang ada? Seperti kebanyakan insiden
keamanan komputer, statistik representatif yang andal sulit diperoleh sebab tidak
ada pengumpulan data pusat, pendekatan pengambilan sampel bervariasi sehingga
hanya ada sedikit cara untuk membandingkan nilai, dan tidak ada yang tahu populasi
yang dijelaskan oleh hasil ini . Beberapa hasil penolakan layanan dari awal
2000-an dan 2010-an memang menunjukkan perubahan yang tak terbantahkan.
Para peneliti di University of California, San Diego (UCSD) mempelajari jumlah
aktivitas penolakan layanan di Internet. sebab banyak serangan DoS memakai
alamat pengirim fiktif, para peneliti menegaskan bahwa lalu lintas ke alamat yang
211
tidak ada menunjukkan jumlah serangan penolakan layanan. Mereka memantau
ruang alamat yang besar dan tidak terpakai di Internet selama tiga minggu pada
tahun 2001.
Penemuan mereka:
• Lebih dari 12.000 serangan ditujukan pada lebih dari 5.000 target selama periode
tiga minggu.
• Flooding SYN tampaknya menyumbang lebih dari setengah serangan.
• Separuh serangan berlangsung kurang dari sepuluh menit, dan 90 persen
serangan berlangsung kurang dari satu jam.
Steve Gibson dari Gibson Research Corporation (GRC) mengalami beberapa
serangan denial-of-service pada pertengahan 2001. Dia mengumpulkan data
untuk keperluan forensiknya sendiri [GIB01]. Serangan pertama berlangsung
selama 17 jam, dan pada saat itu dia berhasil mengkonfigurasi ulang router yang
menghubungkannya ke Internet untuk memblokir serangan ini . Selama 17 jam
itu dia menemukan situsnya diserang oleh 474 PC berbasis Windows. Serangan
selanjutnya berlangsung 6,5 jam sebelum berhenti dengan sendirinya. Serangan-
serangan ini kemudian diketahui telah diluncurkan oleh seorang anak berusia 13
tahun dari Kenosha, Wisconsin.
Pada akhir dekade, banyak hal telah berubah.
Perusahaan jaringan Arbor Networks mengkhususkan diri dalam menyediakan
produk keamanan jaringan untuk membantu ISP dalam menjaga keamanan
tulang punggung jaringan mereka. sebab aktivitas mereka dengan ISP, mereka
diposisikan untuk mengukur sejumlah besar lalu lintas penolakan layanan. Dalam
sebuah analisis yang mencakup tahun 2009, mereka menghitung lebih dari 350.000
serangan penolakan layanan, yang diterjemahkan menjadi satu serangan setiap 90
detik, di mana lebih dari 20.000 melebihi 1 Gbps (gigabit per detik), ukuran volume
lalu lintas yang diarahkan. pada sasaran yang diserang. Banyak tautan koneksi
Internet organisasi menangani paling banyak 1 Gbps, jadi serangan lebih dari 1
Gbps tidak hanya memFlooding i situs web namun seluruh organisasi target dan mulai
mencadangkan, memFlooding i infrastruktur jaringan ISP. Sebagai perbandingan,
layanan DSL perumahan saat ini mencapai puncak sekitar 3 megabit (1/1000 gigabit)
per detik, dan modem kabel untuk pelanggan perumahan biasanya tidak lebih cepat
dari 30 Mbps. Pada tahun 2010 [ARB10], Arbor Networks menemukan setidaknya
satu serangan yang mencapai 100 Gbps.
Arbor Networks mengamati bahwa serangan yang lebih besar dari 1 Gbps juga
cenderung berlangsung lama. Mereka menemukan bahwa hampir 4.000 serangan
lebih dari 1 Gbps berlangsung selama lebih dari 8 jam, dan sekitar 3.500 di antaranya
lebih dari 4 Gbps dan 2.000 di antaranya lebih dari 10 Gbps berlangsung selama
itu.
212
Hebatnya, volumenya terus meningkat. Menurut sebuah laporan oleh Incapsula
[INC14] pada tahun 2014 serangan 10 Gbps, di ujung atas pada tahun 2009, lemah;
33 persen DDoS melebihi 20 Gbps, dan pada Februari 2014 mereka mencatat
satu serangan yang mencengangkan 180 Gbps. Volume di tingkat jaringan bukan
satu-satunya ukuran pertumbuhan keparahan serangan DDoS. Laporan yang sama
mengGambarkan situs web yang diserang oleh 6 hingga 8 juta permintaan per menit,
yang beberapa situs siap untuk tangani.
Pada akhir 2012, bank AS J.P Morgan Chase, SunTrust, Wells Fargo, dan PNC
terkena serangan DDoS selama beberapa hari, sebab lembaga keuangan dan situs
media berita menjadi sasaran.
Serangan Denial-of-service juga mulai menargetkan aktivitas jaringan tertentu.
Serangan penolakan layanan klasik mencoba menghabiskan seluruh bandwidth
tautan, namun serangan baru-baru ini menargetkan firewall, server DNS, infrastruktur
untuk layanan VoIP, penyeimbang beban, dan sejenisnya. sebab layanan ini
memerlukan komputasi, mereka lebih lambat dan kewalahan oleh volume lalu lintas
yang lebih kecil dibandingkan serangan kelelahan bandwidth sederhana.
Untuk memasang serangan penolakan layanan (atau DDoS) terdistribusi, penyerang melakukan
dua hal, seperti yang diilustrasikan pada Gambar 3-34.
1. Penyerang menanam
Trojan Horse dalam
zombie
2. Zombie menyrang korban
dengan perintah berulang-ulang
Korban
Gambar 3-34 Serangan Denial-of-Service Terdistribusi
Pada tahap pertama, penyerang ingin mengerahkan pasukan mesin yang dikompromikan untuk
menyerang korban. memakai serangan yang mudah (seperti mengeksploitasi buffer overflow
atau menipu pemakai untuk membuka dan menginstal kode yang tidak dikenal dari lampiran email),
dalang menanam Trojan horse pada mesin jarak jauh. Trojan ihorse tu tidak selalu memicu
213
kerusakan yang nyata pada mesin yang terinfeksi; pada kenyataannya, mesin harus tetap sehat
(dan terinfeksi) sehingga dapat berpartisipasi dalam serangan terhadap korban yang sebenarnya.
File kode asing dapat diberi nama untuk editor atau utilitas populer, terikat ke layanan sistem operasi
standar, atau dimasukkan ke dalam daftar proses (daemon) yang diaktifkan saat startup. Tidak peduli
bagaimana itu terletak di dalam sistem, itu mungkin tidak akan menarik perhatian.
Penyerang mengulangi proses ini dengan banyak komputer target. Masing-masing sistem yang
dikompromikan ini kemudian menjadi apa yang dikenal sebagai zombie. pemakai sistem target
melakukan pekerjaan normal mereka, tidak menyadari zombie penduduk. Banyak serangan kerentanan
saat ini mengunduh kode ke mesin yang disusupi untuk mengubahnya menjadi zombie.
Pada titik tertentu penyerang memilih korban dan mengirimkan sinyal ke semua zombie untuk
melancarkan serangan. Kemudian, alih-alih korban mencoba bertahan dari serangan denial-of-
service dari satu host jahat, korban harus mencoba melawan serangan dari banyak zombie yang
semuanya bertindak sekaligus. Tidak semua zombie perlu memakai serangan yang sama;
misalnya, beberapa bisa memakai serangan smurf, dan yang lain bisa memakai SYN
floods untuk mengatasi potensi kelemahan yang berbeda.
3.5.1 Serangan Scripted Denial-of-Service
Selain efek penggandaannya yang luar biasa, serangan denial-of-service terdistribusi merupakan
masalah serius sebab mudah diluncurkan dari skrip. Mengingat kumpulan serangan penolakan
layanan dan metode propagasi, pelaku dapat dengan mudah menulis prosedur untuk menanam
kuda Trojan yang dapat meluncurkan salah satu atau semua serangan penolakan layanan. Alat
serangan DDoS pertama kali muncul pada pertengahan 1999. Beberapa alat DDoS asli termasuk
Tribal Flood Network (TFN), Trin00, dan TFN2K (Tribal Flood Network, edisi tahun 2000). saat
kerentanan baru yang memungkinkan Trojan horse untuk ditanam ditemukan dan saat serangan
penolakan layanan baru ditemukan, alat kombinasi baru muncul. Untuk detail lebih lanjut tentang
topik ini, lihat.
Menurut Tim Tanggap Darurat Komputer AS (CERT), pemindaian untuk menemukan inang yang
rentan (potensial zombie) kini disertakan dalam alat kombinasi; satu alat sekarang mengidentifikasi
zombienya, menginstal kuda Troya, dan mengaktifkan zombie untuk menunggu sinyal serangan.
Symantec mengonfirmasi bahwa paket exploit sekarang menyertakan kode untuk mengubah sistem
yang disusupi menjadi zombie. Pemilihan target (zombie) baru-baru ini sebagian besar dilakukan
secara acak, artinya penyerang tampaknya tidak peduli dengan zombie mana yang mereka infeksi.
Pengungkapan ini sebenarnya yaitu berita buruk sebab artinya tidak ada organisasi atau host
yang dapat diakses yang aman dari serangan. Mungkin sebab jumlahnya sangat banyak dan sebab
pemakai nya dianggap kurang berpengetahuan tentang manajemen dan perlindungan komputer,
mesin berbasis Windows menjadi target serangan yang lebih populer dibandingkan sistem lain. Yang
paling menakutkan yaitu temuan yang telah kami sajikan bahwa waktu semakin singkat antara
penemuan kerentanan dan eksploitasi yang meluas.
penelitian Kasus 3-19 menjelaskan contoh penyerang dengan daya tembak yang lebih besar. Pertempuran
itu bukan satu lawan satu namun banyak lawan satu: Penyerang meminta pasukan agen untuk
menyerang sekaligus dari segala arah. Serangan yang ditemui di bilah sisi terjadi tepat saat komunitas
214
penyerang maju ke mode serangan baru. Penyelidik memahami serangan penolakan layanan biasa;
apa yang dia tidak mengerti pada awalnya yaitu serangan penolakan layanan terdistribusi, di mana
dampaknya dikalikan dengan kekuatan banyak penyerang.
penelitian Kasus 3-19 : Diserang oleh Tentara
Barrett Lyon yaitu seorang hacker putus sekolah yang berubah menjadi konsultan
komputer yang memiliki fokus fenomenal dan paham teknis. Untuk membantu satu
klien memperluas dan menstabilkan jaringan aplikasi web, ia mendapatkan rujukan
yang menghasilkan lebih banyak rujukan.
Perusahaan taruhan online BetCRIS telah diganggu dengan serangan sesekali
yang memFlooding i situs web mereka hingga satu hari, di mana tidak ada petaruh
yang dapat memasang taruhan dan sebab nya BetCRIS tidak menghasilkan uang,
kehilangan bisnis sebanyak $5 juta dalam sehari. Selama musim semi 2003, kepala
BetCRIS mendapat pesan email dari peretas anonim yang memperingatkan bahwa
dia akan membuat BetCRIS terkena serangan penolakan layanan kecuali jika dia
dibayar $500. sesudah membayar, manajer BetCRIS meminta referensi rekan kerja
dan menghubungi Lyon untuk meminta saran. Lyon merekomendasikan membeli
beberapa perangkat keras yang dirancang untuk menangkis serangan semacam
itu; manajer BetCRIS menginstalnya dan merasa aman untuk masa depan.
Pada akhir November, BetCRIS mendapat permintaan lain: Sebuah pesan email
mengumumkan “Situs Anda sedang diserang” dan meminta $40.000 untuk
meninggalkan BetCRIS sendirian selama setahun. Berpikir bahwa solusi yang
direkomendasikan Lyon sudah memadai, manajer BetCRIS mengabaikan permintaan
ini .
Serangan denial-of-service besar-besaran membanjiri mesin tujuan khusus dalam
sepuluh menit, memicu situs BetCRIS mogok; serangan itu juga membanjiri
ISP BetCRIS, yang menjatuhkan BetCRIS sebagai klien untuk menyelamatkan
pelanggannya yang lain. Saat serangan berlangsung, tuntutan berkembang menjadi
$60.000 dan akhirnya $1 juta dolar. Selama waktu ini Lyon menyadari bahwa ini
bukanlah serangan denial-of-service biasa yang diluncurkan dari beberapa mesin,
namun melibatkan ratusan, mungkin ribuan, lebih.
Lyon tahu serangan itu harus memiliki beberapa kesamaan. Dia mencari alamat IP
yang dekat sehingga dia dapat memblokir seluruh rentang, namun hanya menemukan
sedikit. Beberapa serangan mengejar router sementara yang lain tampak seperti
pelanggan biasa. Lyon dengan cepat menulis kode untuk memblokir hal-hal yang
dia bisa dan membeli peralatan untuk menjadi ISP sendiri untuk melayani BetCRIS.
Sementara itu, penyerang mengejar tetangga bisnis BetCRIS di komunitas perjudian
online, serta mantan ISP BetCRIS. sesudah beberapa hari pertempuran bolak-
balik, Lyon menang: Situs web BetCRIS telah dicadangkan, stabil, dan kinerjanya
normal.
215
Bot
saat kekuatan diperlukan, panggil tentara. Dalam situasi ini, tentara yang kami maksud yaitu
jaringan mesin yang siap, bersedia, dan mampu membantu serangan itu. Namun, tidak seperti
tentara sungguhan, baik mesin maupun pemiliknya tidak menyadari bahwa mereka yaitu bagian
dari serangan.
Zombie (atau bot, hacker untuk robot) yaitu mesin yang menjalankan potongan kode berbahaya di
bawah kendali jarak jauh. Objek kode ini yaitu kuda Troya yang didistribusikan ke sejumlah besar
mesin korban. sebab mereka mungkin tidak mengganggu atau membahayakan komputer pemakai
(selain memakan sumber daya komputasi dan jaringan), mereka sering tidak terdeteksi.
Botnet
Botnet merupakan gabungan dari dua kata, yaitu robot dan network. Dilansir dari Wikipedia,
botnet yaitu sekumpulan program yang saling terhubung melalui internet yang berkomunikasi
dengan program-program sejenis untuk melakukan tugas tertentu. Umumnya botnet dipakai
untuk mengirimkan surat elektronik spam, berpartisipasi dalam serangan DDos, atau sebagai fitur
keamanan kanal IRC.
Botnet juga bisa dikatakan sebagai kumpulan aplikasi bot (robot) yang dikonfigurasi agar dapat
berjalan otomatis dalam sebuah jaringan. Tiap komputer yang tergabung dalam jaringan botnet akan
mengoperasikan perintah dari penggerak botnet (bot master) yang dilakukan secara remote. Bisa
disimpulkan bahwa jika komputer telah terinfeksi oleh botnet, maka saat tersambung ke jaringan
komputer ini akan menjalankan perintah yang diberikan oleh bot master.
Botnet, jaringan bot, dipakai untuk serangan penolakan layanan besar-besaran, diimplementasikan
dari banyak situs yang bekerja secara paralel terhadap korban. Mereka juga dipakai untuk spam
dan serangan email massal lainnya, di mana volume email yang sangat besar dari satu titik mungkin
diblokir oleh penyedia layanan pengirim. Contoh operasi botnet dijelaskan di penelitian Kasus 3-20.
penelitian Kasus 3-20 : Awas! KashmirBlack, Botnet yang Dijalankan dari Indonesia,
Serang Situs Web
Semua mengatakan, biaya pertempuran sekitar $ 1 juta, hanya apa yang diinginkan
penyerang sebagai pemerasan. Dalam pertempuran, Lyon belajar banyak tentang
bentuk serangan baru yang baru muncul pada tahun 2003, serangan penolakan
layanan terdistribusi.
Peneliti keamanan dunia maya telah menemukan jaringan botnet besar-besaran
bernama KashmirBlack, dijalankan dari Indonesia, yang telah menyerang situs web
yang menjalankan sistem manajemen konten populer seperti WordPress, Drupal,
dan Joomla!.
Menurut lembaga keamanan siber yang berbasis di AS, Imperva, seperti dikutip
dari www.newkerala.com, Senin (26/10/2020), botnet yang sangat canggih diyakini
216
telah menginfeksi ratusan ribu situs web dengan menyerang platform CMS (content
magement system) yang mendasarinya.
Tujuan utama bot
