Aplikasi Mekanisme Pertahanan DDoS untuk ISP dan SME

Apa itu DDoS

  • Secara singkat DDoS adalah bentuk serangan untuk melumpuhkan jaringan atau komputer korban dengan mengirim paket-paket data yang sangat banyak dari sekian banyak mesin atau komputer lainnya yang telah menjadi zombie sehingga jaringan atau komputer tersebut tidak dapat berfungsi dengan baik karena resource yang ada dihabiskan oleh paket-paket data DDoS tersebut sehingga jaringan atau komputer korban menjadi lumpuh.
  • Zombie atau komputer yang melakukan penyerangan bisa saja komputer yang terinfeksi virus atau tersusupi oleh trojan.


Bagaimana sebuah serangan "denial of service“ bekerja

  • Pada koneksi yang wajar, user mengirim sebuah pesan ke server dan minta server untuk meng-authentication pesan tersebut.
  • Selanjutnya server menjawab dengan mengirim pesan perihal authentication approval ke user tersebut.
  • User menerima acknowledges approval tersebut sehingga diizinkan/allowed masuk ke server tersebut
  • Pada sebuah serangan Denial of service, user mengirim sekian banyak permintaan authentication ke server, dengan cara memenuhinya.
  • Semua permintaan menggunakan alamat pengirim yang salah, sehingga server tidak dapat menemukan user ketika server mencoba untuk mengirim approval authentication.
  • Server akan menunggu kadang lebih dari satu menit, sebelum menutup koneksi tersebut.
  • Ketika server menutup koneksi, penyerang mengirim lagi sebuah batch permintaan palsu yang baru, dan proses tersebut dimulai lagi sehingga melumpuhkan layanan dari server tersebut dengan menghabiskan resource server: CPU, Memory, Bandwidth dll.


DDoS dan Bisnis
  • DDoS terkadang berlatar belakang persaingan bisnis, sering terjadi serangan DDoS pada sebuah ISP setelah ISP tersebut membuka cabang di kota lainnya.

Solusi
  • Advance Policy Firewall (APF). Sebenarnya menggunakan iptables yang sudah pernah dicoba juga sebelumnya tetapi hebatnya APF memiliki algoritma yang lebih canggih sehingga bisa menghasilkan rule iptables yang dinamis dan mampu mengidentifikasi mana request normal dan mana request DoS bahkan APF memiliki Anti DoS sehingga mampu menangkap alamat-alamat IP penyerang.
  • Adapun URL lengkap informasi tersebut dapat diakses pada:

APF
  • APF adalah firewall berbasis iptables yang di rancang untuk kebutuhan Internet saat ini dan dijalankan di linux. Ada tiga bagian filtering yang dilakukan oleh APF:
    • Static rule base policies
    • Connection based stateful policies
    • Sanity based policies

Static rule base policies
  • Adalah metode firewall yang paling tradisional. Merupakan rules firewall yang bersifat tetap yang bertugas menangani traffic pada kondisi yang normal. Contoh dari static rule base policies adalah berupa pengaturan allow/deny sebuah alamat untuk mengakses server dengan mengizinkan port yang aktif melalui file conf.apf. Dimana rules tersebut tidak banyak berubah atau tidak berubah pada saat firewall dijalankan.

Connection based stateful policies
  • Artinya melakukan pembedaan paket-paket data untuk bermacam-macam tipe koneksi. Hanya paket-paket yang jelas koneksinya yang diizinkan (allow) oleh firewall, lainnya akan di tolak (reject). Sebuah contoh pada FTP data transfer, pada era firewall yang terdahulu Anda harus mendefinisikan static policies yang komplek agar FTP data transfer dapat mengalir tanpa hambatan. Hal tersebut tidak terjadi lagi pada stateful policies, firewall dapat melihat bahwa alamat tersebut telah melakukan koneksi ke port 21 lalu menghubungkan alamat tersebut pada porsi data transfer dari koneksi dan secara dinamis merubah firewall untuk mengizinkan traffic tersebut.

Sanity based policies
  • Adalah kemampuan firewall untuk mengenali bermacam-macam traffic pattern untuk mengetahui metoda penyerang atau mempelajari traffic agar sesuai dengan Internet standards. Sebuah contoh jika terjadi penyerangan dengan penyamaran sumber alamat IP pada saat mengirim data ke server Anda, APF dapat secara mudah menolak traffic tersebut atau secara opsional mencatatnya ke log file lalu menolak traffic tersebut. Contoh yang lain jika sebuah router bermasalah dari Internet merelay malformed paket ke server Anda, APF dapat dengan mudah menolaknya atau dilain situasi dapat me-replay ke router dan menghentikan agar router tersebut menghentikan pengiriman paket-paket baru ke server Anda (TCP Reset).

Mekanisme Pertahanan Terhadap DDoS dengan Linux & Mikrotik


undefined
  • Komputer penyerang Zombie yang telah dikuasai Hacker atau virus melakukan penyerangan terhadap Honeypot yang menjalankan service web server dan DNS
  • Honeypot yang telah dilengkapi dengan Advance Policy Firewall (APF) dan mod_evasive menghasilkan daftar IP penyerang:
    • Ds_hosts.rules
    • Ad.rules
    • Mod_evasive.log
  • Uploader secara periodik menjalankan wget untuk mendapatkan daftar IP penyerang untuk selanjutnya menghasilkan skrip yang dapat dieksekusi oleh Mikrotik Firewall, skrip tersebut harus di upload menggunakan FTP ke Mikrotik Firewall.
  • Skrip yang sudah di upload ke Mikrotik Firewall dieksekusi secara periodik untuk menghasilkan daftar address-list yang harus di drop oleh Mikrotik Firewall:
    • Address-list ds_hosts
    • Address-list ados
    • Address-list mod_evasive
  • Jika IP penyerang telah terdaftar pada address-list tersebut maka Mikrotik Firewall akan melakukan action drop terhadap semua traffic dari dan ke IP tersebut.
  • Selain address-list diatas Mikrotik Firewall juga dilengkapi dengan rule yang akan mendeteksi kegiatan port scanning dari jaringan luar ke dalam sehingga menjadi semacam early warning.

Honeypot
  • In computer terminology, a honeypot is a trap set to detect, deflect or in some manner counteract attempts at unauthorized use of information systems. Generally it consists of a computer, data or a network site that appears to be part of a network but which is actually isolated, (un)protected and monitored, and which seems to contain information or a resource that would be of value to attackers. A honeypot that masquerades as an open proxy is known as a sugarcane.

Mod_evasive
  • Setelah menggunakan APF ternyata hasilnya masih belum optimal karena banyak sekali request HTTP yang tidak lazim terhadap web server, Jadi ternyata APF saja belum cukup, web server harus dilengkapi juga dengan mod_evasive.
  • Dari mod_evasive dihasilkan daftar ip yang melakukan DoS atau DDoS terhadap port 80 yang digunakan HTTP.

MRTG Server Hosting dan IIX Vaksin.com


Mod_evasive adalah
  • Mod_evasive adalah evasive maneuvers module untuk Apache Web Server sebagai aksi evasive pada saat terjadi HTTP DoS atau serangan DDoS atau serangan brute force. Juga di rancang sebagai pendeteksi dan network management tools, dan dapat secara mudah di konfigur utk berinteraksi dengan ipchains, firewalls, routers, dan etcetera. Mod_evasive menghasilkan laporan abuses melalui email dan fasilitas syslog.
  • Pendeteksian dilakukan dengan membuat sebuah internal dynamic hash table dari alamat IP dan URIs, dan menolak (deny) alamat IP mana saja yang berasal dari:
    • Request halaman yang sama berulang kali pada selang waktu tertentu per detik.
    • Membuat lebih dari 50 concurrent request pada child yang sama per detik.
    • Membuat request-request sewaktu di blacklist secara temporer (pada blocking list).

Contoh Email dari APF


Contoh Email dari Telkom-ID

undefined
Statistik Serangan DDoS

undefined

Apakah sudah 100% aman?
  • Tidak ada yang 100% aman di Internet, oleh karena itu diperlukan firewall dan antivirus update di setiap mesin baik itu client maupun server.
  • Di DatautamaNet kami mencoba memfilter traffic-traffic yang biasa digunakan virus, worm, dan spam pada level gateway tetapi ini belum cukup, di setiap komputer yang terhubung dengan jaringan DatautamaNet juga harus dilengkapi dengan firewall dan antivirus update.

Penjelasan lebih lanjut perihal APF, mod_evasive dan seting mikrotik untuk berkolaborasi dengan linux honeypot dapat dibaca pada buku

“Firewall melindungi jaringan dari DDoS menggunakan Linux dan Mikrotik”

 

About Me

My Photo
Presiden Director of : Monopoly Cell Groups, Monopoly Games and Internet Lounge, Monopoly Computer : Hardware, Maintenance and Supply Computer Product, Internet Networking Company, All in Depok City ,--------------------------, Send me Email : Radarmerauke@telkom.net

My Blog Stat :