Senin, 22 April 2013

[Network Attack] Denial Distribute of Service (DDOS)

PENGERTIAN DENIAL DISTRIBUTE OF SERVICE (DDOS)

Denial of Service adalah aktifitas menghambat kerja sebuah layanan (servis) atau mematikan-nya, sehingga user yang berhak/berkepentingan tidak dapat menggunakan layanan tersebut . Serangan Denial of Service (DOS) ini terjadi apabila penyerang atau yang sering terdengar dengan istilah hacker ini merusak host atau sevice yang ada sehingga host atau service itu tidak dapat lagi berkomunikasi secara lancar di dalam network neighborhood-nya Perkembangan dari serangan DOS adalah DDOS. Serangan DDoS adalah jenis serangan dengan cara memenuhi trafik server situs tersebut hingga situs menjadi lambat dan susah diakses Pengertian lain tentang DDOS adalah mengirimkan data secara terus menerus dengan menggunakan satu komputer tidak begitu efektif karena biasanya sumber daya server yang diserang lebih besar dari komputer penyerang .

Dari beberapa pengertian di atas dapat disimpulkan bahwa serangan DDOS (Denial Distribute Of Service) sangat merugikan bagi yang diserang, karena serangan ini dapat menghambat kerja pengguna dari komputer korban. Dimana komputer korban menjadi lambat dan sulit untuk diakses akibat dari penuhnya trafik dalam komputer tersebut.

CARA KERJA SERANGAN DDOS

Cara kerja DDOS dalam melakukan serangan kepada situs yang diinginkan. Secara sederhana serangan DDOS bisa dilakukan dengan menggunakan perintah “ping” yang dimiliki oleh windows. Proses “ping” ini ditujukan kepada situs yang akan menjadi korban. Jika perintah ini hanya dilakukan oleh sebuah komputer, perintah ini mungkin tidak menimbulkan efek bagi komputer korban. Akan tetapi, jika perintah ini dilakukan oleh banyak komputer kepada satu situs maka perintah ini bisa memperlambat kerja komputer korban.

Satu komputer mengirimkan data sebesar 32 bytes / detik ke situs yang di tuju. Jika ada 10.000 komputer yang melakukan perintah tersebut secara bersamaan, itu artinya ada kiriman data sebesar 312 Mega Bytes/ detik yang di terima oleh situs yang di tuju tadi. Dan server dari situs yang dituju tadi pun harus merespon kiriman yang di kirim dari 10.000 komputer secara bersamaan. Jika 312 MB/detik data yang harus di proses oleh server, dalam 1 menit saja, server harus memproses kiriman data sebesar 312 MB x 60 detik = 18720 MB. Bisa di tebak, situs yang di serang dengan metode ini akan mengalami Over Load / kelebihan data, dan tidak sanggup memproses kiriman data yang datang. Komputer-komputer lain yang ikut melakukan serangan tersebut di sebut komputer zombie, dimana sudah terinfeksi semacam adware. jadi si Penyerang hanya memerintahkan komputer utamanya untuk mengirimkan perintah ke komputer zombie yang sudah terinfeksi agar melakukan “Ping” ke situs yang di tuju

Berikut video penjelasan DDOS
Video

Sumber

Studi Kasus

Jika kita adalah Perusahaan ISP dimana didalamnya memiliki service, dan suatu saat ada gangguan dari luar yang bertujuan untuk memenuhi traffic yang masuk kerouter dengan cara mengirimkan data secara terus-menurus, biasanya data yang dikirimkan berupa UDP, maka traffic untuk semua pelanggan akan terganggu dikarenakan bandwidth yang seharusnya dialokasian untuk pelanggan tetapi dipenuhi oleh data yang dikirimkan oleh seseorang (sebut saja DDOS attacker).
 
 Bagaimana solusi untuk menghilangkan DDOS yang telah menyerang router 1
 1. Anda harus setting pada interface yang langsung berhubungan dengan firewall (jaringan internet), sebelum terkena DDOS attack, misalkan interface gi0/1 adalah interface yang berhubungan langsung dengan firewall
    #ip flow ingress
    #ip flow egress
 2. lihat dahulu traffic flow apa saja yang masuk ke router 1
    Router1#show ip cache flow
 3. lihat cache ip flow dari traffic keseluruhan di interface gi0/1, jika terdapat ip 185.24.15.79 sangat banyak sekali, itu indikasi ip DDOS attack
contoh: 
   Gi0/1          185.24.15.79         113.2.72.3        udp      65247     25498     1
   Gi0/1          185.24.15.79         113.2.72.3        udp      65247     25498     1
   Gi0/1          185.24.15.79         113.2.72.3        udp      65247     25498     1
   Gi0/1          185.24.15.79         113.2.72.3        udp      65247     25498     1
4. Caranya untuk menghilangkannya adalah membuat blackhole untuk IP DDOS tersebut
    #iproute 185.24.15.79 255.255.255.255 null0
5. Silahkan check kembali trafficnya

Semoga Berguna
Terimakasih

Rachadian Umar


Diposting oleh di Tidak ada komentar:

Rabu, 10 April 2013

(Networking) NAT - Network Address Translation




 NAT adalah pengalihan suatu alamat IP ke alamat yang lain. Dan apabila suatu paket dialihkan dengan NAT pada suatu link, maka pada saat ada paket kembali dari tujuan maka link ini akan mengingat darimana asal dari paket itu, sehingga komunikasi akan berjalan seperti biasa.


Kenapa orang-orang menggunakan NAT ?

  1. Koneksi Modem ke Internet.
    Kebanyakan ISP akan memberikan satu alamat IP pada saat anda melakukan dial up ke internet. Anda dapat mengirim paket ke alamat mana saja yang anda inginkan tetapi balasannya hanya akan diterima oleh satu alamat IP yang anda miliki.Apabila anda ingin menggunakan banyak komputer seperti jaringan dalam rumah anda untuk terhubung dengan internet dengan hanya satu kink ini, maka anda membutuhkan NAT.
    Cara ini adalah NAT yang paling umum digunakan sekarang ini, sering disebut sebagai masqurading.
  2. Banyak Server
    Terkadang anda ingin mengubah arah paket yang datang ke jaringan anda. Hal ini disebabkan anda hanya memiliki satu alamat IP, tapi anda ingin semua orang dapat mengakses komputer yang berada di belakang komputer yang memiliki alamat IP yang asli. Apabila anda dapat mengubah tujuan dari paket yang masuk, anda dapat melakukan ini.
    Tipe NAT seperti ini disebut port-forwarding.
  3. Transparent Proxy
    Terkadang anda ingin seakan-akan setiap paket yang melewati komputer anda hanya ditujukan untuk komputer anda sendiri. Hal ini digunakan untuk membuat transparent proxy : Proxy adalah program yang berada di antara jaringan anda dan dunia luar, dan membuat keduanya dapat saling berkomunikasi. Bagian transparannya dikarenakan jaringan anda tidak akan mengetahui bahwa dia menggunakan proxy kecuali proxynya tidak bekerja.
    Program squid dapat dikonfiguraasi untuk bekerja seperti ini, dan hal ini disebut redirection atau transparent proxy. 
Sumber

Oke, sekarang kita mulai dengan study kasusnya
Jika kita berlangganan internet dari ISP, kita hanya mendapat 1 IP Public (100.100.100.1) untuk dipergunakan, tetapi pada khasus ini kita memiliki lebih dari satu host. Bagaimanakah cara mensiasatinya?

NAT adalah solusinya, kita akan membuat IP Private untuk semua host yang akan menggunakan IP Public diatas

Berikut topologinya :


Pada Router Cat
Cat>enable
Cat#configure terminal
Cat(config)#interface fastEthernet 0/0
Cat(config-if)#ip address 100.100.100.1 255.255.255.0
Cat(config-if)#description Link_to_IPPublic
Cat(config-if)#no shutdown
Cat(config-if)#exit
Cat(config)#interface fastEthernet 0/1
Cat(config-if)#ip address 192.168.1.1 255.255.255.0
Cat(config-if)#description Link_to_IP_Private
Cat(config-if)#no shutdown
Cat(config-if)#exit
Cat(config)#router ospf 1
Cat(config-router)#network 100.100.100.0 0.0.0.255 area 0
Cat(config-router)#network 192.168.1.0 0.0.0.255 area 0
 Cat(config-router)#exit
Cat(config)#ip nat pool umr 100.100.100.1 100.100.100.254 netmask 255.255.255.0
Cat(config)#ip nat inside source list 1 pool umr
Cat(config)#access-list 1 permit 192.168.1.0 0.0.0.255 
Cat(config)#interface fastEthernet 0/1
Cat(config-if)#ip nat inside
Cat(config-if)#exit
Cat(config)#interface fastEthernet 0/0
Cat(config-if)#ip nat outside
Cat(config-if)#exit 

Pada Router Dog
Dog>enable
Dog#configure terminal 
Dog(config)#interface fastEthernet 0/0
Dog(config-if)#ip address 100.100.100.2 255.255.255.0
Dog(config-if)#no sh
Dog(config-if)#exit
Dog(config)#interface fastEthernet 0/1
Dog(config-if)#ip address 200.200.200.1 255.255.255.252
Dog(config-if)#description Link_to_Server
Dog(config-if)#no sh
Dog(config-if)#exit
Dog(config)#router ospf 1
Dog(config-router)#network 100.100.100.0 0.0.0.255 area 0
Dog(config-router)#network 200.200.200.2 0.0.0.3 area 0
Dog(config-router)#exit

Pada Laptop (Host)
IP Poolnya adalah 192.168.1.2 - 192.168.1.254 dengan CIDR /24
dan Gateway 192.168.1.1

untuk mengecek jika NAT telah berjalan atau belum, anda masuk ke router Cat lalu
Cat#show ip nat translations
Pro  Inside global     Inside local       Outside local      Outside global
icmp 100.100.100.1:5   192.168.1.2:5      200.200.200.2:5    200.200.200.2:5
icmp 100.100.100.1:6   192.168.1.2:6      200.200.200.2:6    200.200.200.2:6
icmp 100.100.100.1:7   192.168.1.2:7      200.200.200.2:7    200.200.200.2:7
icmp 100.100.100.1:8   192.168.1.2:8      200.200.200.2:8    200.200.200.2:8


Semoga bermanfaat
Terima kasih

Rachadian Umar

 



 
Diposting oleh di Tidak ada komentar:
Langganan: Komentar (Atom)