You are on page 1of 7

Serangan DoS, DDoS dan DRDoS

Saya amat tertarik sekali dengan apa yang telah berlaku seperti yang telah dinyatakan oleh
webmaster TKO. Justeru, saya rasa terpanggil untuk menulis artikel ini untuk berkongsi
maklumat yang pada saya mungkin berguna untuk sama-sama kita baca dan mengkajinya.

Mungkin selepas ini, kita boleh memikirkan tentang betapa pentingnya tahap keselamatan dan
apa tindakan yang perlu dilakukan pada sesebuah server itu bagi menguatkan pertahanannya.

Semua maklumat ini saya ‘curi’ dari laman forum berkenaan IT di Indonesia. Ternyata dari apa
yang saya lihat, saya boleh ‘tabik spring’ pada hackers Indonesia. Macam-macam maklumat ada
di forum mereka. Dari pelbagai cara hacking, cracking, membuat / dapatkan virus, programming,
tutorial software, e-book dan software / tool, dan mereka juga bertindak sebagai perisik virus
yang baru untuk pengeluar antivirus. Tak hairanlah masa saya di universiti dulu, budak-budak IT
dari Indonesia yang paling ‘otai’.

Oklah, berbalik semula kepada cerita tentang DDoS tadi. Saya sediakan di sini sedikit maklumat
berkenaannya. Mungkin maklumat ini sudah sedikit usang tapi berguna untuk tambah rujukan
dan bacaan. Artikel yang asalnya dalam Bahasa Indonesia dan Bahasa Inggeris, saya terjemahkan
semula ke Bahasa Melayu agar mudah difahami.

Denial of Service (DoS)

Versi pertama serangan ini adalah berupa pengiriman paket data kepada sasaran iaitu DoS
(Denial of Service). Dalam serangan ini penyerang hanya menggunakan satu komputer untuk
menembak data ke sasaran korbannya.

Penjelasan secara sederhananya adalah seperti berikut: Suatu ketika handphone anda berbunyi.
Sebelum anda sempat menjawabnya handphone anda telah berhenti berbunyi. Tiba-tiba
handphone anda berbunyi lagi dan tanpa sempat anda mengangkatnya, bunyi itupun segera
berhenti. Beberapa kali anda membiarkannya tapi masalah ini tak kunjung tiba penyelesaiannya.
Beberapa ketika anda yang hendak menghubungi sesuatu nombor terpaksa tidak boleh
melakukannya kerana talian handphone anda sibuk berterusan. Itulah gambaran sederhananya
mengenai serangan DoS di dunia realiti.

Di dunia siber, kes anda tersebut adalah merupakan salah satu serangan jenis DoS (Denial of
Service). Apa yang pasti, sebegitu mudahnya DoS ini diterapkan tapi mencegahnya bukanlah
suatu hal yang mudah. Sasaran-sasaran serangan DoS biasanya adalah server-server ISP, Internet
Banking, e-Commerce, web organisasi, dan kerajaan.
Serangan DoS dapat dilakukan dengan mengirimkan query sebanyak mungkin hingga sasaran
korban tidak mampu lagi menanganinya sehingga ianya menjadi lumpuh. Cara lain untuk
melakukan serangan DoS adalah dengan mengirimkan data rosak atau data yang tidak mampu di
tangani oleh server sasaran sehingga server tersebut menjadi ‘hang’ (tidak boleh berfungsi seperti
kebiasaannya dan perlu restart berulang-ulang).
Target serangan DoS attack boleh ditujukan ke berbagai bahagian jaringan. Boleh ke routing
devices, web, electronic mail, atau server Domain Name System.

Ada 5 jenis dasar DoS attack :

1. Penggunaan berlebihan sumber daya komputer, seperti bandwidth, disk space, atau
processor.
2. Gangguan terhadap informasi konfigurasi, seperti informasi routing.
3. Gangguan terhadap informasi status, misalnya memaksa me-reset TCP session.
4. Gangguan terhadap komponen-komponen fizik network.
5. Menghalang media komunikasi di antara komputer dengan user sehingga mengganggu
komunikasi.

DoS attack juga termasuk eksekusi malware, yang dimaksudkan untuk :

1. Memaksimakan kerja processor, sehingga memblok tugas-tugas yang lain.


2. Memicu terjadinya error di dalam microcode.
3. Memicu error pada urutan instruksi dan memaksa komputer menjadi tidak stabil dan
locked-up.
4. Memanfaatkan error-error yang ada di sistem pengoperasian yang terbuntu pada
‘kematian’ system.
5. Membuat sistem pengoperasian menjadi crash.
6. iFrame (D)DoS, di dalamnya terdapat sebuah dokumen HTML yang sengaja dibuat untuk
mengunjungi halaman web ber-kilobyte tinggi dengan berulang-ulang, hingga melampaui
batas bandwidth.

DDoS (Distributed Denial of Service)


Aktiviti mengirimkan data secara terus-menerus dengan menggunakan satu komputer tidak
begitu efektif kerana biasanya sumber daya server yang diserang itu adalah lebih besar dari
komputer penyerang. Daya serangan pembunuh juga akhirnya menjadi lemah.

Atas sebab itulah para hackers pun mula ‘memutar-mutarkan’ otaknya. Serangan yang dapat
diperlebihkan atau diperhebatkan dalam usaha melumpuhkan sesebuah server iaitu jika
menggunakan tenaga komputer yang banyak yang dijadikan satu siri gabungan untuk
mewujudkan kebanjiran data yang lebih besar.

Komputer-komputer yang diambil alih oleh hacker tersebut disebut sebagai zombie. Zombie
berfungsi sebagai anak buah atau agen penyerang yang tersedia untuk menyerang pada saat
mendapat perintah dari “tuannya”.

Semakin banyak zombie yang dikuasai oleh penyerang, semakin berkuasalah hacker tersebut
kerana besarnya tenaga yang digenggamnya. Dengan tenaga besar yang dikumpulkan dari
komputer-komputer yang dikuasai (secara illegal tentunya) tersebut, serangan DDoS hampir
tidak dapat dikalahkan. Kerana itulah serangan jenis ini sangat popular di kalangan hackers.

Beberapa laman raksasa seperti Amazon.com, eBay, dan Yahoo pada Februari 2000 lumpuh
selama beberapa jam kerana serangan ini. Sesebuah server terpaksa “memindahkan” IP address
lamannya kerana setelah menerima serangan DDoS yang sudah dirancang untuk muncul pada
tanggal dan jam tertentu dengan memanfaatkan virus tertentu tanpa mampu mencegahnya.

DDoS adalah satu jenis serangan dengan konsep sederhana. Namun efeknya boleh memindahkan
“istana negara.”

Menghadapi Serangan DDoS:

Serangan DDoS adalah serangan dengan teori sederhana namun dengan dampak yang sangat
besar. Sayangnya, sampai saat ini belum ditemukan cara paling tepat untuk menghindari
serangan ini secara total.

Meskipun sampai saat ini belum ada sistem yang kebal terhadap serangan ini, ada sejumlah
langkah yang dapat dilakukan untuk memperkecilkan risiko serangan DDoS ini.

Kerana serangan DDoS dapat dilakukan dengan memanfaatkan kelemahan operating system
yang anda gunakan, jangan pernah lupa update patch untuk memperbaiki sistem pengoperasian
anda. Ingatlah bahawa tidak ada satu pun sistem operasi di dunia ini yang aman dan 100% bebas
dari kelemahan.

Gunakan hardware / server yang kuat. Server tersebut harus mampu menangani beban yang
cukup berat sehingga server anda tidak mudah down. Anda boleh merekabentuk network yang
saling backup dan akan lebih bagus jika berada pada beberapa daerah sekaligus.

Gunakan firewall untuk memblok port-port (pintu masuk) yang tidak diperlukan di servers anda.
Gunakan IDS (Intrusion Detection System) untuk mendeteksi penyusup dan melakukan
pencegahan yang lebih pintar.

Terminologi dan Tools Pada DDoS (uzi)

Terminologi-terminologi yang umum dalam serangan DDoS antara lain adalah seperti tersebut:

1. Client – sebuah aplikasi yang digunakan untuk memicu serangan dengan mengirimkan
perintah ke komponen-komponen lain.
2. Daemon – sebuah proses dalam menjalankan agent yang bertanggungjawab menerima
dan melaksanakan perintah yang dikeluarkan client.
3. Master – host yang menjalankan client.
4. Agent – host yang menjalankan Daemon.
5. Target – korban (berupa host atau jaringan) yang dihentam serangan DDoS. Perjalanan
serangan DDoS adalah:

Penyerang (Master) -> Client -> Daemon -> Korban (Target)

Gejala-gejala DDoS attack :

1. Kinerja jaringan menurun. Tidak seperti biasanya, membuka file atau mengakses web
menjadi lebih perlahan.
2. Fitur-fitur tertentu pada sebuah website hilang.
3. Website sama sekali tidak boleh diakses.
4. Peningkatan jumlah email spam yang diterima sangat dramatik. Jenis DoS yang ini sering
diistilahkan dengan “Mail Bomb”.

Contoh kes DDoS attack :

1. Februari 2007, lebih dari 10,000 server game online seperti Return to Castle Wolfenstein,
Halo, Counter-Strike, diserang oleh group hacker “RUS”. DDoS attack berasal dari 1,000
lebih komputer yang terletak di negara bekas Uni Sovyet. Kebanyakan berasal dari Rusia,
Uzbekistan dan Belarusia.
2. Julai 2008, banyak blog milik blogger-blogger konservatif, termasuk Macsmind.com,
terkena serangan DDoS attack hingga beberapa darinya terpaksa offline. Serangan ini
dikaitkan dengan 3 IP address yang didaftarkan melalui GoDaddy.com ke
barrackobama.com, web rasmi calon presiden AS dari parti Demokrat, Barrack Obama.
Sebelumnya, beberapa pendukung Obama juga melakukan serangan ke web-web
pendukung Hillary Rodham Clinton dengan menggunakan google.com. Sehingga 8 Ogos,
asal usul serangan masih belum jelas, namun Obama atau kumpulan kompeninya secara
personal dianggap terlibat.

Tools
Program-program yang dapat digunakan hackers untuk melancarkan serangan DDoS semakin
mudah diperolehi dari Internet dan kerana itu semakin berbahaya pula ancaman terhadap server
dengan semakin ramainya orang yang dapat melakukannya.

Beberapa tool paling terkenal yang sering digunakan untuk melancarkan serangan DDoS adalah
TFN2K, Trinoo dan Stacheldraht

TFN2K

TFN2K (Tribe Flood Network 2000) adalah tool untuk melancarkan serangan DDoS. TFN2K
adalah penurunan Trojan TFN.

TFN2K memungkinkan master mengeksploitasi sejumlah agent untuk mengkoordinasikan


serangan pada satu atau beberapa target yang diincar. Saat ini, Unix, Solaris, dan Windows NT
adalah platform-platform yang rentan terhadap serangan ini.

TFN2K adalah sistem dengan dua komponen. Yang pertama adalah client yang dikomando oleh
master dan sebuah proses daemon yang beroperasi pada sebuah agent. Master menginstruksikan
para agent yang telah ditaklukinya untuk menyerang target yang telah ditentukan. Para agent
tersebut kemudian memberi respon dengan membanjirkan serbuan paket data. Sejumlah agent,
dengan perintah Master, dapat bekerjasama selama serangan ini untuk mematahkan akses target.
Komunikasi master-to-agent telah dienkripsi dan bercampur dengan paket-paket yang
diluncurkan. Baik komunikasi master-to-agent mahupun serangan itu sendiri dapat dikirimkan
melalui paket-paket TCP, UDP, dan ICMP yang telah diacak. Master juga dapat melakukan
pemalsuan IP address (spoofing). Hal ini membuat penyangkalan terhadap TFN2K sangat sukar
dilakukan.

Trinoo

Trinoo (a.k.a. trin00) adalah program slave / master terkenal yang digunakan dalam serangan
DDoS. Daemon Trinoo pada awalnya ditemukan pada format binary sejumlah sistem Solaris 2.x,
yang diidentifikasi dapat dimanfaatkan dengan mengeksploitasi bug buffer overrun.

Jaringan Trinoo dapat berupa ratusan bahkan ribuan sistem di Internet yang diambilalih dengan
eksploitasi buffer overrun secara remote. Akses ke sistem-sistem yang dijadikan agent tersebut
diperolehi dengan menanamkan program back door sekaligus daemon Trinoo.

Sebuah jaringan Trinoo yang paling tidak terdiri atas 227 sistem – 114 diantaranya merupakan
web-web Internet – pada 17 Ogos 1999 digunakan untuk membanjiri satu sistem yang ada di
University of Minnessota. Akibatnya, server malang itu lumpuh dan koma selama dua hari. Saat
penanganan terhadap serangan 17 Ogos itu dilakukan, pembanjiran besar data juga diketahui
telah menyerang paling tidak 16 sistem lain, yang sebagian terdapat di luar AS.

Stacheldraht
Stacheldraht (Bahasa Jerman yang ertinya adalah kawat berduri) adalah tool lain yang popular
untuk melancarkan serangan DDoS.

Tool ini sangat unik kerana ia menggabungkan fitur-fitur yang dimiliki oleh Trinoo dan TFN
generasi pertama. Tool ini juga mempunyai enkripsi komunikasi antara penyerang dan masters
Stacheldraht serta mampu melakukan update agent secara automatik.

Seperti Trinoo, Stacheldraht terdiri atas program-program master (handler) dan daemon atau
bcast (agent). Fitur TFN yang dimiliki Stacheldraht adalah gaya-gaya serangan ICMP flood,
SYN flood, UDP flood, dan “Smurf.” (uzi)

DRDoS (Distributed Reflectors Denial of Service)

Berbeza dari serangan DDoS biasa, dalam serangan DRDoS tentera penyerang mengandungi
penguasaan zombi, zombi hamba, dan pemantul. Senario jenis serangan ini adalah selaras
dengan serangan DDoS biasa sehingga satu peringkat khusus. Penyerang-penyerang mempunyai
kawalan lebih menguasai zombi, yang bergilir-gilir, mempunyai kawalan lebih menghambakan
zombi. Perbezaan dalam jenis serangan adalah zombi hamba yang mendahului bagi
penghantaran zombi yang sebelum induknya menggunakan satu aliran bungkus dengan mangsa
alamat IP sebagai sumber alamat IP kepada orang lain yang tidak dijangkiti mesin-mesin
(diketahui sebagai pemantul), dan menggesa jentera bagi menghubungkan dengan mangsa.

Kemudian pemantul itu menghantar mangsa satu jumlah lalu lintas yang lebih besar, seperti satu
jawapan untuk desakannya untuk perasmian satu hubungan baru, kerana mereka percaya bahawa
mangsa itu adalah tuan rumah yang memintanya. Oleh itu, dalam serangan DRDoS, serangan
dilancarkan oleh noncompromised mesin-mesin, yang mendaki tanpa serangan disedari bagi
tindakan.

Membandingkan dua senario bagi serangan DDoS, kita harus perhatikan yang satu serangan
DRDoS adalah lebih banyak menjejaskan daripada satu serangan DDoS biasa. Ini kerana satu
serangan DRDoS mempunyai lebih mesin-mesin untuk berkongsi serangan, dan oleh itu
serangan lebih tersebar. Senario keduanya adalah serangan DRDoS mencipta satu jumlah lalu
lintas yang lebih besar dan disebabkan itu ianya lebih tersebar sifatnya.

You might also like