Panduan Lengkap tentang Serangan DDoS: Apa Itu dan Bagaimana Cara Melindungi Diri

Apa Itu Serangan DDoS?

Serangan Distributed Denial of Service (DDoS) adalah upaya oleh penyerang untuk mengganggu pengiriman layanan online kepada pengguna. Ini dapat dilakukan dengan memblokir akses ke hampir segalanya seperti server, jaringan, perangkat, layanan, aplikasi, dan bahkan transaksi tertentu dalam aplikasi.

Serangan DDoS dapat disebut sebagai varian serangan denial-of-service (DoS) di mana penyerang atau sekelompok penyerang menggunakan beberapa perangkat untuk melancarkan serangan DoS secara bersamaan.

Perbedaan utama antara serangan DoS dan serangan DDoS adalah bahwa sementara serangan DoS menggunakan satu sistem untuk mengirim data atau permintaan berbahaya, serangan DDoS dikirim dari beberapa sistem, meningkatkan kekuatan dan efektivitasnya.

Serangan DDoS menargetkan korban di semua tingkat dengan menghalangi akses mereka ke sistem dan bahkan menggunakan pemerasan untuk menjatuhkan serangan tersebut.

Bank, situs web, pengecer online, dan saluran berita adalah di antara target utama para penyerang, sehingga menjadi tantangan nyata untuk memastikan bahwa informasi sensitif dapat diakses dan dipublikasikan dengan aman.

Sulit untuk mendeteksi dan memblokir serangan DDoS ini karena lalu lintas yang mereka hasilkan sulit dilacak dan dengan mudah bingung dengan lalu lintas sah.

Bagaimana Serangan DDoS Bekerja?

Sebagian besar serangan DDoS dilakukan melalui botnet, yang merupakan jaringan besar perangkat IoT cerdas, komputer yang terinfeksi malware, dan perangkat berbasis internet lainnya yang berada di bawah kendali para peretas.

Penyerang memberi perintah kepada mesin-mesin dalam botnet untuk mengirim sejumlah besar permintaan koneksi ke situs web tertentu atau alamat IP server.

Ini membuat situs web atau layanan online tersebut kewalahan dengan lalu lintas yang lebih banyak daripada server atau jaringannya bisa tangani. Akibatnya, situs web atau layanan online tersebut menjadi tidak tersedia bagi pengguna dengan bandwidth internet, kapasitas RAM, dan CPU yang kewalahan.

Dampak dari serangan DDoS ini dapat bervariasi mulai dari gangguan kecil dan layanan terputus hingga seluruh situs web, aplikasi, atau bahkan seluruh bisnis menjadi down.

Dampak Serangan DDoS

Serangan DDoS dapat memengaruhi korban dengan berbagai cara.

• Kehilangan finansial
• Kerusakan reputasi
• Kehilangan data
• Kerusakan kepercayaan pelanggan
• Dampak pada layanan penting
• Biaya langsung dan tidak langsung yang terlibat dalam memulihkan sistem
• Dampak pada pihak ketiga

Jenis-Jenis Dasar Serangan DDoS

Serangan DDoS umumnya dapat digolongkan ke dalam satu atau lebih kategori, dengan beberapa serangan canggih menggabungkan serangan pada vektor yang berbeda. Berikut adalah tiga kategori utama serangan DDoS.

1. Serangan Volumetrik

Ini adalah jenis klasik dari serangan DDoS, menggunakan metode untuk menghasilkan volume lalu lintas palsu yang besar untuk sepenuhnya membanjiri bandwidth situs web atau server. Lalu lintas palsu ini membuat lalu lintas nyata menjadi tidak bisa mengalir masuk atau keluar dari situs yang menjadi target. Serangan-serangan ini termasuk serangan UDP, ICMP, dan serangan banjir paket palsu. Ukuran serangan berbasis volume diukur dalam bit per detik (BPS).

2. Serangan Protokol

Serangan ini lebih terfokus dan memanfaatkan kerentanannya sumber daya dalam server. Mereka menghabiskan sumber daya server yang ada atau peralatan komunikasi perantara seperti firewall dan load balancer dan mengirimkan paket-paket besar kepada mereka. Serangan-serangan ini biasanya mencakup serangan banjir SYN, Ping of Death, serangan paket terfragmentasi, Smurf DDoS, dll, dan ukurannya diukur dalam paket per detik (PPS).

3. Serangan Lapisan Aplikasi

Ini adalah jenis serangan DDoS yang paling canggih, yang menargetkan aplikasi web tertentu. Mereka melaksanakan serangan dengan membanjiri aplikasi dengan permintaan yang bersifat jahat. Ukuran serangan ini diukur dalam permintaan per detik (RRS).

Gaya Serangan DDoS

1. Serangan UDP dan ICMP

Ini adalah gaya serangan yang paling umum yang termasuk dalam serangan volumetrik. Banjir UDP merendam sumber daya host dengan paket User Datagram Protocol (UDP). Sebaliknya, banjir ICMP melakukan hal yang sama dengan paket permintaan Internet Control Message Protocol (ICMP) echo (ping) sampai layanan tersebut kewalahan.

Selain itu, para penyerang cenderung menggunakan serangan refleksi untuk meningkatkan aliran banjir yang menghancurkan ini, di mana alamat IP korban dipalsukan untuk membuat permintaan UDP atau ICMP. Responnya dikirim kembali ke server itu sendiri karena paket jahat tersebut tampak berasal dari korban. Dengan cara ini, serangan ini menghabiskan baik bandwidth masuk maupun keluar.

2. Penguatan DNS

Seperti namanya, serangan ini melibatkan penjahat mengirim banyak permintaan pencarian DNS untuk membuat jaringan tidak berfungsi. Penguatan menguras bandwidth server dengan memperluas aliran lalu lintas keluar.

Ini dilakukan dengan mengirim permintaan informasi ke server yang mengeluarkan banyak data sebagai respons dan kemudian mengarahkan data tersebut langsung kembali ke server dengan memalsukan alamat balasan.

Jadi, penyerang mengirim banyak paket relatif kecil ke server DNS yang dapat diakses publik melalui banyak sumber berbeda dari botnet. Semua permintaan ini adalah permintaan respons yang panjang, seperti permintaan pencarian nama DNS. Kemudian, server DNS menjawab setiap permintaan yang tersebar ini dengan paket respons, termasuk banyak data yang jauh lebih besar dari paket permintaan awal, dengan semua data itu dikirim kembali ke server DNS korban.

3. Ping of Death

Ini adalah serangan protokol lain di mana penyerang mengirim beberapa ping yang jahat atau terformat tidak benar ke komputer. Meskipun panjang maksimum paket IP adalah 65.535 byte, lapisan data link membatasi ukuran frame maksimum yang diizinkan melalui jaringan Ethernet.

Oleh karena itu, paket IP yang besar dibagi menjadi beberapa paket (disebut fragmen), dan host penerima menyusun kembali fragmen-fragmen ini untuk membuat paket lengkap. Dalam situasi Ping of Death, host berakhir dengan paket IP yang lebih besar dari 65.535 byte saat mencoba menyusun kembali fragmen ping yang jahat. Hal ini menyebabkan tumpukan buffer memori yang dialokasikan untuk paket tersebut meluap, mengakibatkan penolakan layanan bahkan untuk paket data yang sah.

4. Banjir SYN

Banjir SYN adalah salah satu serangan protokol yang paling umum yang menghindari proses tiga langkah yang diperlukan untuk membentuk koneksi TCP antara klien dan server.

Koneksi-koneksi ini biasanya dibuat dengan klien melakukan permintaan sinkronisasi awal (SYN) ke server, server membalas dengan respons pengakuan (SYN-ACK), dan klien menyelesaikan handshake dengan akhir pengakuan (ACK).

Banjir SYN bekerja dengan membuat serangkaian permintaan sinkronisasi awal yang cepat dan meninggalkan server dengan tidak pernah membalas dengan pengakuan akhir. Akhirnya, server harus membuka banyak koneksi setengah terbuka yang akhirnya menghabiskan sumber daya hingga server mengalami kerusakan.

5. Banjir HTTP

Ini adalah salah satu jenis serangan DDoS lapisan aplikasi yang paling umum. Di sana, penjahat melakukan interaksi yang terlihat normal dengan server web atau aplikasi.

Meskipun semua interaksi ini berasal dari browser web dan tampak seperti aktivitas pengguna normal, mereka diatur untuk menghabiskan sebanyak mungkin sumber daya dari server.

Permintaan yang dibuat oleh penyerang dapat mencakup apa saja mulai dari memanggil URL dokumen atau gambar menggunakan permintaan GET hingga membuat server memproses panggilan ke database menggunakan permintaan POST.

Layanan serangan DDoS sering dijual di dark web.

Bagaimana Cara Mendeteksi Serangan DDoS

Serangan DDoS sering terdengar seperti hal-hal yang tidak berbahaya yang dapat menyebabkan masalah ketersediaan. Misalnya, mereka mungkin terlihat seperti server yang mati atau sistem yang down, terlalu banyak permintaan dari pengguna sebenarnya, atau kadang-kadang kabel putus. Jadi Anda akan selalu perlu menganalisis lalu lintas untuk menentukan apa yang sedang terjadi.

Jika Anda menjadi korban serangan DDoS, Anda akan melihat lonjakan lalu lintas yang tiba-tiba, membuat server Anda jatuh karena tekanan. Selain itu, jika Anda mengunjungi situs web yang sedang diserang DDoS, itu akan memuat sangat lambat atau menampilkan pesan kesalahan “503 layanan tidak tersedia.” Anda mungkin tidak dapat mengakses situs tersebut sampai serangan tersebut dihentikan.

Gejala Serangan DDoS

Situs atau layanan yang menjadi lambat adalah gejala paling jelas dari serangan DDoS. Gejala umum dari serangan DDoS meliputi:

• Lambatnya akses ke file yang berada di lokasi lokal atau jarak jauh
• Tidak bisa mengakses situs web tertentu dalam jangka waktu lama
• Jumlah lalu lintas yang besar dari satu sumber atau alamat IP tertentu
• Kebanjiran lalu lintas dari pengguna yang menunjukkan perilaku, jenis perangkat, browser web, dan lokasi yang serupa
• Kenaikan tiba-tiba dan tidak normal dalam permintaan ke halaman
• Masalah dalam mengakses semua situs web
• Jumlah besar email spam
• Ketidakmampuan untuk terhubung ke internet

Meskipun lonjakan lalu lintas yang sah juga dapat menyebabkan masalah kinerja, penting untuk menyelidiki lebih lanjut. Terutama, analisis harus dilakukan ketika lalu lintas tampak tidak normal.

Contoh: Sebuah toko online mengalami lonjakan lalu lintas setelah penjualan Black Friday, Natal, dll. Selain gejala yang disebutkan di atas, serangan DDoS memiliki gejala khusus, tergantung pada jenis serangan.

Selain itu, jika sebuah botnet menggunakan komputer Anda untuk melakukan serangan DDoS, akan muncul tanda peringatan berikut.

• Penurunan tiba-tiba dalam kinerja
• Kecrash-an sistem
• Pesan kesalahan yang sering muncul
• Kecepatan internet yang sangat lambat

Bagaimana Cara Melindungi Diri dari Serangan DDoS

Melindungi diri dari serangan DDoS bisa menjadi tugas yang menantang. Organisasi harus merencanakan dengan baik untuk mempertahankan dan mencegah serangan semacam itu.

Mengidentifikasi kerentanannya adalah kunci dan langkah awal dari strategi perlindungan apa pun. Selain itu, langkah-langkah yang disebutkan di bawah ini akan membantu mengurangi permukaan serangan organisasi dan mengurangi kerusakan yang disebabkan oleh serangan DDoS.

1. Segera ambil tindakan dengan memberi tahu penyedia ISP, memiliki ISP cadangan, dan mengalihkan lalu lintas.
2. Konfigurasikan firewall dan router untuk membantu menolak lalu lintas palsu sebagai lapisan pertahanan awal.

3. Lindungi komputer individu dengan menginstal perangkat lunak antivirus atau keamanan dengan patch keamanan terbaru.

4. Analisis arsitektur dan implementasi aplikasi. Aplikasi harus diimplementasikan sehingga tindakan pengguna tidak menguras sumber daya sistem atau mengonsumsi komponen aplikasi secara berlebihan.
5. Monitor lalu lintas jaringan untuk mendapatkan peringatan tentang lonjakan yang tidak terduga dalam lalu lintas jaringan. Ini akan membantu mengidentifikasi serangan DoS yang ditargetkan ke jaringan. Anda akan dapat mendapatkan wawasan tambahan dengan menganalisis asal lalu lintas.
6. Monitor kesehatan sistem dan responsivitas dengan menjalankan pemeriksaan kesehatan yang sering untuk mengenali serangan DoS yang ditargetkan ke sistem.
7. Evaluasi kesehatan dan responsivitas aplikasi dengan menjalankan pemeriksaan kesehatan yang sering pada komponen aplikasi. Ini dapat membantu mengidentifikasi serangan DDoS yang ditargetkan ke aplikasi.
8. Buat rencana mitigasi. Jenis serangan DDoS yang berbeda memerlukan strategi mitigasi yang berbeda. Banyak penyedia sekarang menawarkan strategi dan mekanisme untuk mencegah serangan DDoS. Jadi pertimbangkan apakah strategi dan mekanisme penyedia Anda sesuai dengan kebutuhan Anda dengan baik.

Selain itu, mempraktikkan kebiasaan keamanan internet akan mencegah perangkat Anda digunakan dalam botnet.

Gunakan kata sandi yang kuat

Gunakan kata sandi yang panjang, unik, dan sulit ditebak untuk semua akun Anda. Selain itu, Anda dapat menggunakan manajer kata sandi untuk menyimpan dan menyinkronkan kata sandi di seluruh perangkat Anda dengan aman.

Gunakan perangkat lunak terbaru

Perangkat lunak yang sudah usang penuh dengan celah yang dapat dimanfaatkan oleh peretas untuk masuk ke sistem Anda. Jadi selalu perbarui perangkat lunak Anda dan pasang pembaruan yang dirilis oleh vendor perangkat lunak sesegera mungkin. Pembaruan ini sering dibuat untuk mengatasi berbagai kerentan keamanan.

Berhati-hati terhadap tautan dan lampiran yang mencurigakan

Penjahat cyber mencoba membuat Anda mengunduh perangkat lunak berbahaya mereka menggunakan email yang berisi tautan atau lampiran berbahaya. Jadi jangan berinteraksi dengan email tersebut jika Anda tidak mengenal pengirimnya. Selain itu, Anda dapat menggunakan alat keamanan email untuk memeriksa lampiran email untuk perangkat lunak berbahaya.

Gunakan firewall

Firewall mampu memblokir akses dari dan ke sumber yang tidak diotorisasi. Selain itu, firewall cerdas dapat mencegah peretas berkomunikasi dengan mesin Anda jika mereka mencoba menginfeksinya dengan perangkat lunak botnet.

Kesimpulan

Serangan DDoS memberikan cara bagi pihak yang tidak diinginkan untuk membuat sebuah situs web atau layanan online tidak dapat diakses untuk jangka waktu tertentu atau secara permanen.

Mereka bervariasi dalam kompleksitasnya dan dapat secara serius mempengaruhi bisnis atau organisasi yang menjadi target. Oleh karena itu, bisnis online dan organisasi seharusnya mengambil setiap langkah yang mungkin untuk mengurangi serangan DDoS dan mengamankan sistem mereka.

FAQ

Mengapa profesional Keamanan Siber seharusnya khawatir tentang serangan DDoS?
Serangan DDoS dapat merusak ketersediaan sumber daya online yang kritis dan bertindak sebagai mekanisme yang menyesatkan untuk melakukan kegiatan ilegal lainnya di jaringan.

Mengapa sulit mencegah serangan DDoS dengan bentuk penyaringan keamanan siber tradisional?

Karena serangan DDoS dilakukan secara terdistribusi menggunakan beberapa sistem, sulit untuk memblokir lalu lintas berbahaya dengan menutup satu fitur tertentu.

Apa peran botnet dalam serangan DDoS?

Botnet adalah jaringan perangkat yang telah dikompromikan yang dikendalikan oleh penjahat siber, yang kadang-kadang disebut bot atau zombie. Perangkat yang telah dikompromikan ini dapat mencakup perangkat seperti desktop, laptop, server, dan perangkat IoT. Penyerang berkomunikasi dengan mesin-mesin ini dan menggabungkannya untuk menghasilkan sumber-sumber lalu lintas berbahaya yang terdistribusi untuk menghancurkan infrastruktur perusahaan.