Posted on

Stateful Mitigation: Pentingnya, dan Bagaimana Kami Menyediakannya

Apa itu Stateful Mitigation

Herza Cloud telah bekerjasama dengan Path.net telah menerapkan jaringan global yang tangguh menggunakan stateful mitigation. Pelajari apa itu, dan bagaimana teknisi kami memanfaatkannya untuk unggul dalam perlindungan DDoS untuk Anda.

Apa itu Stateful Mitigation?

Ketika kita berbicara tentang “status”, ini mengacu pada informasi yang dipertahankan tentang urutan paket tertentu. Ini biasanya dilakukan dengan melacak pengidentifikasi, termasuk namun tidak terbatas pada, alamat IP dan port sumber dan tujuan. Ketika sebuah paket tiba, pencarian dapat dilakukan di tabel koneksi untuk mengidentifikasi apakah paket tersebut milik koneksi yang ada atau tidak. Status sudah ada dalam banyak kasus penggunaan yang berbeda. Transmission Control Protocol (TCP) adalah protokol layer transport berorientasi koneksi yang membutuhkan jabat tangan tiga arah sebelum dua perangkat akhir dapat berkomunikasi. Ketika paket SYN (“sinkronisasi”) diterima, yang merupakan langkah pertama pembentukan koneksi, sumber daya harus dialokasikan untuk “mengingat” klien (status). Dalam kasus kami, kami ingin membahas bagaimana ini cocok dengan mitigasi DDoS.

Aoa itu Stateful Mitigation
Source: ResearchGate

Mengapa itu penting?

Biasanya, serangan DDoS dapat dikurangi dengan memblokir lalu lintas dengan atribut berbeda dari lalu lintas yang sah. Ini mungkin termasuk nilai tidak valid yang tidak sesuai dengan protokol. Misalnya, header TCP dapat membawa flag, tetapi hanya beberapa kombinasi yang masuk akal dan dengan demikian diizinkan untuk digunakan oleh aplikasi. Bit SYN digunakan selama pembentukan koneksi, sedangkan FIN digunakan untuk mengakhiri koneksi. Mengingat informasi ini, tidak masuk akal jika keduanya digunakan secara bersamaan. Paket SYN-FIN dapat diblokir secara efektif tanpa risiko menjatuhkan serangan apa pun. Ini menimbulkan pertanyaan: Jadi mengapa mitigasi stateful penting?

Sayangnya, hal ini tidak selalu terjadi. Untuk serangan yang lebih canggih, lalu lintas DDoS tidak dapat difilter begitu saja dengan memeriksa karakteristik paket. Dalam hal ini, kita tidak dapat memutuskan apakah suatu paket harus dijatuhkan atau tidak tanpa mengetahui bagaimana paket tersebut berhubungan dengan lalu lintas yang dikirim sebelumnya. Di sinilah peran negara. Menggunakan mitigasi stateful, kita dapat memblokir paket-paket ini yang berasal dari serangan DDoS yang tidak dapat dibedakan dari lalu lintas yang sah.

Vektor yang paling umum

Anda mungkin bertanya-tanya apa serangan canggih yang menuntut mitigasi stateful ini. Di bawah ini, saya membahas beberapa strategi yang mungkin digunakan penyerang untuk mengatasi penerapan mitigasi DDoS yang tidak stateful atau tidak mengimplementasikan state dengan cukup baik.

SYN-ACK Floods

Paket SYN-ACK adalah langkah kedua dalam jabat tangan tiga arah TCP. Dalam model klien-server di mana klien adalah yang memulai koneksi, server akan membalas klien dengan SYN-ACK (“pengakuan sinkronisasi”). Banjir SYN-ACK adalah saat penyerang mencoba menjenuhkan sumber daya host dengan mengirimkan paket-paket ini dengan kecepatan tinggi, dengan maksud untuk membanjiri sistem atau jaringan. Saat paket SYN-ACK tiba di server, ia harus mencoba mencari tahu mengapa ia menerima lalu lintas di luar negara bagian ini. Dengan sejumlah besar paket ini tiba dengan cepat, sistem akan terlalu sibuk mencoba menangani lalu lintas jahat sehingga tidak dapat menangani lalu lintas yang sah. Bahkan untuk penyebaran kecil firewall stateful, hal ini menantang untuk dikurangi. Modul stateful harus melakukan pencarian untuk memeriksa apakah paket yang datang milik koneksi yang ada. Bergantung pada kekuatan pemrosesannya dan solusi yang digunakan, ini mungkin jauh lebih baik, tetapi tetap tidak ideal.

Ada dua cara berbeda bagi penyerang untuk melakukan banjir SYN-ACK. Yang pertama melibatkan penggunaan botnet, dan memiliki semua perangkat yang terinfeksi (sering disebut sebagai “bot”, “budak”, atau “zombie”) mengirim paket TCP SYN-ACK palsu ke target. Dengan sejumlah besar bot yang tersedia untuk penyerang, dia dapat dengan cepat membebani target dengan lebih banyak lalu lintas daripada yang dapat ditanganinya.

SYN-ACK Floods
Source: SpringerLink

Metode lain, yang menjadi lebih menonjol selama setahun terakhir, disebut sebagai refleksi TCP. Dalam serangan ini, penyerang mengirimkan paket TCP SYN palsu ke server yang sah. Paket palsu ini memiliki alamat IP sumber yang dipalsukan dengan milik korban. Setelah paket SYN palsu tiba di server, tidak ada cara untuk mengetahui bahwa alamat IP sumber yang disimpan di header IP sebenarnya bukan milik pengirim. Server membalas ke host dengan paket SYN-ACK. Dalam hal ini, tuan rumah adalah korbannya, dan menerima lalu lintas yang tidak diinginkan dari perangkat yang sepenuhnya sah. Ini disebut refleksi karena penyerang telah menggunakan host lain untuk memantulkan permintaannya, dan dari sana memantulkannya ke korban. Ketika ini terjadi puluhan atau ratusan ribu kali per detik, target dapat dengan mudah dibanjiri dengan lalu lintas serangan yang terlalu banyak sehingga tidak dapat menerima lalu lintas yang sah, sehingga menyebabkan Distributed Reflected Denial of Service (DRDoS). Perangkat yang paling umum digunakan sebagai reflektor (host memantulkan lalu lintas ke korban) biasanya adalah server web, tetapi bisa juga berupa server SMTP atau layanan TCP lainnya.

ACK Floods

Sama seperti banjir SYN-ACK, paket TCP out-of-state ini digunakan untuk membingungkan host dan menghabiskan sumber daya dengan mengirimkan paket yang bukan milik koneksi yang ada. Kami tidak akan membahas terlalu banyak detail tentang banjir ACK karena cara kerjanya sangat mirip dengan banjir SYN-ACK, kecuali hanya ada satu cara yang masuk akal untuk meluncurkan serangan ini. Seperti kebanyakan serangan lainnya, botnet digunakan untuk mengirim paket TCP ACK buatan dari sejumlah besar perangkat IoT yang terinfeksi.

UDP Floods

Kami telah membahas cara jabat tangan tiga arah TCP dapat disalahgunakan untuk merusak jaringan lain di Internet. Bagaimana dengan protokol lain?

Dengan sebagian besar serangan berbasis UDP, mereka cukup mudah untuk dimitigasi. Untuk amplifikasi UDP, seseorang dapat memilih untuk menilai-batas vektor amplifikasi umum, seperti Memcache. Dengan banjir umum yang dikirim dari botnet, lalu lintas DDoS biasanya dapat dihentikan dengan mengidentifikasi atribut umum yang membedakannya dari lalu lintas biasa. Seperti yang telah kami katakan, ini tidak selalu terjadi, dan dengan protokol tanpa koneksi yang sering dimanfaatkan untuk melancarkan serangan, tidak terkecuali UDP.

Mari kita lihat beberapa lalu lintas yang berasal dari klien di server game.

Sekarang mari kita periksa serangan DDoS yang dikirim ke jenis server game yang sama.

Wahhh, yang mana?! Dengan memeriksa dua sampel lalu lintas yang berbeda ini, kami tidak memiliki cara untuk mengetahui mana klien yang sah, dan mana yang merupakan serangan DDoS! Dengan serangan yang cukup terfokus, penyerang dapat menyesuaikannya agar terlihat sangat mirip dengan lalu lintas reguler untuk layanan tersebut. Ini membutuhkan mitigasi stateful lanjutan untuk membuat keputusan pada paket berdasarkan lalu lintas sebelumnya.

Bagaimana Herza Cloud menangani stateful mitigation

Banyak penyedia mitigasi DDoS gagal memitigasi serangan canggih semacam itu; Deteksi DDoS berbasis tanda tangan tidak dapat mengenali banjir tertentu, dan lalu lintas klien yang sah seringkali dapat dihentikan dalam proses mitigasi serangan semacam itu. Server game sangat rentan untuk menyelesaikan bencana bahkan dari serangan kecil, dan terutama jika layanan mitigasi menyebabkan hilangnya paket untuk klien. Path telah menerapkan firewall yang sepenuhnya stateful untuk memblokir jenis serangan yang paling canggih sekalipun, termasuk namun tidak terbatas pada, banjir SYN, SYN-ACK, dan ACK. Ketika serangan DDoS akan segera terjadi, jaringan global 2,8 Tbps kami bekerja untuk menyaring semua bentuk serangan, baik negara diperlukan atau tidak untuk memitigasinya. Baru-baru ini, kami telah memperkenalkan filter aplikasi, yang memfilter lalu lintas di tepi yang tidak membatasi layanan yang ingin dilindungi pengguna. Anda dapat membaca lebih lanjut tentang filter aplikasi Path di sini. Semua filter ini bersifat stateful, artinya kita tidak hanya dapat mencegah lalu lintas yang tidak menarik bagi aplikasi, tetapi juga lalu lintas yang tidak masuk akal untuk diterima aplikasi mengingat keadaan saat ini dipertahankan tentang host tertentu.

Sebagian besar produk yang digunakan untuk melindungi jaringan kami dari serangan DDoS diimplementasikan menggunakan eBPF dan XDP untuk kecepatan pemrosesan paket bare-metal, dan hanya perangkat keras tingkat perusahaan tingkat atas yang digunakan untuk mencapai kinerja paling mutakhir.

Posted on

Perlindungan DDoS menggunakan eBPF/XDP

Perlindungan DDoS menggunakan eBPF/XDP

“Bekerja lebih cerdas, bukan lebih keras” adalah motif yang didukung oleh para Engineer di Herza Cloud, itulah sebabnya kami terus mengembangkan teknik mitigasi DDoS (Distributed Denial-of-Service) dengan cara yang belum pernah terjadi sebelumnya menggunakan kekuatan eBPF dan XDP. Penambahan terbaru kami, yang dikenal sebagai filter, memungkinkan pelanggan menerima perlindungan tanpa hambatan dari banyak serangan yang berbeda, baik yang dikenal maupun tidak dikenal, dengan mengklik tombol.

Cara kerja eBPF dan XDP

Jika Anda tidak familiar dengan apa itu eBPF atau XDP, kami memberikan pengenalan singkat tentang teknologi yang cukup baru ini di postingan blog kami berjudul Apa itu eBPF, XDP and Network Security. Pada dasarnya, ini memungkinkan seseorang untuk memfilter paket secara terprogram dengan kecepatan sangat tinggi. Perusahaan besar seperti Cloudflare dan Facebook sudah memanfaatkan fleksibilitasnya untuk memeras kinerja sebanyak mungkin dari sistem mereka.

Mengatasi solusi mitigasi DDoS saat ini

Cara paling menonjol untuk bertahan melawan serangan DDoS melibatkan penerapan beberapa aturan untuk memblokir serangan yang umum dan dikenal. Solusi ini sering mendasarkan stacking mereka pada pemfilteran berurutan, di mana rangkaian aturan diterapkan. Setiap kali sebuah paket datang, paket tersebut harus melintasi setiap aturan satu per satu hingga menemukan kecocokan. Pendekatan ini secara linier akan meningkatkan seberapa mahal untuk memfilter paket, dan membatasi skalabilitas seiring berkembangnya aturan. iptables, program ruang pengguna untuk memfilter paket di kernel Linux, adalah salah satu penyebab terbesar, namun tidak jelas berapa banyak perusahaan yang masih menggunakan perangkat lunak ini untuk mendorong mitigasi DDoS mereka.

iptables performance (source: RedHat Developers)

Kekhawatiran lain adalah di mana penyaringan paket dilakukan. Banyak layanan menggunakan “pusat scrubbing”, yang melibatkan pengubahan rute lalu lintas jauh untuk mengurangi serangan, dan dengan demikian menurunkan kinerja. Dalam skenario tertentu, overhead dari pengalihan yang mahal ini dapat berdampak pada jaringan hampir sama buruknya dengan serangan itu.

Lebih mendasar lagi, masalahnya terletak pada pola pikir. Dengan Internet yang terus tumbuh dan berkembang, penyerang tidak terlalu jauh di belakang. Serangan DDoS baru meningkat setiap hari, dan terlepas dari upaya terbaik, tidak mungkin untuk melacak setiap serangan. Ini menimbulkan pertanyaan tentang bagaimana penyedia mitigasi DDoS tradisional akan menangani serangan yang belum mereka temui.

Ketika Aplikasi Filter Lebih Berfungsi

Menggunakan firewall rules, seringkali sulit untuk mengungkapkan dengan tepat apa yang diinginkan pengguna. Biasanya, tingkat kontrol paling terperinci yang dapat Anda terima mencakup kemampuan memfilter pada lapisan transport, yang hanya mencakup UDP dan TCP. Meskipun ini bagus untuk memblokir serangan yang tidak terkoordinasi dengan baik dengan memblokir atau membatasi lalu lintas di porta, ini tidak cukup.

Misalnya, Anda memiliki server OpenVPN yang berjalan di port UDP 1194. Jika lalu lintas UDP di port lain tidak diperlukan, mungkin terlihat seperti ini:

PROTOCOLSOURCE IPSOURCE PORTDESTINATION PORTACTION
UDP1194Accept
UDPDrop

Jika serangan DDoS berbasis UDP menargetkan port selain 1194, solusi ini akan berfungsi dengan baik. Namun, apa yang akan dilakukan ACL (Access Control List) ini ketika penyerang menargetkan port UDP 1194? Itu akan mengizinkannya! Ini belum tentu kesalahan firewall Anda karena melakukan sesuatu selain yang diperintahkan; itu memberikan persis apa yang diminta. Masalahnya adalah bahwa pengguna tidak memiliki tingkat kontrol yang cukup baik untuk mewakili apa yang diperlukan dengan benar. Yang ingin kami sampaikan adalah bahwa semua lalu lintas OpenVPN harus diizinkan di port ini, bukan semua lalu lintas UDP. Dengan berapa banyak serangan DDoS yang menyalahgunakan properti UDP tanpa koneksi, mengizinkan semuanya tidak dapat diterima. Jadi bagaimana kita membuat keputusan pada paket yang setepat mungkin? Jawabannya: filter aplikasi pada Layer 7.

Di Herza Cloud, kami telah menghilangkan rasa frustrasi itu. Menggunakan eBPF/XDP, filter aplikasi diterapkan di tepi jaringan untuk jumlah protokol yang terus bertambah. Segera setelah filter diterapkan, semua lalu lintas yang menuju ke layanan tertentu melewati filter aplikasi ini, di mana perangkat lunak memastikan bahwa setiap paket terbatas pada konvensi yang digunakan aplikasi. Ini dilakukan melalui penelitian yang cermat untuk menemukan apa yang membedakan paket milik aplikasi yang ingin kami lindungi dari paket lain. Semua filter aplikasi kami menggunakan Stateful Mitigation untuk memblokir jenis Floods / DDoS yang paling canggih sekalipun. Bersihkan lalu lintas melewati dengan mulus, sementara paket berbahaya atau tidak sah ditolak; semua tanpa intervensi apa pun yang diperlukan, atau kemungkinan bahwa lalu lintas klien dapat dihentikan dalam proses. Saat ini kami telah membuat filter aplikasi untuk sejumlah layanan berbeda, termasuk OpenVPN, TeamSpeak 3, TLS, dan banyak lagi!

Hasil

Sejak rilis awal filter aplikasi kami, klien mendapat manfaat dari tingkat ketahanan yang tak tertandingi terhadap DDoS, apakah itu serangan volumetrik, banjir aplikasi bandwidth rendah, atau apa pun di antaranya! Filter aplikasi Path bukan hanya cara yang lebih logis untuk menyediakan pemfilteran paket, tetapi juga sangat efisien, sangat terukur, dan lebih tahan masa depan. Path berencana untuk melanjutkan perluasan teknologi ini, karena infrastruktur kami menjadi lebih modular.

One of our application filters are shown above withstanding an attack

Posted on

Apa itu DDOS Blackhole Routing?

Anti DDOS Blackhole with FastNetMon

DDoS Blackhole Routing (terkadang disebut dengan Blackholing), adalah tindakan pencegahan untuk mengurangi serangan DDoS di mana lalu lintas jaringan dialihkan ke “Blackhole / Lubang hitam”, dan hilang. Ketika pemfilteran Blackhole diterapkan tanpa kriteria batasan khusus, lalu lintas jaringan yang baik dan berbahaya diarahkan ke Null-Route atau lubang hitam dan dikeluarkan dari jaringan. Tapi mengapa menggunakan Blackhole Routing? Lalu lintas yang tidak diinginkan yang membanjiri aliran Network dan Mesin dari media transmisi yang berbeda, sengaja dihasilkan oleh serangan DDoS.

Maksud utama dari serangan DDoS adalah untuk menguras ketersediaan sumber daya komputasi seperti bandwidth, CPU, RAM, dan lain-lain ke target jarak jauh sehingga layanan di luar batas untuk pengguna yang sah. Pengguna mungkin mengalami penggunaan bandwidth yang berlebihan, atau penggunaan CPU yang berlebihan adalah beberapa gejala khas yang terkait dengan serangan ini. Ini menciptakan kebutuhan untuk menghentikan traffic DDoS yang ditujukan ke lubang hitam sebagai tindakan balasan yang sangat baik untuk mencegah serangan semacam ini. Perutean internet blackhole didasarkan pada alamat IP sumber dan tujuan, di mana teknik yang paling umum digunakan adalah menggunakan penyaringan rute jarak jauh, memanfaatkan IP tujuan.

Bagaimana Blackhole Routing Bekerja?

Lalu lintas DDoS harus dialihkan dan dijatuhkan di dekat sumber serangan. Blackhole routing melibatkan penggunaan alamat IP sumber dan tujuan dan, seperti yang disebutkan di atas, teknik yang paling umum digunakan, menggunakan pemfilteran rute jarak jauh. Misalnya, serangan DDoS dimulai pada server web yang menyimpan alamat IP 172.12.0.2.

Saat pelanggan meminta ISP untuk memfilter DDoS yang sedang berjalan, rute statis ke alamat IP target 172.12.0.1/32 akan dibuat, yang mengarah ke interface null atau tidak ada. Rute statis didistribusikan ke sesi iBGP dari mesin pemicu ke border router tetapi dengan alamat IP hop yang diperbarui ke 192.0.2.1. Akibatnya, semua lalu lintas jaringan diarahkan ke alamat IP ini, sehingga dihilangkan dengan null-route di border router. Saat serangan DDoS selesai, rute statis 172.12.0.2 dihapus dari mesin yang dipicu dan ditarik dari sesi IBGP.

Bagaimana Blackhole Routing dapat membantu Anda?

Tidak diragukan lagi, Anda dapat mengarahkan semua lalu lintas yang tidak diinginkan ke lubang hitam untuk membuangnya melalui lubang hitam di mana tidak ada titik kembali.

Jika Anda mengingat, pada tahun 2008 YouTube turun selama berjam-jam pada suatu hari berkat penggunaan Blackhole Routing oleh Telkom Pakistan. Ini terjadi setelah Kementerian Komunikasi Pakistan mengirimkan perintah agar YouTube diblokir secara nasional sebagai tanggapan atas video YouTube yang berisi kartun Belanda yang menggambarkan Nabi Muhammad. Layanan telekomunikasi milik pemerintah Pakistan menanggapi perintah ini dengan solusi perutean lubang hitam, tetapi solusi mereka menciptakan efek samping yang tidak terduga.

Blackhole Routing dapat membantu menghentikan semua lalu lintas berbahaya jika terjadi serangan, misalnya, DDoS atau serangan worm di mana Blackhole Routing berimprovisasi sebagai solusi terbaik untuk mengurangi waktu henti. Selain itu, berbeda dengan ACL (Access Control List), Anda dapat menggunakan solusi alternatif ini karena routing bekerja dengan cara penerusan dari router, Anda dapat menggunakan Blackhole Routing yang menenggelamkan lalu lintas yang sama dengan keuntungan untuk mengurangi dampak kinerja pada router itu sendiri.

Mengapa menggunakan Blackhole Routing sebagai biaya peluang untuk ACL terutama karena ACL membutuhkan daya pemrosesan yang lebih tinggi pada urutan operasi cisco IOS, ACL akan melayani cara yang sama seperti perutean lubang hitam tetapi akan membutuhkan lebih banyak fitur untuk melakukannya.

Bagaimana Herza.ID mengurangi resiko DDoS dengan Blackhole Routing?

Pada sistem Network Herza.ID, kami telah mengimplementasikan Auto-Trigger Blackhole Routing atas setiap aktivitas yang mencurigakan. Dari Border Router kami mengirimkan Traffic Flow ke Server FastNetMon kami yang akan memproses seluruh aktivitas di jaringan kami. Dan ketiga suatu aktivitas mencurigakan men-trigger alarm, maka Server FastNetMon akan mengirimkan proses iBGP untuk melakukan Blackhole menggunakan Community Blackhole system.

Salah satu contoh, Anda bisa melihat di graphic dibawah ini, dimana garis merah mengindikasikan terjadi trigger alarm atas suatu aktivitas yang mencurigakan, dan server FNM kami dengan sigap mengirimkan instruksi ke Border Router untuk melakukan Blackhole.

Posted on

Apa itu Serangan DDoS?

Serangan DDoS

Definisi Serangan DDoS (Distributed Denial of Service)

Serangan DDoS (Distributed Denial of Service) adalah upaya jahat untuk membuat layanan online tidak tersedia bagi penggunanya, biasanya dengan menghentikan sementara atau menangguhkan layanan dari server hostingnya.

Serangan DDoS per Detik

Serangan DDoS biasanya diluncurkan dari berbagai perangkat yang gampang dihack, sering didistribusikan secara global dalam apa yang disebut sebagai botnet. Ini berbeda dari serangan denial of service (DoS) lainnya, dalam hal ini menggunakan satu perangkat yang terhubung ke Internet (satu koneksi jaringan) untuk membanjiri target dengan lalu lintas jahat. Nuansa ini adalah alasan utama keberadaan kedua definisi yang agak berbeda ini.

Secara umum, serangan DoS dan DDoS dapat dibagi menjadi tiga jenis:

Serangan Berbasis Volume

Termasuk dengan cara membanjiri UDP, ICMP, dan membanjiri paket palsu lainnya. Tujuan serangan adalah untuk menjenuhkan bandwidth Website yang diserang, dan besarnya diukur dalam bit per detik (Bps).

Serangan Protokol

Termasuk SYN-Flood, serangan paket terfragmentasi, Ping of Death, Smurf DDoS dan banyak lagi. Jenis serangan ini menghabiskan sumber daya server aktual, atau orang-orang dari peralatan komunikasi menengah, seperti firewall dan load balancer, dan diukur dalam paket per detik (Pps).

Serangan Lapisan Aplikasi

Termasuk serangan rendah dan lambat, membanjiri GET / POST, serangan yang menargetkan kerentanan Apache, Windows atau OpenBSD dan banyak lagi. Terdiri dari permintaan yang tampaknya sah dan tidak bersalah, tujuan serangan ini adalah untuk menghancurkan Web Server, dan besarnya diukur dalam Permintaan per detik (Rps).

Jenis serangan DDoS umum

Beberapa jenis serangan DDoS yang paling umum digunakan adalah:

UDP-Flood

UDP-Flood, menurut definisi, adalah setiap serangan DDoS yang membanjiri target dengan paket User Datagram Protocol (UDP). Tujuan serangan adalah membanjiri port acak pada host jarak jauh. Ini menyebabkan Server berulang kali memeriksa aplikasi yang mendengarkan di port itu, dan ketika tidak ada aplikasi ditemukan, maka host membalas dengan paket ICMP ‘Destination Unreachable’. Proses ini menguras sumber daya host, yang pada akhirnya dapat menyebabkan tidak dapat diaksesnya Server tersebut

ICMP (Ping) Flood

Pada prinsipnya, ini mirip dengan UDP-Flood, ICMP-Flood membanjiri sumber daya target dengan paket ICMP Echo Request (ping), umumnya mengirimkan paket secepat mungkin tanpa menunggu balasan. Jenis serangan ini dapat menghabiskan bandwidth keluar dan masuk, karena server korban akan sering berusaha merespons dengan paket ICMP Echo Reply, yang mengakibatkan perlambatan keseluruhan sistem yang signifikan.

SYN Flood

Serangan DDoS SYN Flood

Serangan DDoS SYN-Flood mengeksploitasi kelemahan yang diketahui dalam urutan koneksi TCP (“three-way handshake”), di mana permintaan SYN untuk memulai koneksi TCP dengan host harus dijawab oleh respons SYN-ACK dari host itu, dan kemudian dikonfirmasi oleh respons ACK dari pemohon. Dalam skenario SYN-Flood, pemohon mengirim beberapa permintaan SYN, tetapi tidak menanggapi respon dari SYN-ACK, atau mengirim permintaan SYN dari alamat IP palsu. Bagaimanapun juga, sistem host terus menunggu pengakuan untuk setiap permintaan yang ada, mengikat sumber daya sampai tidak ada koneksi baru dapat dibuat, dan pada akhirnya menghasilkan penolakan layanan.

Ping of Death

Serangan ping of death (“POD”) melibatkan penyerang yang mengirimkan beberapa ping yang cacat atau jahat ke komputer. Panjang IP paket maksimum (termasuk header) adalah 65.535 byte. Namun, Data Link Layer biasanya memberikan batasan pada ukuran frame maksimum – misalnya 1500 byte melalui jaringan Ethernet. Dalam hal ini, paket IP besar dibagi menjadi beberapa paket IP (dikenal sebagai fragmen), dan host penerima menyusun kembali fragmen IP ke dalam paket lengkap. Dalam skenario Ping of Death, setelah manipulasi konten fragmen berbahaya, penerima berakhir dengan paket IP yang lebih besar dari 65.535 byte saat dipasang kembali. Ini dapat meluap buffer memori yang dialokasikan untuk paket, menyebabkan penolakan layanan untuk paket yang sah.

Slowloris

Slowloris adalah serangan yang sangat tertarget, memungkinkan satu server web untuk menjatuhkan server lain, tanpa mempengaruhi layanan atau port lain pada jaringan target. Slowloris melakukan ini dengan memegang sebanyak mungkin koneksi ke server web target yang terbuka selama mungkin. Ini menyelesaikan dengan membuat koneksi ke server target, tetapi hanya mengirimkan sebagian permintaan. Slowloris secara konstan mengirim lebih banyak header HTTP, tetapi tidak pernah menyelesaikan permintaan. Server yang ditargetkan menjaga setiap koneksi palsu ini terbuka. Ini pada akhirnya melebihi kumpulan koneksi konkurensi maksimum, dan mengarah pada penolakan koneksi tambahan dari klien yang sah.

Amplifikasi NTP

Dalam serangan amplifikasi NTP, pelaku mengeksploitasi server Network Time Protocol (NTP) yang dapat diakses publik untuk membanjiri server yang ditargetkan dengan lalu lintas UDP. Serangan didefinisikan sebagai serangan amplifikasi karena rasio kueri-ke-respons dalam skenario seperti itu berkisar antara 1:20 dan 1: 200 atau lebih. Ini berarti bahwa setiap penyerang yang memperoleh daftar server NTP terbuka (mis., Dengan menggunakan alat seperti Metasploit atau data dari Proyek NTP Terbuka) dapat dengan mudah menghasilkan serangan DDoS volume tinggi, bandwidth tinggi yang menghancurkan.

HTTP Flood

Serangan DDoS HTTP Flood

Dalam serangan DDoS HTTP-Flood, penyerang mengeksploitasi permintaan HTTP GET atau POST yang tampaknya sah untuk menyerang Web Server atau Aplikasi. HTTP Flood tidak menggunakan paket cacat, teknik spoofing atau refleksi, dan membutuhkan bandwidth lebih sedikit daripada serangan lain untuk menjatuhkan situs atau server yang ditargetkan. Serangan itu paling efektif ketika memaksa server atau aplikasi untuk mengalokasikan sumber daya maksimum yang mungkin dalam menanggapi setiap permintaan tunggal.

Solusi Herza.ID menangani Serangan DDoS

Herza.ID secara mulus dan komprehensif melindungi situs web terhadap ketiga jenis serangan DDoS, masing-masing menangani dengan toolset dan strategi pertahanan yang unik:

Serangan Berbasis Volume

Herza.ID melawan serangan-serangan ini dengan menyerapnya dengan jaringan global pusat scrubbing yang berskala, sesuai permintaan, untuk melawan serangan DDoS multi-gigabyte.

Serangan Protokol

Herza.ID mengurangi jenis serangan ini dengan memblokir lalu lintas “buruk” bahkan sebelum mencapai situs tersebut, meningkatkan teknologi identifikasi pengunjung yang membedakan antara pengunjung situs web yang sah (manusia, mesin pencari, dll.) Dan klien otomatis atau jahat.

Serangan Lapisan Aplikasi

Herza.ID mengurangi serangan Lapisan Aplikasi dengan memantau perilaku pengunjung, memblokir bot buruk yang diketahui, dan menantang entitas yang mencurigakan atau tidak dikenal dengan uji JS, tantangan Cookie, dan bahkan CAPTCHA.

Saat ini, Layanan Herza.ID menerapkan beberapa Layanan Anti DDoS & Scrubbing. Dan khusus untuk Layanan VPS Singapore Murah kami, telah termasuk Layanan Anti DDoS & Scrubbing Paket Basic / Standar yang mana dapat menampunng threshold serangan DDoS sampai dengan 5 Gbps.

Dalam semua skenario ini, Herza.ID menerapkan solusi perlindungan DDoS di luar jaringan Anda, artinya hanya lalu lintas yang disaring yang mencapai host Anda. Selain itu, Herza.ID mempertahankan basis pengetahuan ancaman DDoS yang luas, yang mencakup metode serangan baru dan yang muncul. Informasi yang terus diperbarui ini dikumpulkan di seluruh jaringan kami – mengidentifikasi ancaman baru saat mereka muncul, mendeteksi pengguna jahat yang dikenal, dan menerapkan solusi secara real-time di semua jaringan layanan Herza.ID.

Posted on

Cara Mencegah Serangan DDoS: 5 Tips untuk Menjaga Website Anda Aman

Pencegahan Serangan DDoS

Korban jatuh dari serangan DDoS (Distributed Denial of Service) dapat menjadi bencana besar: Biaya rata-rata untuk organisasi atas serangan DDoS yang berhasil adalah sekitar $ 100.000 untuk setiap jam serangan itu berlangsung, menurut perusahaan keamanan Cloudflare. Itulah kenapa Mencegah Serangan DDoS sangat penting untuk diterapkan.

Ada juga biaya jangka panjang: kehilangan reputasi, degradasi merek, dan pelanggan yang hilang, semuanya mengarah pada bisnis yang hilang. Itu sebabnya perlu menginvestasikan sumber daya yang signifikan untuk mencegah serangan DDoS, atau setidaknya meminimalkan risiko menjadi korban, daripada berkonsentrasi pada bagaimana menghentikan serangan DDoS begitu telah dimulai.

Mencegah Serangan DDoS

Pada artikel pertama dalam seri ini, kami membahas cara mencegah serangan DDoS. Jika Anda cukup beruntung untuk selamat dari serangan – atau cukup bijaksana untuk berpikir ke depan – sekarang kita akan membahas pencegahan serangan DDoS tersebut.

Mengerti Apa itu Serangan DDoS

Serangan volumetrik dasar dari Denial of Service (DoS) sering melibatkan cara membombardir alamat IP dengan volume lalu lintas (traffic) yang besar. Jika alamat IP mengarah ke server Web, traffic yang sah atau bersih tidak akan dapat menghubunginya dan Website menjadi tidak dapat diakses. Jenis lain dari serangan DoS adalah serangan flood, di mana sekelompok server dibanjiri permintaan yang perlu diproses oleh mesin korban. Ini sering dihasilkan dalam jumlah besar oleh skrip yang berjalan pada mesin yang terkompromikan yang merupakan bagian dari botnet, dan mengakibatkan melelahkan sumber daya server korban seperti CPU atau memori.

Serangan DDoS beroperasi pada prinsip yang sama, kecuali traffic jahat yang dihasilkan dari berbagai sumber, meskipun diatur dari satu titik pusat. Fakta bahwa sumber traffic DDoS didistribusikan, membuat pencegahan serangan DDoS jauh lebih sulit daripada mencegah serangan DoS yang berasal dari satu alamat IP.

Cari tahu lebih lanjut tentang Defenisi dan Jenis serangan DDoS

Alasan lain yang mencegah serangan DDoS adalah sebuah tantangan adalah bahwa banyak dari serangan hari ini adalah serangan “amplifikasi”. Ini melibatkan pengiriman paket data kecil ke server yang terkompromi dan dikonfigurasi dengan buruk di seluruh dunia, yang kemudian merespons dengan mengirimkan paket yang jauh lebih besar ke server yang sedang diserang. Contoh yang terkenal dari ini adalah serangan amplifikasi DNS, di mana permintaan DNS 60 byte dapat mengakibatkan respons 4.000 byte terkirim ke korban – sebuah faktor amplifikasi sekitar 70 kali ukuran paket asli.

Baru-baru ini, hacker telah mengeksploitasi fitur server yang disebut memcache untuk meluncurkan serangan amplifikasi memcached, di mana permintaan 15 byte dapat menghasilkan respons 750 kb, faktor amplifikasi lebih dari 50.000 kali ukuran paket asli. Serangan DDoS terbesar di dunia, diluncurkan terhadap Github pada awal tahun 2018, adalah serangan amplifikasi memcached yang memuncak pada 1,35 Tbps data yang mengenai server Github.

Manfaat bagi pelaku jahat dari serangan amplifikasi adalah bahwa mereka hanya membutuhkan bandwidth dalam jumlah terbatas yang mereka miliki untuk melancarkan serangan yang jauh lebih besar pada korban mereka daripada yang bisa mereka lakukan dengan menyerang korban secara langsung.

Baca juga Artikel kami tentang 10 Cara Mengamankan Server Linux Anda.

5 Cara untuk Mencegah Serangan DDoS

1. Bangun redundansi ke dalam infrastruktur Anda

Untuk membuatnya sesulit mungkin bagi penyerang untuk berhasil meluncurkan serangan DDoS terhadap server Anda, pastikan Anda membangun redundansi di beberapa Datacenter dengan sistem load balancing yang baik untuk mendistribusikan traffic di antara mereka. Jika memungkinkan, pusat data ini harus di wilayah yang berbeda, atau setidaknya di berbagai provinsi di negara yang sama.

Agar strategi ini benar-benar efektif, penting untuk Anda memastikan bahwa Data Center terhubung ke jaringan yang berbeda dan bahwa tidak ada hambatan jaringan yang jelas atau titik kegagalan tunggal pada jaringan ini.

Mendistribusikan Server Anda secara geografis dan topografi akan menyulitkan penyerang untuk berhasil menyerang lebih dari sebagian server Anda, membuat server lain tidak terpengaruh dan mampu melakukan setidaknya beberapa lalu lintas tambahan yang biasanya ditangani oleh server yang terpengaruh.

2. Konfigurasikan perangkat keras jaringan Anda terhadap serangan DDoS

Ada sejumlah perubahan konfigurasi perangkat keras sederhana yang dapat Anda lakukan untuk membantu mencegah serangan DDoS.

Misalnya, mengonfigurasi firewall atau router Anda untuk mematikan paket ICMP yang masuk atau memblokir respons DNS dari luar jaringan Anda (dengan memblokir port UDP 53) dapat membantu mencegah serangan volumetrik berbasis DNS dan ping tertentu.

Layanan VPS Singapore Murah dari Herza.ID, telah dilengkapi oleh Paket Standar dari Layanan Anti DDoS kami dengan Scrubbing Thresholds Volumetric Attack sampai 5 Gbps.

3. Menggunakan perangkat keras dan perangkat lunak anti-DDoS

Server Anda harus dilindungi oleh firewall jaringan dan firewall aplikasi web yang lebih khusus, dan Anda mungkin harus menggunakan load balancers juga. Banyak vendor perangkat keras sekarang menyertakan perlindungan perangkat lunak terhadap serangan protokol DDoS seperti serangan SYN Flood, misalnya, dengan memantau berapa banyak koneksi tidak lengkap yang ada dan membilasnya ketika jumlahnya mencapai nilai ambang batas yang dapat dikonfigurasi.

Modul perangkat lunak tertentu juga dapat ditambahkan ke beberapa perangkat lunak server web untuk menyediakan beberapa fungsi pencegahan DDoS. Sebagai contoh, Apache 2.2.15 dikirimkan dengan modul yang disebut mod_reqtimeout untuk melindungi dirinya dari serangan lapisan aplikasi seperti serangan Slowloris, yang membuka koneksi ke server web dan kemudian menahannya terbuka selama mungkin dengan mengirimkan permintaan sebagian hingga server tidak dapat menerima lagi koneksi baru.

4. Menggunakan alat perlindungan DDoS

Banyak vendor keamanan termasuk NetScout Arbor, Fortinet, Check Point, Cisco dan Radware menawarkan peralatan yang berada di depan firewall jaringan dan dirancang untuk memblokir serangan DDoS sebelum serangan tersebut masuk dalam jaringan kita.

Mereka melakukan ini menggunakan sejumlah teknik, termasuk melakukan baseline perilaku lalu lintas dan kemudian memblokir lalu lintas abnormal, dan memblokir lalu lintas berdasarkan tanda serangan yang dikenal.

Kelemahan utama dari jenis perlindungan serangan DDoS ini adalah bahwa peralatan itu sendiri terbatas dalam jumlah traffic throughput yang dapat mereka tangani. Sementara peralatan canggih mungkin dapat memeriksa traffic yang masuk dengan kecepatan hingga 80 Gbps, serangan DDoS saat ini dapat dengan mudah menjadi urutan besarnya lebih besar dari ini.

5. Lindungi DNS Server Anda

Jangan lupa bahwa aktor jahat mungkin dapat membuat Web Server Anda offline dengan melakukan DDoS kepada server DNS Anda. Untuk alasan itu, penting bahwa server DNS Anda memiliki redundansi, dan menempatkannya di Data Center yang berbeda di belakang load balancers juga merupakan ide bagus. Solusi yang lebih baik mungkin adalah pindah ke penyedia DNS berbasis cloud yang dapat menawarkan bandwidth tinggi dan beberapa titik kehadiran di Data Center di seluruh dunia. Layanan ini dirancang khusus dengan mempertimbangkan pencegahan DDoS.

Mudah-mudahan informasi diatas dapat memberikan kita wawasan tambahan dalam bagaimana cara melindungi Server atau Website kita dari serangan DDoS yang sangat berbahaya.