Serangan kegagalan layanan
Dalam komputasi, sebuah serangan denial-of-service (serangan DoS) adalah serangan dunia maya di mana pelaku berupaya membuat mesin atau sumber daya jaringan tidak tersedia bagi pengguna yang dituju dengan mengganggu layanan host yang terhubung ke Internet untuk sementara atau tanpa batas. Denial of service biasanya dicapai dengan membanjiri mesin atau sumber daya yang ditargetkan dengan permintaan yang berlebihan dalam upaya untuk membebani sistem dan mencegah beberapa atau semua permintaan yang sah agar tidak terpenuhi.[1]
Dalam sebuah serangan penolakan layanan secara terdistribusi (serangan DDoS), Lalu lintas masuk yang membanjiri korban berasal dari berbagai sumber. Ini secara efektif membuat tidak mungkin menghentikan serangan hanya dengan memblokir satu sumber.
Serangan DoS atau DDoS dapat dianalogikan dengan sekelompok orang yang memenuhi pintu masuk toko, sehingga menyulitkan pelanggan yang sah untuk masuk, sehingga mengganggu perdagangan. [2]
Pelaku kriminal serangan DoS sering menargetkan situs atau layanan yang dihosting di server web profil tinggi seperti bank atau gateway pembayaran kartu kredit. Balas dendam, pemerasan[3][4][5] dan aktivisme[6] dapat memotivasi serangan ini.
Sejarah
Telegram Hong Kong
Selama protes anti-ekstradisi Hong Kong pada Juni 2019, aplikasi perpesanan Telegram menjadi sasaran serangan DDoS, yang bertujuan mencegah pengunjuk rasa menggunakannya untuk mengoordinasikan gerakan. Para pendiri Telegram telah menyatakan bahwa serangan ini tampaknya dilakukan oleh "aktor seukuran negara" melalui alamat IP yang berasal dari China.[7]
Wikipedia down
Pada tanggal 6 dan 7 September 2019, Wikipedia diretas oleh serangan DDoS di Jerman dan beberapa bagian Eropa. Pengguna media sosial, sambil menunggu pemulihan Wikipedia, membuat sebuah "hashtag", #WikipediaDown, di Twitter dalam upaya menarik perhatian publik.[8]
Jenis
Serangan Denial-of-service ditandai dengan upaya eksplisit oleh penyerang untuk mencegah penggunaan layanan yang sah. Ada dua bentuk umum serangan DoS: serangan yang merusak layanan dan yang membanjiri layanan. Serangan paling serius adalah terdistribusi.[9]
Penolakan Layanan secara Terdistribusi (DDoS)
Serangan penolakan Layanan secara Terdistribusi (DDoS) terjadi ketika beberapa sistem membanjiri bandwidth atau sumber daya sistem yang ditargetkan, biasanya satu atau lebih server web.[9] Serangan DDoS menggunakan lebih dari satu alamat IP atau mesin unik, sering kali dari ribuan host yang terinfeksi malware.[10][11] Serangan penolakan layanan terdistribusi biasanya melibatkan lebih dari sekitar 3-5 node pada jaringan yang berbeda; node yang lebih sedikit mungkin memenuhi syarat sebagai serangan DoS tetapi bukan merupakan serangan DDoS.[12][13]
Beberapa mesin dapat menghasilkan lebih banyak lalu lintas serangan daripada satu mesin, beberapa mesin penyerang lebih sulit untuk dimatikan daripada satu mesin penyerang, dan bahwa perilaku setiap mesin penyerang dapat lebih tersembunyi, sehingga lebih sulit untuk dilacak dan dimatikan. Sejak arus masuk membanjiri korban berasal dari berbagai sumber, mungkin mustahil untuk menghentikan serangan hanya dengan menggunakan ingress filtering. Hal ini juga menyulitkan untuk membedakan lalu lintas pengguna yang sah dari lalu lintas serangan ketika tersebar di beberapa titik asal. Sebagai alternatif atau augmentasi dari DDoS, serangan mungkin melibatkan pemalsuan alamat pengirim IP (spoofing alamat IP) lebih memperumit mengidentifikasi dan mengalahkan serangan itu. Keunggulan penyerang ini menimbulkan tantangan bagi mekanisme pertahanan. Misalnya, hanya membeli lebih banyak bandwidth masuk daripada volume serangan saat ini mungkin tidak membantu, karena penyerang mungkin dapat menambahkan lebih banyak mesin penyerang.
Skala serangan DDoS terus meningkat selama beberapa tahun terakhir, pada tahun 2016 melebihi satu terabit per detik.[14][15] Beberapa contoh umum serangan DDoS adalah UDP flooding, SYN flooding dan Amplifikasi DNS.[16][17]
Serangan Yo-yo
Sebuah serangan yo-yo adalah jenis DoS/DDoS khusus yang ditujukan untuk aplikasi yang dihosting di cloud yang menggunakan autoscaling.[18][19][20] Penyerang menghasilkan sebuah banjir lalu lintas hingga layanan yang dihosting di awan berskala keluar untuk menangani peningkatan lalu lintas, kemudian menghentikan serangan, meninggalkan korban dengan sumber daya yang terlalu banyak. Saat korban menurunkan skala, serangan berlanjut, menyebabkan skala sumber daya meningkat kembali. Hal ini dapat mengakibatkan penurunan kualitas layanan selama periode peningkatan dan penurunan dan pengurasan finansial pada sumber daya selama periode penyediaan berlebih, sementara beroperasi dengan biaya yang lebih rendah untuk penyerang dibandingkan dengan serangan DDoS biasa, karena hanya perlu menghasilkan lalu lintas untuk sebagian dari periode serangan.
Serangan lapisan aplikasi
Sebuah serangan DDoS lapisan aplikasi (terkadang disebut sebagai lapisan 7 serangan DDoS) adalah bentuk serangan DDoS di mana penyerang menargetkan proses lapisan aplikasi.[21][12] Serangan tersebut terlalu banyak melatih fungsi atau fitur tertentu dari sebuah situs web dengan tujuan untuk menonaktifkan fungsi atau fitur tersebut. Serangan lapisan aplikasi ini berbeda dari seluruh serangan jaringan, dan sering digunakan terhadap lembaga keuangan untuk mengalihkan perhatian TI dan personel keamanan dari pelanggaran keamanan.[22] Pada tahun 2013, serangan DDoS lapisan aplikasi mewakili 20% dari semua serangan DDoS.[23] Menurut penelitian oleh Akamai Technologies, telah terjadi "serangan lapisan aplikasi 51 persen lebih banyak" dari Kuartal 4 2013 hingga Kuartal 4 2014 dan "16 persen lebih banyak" dari Kuartal 3 2014 hingga Kuartal 4 2014.[24] Pada November 2017; Junade Ali, Ilmuwan Komputer di Cloudflare mencatat bahwa sementara serangan tingkat jaringan terus berkapasitas tinggi, itu terjadi lebih jarang. Ali lebih lanjut mencatat bahwa meskipun serangan tingkat jaringan menjadi lebih jarang, Data dari Cloudflare menunjukkan bahwa serangan lapisan aplikasi masih tidak menunjukkan tanda-tanda melambat.[25]
Lapisan aplikasi
Model OSI (ISO/IEC 7498-1) adalah model konseptual yang mencirikan dan membakukan fungsi internal sistem komunikasi dengan mempartisi ke dalam lapisan abstraksi. Model ini adalah produk dari proyek Interkoneksi Sistem Terbuka di International Organization for Standardization (ISO). Model ini mengelompokkan fungsi komunikasi serupa ke dalam salah satu dari tujuh lapisan logis. Sebuha lapisan menyajikan lapisan di atasnya dan disajikan oleh lapisan di bawahnya. Misalnya, lapisan yang menyediakan komunikasi bebas kesalahan di seluruh jaringan menyediakan jalur komunikasi yang dibutuhkan oleh aplikasi di atasnya, sementara itu memanggil lapisan bawah berikutnya untuk mengirim dan menerima paket yang melintasi jalur itu.
Metode serangan
Serangan DDoS lapisan aplikasi dilakukan terutama untuk tujuan tertentu yang ditargetkan, termasuk mengganggu transaksi dan akses ke database. Ini membutuhkan sumber daya yang lebih sedikit daripada serangan lapisan jaringan tetapi sering menyertai mereka.[26] Sebuah serangan dapat disamarkan agar terlihat seperti lalu lintas yang sah, kecuali serangan tersebut menargetkan paket atau fungsi aplikasi tertentu. Serangan pada lapisan aplikasi dapat mengganggu layanan seperti pengambilan informasi atau fungsi pencarian di situs web.[23]
Denial-of-service sebagai layanan
Beberapa vendor menyediakan apa yang disebut layanan "booter" atau "stresser", yang memiliki antarmuka sederhana berbasis web, dan menerima pembayaran melalui web. Dipasarkan dan dipromosikan sebagai alat uji stres, mereka dapat digunakan untuk melakukan serangan denial-of-service yang tidak sah, dan memungkinkan penyerang yang secara teknis tidak canggih mengakses alat serangan yang canggih.[27] Biasanya didukung oleh sebuah botnet, lalu lintas yang dihasilkan oleh stresser konsumen dapat berkisar antara 5-50 Gbit/s, yang dapat, dalam banyak kasus, menolak akses internet rata-rata pengguna rumahan.[28]
Gejala
United States Computer Emergency Readiness Team (US-CERT) telah mengidentifikasi gejala serangan penolakan layanan untuk disertakan:[29]
- Performa jaringan yang sangat lambat (membuka file atau mengakses situs web),
- tidak tersedianya situs web tertentu, atau
- ketidakmampuan untuk mengakses situs web apa pun.
Metode serangan
Berbagai macam alat dan teknik digunakan untuk meluncurkan serangan DoS.
Serangan DoS yang paling sederhana terutama mengandalkan brute force, membanjiri target dengan fluks paket yang luar biasa, membanjiri bandwidth koneksinya atau menghabiskan sumber daya sistem target. Flood yang memenuhi bandwidth bergantung pada kemampuan penyerang untuk menghasilkan aliran paket yang luar biasa.Cara umum untuk mencapai hal ini hari ini adalah melalui penolakan-layanan-terdistribusi, menggunakan botnet.
Alat serangan
Dalam kasus seperti MyDoom dan Slowloris, alat tersebut tertanam dalam malware dan meluncurkan serangannya tanpa sepengetahuan pemilik sistem. Stacheldraht adalah contoh klasik alat DDoS. Ini menggunakan struktur berlapis di mana penyerang menggunakan program klien untuk terhubung ke penangan yang merupakan sistem yang dikompromikan yang mengeluarkan perintah ke agen zombie yang pada gilirannya memfasilitasi serangan DDoS. Agen disusupi melalui penangan oleh penyerang menggunakan rutinitas otomatis untuk mengeksploitasi kerentanan dalam program yang menerima koneksi jarak jauh yang berjalan pada host jarak jauh yang ditargetkan. Setiap penangan dapat mengontrol hingga seribu agen.[30]
Dalam kasus lain, mesin dapat menjadi bagian dari serangan DDoS dengan persetujuan pemiliknya, misalnya, dalam Operation Payback diorganisir oleh grup Anonymous. Low Orbit Ion Cannon biasanya digunakan dengan cara ini. Bersama High Orbit Ion Cannon sebuah berbagai macam alat DDoS tersedia saat ini, termasuk versi berbayar dan gratis, dengan fitur berbeda yang tersedia. Ada pasar bawah tanah untuk ini di forum terkait peretas dan saluran IRC.
Pemerasan DDoS
Pada tahun 2015, botnet DDoS seperti DD4BC semakin menonjol, membidik lembaga keuangan.[31] Pemeras dunia maya biasanya memulai dengan serangan tingkat rendah dan peringatan bahwa serangan yang lebih besar akan dilakukan jika uang tebusan tidak dibayarkan dalam Bitcoin.[32] Pakar keamanan merekomendasikan situs web yang ditargetkan untuk tidak membayar tebusan. Para penyerang cenderung melakukan skema pemerasan yang diperpanjang setelah mereka menyadari bahwa targetnya siap untuk membayar.[33]
Serangan Challenge Collapsar (CC)
Sebuah Serangan Challenge Collapsar (CC) adalah serangan yang permintaan HTTP standar sering dikirim ke server web yang ditargetkan, di mana Uniform Resource Identifier (URI) memerlukan algoritme atau operasi database yang memakan waktu dan rumit, untuk menghabiskan sumber daya server web yang ditargetkan.[34][35][36]
Pada tahun 2004, seorang peretas Tiongkok bernama KiKi menemukan alat peretasan untuk mengirim permintaan semacam ini untuk menyerang tembok api NSFOCUS bernama "Collapsar", dan dengan demikian alat peretasan itu dikenal sebagai "Challenge Collapsar", atau CC singkatnya. Akibatnya, serangan jenis ini mendapat nama "Serangan CC".[37]
Nuke
Sebuah Nuke adalah serangan denial-of-service kuno terhadap jaringan komputer yang terdiri dari paket ICMP yang terfragmentasi atau tidak valid yang dikirim ke target, dicapai dengan menggunakan utilitas ping yang dimodifikasi untuk berulang kali mengirim data yang rusak ini, sehingga memperlambat komputer yang terpengaruh hingga benar-benar berhenti.[38]
Contoh spesifik dari serangan Nuke yang menjadi terkenal adalah WinNuke, yang mengeksploitasi kerentanan dalam penangan NetBIOS di Windows 95. Sebuah string data out-of-band dikirim ke TCP port 139 dari mesin korban, menyebabkannya terkunci dan menampilkan Blue Screen of Death.[38]
Serangan peer-to-peer
Penyerang telah menemukan cara untuk mengeksploitasi sejumlah bug di peladen peer-to-peer untuk memulai serangan DDoS. Serangan peer-to-peer-DDoS yang paling agresif ini mengeksploitasi DC++. Dengan peer-to-peer tidak ada botnet dan penyerang tidak harus berkomunikasi dengan klien yang dirusaknya. Sebaliknya, penyerang bertindak sebagai "dalang," menginstruksikan klien dari hub file sharing peer-to-peer besar untuk memutuskan koneksi dari jaringan peer-to-peer mereka dan untuk terhubung ke situs web korban sebagai gantinya.[39][40][41]
Serangan penolakan layanan permanen
Permanent denial-of-service (PDoS), juga dikenal sebagai phlashing,[42] adalah serangan yang sangat merusak sistem sehingga memerlukan penggantian atau penginstalan ulang perangkat keras.[43] Berbeda dengan serangan penolakan layanan terdistribusi, sebuah serangan PDoS mengeksploitasi kelemahan keamanan yang memungkinkan administrasi jarak jauh pada antarmuka manajemen perangkat keras korban, seperti router, printer, atau perangkat keras jaringan lainnya. Penyerang menggunakan kerentanan ini untuk mengganti firmware perangkat dengan gambar firmware yang dimodifikasi, corrupt, atau rusak — sebuah proses yang bila dilakukan secara sah disebut sebagai flashing. Oleh karena itu, "brick" perangkat ini, membuatnya tidak dapat digunakan untuk tujuan aslinya hingga dapat diperbaiki atau diganti.
PDoS adalah serangan bertarget perangkat keras murni yang bisa jauh lebih cepat dan membutuhkan lebih sedikit sumber daya daripada menggunakan botnet atau root/vserver dalam serangan DDoS. Karena fitur-fitur ini, dan potensi dan probabilitas tinggi dari eksploitasi keamanan pada Network Enabled Embedded Devices (NEEDs), teknik ini telah menjadi perhatian banyak komunitas peretasan. BrickerBot, sebuah sepotong malware yang menargetkan perangkat IoT, menggunakan serangan PDoS untuk melumpuhkan targetnya.[44]
PhlashDance adalah alat yang dibuat oleh Rich Smith (seorang karyawan Lab Keamanan Sistem Hewlett-Packard) digunakan untuk mendeteksi dan mendemonstrasikan kerentanan PDoS pada Konferensi Keamanan Terapan EUSecWest 2008 di London.[45]
Serangan yang dipantulkan/dipalsukan
Serangan denial-of-service terdistribusi mungkin melibatkan pengiriman permintaan palsu dari beberapa jenis ke sejumlah besar komputer yang akan membalas permintaan tersebut. Menggunakan spoofing alamat Protokol Internet, alamat sumber diatur ke korban yang ditargetkan, yang berarti semua balasan akan masuk (dan membanjiri) target. (Bentuk serangan yang direfleksikan ini kadang-kadang disebut sebuah "DRDOS".[46])
Serangan ICMP Echo Request (Serangan Smurf) dapat dianggap sebagai salah satu bentuk serangan yang dipantulkan, saat host flooding mengirim Echo Request ke alamat siaran dari jaringan yang salah konfigurasi, sehingga menarik host untuk mengirim paket Echo Reply ke korban. Beberapa program DDoS awal menerapkan bentuk serangan ini yang didistribusikan.
Botnet Mirai
Serangan ini bekerja dengan menggunakan worm untuk menginfeksi ratusan ribu perangkat IoT di internet. Worm menyebar melalui jaringan dan sistem yang mengendalikan perangkat IoT yang dilindungi dengan buruk seperti termostat, jam berkemampuan Wi-Fi, dan mesin cuci.[47] Ketika perangkat diperbudak biasanya pemilik atau pengguna tidak akan memiliki indikasi langsung. Perangkat IoT itu sendiri bukanlah sasaran langsung serangan tersebut, itu digunakan sebagai bagian dari serangan yang lebih besar.[48] Perangkat yang baru saja diperbudak ini disebut budak atau bot. Setelah peretas mendapatkan jumlah bot yang diinginkan, mereka menginstruksikan bot untuk mencoba menghubungi ISP. Pada Oktober 2016, botnet Mirai menyerang Dyn yang merupakan ISP untuk situs-situs seperti Twitter, Netflix, dll.[47] Begitu ini terjadi, situs web ini semua tidak dapat dijangkau selama beberapa jam. Jenis serangan ini tidak merusak secara fisik, tetapi pasti akan merugikan perusahaan internet besar yang diserang.
R-U-Dead-Yet? (RUDY)
RUDY menyerang target aplikasi web dengan kekurangan sesi yang tersedia di server web. Mirip seperti Slowloris, RUDY membuat sesi berhenti menggunakan transmisi POST yang tidak pernah berakhir dan mengirimkan nilai header dengan panjang konten yang sewenang-wenang.
SACK Panic
Memanipulasi Maximum segment size dan selective acknowledgement (SACK) itu dapat digunakan oleh peer jarak jauh untuk menyebabkan penolakan layanan oleh luapan integer di kernel Linux, bahkan menyebabkan Kernel panic.[49] Jonathan Looney menemukan CVE-2019-11477, CVE-2019-11478, CVE-2019-11479 pada 17 Juni 2019.[50]
Serangan Shrew
Serangan shrew adalah sebuah serangan denial-of-service pada Transmission Control Protocol di mana penyerang menggunakan teknik man-in-the-middle. Ini menggunakan semburan lalu lintas singkat yang disinkronkan untuk mengganggu koneksi TCP pada tautan yang sama, dengan mengeksploitasi kelemahan dalam mekanisme batas waktu transmisi ulang TCP.[51]
Serangan Denial-of-Service Terdistribusi bandwidth rendah yang canggih
Serangan DDoS bandwidth rendah yang canggih adalah bentuk DoS yang menggunakan lebih sedikit lalu lintas dan meningkatkan efektivitasnya dengan mengarahkan ke titik lemah dalam desain sistem korban, contoh, penyerang mengirimkan lalu lintas yang terdiri dari permintaan rumit ke sistem.[52] Pada dasarnya, serangan DDoS yang canggih berbiaya lebih rendah karena penggunaan lalu lintas yang lebih sedikit, ukurannya lebih kecil sehingga lebih sulit untuk diidentifikasi, dan memiliki kemampuan untuk merusak sistem yang dilindungi oleh mekanisme kontrol aliran.[52][53]
(S)SYN flood
Sebuah SYN flood terjadi ketika sebuah host mengirimkan banyak paket TCP/SYN, sering kali dengan alamat pengirim palsu. Masing-masing paket ini ditangani seperti permintaan koneksi, menyebabkan server membuat koneksi setengah terbuka, dengan mengirimkan kembali paket TCP/SYN-ACK (Mengakui), dan menunggu tanggapan paket dari alamat pengirim (tanggapan ke Paket ACK). Namun karena alamat pengirimnya dipalsukan, tanggapan tidak pernah datang. Koneksi setengah terbuka ini memenuhi jumlah koneksi yang tersedia yang dapat dibuat server, menjaganya agar tidak menanggapi permintaan yang sah sampai setelah serangan berakhir.[54]
Serangan Teardrop
Sebuah serangan teardrop melibatkan pengiriman fragmen IP yang rusak dengan tumpang tindih, muatan yang terlalu besar ke mesin target. Ini dapat merusak berbagai sistem operasi karena bug dalam kode perakitan ulang fragmentasi TCP/IP mereka.[55] Sistem operasi Windows 3.1x, Windows 95 dan Windows NT, serta versi Linux sebelum versi 2.0.32 dan 2.1.63 rentan terhadap serangan ini.
(Meskipun pada bulan September 2009, kerentanan di Windows Vista disebut sebagai file "serangan teardrop", SMB2 yang ditargetkan ini yang merupakan lapisan lebih tinggi dari paket TCP yang menggunakan teardrop).[56][57]
Salah satu kolom di header IP adalah kolom "offset fragmen", menunjukkan posisi awal, atau offset, dari data yang terkandung dalam paket terfragmentasi relatif terhadap data dalam paket aslinya. Jika jumlah offset dan ukuran satu paket terfragmentasi berbeda dari paket terfragmentasi berikutnya, paketnya tumpang tindih. Ketika ini terjadi, peladen yang rentan terhadap serangan teardrop tidak dapat memasang kembali paket - mengakibatkan kondisi penolakan-layanan.
Telephony denial-of-service (TDoS)
Voice over IP telah membuat asal-usul yang melecehkan sejumlah besar panggilan suara telepon menjadi murah dan mudah otomatis sementara mengizinkan asal panggilan disalahartikan melalui Caller ID spoofing.
Menurut Biro Investigasi Federal AS, telephony denial-of-service (TDoS) telah muncul sebagai bagian dari berbagai skema penipuan:
- Seorang penipu menghubungi bankir atau broker korban, meniru identitas korban untuk meminta transfer dana. Upaya bankir untuk menghubungi korban untuk verifikasi transfer gagal karena saluran telepon korban dibanjiri ribuan panggilan palsu, membuat korban tidak terjangkau.[58]
- Seorang penipu menghubungi konsumen dengan klaim palsu untuk mengumpulkan pinjaman gaji yang belum dibayar untuk ribuan dolar. Saat konsumen keberatan, penipu membalas dengan membanjiri majikan korban dengan ribuan panggilan otomatis. Dalam beberapa kasus, ID penelepon yang ditampilkan dipalsukan untuk menyamar sebagai polisi atau lembaga penegak hukum.[59]
- Seorang penipu menghubungi konsumen dengan permintaan penagihan utang palsu dan mengancam akan mengirim polisi; ketika korban menolak keras, penipu membanjiri nomor polisi lokal dengan panggilan di mana ID penelepon dipalsukan untuk menampilkan nomor korban. Polisi segera tiba di kediaman korban mencoba menemukan asal muasal panggilan tersebut.
Denial-of-service melalui telepon dapat ada bahkan tanpa telepon Internet. Dalam skandal gangguan telepon pada pemilihan Senat New Hampshire 2002, telemarketer terbiasa membanjiri lawan politik dengan panggilan palsu untuk melumpuhkan telepon bank pada hari pemilihan. Publikasi nomor yang tersebar luas juga dapat membanjirinya dengan panggilan yang cukup untuk membuatnya tidak dapat digunakan, seperti yang terjadi secara tidak sengaja pada tahun 1981 dengan beberapa + 1-kode area-867-5309 pelanggan dibanjiri oleh ratusan panggilan salah sambung setiap hari sebagai tanggapan atas lagu tersebut 867-5309/Jenny.
TDoS berbeda dari gangguan telepon lainnya (seperti panggilan iseng dan panggilan telepon yang tidak senonoh) berdasarkan jumlah panggilan yang berasal; dengan menempati saluran terus menerus dengan panggilan otomatis berulang, korban dicegah untuk membuat atau menerima panggilan telepon rutin dan darurat.
Eksploitasi terkait termasuk serangan banjir SMS dan faks hitam atau transmisi loop faks.
Serangan kedaluwarsa TTL
Dibutuhkan lebih banyak sumber daya router untuk menjatuhkan paket dengan nilai TTL 1 atau kurang dari yang dibutuhkan untuk meneruskan paket dengan nilai TTL yang lebih tinggi. Saat paket dibuang karena TTL kedaluwarsa, CPU router harus menghasilkan dan mengirim waktu ICMP melebihi respons. Menghasilkan banyak respons ini dapat membebani CPU router.[60]
ARP-spoofing
ARP spoofing adalah serangan DoS umum yang melibatkan kerentanan dalam protokol ARP yang memungkinkan penyerang mengaitkan alamat mac mereka ke alamat IP komputer atau gateway lain (seperti router), menyebabkan lalu lintas yang dimaksudkan untuk IP asli asli untuk dialihkan kembali ke yang dari penyerang, menyebabkan penolakan layanan.
Teknik pertahanan
Respons defensif terhadap serangan denial-of-service biasanya melibatkan penggunaan kombinasi deteksi serangan, klasifikasi lalu lintas dan alat respons, yang bertujuan untuk memblokir lalu lintas yang mereka identifikasi sebagai tidak sah dan mengizinkan lalu lintas yang mereka identifikasi sebagai yang sah.[61] Daftar alat pencegahan dan respons disediakan di bawah ini:
Blackholing dan sinkholing
Dengan perutean blackholing, semua lalu lintas ke DNS atau alamat IP yang diserang dikirim ke "lubang hitam" (antarmuka null atau server tidak ada). Agar lebih efisien dan menghindari mempengaruhi konektivitas jaringan, ini dapat dikelola oleh ISP.[62]
Sebuah DNS sinkhole mengarahkan lalu lintas ke alamat IP yang valid yang menganalisis lalu lintas dan menolak paket buruk. Sinkholing tidak efisien untuk serangan yang paling parah.
Pencegahan berbasis IPS
Intrusion prevention systems (IPS) efektif jika serangan memiliki tanda tangan yang terkait dengannya. Namun, tren di antara serangan tersebut adalah memiliki konten yang sah tetapi niat buruk. Intrusion-prevention systems yang bekerja pada pengenalan konten tidak dapat memblokir serangan DoS berbasis-perilaku.[63]
IPS berbasis ASIC dapat mendeteksi dan memblokir serangan denial-of-service karena mereka memiliki kekuatan pemrosesan dan perincian untuk menganalisis serangan dan bertindak seperti pemutus sirkuit dengan cara otomatis.[63]
Sebuah rate-based IPS (RBIPS) harus menganalisis lalu lintas secara terperinci dan terus memantau pola lalu lintas dan menentukan apakah ada anomali lalu lintas. Itu harus membiarkan arus lalu lintas yang sah sambil memblokir lalu lintas serangan DoS.[64]
Pertahanan berbasis DDS
Lebih fokus pada masalah daripada IP, sebuah sistem pertahanan DoS (DDS) dapat memblokir serangan DoS berbasis koneksi dan yang memiliki konten sah tetapi niat buruk. Sebuah DDS juga dapat mengatasi kedua serangan protokol (seperti teardrop dan ping of death) dan serangan berbasis tarif (seperti ICMP flood dan SYN flood). DDS memiliki sistem yang dibangun khusus yang dapat dengan mudah mengidentifikasi dan menghalangi serangan penolakan layanan dengan kecepatan yang lebih tinggi daripada perangkat lunak yang berbasis sistem.[65]
Tembok api
Dalam kasus serangan sederhana, sebuah tembok api dapat memiliki aturan sederhana yang ditambahkan untuk menolak semua lalu lintas masuk dari penyerang, berdasarkan protokol, port, atau alamat IP asal.
Namun serangan yang lebih kompleks akan sulit diblokir dengan aturan sederhana: misalnya, jika ada serangan yang sedang berlangsung pada port 80 (layanan web),tidak mungkin untuk menghentikan semua lalu lintas masuk di port ini karena hal itu akan mencegah server untuk melayani lalu lintas yang sah.[66] Selain itu, tembok api mungkin terlalu dalam dalam hierarki jaringan, dengan router yang terpengaruh sebelum lalu lintas masuk ke tembok api. Selain itu, banyak alat keamanan masih tidak mendukung IPv6 atau mungkin tidak dikonfigurasi dengan benar, sehingga tembok api sering kali dapat dilewati selama serangan.[67][68]
Router
Mirip dengan sakelar, router memiliki beberapa pembatasan laju dan kemampuan ACL. Mereka juga diatur secara manual. Sebagian besar router dapat dengan mudah kewalahan di bawah serangan DoS. Cisco IOS memiliki fitur opsional yang dapat mengurangi dampak flooding.[69]
Pemfilteran Upstream
Semua lalu lintas melewati sebuah "pusat kebersihan" atau "pusat pembersihan" melalui berbagai metode seperti proxy, terowongan, koneksi silang digital, atau bahkan sirkuit langsung, yang memisahkan lalu lintas yang "buruk" (DDoS dan juga serangan internet umum lainnya) dan hanya mengirimkan lalu lintas yang baik ke peladen. Penyedia memerlukan konektivitas pusat ke Internet untuk mengelola layanan semacam ini kecuali jika mereka kebetulan berada dalam fasilitas yang sama dengan "pusat kebersihan" atau "pusat pembersihan". Serangan DDoS dapat membanjiri semua jenis dinding api perangkat keras, dan meneruskan lalu lintas berbahaya melalui jaringan yang besar dan matang menjadi lebih efektif dan berkelanjutan secara ekonomi terhadap DDoS.[70]
Memblokir port yang rentan
Misalnya, dalam serangan refleksi SSDP; mitigasi utamanya adalah memblokir lalu lintas UDP yang masuk pada port 1900 di tembok api.[71]
Efek samping serangan
Hamburan balik
Dalam keamanan jaringan komputer, hamburan balik adalah efek samping dari serangan penolakan layanan palsu. Dalam serangan semacam ini, penyerang memalsukan (atau memalsukan) alamat sumber dalam paket IP yang dikirim ke korban. Secara umum, mesin korban tidak dapat membedakan antara paket palsu dan paket yang sah, sehingga korban menanggapi paket palsu seperti biasanya. Paket respons ini dikenal sebagai hamburan balik.[72]
Jika penyerang memalsukan alamat sumber secara acak, paket respon hamburan balik dari korban akan dikirim kembali ke tujuan acak. Efek ini dapat digunakan oleh teleskop jaringan sebagai bukti tidak langsung dari serangan semacam itu.
Istilah "analisis hamburan balik" mengacu pada pengamatan paket hamburan balik yang tiba di bagian yang signifikan secara statistik dari ruang alamat IP untuk menentukan karakteristik serangan dan korban DoS.
Legalitas
Banyak yurisdiksi memiliki undang-undang yang melarang serangan penolakan layanan.
- Di AS, serangan denial-of-service dapat dianggap sebagai kejahatan federal berdasarkan Computer Fraud and Abuse Act dengan hukuman yang mencakup hukuman penjara selama bertahun-tahun.[74] Computer Crime and Intellectual Property Section Departemen Kehakiman AS menangani kasus DoS dan DDoS. Dalam satu contoh, pada Juli 2019, Austin Thompson, alias DerpTrolling, dijatuhi hukuman 27 bulan penjara dan restitusi $95.000 oleh pengadilan federal karena melakukan beberapa serangan DDoS pada perusahaan permainan video besar, mengganggu sistem mereka dari jam ke hari.[75][76]
- Di negara-negara Eropa, melakukan serangan pidana penolakan layanan dapat, setidaknya, mengarah pada penangkapan.[77] Kerajaan Inggris tidak biasa karena secara khusus melarang serangan penolakan layanan dan menetapkan hukuman maksimum 10 tahun penjara dengan Undang-Undang Polisi dan Kehakiman 2006, yang mengubah Bagian 3 dari Computer Misuse Act 1990.[78]
- Pada Januari 2019, Europol mengumumkan bahwa "tindakan sedang dilakukan di seluruh dunia untuk melacak pengguna" Webstresser.org, sebuah bekas pasar DDoS yang ditutup pada April 2018 sebagai bagian dari Operation Power Off.[79] Europol mengatakan polisi Inggris sedang melakukan sejumlah "operasi langsung" yang menargetkan lebih dari 250 pengguna Webstresser dan layanan DDoS lainnya.[80]
Pada 7 Januari 2013, Anonymous memposting petisi di situs whitehouse.gov yang meminta agar DDoS diakui sebagai bentuk protes legal yang mirip dengan protes Occupy, klaim bahwa kesamaan tujuan keduanya sama.[81]
Refrensi
- ^ "Understanding Denial-of-Service Attacks". US-CERT. 6 February 2013. Diakses tanggal 26 May 2016.
- ^ "APAC experts (Magda Chelly, Vicky Ray, Sunil Varkey) weigh in on cyber security trends". ComputerWeekly.com.
- ^ Prince, Matthew (25 April 2016). "Empty DDoS Threats: Meet the Armada Collective". CloudFlare. Diakses tanggal 18 May 2016.
- ^ "Brand.com President Mike Zammuto Reveals Blackmail Attempt". 5 March 2014. Diarsipkan dari versi asli tanggal 11 March 2014.
- ^ "Brand.com's Mike Zammuto Discusses Meetup.com Extortion". 5 March 2014. Diarsipkan dari versi asli tanggal 13 May 2014.
- ^ "The Philosophy of Anonymous". Radicalphilosophy.com. 2010-12-17. Diakses tanggal 2013-09-10.
- ^ Marvin, Rob (2019-06-13). "Chinese DDoS Attack Hits Telegram During Hong Kong Protests". Diakses tanggal 2019-09-07.
- ^ Cavanagh, Michaela (2019-09-07). "'Malicious attack' takes Wikipedia offline in Germany". Deutsche Welle. Diakses tanggal 2019-09-07.
- ^ a b Taghavi Zargar, Saman (November 2013). "A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks" (PDF). IEEE COMMUNICATIONS SURVEYS & TUTORIALS. hlm. 2046–2069. Diakses tanggal 2014-03-07.
- ^ Khalifeh, Soltanian, Mohammad Reza (2015-11-10). Theoretical and experimental methods for defending against DDoS attacks. Amiri, Iraj Sadegh, 1977-. Waltham, MA. ISBN 978-0128053997. OCLC 930795667.
- ^ "Has Your Website Been Bitten By a Zombie?". Cloudbric. 3 August 2015. Diakses tanggal 15 September 2015.
- ^ a b "Layer Seven DDoS Attacks". Infosec Institute.
- ^ Raghavan, S.V. (2011). An Investigation into the Detection and Mitigation of Denial of Service (DoS) Attacks. Springer. ISBN 9788132202776.
- ^ Goodin, Dan (28 September 2016). "Record-breaking DDoS reportedly delivered by >145k hacked cameras". Ars Technica. Diarsipkan dari versi asli tanggal 2 October 2016.
- ^ Khandelwal, Swati (26 September 2016). "World's largest 1 Tbps DDoS Attack launched from 152,000 hacked Smart Devices". The Hacker News. Diarsipkan dari versi asli tanggal 30 September 2016.
- ^ Kumar, Bhattacharyya, Dhruba; Kalita, Jugal Kumar (2016-04-27). DDoS attacks : evolution, detection, prevention, reaction, and tolerance. Boca Raton, FL. ISBN 9781498729659. OCLC 948286117.
- ^ "Imperva, Global DDoS Threat Landscape, 2019 Report" (PDF). Imperva.com. Imperva. Diakses tanggal 4 May 2020.
- ^ "Yo-Yo Attack: Vulnerability In Auto-scaling Mechanism".
- ^ "Kubernetes Autoscaling: YoYo Attack Vulnerability and Mitigation".
- ^ "Towards Yo-Yo attack mitigation in cloud auto-scaling mechanism".
- ^ Lee, Newton (2013). Counterterrorism and Cybersecurity: Total Information Awareness. Springer. ISBN 9781461472056.
- ^ "Gartner Says 25 Percent of Distributed Denial of Services Attacks in 2013 Will Be Application - Based". Gartner. 21 February 2013. Diakses tanggal 28 January 2014.
- ^ a b Ginovsky, John (27 January 2014). "What you should know about worsening DDoS attacks". ABA Banking Journal. Diarsipkan dari versi asli tanggal 2014-02-09.
- ^ "Q4 2014 State of the Internet - Security Report: Numbers - The Akamai Blog". blogs.akamai.com.
- ^ Ali, Junade (23 November 2017). "The New DDoS Landscape". Cloudflare Blog.
- ^ Higgins, Kelly Jackson (17 October 2013). "DDoS Attack Used 'Headless' Browser In 150-Hour Siege". Dark Reading. InformationWeek. Diarsipkan dari versi asli tanggal January 22, 2014. Diakses tanggal 28 January 2014.
- ^ Krebs, Brian (August 15, 2015). "Stress-Testing the Booter Services, Financially". Krebs on Security. Diakses tanggal 2016-09-09.
- ^ Mubarakali, Azath; Srinivasan, Karthik; Mukhalid, Reham; Jaganathan, Subash C. B.; Marina, Ninoslav (2020-01-26). "Security challenges in internet of things: Distributed denial of service attack detection using support vector machine‐based expert systems". Computational Intelligence (dalam bahasa Inggris). 36 (4): 1580–1592. doi:10.1111/coin.12293. ISSN 0824-7935.
- ^ McDowell, Mindi (November 4, 2009). "Cyber Security Tip ST04-015 - Understanding Denial-of-Service Attacks". United States Computer Emergency Readiness Team. Diarsipkan dari versi asli tanggal 2013-11-04. Diakses tanggal December 11, 2013.
- ^ Kesalahan pengutipan: Tag
<ref>
tidak sah; tidak ditemukan teks untuk ref bernamaDittrich
- ^ "Who's Behind DDoS Attacks and How Can You Protect Your Website?". Cloudbric. 10 September 2015. Diakses tanggal 15 September 2015.
- ^ Solon, Olivia (9 September 2015). "Cyber-Extortionists Targeting the Financial Sector Are Demanding Bitcoin Ransoms". Bloomberg. Diakses tanggal 15 September 2015.
- ^ Greenberg, Adam (14 September 2015). "Akamai warns of increased activity from DDoS extortion group". SC Magazine. Diakses tanggal 15 September 2015.
- ^ "What Is a CC Attack?". HUAWEI CLOUD-Grow With Intelligence (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2019-03-05. Diakses tanggal 2019-03-05.
- ^ 刘鹏; 郭洋. "CC (challenge collapsar) attack defending method, device and system". Google Patents (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2019-03-05. Diakses tanggal 2018-03-05.
- ^ 曾宪力; 史伟; 关志来; 彭国柱. "CC (Challenge Collapsar) attack protection method and device". Google Patents (dalam bahasa Inggris). Diarsipkan dari versi asli tanggal 2019-03-05. Diakses tanggal 2018-03-05.
- ^ "史上最臭名昭著的黑客工具 CC的前世今生". NetEase (dalam bahasa Tionghoa). 驱动中国网(北京). 2014-07-24. Diarsipkan dari versi asli tanggal 2019-03-05. Diakses tanggal 2019-03-05.
- ^ a b "What Is a Nuke? | Radware — DDoSPedia". security.radware.com. Diakses tanggal 2019-09-16.
- ^ Paul Sop (May 2007). "Prolexic Distributed Denial of Service Attack Alert". Prolexic Technologies Inc. Prolexic Technologies Inc. Diarsipkan dari versi asli tanggal 2007-08-03. Diakses tanggal 2007-08-22.
- ^ Robert Lemos (May 2007). "Peer-to-peer networks co-opted for DOS attacks". SecurityFocus. Diakses tanggal 2007-08-22.
- ^ Fredrik Ullner (May 2007). "Denying distributed attacks". DC++: Just These Guys, Ya Know?. Diakses tanggal 2007-08-22.
- ^ Leyden, John (2008-05-21). "Phlashing attack thrashes embedded systems". The Register. Diakses tanggal 2009-03-07.
- ^ Jackson Higgins, Kelly (May 19, 2008). "Permanent Denial-of-Service Attack Sabotages Hardware". Dark Reading. Diarsipkan dari versi asli tanggal December 8, 2008.
- ^ ""BrickerBot" Results In PDoS Attack". Radware. Radware. May 4, 2017. Diakses tanggal January 22, 2019.
- ^ "EUSecWest Applied Security Conference: London, U.K." EUSecWest. 2008. Diarsipkan dari versi asli tanggal 2009-02-01.
- ^ Rossow, Christian (February 2014). "Amplification Hell: Revisiting Network Protocols for DDoS Abuse" (PDF). Internet Society. Diarsipkan dari versi asli (PDF) tanggal 4 March 2016. Diakses tanggal 4 February 2016.
- ^ a b . "DDoS in the IoT: Mirai and Other Botnets".
- ^ Kuzmanovic, Aleksandar; Knightly, Edward W. (2003-08-25). Low-rate TCP-targeted denial of service attacks: the shrew vs. the mice and elephants. ACM. hlm. 75–86. CiteSeerX 10.1.1.307.4107 . doi:10.1145/863955.863966. ISBN 978-1581137354.
- ^ "SACK Panic and Other TCP Denial of Service Issues". Ubuntu Wiki. 17 June 2019. Diarsipkan dari versi asli tanggal 19 June 2019. Diakses tanggal 21 June 2019.
- ^ "CVE-2019-11479". CVE. Diarsipkan dari versi asli tanggal 21 June 2019. Diakses tanggal 21 June 2019.
- ^ Yu Chen; Kai Hwang; Yu-Kwong Kwok (2005). "Filtering of shrew DDoS attacks in frequency domain". The IEEE Conference on Local Computer Networks 30th Anniversary (LCN'05)l. hlm. 8 pp. doi:10.1109/LCN.2005.70. ISBN 978-0-7695-2421-4.
- ^ a b Ben-Porat, U.; Bremler-Barr, A.; Levy, H. (2013-05-01). "Vulnerability of Network Mechanisms to Sophisticated DDoS Attacks". IEEE Transactions on Computers. 62 (5): 1031–1043. doi:10.1109/TC.2012.49. ISSN 0018-9340.
- ^ orbitalsatelite. "Slow HTTP Test". SourceForge.
- ^ "TCP SYN Flooding Attacks and Common Mitigations". Tools.ietf.org. August 2007. RFC 4987 . Diakses tanggal 2011-12-02.
- ^ "CERT Advisory CA-1997-28 IP Denial-of-Service Attacks". CERT. 1998. Diakses tanggal July 18, 2014.
- ^ "Windows 7, Vista exposed to 'teardrop attack'". ZDNet. September 8, 2009. Diakses tanggal 2013-12-11.
- ^ "Microsoft Security Advisory (975497): Vulnerabilities in SMB Could Allow Remote Code Execution". Microsoft.com. September 8, 2009. Diakses tanggal 2011-12-02.
- ^ "FBI — Phony Phone Calls Distract Consumers from Genuine Theft". FBI.gov. 2010-05-11. Diakses tanggal 2013-09-10.
- ^ "Internet Crime Complaint Center's (IC3) Scam Alerts January 7, 2013". IC3.gov. 2013-01-07. Diakses tanggal 2013-09-10.
- ^ "TTL Expiry Attack Identification and Mitigation". Cisco Systems. Diakses tanggal 2019-05-24.
- ^ Loukas, G.; Oke, G. (September 2010) [August 2009]. "Protection Against Denial of Service Attacks: A Survey" (PDF). Comput. J. 53 (7): 1020–1037. doi:10.1093/comjnl/bxp078. Diarsipkan dari versi asli (PDF) tanggal 2012-03-24. Diakses tanggal 2015-12-02.
- ^ Patrikakis, C.; Masikos, M.; Zouraraki, O. (December 2004). "Distributed Denial of Service Attacks". The Internet Protocol Journal. 7 (4): 13–35.
- ^ a b Kesalahan pengutipan: Tag
<ref>
tidak sah; tidak ditemukan teks untuk ref bernama:0
- ^ Abante, Carl (March 2, 2013). "Relationship between Firewalls and Protection against DDoS". Ecommerce Wisdom. Diakses tanggal 2013-05-24.[diragukan ]
- ^ Popeskic, Valter. "How to prevent or stop DoS attacks?".
- ^ Froutan, Paul (June 24, 2004). "How to defend against DDoS attacks". Computerworld. Diakses tanggal May 15, 2010.
- ^ "Cyber security vulnerability concerns skyrocket". ComputerWeekly.com (dalam bahasa Inggris). Diakses tanggal 2018-08-13.
- ^ Krishna, Ananda (2019-10-31). "Guide on Website Penetration Testing (Website Pentesting)". www.getastra.com (dalam bahasa Inggris). Diakses tanggal 2022-01-08.
- ^ Suzen, Mehmet. "Some IoS tips for Internet Service (Providers)" (PDF). Diarsipkan dari versi asli (PDF) tanggal 2008-09-10.
- ^ "DDoS Mitigation via Regional Cleaning Centers (Jan 2004)" (PDF). SprintLabs.com. Sprint ATL Research. Diarsipkan dari versi asli (PDF) tanggal 2008-09-21. Diakses tanggal 2011-12-02.
- ^ SSDP DDoS Attack
- ^ "Backscatter Analysis (2001)". Animations (video). Cooperative Association for Internet Data Analysis. Diakses tanggal December 11, 2013.
- ^ "FBI Seizes 15 DDoS-For-Hire Websites". Kotaku. 6 January 2019.
- ^ "United States Code: Title 18,1030. Fraud and related activity in connection with computers | Government Printing Office". gpo.gov. 2002-10-25. Diakses tanggal 2014-01-15.
- ^ "Utah Man Sentenced for Computer Hacking Crime". 2019-07-02. Diarsipkan dari versi asli tanggal 2019-07-10.
- ^ Smolaks, Max (2019-07-04). "Get rekt: Two years in clink for game-busting DDoS brat DerpTrolling". The Register. Diakses tanggal 2019-09-27.
Austin Thompson, aka DerpTrolling, who came to prominence in 2013 by launching Distributed Denial of Service (DDoS) attacks against major video game companies, has been sentenced to 27 months in prison by a federal court. Thompson, a resident of Utah, will also have to pay $95,000 to Daybreak Games, which was owned by Sony when it suffered at the hands of DerpTrolling. Between December 2013 and January 2014, Thompson also brought down Valve’s Steam – the largest digital distribution platform for PC gaming – as well as Electronic Arts' Origin service and Blizzard's BattleNet. Disruption lasted anywhere from hours to days.
- ^ "International Action Against DD4BC Cybercriminal Group". EUROPOL. 12 January 2016.
- ^ "Computer Misuse Act 1990". legislation.gov.uk — The National Archives, of UK. 10 January 2008.
- ^ "Newsroom". Europol (dalam bahasa Inggris). Diakses tanggal 29 January 2019.
- ^ "Authorities across the world going after users of biggest DDoS-for-hire website". Europol (dalam bahasa Inggris). Diakses tanggal 29 January 2019.
- ^ "Anonymous DDoS Petition: Group Calls On White House To Recognize Distributed Denial Of Service As Protest". HuffingtonPost.com. 2013-01-12.
Bacaan lanjutan
- Ethan Zuckerman; Hal Roberts; Ryan McGrady; Jillian York; John Palfrey (December 2011). "Serangan Denial of Service Terdistribusi Terhadap Media Independen dan Situs Hak Asasi Manusia" (PDF). The Berkman Center for Internet & Society at Harvard University. Diarsipkan dari versi asli (PDF) tanggal 2011-02-26. Diakses tanggal 2011-03-02.
- "DDOS Public Media Reports". Harvard. Diarsipkan dari versi asli tanggal 2010-12-25.
- PC World - Application Layer DDoS Attacks are Becoming Increasingly Sophisticated
Pranala luar
- RFC 4732 Pertimbangan Internet Denial-of-Service
- Akamai State of the Internet Security Report - Statistik Tren Keamanan dan Internet Kuartalan
- W3C FAQ Keamanan World Wide Web
- cert.org Panduan CERT untuk serangan DoS. (dokumen bersejarah)
- ATLAS Summary Report – Laporan global serangan DDoS secara real-time.
- Low Orbit Ion Cannon - Alat Pengujian Stres Jaringan Yang Terkenal
- High Orbit Ion Cannon - Flooder HTTP Sederhana
- LOIC SLOW Upaya untuk Menghadirkan SlowLoris dan Alat Jaringan Lambat di LOIC