Sampai dengan sekarang ini pengertian tetang DDOS adalah seperti yang anda
dengarkan beberapa waktu yang lalu mengenai serangan terhadap web site Yahoo!
MSN, CNN, Buy.com, eBay dan Amazon.com. Informasi terkini yang didapat kan
adalah bahwa serangan hacker itu berasal dari West Coast, United States (Oregon
dan California). Dari laporan FBI menuliskan bahwa serangan ini melibatkan
beberapa network dari universitas yang ada di daerah tersebut yaitu Stanford,
state California dan Santa. Barbara. Pada whitepaper ini akan dibahas sekilas
mengenai cara serangan para hacker tersebut ke beberapa web site yang disebutkan
di atas.
2. Definisi Denial of Service Attacks
Serangan Denial of Service(DOS) ini terjadi apabila penyerang atau yang sering
terdengar dengan istilah hacker ini merusak host atau sevice yang ada sehingga
host atau service itu tidak dapat lagi berkomunikasi secara lancar di dalam
network neighborhood nya. Serangan seperti ini juga dapat menghancurkan seluruh
host dengan mengakibatkan "kernel panic" pada Linux dan keluarga UNIX lainnya
atau lebih umumnya the "blue screen on death" nya Windows NT dan 98.Serangan DOS
ini dapat ditujukan dengan lebih spesifik terhadap services yang ada, contohnya
seperti host Web Server dan fungsi dari Network Interface Card (NIC).
Bahkan yang lebih menyenangkan lagi si penyerang menargetkan serangan khusus
pada network environment seperti network bandwith dengan menciptakan network
request imitasi sehingga terjadi network bussy atau istilah yang lebih
familiarnya bottleneck (yang pasti bandwith networknya menjadi full of waste ).
Seperti anda ketahui bahwa bandwith adalah bagian yang sangat esensial dari
koneksi internet (saluran ke internet). Dengan memenuhi saluran tersebut dengan
infomasi sampah(network request imitasi) si penyerang dapat dengan bebas
menguasai network bandwith yang masih available. Serangan DOS terakhir yang
terjadi adalah pada tgl 7 January 2000.
Serangan DOS ini telah ada pada tahun 1988 yaitu Robert Moris Internet Worm,
Melissa virus yang terkenal pada tahun dan masih banyak lagi kejadian DOS pada
network dan perusahaan yang tidak diketahui.
Meskipun hal-hal ini disebabkan oleh worm, virusdan beberapa macam dari program
yang ada, semua ini terjadi dengan cara yang sama yaitu : satu host menyampaikan
informasi atau berkomunikasi dengan host lainnya dan kemudian secara efektif
menghancurkan korban dengan mengirim segudang informasi yang tidak dapat di
tanggani oleh korban itu sendiri.
3. Serangan Distributed Denial of Service (DDOS).
Perlu digariskan disini bahwa DOS dan DDOS adalah beda. DOS adalah serangan
hanya dengan satu node sedangkan DDOS yaitu dengan beberapa node. Pada tahun
1998 kemajuan dari DOS yang tradisional terlihat dari 3 konsep baru serangan
yaitu :
Serangan dengan melalui beberapa host. Serangan dengan koordinasi diantara
banyak individu yang ada (member dari pemakai network=internet) Serangan dengan
menggunakan distribusi system dimana hal ini untuk mencoba membuat bingung jalan
menuju ke titik pusat serangan(lihat gambar).
Si penyerang (titik pusat) menyerang host yang ada. Host tersebut tidak
berkomunikasi secara langsung dengan korban. Host tersebut adalah administrator
yang mengontrol dalam network mereka sendiri yang terdiri dari "Master" dan
"Daemon".
Si penyerang dapat mengontrol/menguasai satu atau bahkan lebih node master
tersebut. Master node secara umum akan mengontrol beberapa bahkan lusinan node
daemon, yang kemudian akan di alamatkan ke targer/korban.Maka serangan yang
dihasilkan akan berupa "packet storm" yang dapat menghancurkan host atau
bandwith dari network tersebut.Keuntungan dan perspektif sebagai hacker dengan
menggunakan serangan DDOS yang dapat dilihat disini adalah :
Si Penyerang dapat menggunakan ratusan system untuk menghancurkan korban.
Serangan tersebut menghasilkan kiriman "packet" yang sangat besar dan dengan
cepat dapat menghancurkan korban(target host).Jika network atau host dapat
diatur/dimanage dengan sukses dengan serangan ini, maka dapat anda bayangkan
betapa besar koneksi yang digunakan oleh sebuah network dapat dihancurkan dengan
serangan DDOS ini. Jadi semakin besar suatu jaringan maka akan semakin besar
pula serangan yang ada(menyenangkan bukan ?).
Contoh kasus dapat anda lihat yaitu Yahoo! Dan eBay, perusahaan seperti ini
menggunakan kompleks server yang disebut sebagai "cluster servers" dimana mereka
bertujuan dengan memberikan service yang OK kepada pelanggan(bandwith yang OK
dalam hal ini).Jadi dapat dilihat disini bahwa system yang "robust"(seperti
banyak tertulis dalam produk Microsoft) dan system yang "well-managed" pun dapat
dengan mudah dihancurkan dengan system serangan seperti ini. (tertarik anda
untuk mencoba ?)Tidak hanya programming kita dapat menggunakan multi tier desain
tapi dalam hacking pun ada desainnya. Dalam struktur multi tier ini korban akan
sangat sulit melacak titik pusat dari serangan tersebut.
Sejauh ini sangat penting untuk dimegerti bahwa sebagian besar dari operator
dari host dimana master dan daemon itu berada merupakan bagian pendukung dari
DOS ini. Hal ini terjadi karena hacker telah berhubungan dengan master dan
daemon node dimana mereka telah menginstall software DOS ini tanpa sepengetahuan
pemilik host/administrator/operatornya. Seandainya si korban dapat melacak
daemon host sekalipun, pemilik/operator dari host tsb tidak dapat memberikan
informasi yang cukup untuk meneruskan upaya ini.
4. Mengapa Serangan DDOS menjadi sangat populer ?
Beberapa jawabannya dapat anda lihat dibawah ini :
Banyak Operating System dan aplikasi yang memberikan kemudahan dalam instalasi
sehingga memberikan beberapa keuntungan seperti menghemat waktu mempelajarinya
dan bahkan tidak perlu seorang ahli IT dalam mengoperasikannya. Maka akan sangat
sulit bagi mereka untuk memberikan sekuriti kepada system yang mereka install
secara otomatis tsb. Bukankah lebih mudah menginstall suatu program atau
aplikasi dengan menggunakan default setting yang sudah ada. Contohnya dapat anda
lihat pada system BII dan Bank Bali(segera di publish) di site Jasakom ini.
Banyak dari network environment bernasis pada single operating system. Contohnya
jika menggunakan NT semuanya atau Linux di seluruh network environment. Router
Cisco, dimana secara merata cara setting nya adalah sama di semua tempat.
Arsitektur internet yang alami secara mendasar memang sangat tidak secure dan
memerlukan lingkungan kerja yang complex, mahal dan banyak menghabiskan waktu.
Software yang semakin komplex. Kompleks dalam hal ini adalah mengenai source
code sehingga hole-hole yang ada dapat di exploit oleh hacker. Contohnya saja
seperti Microsoft yang banyak service packnya itu.
Software yang ada semakin powerful. Dimana software-software yang ada dapat
diakses tanpa harus dengan pengetahuan yang terlalu luas.
Kemajuan internet telah membawa banyak user yang tidak berpengalaman ikut serta
dalam lingkungan networking sehingga akan lebih mudah bagi mereka untuk
"misconfigured" system daripada memberikan keuntungan bagi system tsb.Serangan
tsb sulit dilacak. Karena perlu waktu yang berhari-hari bahkan bulanan sehingga
si penyerang sudah relatif lepas hari kesalahan yang ada.
5. Efek dari serangan DDOS
Secara umum end user atau korban serangan DDOS ini hanya sadar bahwa serangan
seperti in hanya merupakan gangguan yang memerlukan restart system. Tetapi
bagaimanapun juga hal seperti ini akan menggangu bisnis yang sedang dijalankan
apalagi bisnis yang sangat tergantung kepada system di internet.
Serangan DDOS ini juga dapat merupakan pengalihan point of view dari si hacker
untuk mendapatkan informasi penting yang ada. Pada dasarnya serangan DOS ini
merupakan rangkaian rencana kerja yang sudah disusun oleh hacker dalam mencapai
tujuannya yang telah ditargetkan. Jadi hacker tsb tidak hanya iseng mengadakan
serangan DOS ini.
Contohnya adalah jika hacker tsb ingin menyerang Host B maka ia harus
menggunakan computer A sebagai alat utk membingungkan korban dalam tracking si
penyerang. Dan host A harus mempunyai trust relationship ke host B.
Tehnikal overview dari aplikasi DDOS
Berikut ini akan dibahas secara tehnikal software yang digunakan untuk
melancarkan serangan DDOS ini. Mungkin pembahasan ini dapat digunakan sebagai
bahan dalam memproteksi diri.
Disini kami hanya membahas 4 macam software dari yang mana sebenarnya banyak
program lainj yang bisa anda coba
- The Tribal Flood Network (TFN)
TFN ini diciptakan oleh hacker yang cukup terkenal pada kalangan underground
yang bernama Mixter. Aplikasi ini memungkinkan penyerang membuat flood
connection dengan menggunakan protocol yang ada pada TCP/IP :
o UDP : difokuskan pada domain name system dan network
management program.
o TCP : pusat e-mail dan web transaksi
o ICMP : digunakan oleh para professional untuk
troubleshooting network
Nama program masternya adalah : tribe.c dan program daemon bernama td.c
- Trin00
Software ini menggunakan UDP untuk mengirimkan flood packets network dengan
menggunakan UDP. Port yang digunakan adalah :
Attack to Master : TCP Port 27665
Master to Daemon : UDP Port 27444
Daemon to Master(s) : UDP Port 31335
Program master : master.c
Program Daemon : ns.c
Sebagai saran, program ini tidak bagus untuk digunakan karena master dan daemon
berhubungan dengan clear text.
- Stacheldraht
Program ini cukup ok dan masih baru lho. Nama program ini dalam bahasa Jerman
yang berarti "Barb Wire" kenal kan dengan film Barb Wire si Pamela Anderson (Big
Tit women). Sama sepeti TFN software ini menggunakan UDP, TCP, ICMP dalam
menciptakan rootshell pada port port yang ada. Menggunakan komunikasi encrypt
antar master dan daemon. Memiliki kemampuan mengupdate daemonnya sendiri secara
otomatis. Maka dari itu program ini paling effisien dan cukup bahaya tapi keren
banget. Port TCP : 16660 dan 60001
Master program bernama : mserv.c
Daemon program bernama : td.c
Program ini memiliki client yang juga sebagai telnet : client.c
Komunikasi antara master dan agent menggunakan ICMP dan TCP sedangkan TFN hanya
menggunakan ICMP.
- TFN2K
Di realease pada tgl 21 Desember 1999. Seperti halnya Stacheldraht program ini
meng encrypt tranmision. Berjalan pada platform Windows NT. Tetapi program ini
lebih mudah di trace pada daemonnya.
Software DDOS lainnya yang dapat saya sebutkan disini adalah paket seperti
bliznet, dscan dan saltine kracker. Dscan adalah software yang dapat scanning
distribusi operating system dan cukup sulit untuk di lacak dalam penggunaannya.
Sedangkan yang lebih keren lagi adalah saltine kracker suite yang dapat menembus
password untuk site-site yang perlu authentication.
Dari ke-4 software di atas yang disebutkan kecuali Stacheldraht setiap software
di atas memiliki aplikasi master dan daemon seperti yang telah dibahas
sebelumnya diatas.
Sedangkan Stacheldraht memiliki client yang hampir sama dengan telnet. Dimana
hacker dapat mengontrol ratusan PC hanya dengan component dari software tsb.
Cara kerja dari component ini adalah seperti membuat cabang ke client
software(cthnya seperti Windows 98 yang sudah memiliki Telnet client sendiri),
jadi hacker dapat mengontrol master dan client.
Hal-hal dan sifat-sifat yang menarik dari kesamaan ke –4 software di atas adalah
sbb :
Selain dari TFN2K, software lainnya tsb bekerja pada system UNIX. Aslinya
software tsb di compiled untuk system Solaris tetapi sekarang telah ada yang
dibuat untuk platform lainnya seperti Linux dan Windows NT.
Master dan Daemon selalu diproteksi dengan password.
Pada Master component list dapat di daftarkan dengan mudah daemon yang ingin
ditambahkan ke dalamnya.
Setiap DDOS aplikasi memiliki sign tersendiri, sehingga akan adanya kemungkinan
untuk mendefinisikan master atau daemon yang telah diinstall di komputer anda.
6. Bagaimana menginstalasi program DDOS
Untuk menginstalasi program DDOS ini, master atau daemon node harus
dikomunikasikan terlebih dahulu sehingga mendapatkan trust security. Untuk
mendapatkan trust security adalah dengan cara yang sangat mudah. Gunakan scan
tool dari range IP di internet kemudian setelah mendapatkan host-host tsb, baru
diinstall client software pada host-host yang masih full of hole security. Satu
hal yang cukup menarik adalah software client tsb dapat di uninstall dengan cara
di set terlebih dahulu, di uninstall setelah berapa kali serangan. Hal ini
dikarenakan dapat ditrace dengan mudah host yang menyerangnya. Deteksi terhadap
keberadaan installasi DDOS software. Dalam hal ini belum ditemukan tools yang
paling OK dalam mendeteksi program DDOS ini.
Hal ini karena program DDOS masih menggunanakan system client-server yang masih
tradisional. Program tsb menggunakan port tertentu pada saat aktif sehingga
untuk dapat mencegah hal ini maka anda hanya dapat mencari port yang open untuk
di closed dengan menggunakan perintah netstat.
Anda juga dapat menggunakan perintah find / -name client, tetapi tentu saja anda
sudah tahu program client yang diinstall pada komputer anda. Banyak dari program
DDOS lebih banyak menggunakan fasilitas crontab UNIX yang secara automatic
menjalankan aplikasi. Dalam hal seperti ini maka perlu check crontab apakah ada
file yang termasuk dalam file-file yang perlu dicurigai sebagai client dari
program DDOS ini. Program yang dapat dipakai untuk mendeteksi program DDOS ini
adalah
RID yang ditulis oleh si hacker Mixter (pembuat TFN dan TFN2K), anda dapat
mencarinya di internet dengan mudah.
Sickenscan yang dapat mendeteksi password default dari program Stacheldraht.
Trin00killer adalah untuk me-remove program trin00 master dan daemonnya.