DDoS, Serangan yang Belum Tertangkal

Senin 21 Oktober 2002, 20.34 GMT, para administrator13 root server DNS
tersentak. Sejumlah data yang volumenya 30sampai 40 kali lebih besar
data normal yang dapat ditanganiserver server tersebut tiba-tiba
membanjir. Akibatnya,sembilan dari 13 root server tersebut lumpuh.
Paraadministrator segera mengambil tindakan. Serangan tiba-tibahilang
dalam waktu sekitar satu jam.

Karena hanya berlangsung singkat, trafik dunia maya tidaksempat
terganggu. Para pengguna Internet di seluruh dunia jugatidak sempat
merasakan akan adanya serangan tersebut. Namun,Gedung Putih dan FBI
kebakaran jenggot. Mereka segera bergerakuntuk menyelidiki pelaku dan
latar belakang serangan tersebut.Mengapa negara adidaya tersebut sampai kaget seperti tersambar petir saat 13 root server tersebut dilumpuhkan orang?

Jawabannya sederhana. Jika 13 server tersebut lumpuh berarti Internet
seluruh dunia akan lumpuh karena server-server itu adalah server DNS
(Domain Name Server) – server yang mengubah kode-kode IP address yang
rumit menjadi kata-kata dan nama yang membentuk e-mail dan alamat-alamat
Web. Dunia maya

mengandalkan 13 server tersebut untuk untuk memberitahu komputer di
seluruh dunia bagaimana mencapai domain-domain Internet. Jika
server-server DNS tersebut mati, maka kelumpuhan e-mail dan Web browsing
di seluruh penjuru Internet akan terjadi, yang berarti matinya dunia
maya tersebut.

Wajar saja bila FBI dan Gedung Putih saat ini sedang menyelidiki
serangan tersebut. Seorang pejabat Gedung Putih menggambarkan serangan
Selasa tersebut sebagai serangan berskala besar tercanggih yang
dilancarkan pada komputer-komputer penting dalam sejarah Internet. Asal
serangan tersebut sampai saat ini belum diketahui. Komunitas hacker
menjadi tertuduh utama, bukan lagi Al-Qaeda.

Bagaimana server-server tersebut diserang? Bukankah posisi geografis
server-server itu tersebar di seluruh dunia dan dirahasiakan tempatnya?

Server-server itu dilumpuhkan dengan serbuan serangan DDoS (Distributed
Denial of Service). Ada spekulasi yang mengatakan bahwa serangan itu
merupakan serangan dari orang iseng yang kalah dalam bermain game
online. Begitu mudahkan Internet dilumpuhkan ? Seberapa mudah serangan
itu dilakukan?

Denial of Service (DoS)

Varian pertama serangan berupa pengiriman air bah data ke target itu
adalah DoS (Denial of Service). Dalam serangan ini penyerang hanya
menggunakan satu komputer untuk menyemburkan data ke korbannya.

Penjelasan sederhananya seperti ini: Suatu ketika handphone anda
berbunyi. Sebelum anda sempat menggangkatnya handphone anda telah
berhenti berbunyi. Tiba-tiba handphone anda berbunyi lagi dan tanpa
sempat anda mengangkatnya, bunyi itupun segera berhenti. Beberapa kali
anda biarkan tapi masalah ini tak kunjung selesai. Beberapa kolega anda
yang hendak menghubungi anda terpaksa tidak bisa melakukannya karena
handphone anda sibuk terus. Itulah gambaran sederhana serangan DoS di
dunia non-cyber.

Di dunia cyber, kasus anda tersebut merupakan serangan salah satu jenis
DOS (Denial of Service). Yang pasti, sebegitu mudahnya DOS ini
diterapkan tapi mencegahnya bukanlah suatu hal yang gampang.
Target-target serangan DOS biasanya adalah server-server ISP, Internet
Banking, E-commerce, Web perusahaan, dan pemerintah.

Serangan DoS dapat dilakukan dengan mengirimkan query sebanyak mungkin
hingga target tidak bisa lagi menanganinya sehingga target lumpuh. Cara
lain melakukan serangan DoS adalah dengan mengirimkan data rusak atau
data yang tidak mampu di tangani oleh server target sehingga server
tersebut menjadi hang (tidak bisa berfungsi sebagaimana mestinya dan
perlu di restart ulang).

DDOS (Distributed Denial of Service)

Mengirimkan data secara terus menerus dengan menggunakan satu komputer
tidak begitu efektif karena biasanya sumber daya server yang diserang
lebih besar dari komputer penyerang. Daya bunuh serangan juga akhirnya
menjadi lemah.

Hacker penyerangpun memutar otaknya. Serangan dapat lebih mematikan jika
tenaga banyak komputer dijadikan satu untuk menciptakan banjir data
yang lebih besar.

Komputer-komputer yang diambil alih oleh hacker tersebut disebut zombie.
Zombie berfungsi sebagai anak buah atau agent penyerang yang siap
beraksi saat mendapat perintah dari “tuannya.”

Semakin banyak zombie yang dkuasai seorang penyerang, semakin
berkuasalah sang hacker tersebut karena besarnya tenaga yang ia genggam.
Dengan tenaga besar yang dikumpulkan dari komputer-komputer yang
dikuasai (secara illegal tentunya) tersebut, serangan DDoS hampir tidak
dapat ditangkal. Karena itulah serangan tipe ini sangat populer di
kalangan hacker.

Beberapa situs raksasa seperti Amazon.com, eBay, dan Yahoo pada Februari
2000 rontok selama beberapa jam karena serbuan ini. Gedung Putih juga
sempat boyongan karena serangan tipe ini. Gedung Putih terpaksa
“memindahkan” IP address situsnya karena jengah menerima serangan DDoS
yang sudah dirancang untuk muncul pada tanggal dan jam tertentu dengan
memanfaatkan virus tertentu tanpa mampu mencegahnya.

DDoS adalah tipe serangan dengan konsep sederhana. Namun efeknya bisa memindahkan “istana negara.”

Menghadapi Serangan DDOS

Serangan DDoS adalah serangan dengan teori sederhana namun dengan dampak
yang sangat besar. Sayangnya, sampai saat ini belum ditemukan cara
paling tepat untuk menghindari serangan ini secara total.

Meski sampai saat ini belum ada sistem yang kebal terhadap serangan ini,
ada sejumlah langkah yang dapat dilakukan untuk memperkecil resiko
serangan DDoS ini.

Karena serangan DDoS dapat dilakukan dengan memanfaatkan kelemahan
operating system yang anda gunakan, jangan pernah lupa mengupdate patch
untuk memerbaiki sistem pengoperasian anda. Ingatlah bahwa tidak ada
satupun sistem operasi di dunia ini yang aman dan 100 persen bebas dari
kelemahan.

Gunakan hardware/server yang kuat. Server
tersebut harus mampu menangani beban yang cukup berat sehingga server
anda tidak mudah down. Anda bisa mendesain network yang saling membackup
dan akan lebih bagus jika berada pada beberapa daerah sekaligus.

Gunakan firewall untuk mengeblok port-port (pintu masuk) yang tidak di
perlukan di server-server anda Gunakan IDS (Intrusion Detection System)
untuk mendeteksi penyusup dan melakukan pencegahan yang lebih cerdik.

Terminologi dan Tools Pada DDoS (uzi)

Terminologi-terminologi yang umum dalam serangan DDoS antara lain adalah Client – sebuah aplikasi yang

digunakan untuk memicu serangan dengan mengirimkan perintah ke
komponen-komponen lain, Daemon – sebuah proses dalam menjalankan agent
yang bertanggung jawab menerima dan melaksanakan perintah yang
dikeluarkan client, Master – host yang menjalankan client, Agent – host
yang menjalankan Daemon, dan Target – korban (berupa host atau jaringan)
yang dihantam serangan DDoS. Alur serangan DDoS adalah:

Penyerang (Master) à Client à Daemon à Korban (Target)

Tools

Program-program yang dapat digunakan hacker untuk melancarkan serangan
DDoS semakin mudah didapatkan dari Internet. Karenanya semakin berbahaya
pula ancaman ini dengan semakin banyaknya orang yang dapat
melakukannya.

Beberapa tool paling terkenal yang sering digunakan untuk melancarkan serangan DDoS adalah TFN2K, Trinoo dan Stacheldraht

TFN2K

TFN2K (Tribe Flood Network 2000) adalah tool untuk melancarkan serangan DDoS. TFN2K adalah turunan Trojan TFN.

TFN2K memungkinkan master mengeksploitasi sejumlah agent untuk
mengkoordinasikan serangan pada satu atau beberapa target yang diincar.
Saat ini, Unix, Solaris, dan Windows NT adalah platform-platform yang
rentan terhadap serangan ini.

TFN2K adalah sistem dengan dua komponen. Yang pertama adalah client yang
dikomando oleh master dan sebuah proses daemon yang beroperasi pada
sebuah agent. Master menginstruksikan para agent yang telah
ditaklukkannya untuk menyerang target yang telah ditentukan. Para agent
tersebut kemudian merespon dengan membanjirkan serbuan paket data.
Sejumlah agent, dengan perintah Master, dapat bekerjasama selama
serangan ini untuk mematahkan akses target. Komunikasi master-to-agent
telah dienkripsi dan bercampur dengan paket-paket yang diluncurkan. Baik
komunikasi master-to-agent maupun serangan itu sendiri dapat dikirimkan
melalui paket-paket TCP, UDP, dan ICMP yang telah diacak. Master juga
dapat melakukan pemalsuan IP address (spoofing). Hal ini membuat
penagkalan TFN2K sangat sukar dilakukan.

Trinoo

Trinoo (a.k.a. trin00) adalah program slave/master terkenal yang digunakan dalam serangan DDoS. Daemon

Trinoo awalnya ditemukan pada format binary sejumlah sistem Solaris 2.x,
yang diidentifikasi dapat dimanfaatkan dengan mengeksploitasi bug
buffer overrun.

Jaringan Trinoo dapat berupa ratusan bahkan ribuan sistem di Internet
yang diambilalih dengan eksploitasi buffer overrun secara remote. Akses
ke sistem-sistem yang dijadikan agent tersebut didapatkan dengan
menanamkan program back door sekaligus daemon Trinoo.

Sebuah jaringan Trinoo yang paling tidak terdiri atas 227 sistem – 114 diantaranya merupakan situs-situs

Internet – yang pada 17 Agustus 1999 digunakan untuk membanjiri satu sistem yang ada di University of

Minnessota. Akibatnya, server malang itu ambruk dan koma selama dua
hari. Saat penanganan terhadap serangan 17 Agustus itu dilakukan, banjir
besar data juga diketahui sedang menyerang paling tidak 16 sistem lain,
yang sebagian terdapat di luar AS.

Stacheldraht

Stacheldraht (Bahasa Jerman yang artinya adalah kawat berduri) adalah tool lain yang populer untuk melancarkan serangan DDoS.

Tool ini sangat unik karena ia menggabungkan fitur-fitur yang dimiliki
oleh Trinoo dan TFN generasi pertama. Tool ini juga mempunyai enkripsi
komunikasi antara penyerang dan master-master Stacheldraht serta mampu
melakukan update agent secara otomatis.

Seperti Trinoo, Stacheldraht terdiri atas program-program master (handler) dan daemon atau bcast

(agent). Fitur TFN yang dimiliki Stacheldraht adalah gaya-gaya serangan ICMP flood, SYN flood, UDP flood, dan "Smurf.”