7

Bab 2

Tinjauan Pustaka

2.1 Penelitian Sebelumnya

Salah satu bidang variabel dalam IP header yang dapat

dikorelasikan dengan probabilitas dinamis adalah bidang 8 bit Time-

to-Live (TTL). Hal ini digunakan untuk melacak jumlah hop berjalan

dan untuk membatasi jumlah hop sebuah paket dapat melakukan

perjalanan di Internet sehingga mencegah paket data dapat

diteruskan oleh router tanpa batas waktu. Nilai TTL adalah

decremented oleh satu per satu setiap hop selama proses routing.

Telah diamati bahwa di Internet saat ini, jumlah maksimum hop ada

32 hops, dalam praktiknya cukup bagi paket untuk mencapai tujuan.

Jadi, secara umum nilai TTL diinisialisasi dengan nilai 32 ketika IP

header sedang dikonstruksi, meskipun dapat diatur antara angka 1

dan 255. Bagian TTL memberikan perkiraan yang baik tentang

seberapa jauh paket telah melakukan perjalanan dan dapat

dikorelasikan dengan probabilitas penandaan. Probabilitas

penandaan p dibentuk dengan Persamaan 2.1.

p = 0.51- (1 / TTL) (2.1)

Nilai konstan dipilih sebagai 0,51 karena nilai TTL

diasumsikan berkisar dari 1 sampai 32. Dalam kasus khusus di mana

TTL adalah satu, p diatur ke nilai 0,01.

8

Marking prosedure at router R

for each packet P

{

TTLV: =get TTL value in IP header

if TTLV == 1

{

q:= 0.01

}

else

{

q:= 0.51 - (1/TTLV)

}

let u be a random number from [0,1]

if ( u <= q )

{

P.distance: =0

P.edge: = h(R)

{

else

{

if (P.distance==0)

{

P.edge:=P.edge XOR h(R)

}

P.distance: = P.distance + 1;

}

Gambar 2.1 Prosedur Penandaan Berbasis TTL (Devasundaram, 2006)

Gambar 2.1 menunjukkan prosedur penandaan berbasis TTL.

Bilangan acak yang dihasilkan antara nol dan satu. Jika jumlah yang

dihasilkan kurang dari atau sama dengan perhitungan probabilitas

penandaan maka paket di-set untuk penandaan oleh router

(Devasundaram, 2006).

9

2.2 Tinjauan tentang Protocol TCP/IP

Sebelum membahas tentang DoS attack dan PPM akan

dibahas protokol TCP/IP secara ringkas.

2.2.1 Protokol Stack

Protokol stack adalah implementasi dari rangkaian protokol

jaringan komputer. TCP/IP (Transmission Control Protocol/Internet

Protocol) adalah standar komunikasi data yang digunakan oleh

komunitas Internet dalam proses tukar-menukar data dari satu

komputer ke komputer lain di dalam jaringan Internet.

Gambar 2.2 OSI Layers dan protokol TCP/IP (Dostalek dan Kabelova, 2006)

10

Gambar 2.2 menunjukkan protokol TCP/IP dan OSI layers.

TCP/IP menggunakan empat layers sementara OSI menggunakan

tujuh layers. TCP/IP dan OSI adalah sistem yang berbeda satu sama

lain secara signifikan, meskipun mempunyai fungsi yang sama pada

lapisan jaringan dan transportasi. Penulisan ini akan membahas

protokol TCP/IP secara ringkas.

Gambar 2.3 Hubungan antar Protokol TCP/IP (Panwar dkk, 2004)

Gambar 2.3 menunjukkan hubungan antar protokol di lapisan

yang berbeda. Penjelasan tentang protokol TCP/IP akan dibahas di

bawah ini.

Protokol TCP/IP memiliki empat layer, yaitu :

1. Physical layer (Network Interface Layer)

Pada lapisan ini, didefinisikan bagaimana penyaluran data

dalam bentuk frame-frame data pada media fisik. Media fisiknya

dapat berupa ethernet, token ring, kabel, serat optik, frame relay

atau gelombang radio.

11

2. Network Layer (Internet Layer)

Lapisan ini bertugas untuk menjamin agar suatu paket yang

dikirimkan dapat menemukan tujuannya. Lapisan ini memiliki

peranan penting terutama dalam mewujudkan internetworking yang

meliputi wilayah luas (worldwide internet). Pada layer ini terdapat

tiga macam protokol, yaitu IP (Internet Protocol), ARP (Address

Resolution Protocol), ICMP (Internet Control Message Protocol).

Beberapa tugas penting pada network layer adalah :

- Pengalamatan (addressing), yakni melengkapi setiap paket

data dengan alamat internet atau yang dikenal dengan

internet protocol address (IP address) sehingga jaringan

TCP/IP independent dari jenis media, sistem operasi, dan

komputer yang digunakan.

- Routing, yakni menentukan rute kemana paket data akan

dikirim agar mencapai tujuan yang diinginkan. Router-

router pada jaringan TCP/IP-lah yang menentukan

penyampaian paket data dari pengirim ke penerima.

3. Transport Layer

Berisi protokol yang bertanggung jawab untuk mengadakan

komunikasi antara dua komputer. Kedua protokol tersebut adalah :

- User Datagram Protocol (UDP), protokol process-to-

process yang menambahkan hanya alamat port, check-sum

error control, dan panjang informasi data dari lapisan di

atasnya.

- Transmission Control Protocol (TCP), menyediakan

layanan penuh lapisan transport untuk aplikasi.

12

4. Aplication Layer

Application Layer dalam TCP adalah kombinasi lapisan-

lapisan session, presentations dan application pada OSI. Lapisan ini

mendefinisikan aplikasi-aplikasi yang dijalankan pada jaringan.

Beberapa protokol yang telah dikembangkan pada lapisan ini yaitu:

SMTP (Simple Mail Transfer Protocol) untuk pengiriman electronic

mail, FTP (File Transfer Protocol) untuk transfer file, HTTP (Hyper

Text Transfer Protocol) untuk aplikasi berbasis web atau WWW

(Worl Wide Web), NNTP (Network News Transfer Protocol) untuk

distribusi news group.

2.2.2 Internet Protokol

a. IP Address

IP address dibentuk oleh sekumpulan bilangan biner

sepanjang 32 bit, yang dibagi atas empat bagian. Setiap bagian

panjangnya 8 bit. IP address merupakan identifikasi setiap host pada

jaringan Internet sehingga tidak boleh ada host lain (yang tergabung

ke Internet) menggunakan IP address yang sama. Dilihat dari

keperluan jaringan, IP address dapat dibagi menjadi dua kelompok,

yaitu private IP address dan public IP address. Private IP address

digunakan untuk jaringan local (LAN). Sedangkan public IP address

digunakan untuk jaringan public (Internet).

Umumnya header mempunyai 20 bytes. Tetapi, header dapat

juga berisi entries yang lebih panjang. Pada header IP ada field

berisi informasi Internet address, IP address asal dan tujuan dari

paket data. IP datagram ditunjukkan pada Gambar 2.4.

13

Gambar 2.4 IP Datagram (Dostalek dan Kabelova, 2006)

b. ICMP (Internet Control Message Protocol)

ICMP (Internet Control Message Protocol) adalah salah satu

protokol utama dari protokol Internet. ICMP utamanya digunakan

oleh sistem operasi komputer jaringan untuk mengirim pesan

kesalahan. Sebagai contoh, bila komputer tujuan tidak bisa

dijangkau maka ICMP akan mengirim pesan “Destination

unreachable”. ICMP berbeda tujuan dengan TCP dan UDP. ICMP

tidak digunakan secara langsung oleh aplikasi jaringan milik

pengguna. Salah satu pengecualian adalah aplikasi ping yang

mengirim pesan ICMP Echo Request (dan menerima Echo Reply)

untuk menentukan apakah komputer tujuan dapat dijangkau dan

berapa lama paket yang dikirimkan dibalas oleh komputer tujuan.

14

Gambar 2.5 Paket ICMP (Dostalek dan Kabelova, 2006)

Gambar 2.5 menunjukkan struktur paket ICMP. Panjang

header paket ICMP selalu 8 byte. Empat byte pertama selalu

memiliki arti yang sama, dan isinya dari 4 byte yang tersisa

tergantung pada jenis paket ICMP. Empat byte pertama dari header

selalu berisi jenis pesan, kode pesan, dan sebuah checksum 16 bit.

Format pesan tergantung pada nilai dari type field. Field code

kemudian menetapkan masalah yang sedang ditandai oleh ICMP.

2.2.3 Transport Protokol

Transmission Control Protocol (TCP) dan User Datagram

Protocol (UDP) merupakan dua protokol terpenting dalam layer

15

Transport. Keduanya digunakan oleh berbagai aplikasi TCP/IP.

Pada subbab ini akan dibahas secara ringkas kedua protokol

tersebut.

a. TCP (Transmission Control Protocol)

TCP (Transmission Control Protocol) merupakan protokol yang

bersifat connection oriented karena sebelum proses transmisi data

terjadi, dua aplikasi TCP harus melakukan pertukaran kontrol

informasi (handshaking). TCP juga bersifat reliable karena

menerapkan fitur deteksi kesalahan dan retransmisi apabila ada data

yang rusak, sehingga keutuhan data dapat terjamin.

Gambar 2.6 TCP Header (Dostalek dan Kabelova, 2006)

Gambar 2.6 menunjukkan TCP header. Panjang TCP header

adalah 20 bytes dan diikuti dengan item opsional. Item opsional

terdiri dari tipe item opsional, panjang item opsional, dan nilainya.

Protokol TCP bertanggung jawab untuk mengirimkan data dari

sumber ke tujuan dengan benar. TCP dapat mendeteksi kesalahan

atau hilangnya data dan melakukan pengiriman kembali sampai data

diterima dengan lengkap. TCP selalu meminta konfirmasi setiap kali

16

data dikirim, untuk memastikan apakah data telah sampai di tempat

tujuan. Kemudian TCP akan mengirimkan data berikutnya atau

melakukan pengiriman ulang (retransmisi) apabila data sebelumnya

tidak sampai atau rusak. Data yang dikirim dan diterima kemudian

diatur berdasarkan nomor urut. Protokol TCP sangat cocok

digunakan untuk koneksi yang membutuhkan kehandalan tinggi,

seperti aplikasi telnet, SSH, FTP, HTTP.

b. UDP (User Datagram Protocol)

UDP merupakan protokol yang bersifat connectionless. Artinya,

saat melakukan pengiriman data tidak dilakukan proses

handshaking, tidak ada sequencing datagram, dan tidak ada jaminan

bahwa paket data (datagram) yang dikirim akan tiba dengan

selamat. UDP juga tidak menyediakan fitur koreksi kesalahan.

UDP hanya menyediakan fasilitas multiplexing aplikasi (via

nomor port) dan deteksi kesalahan (via checksum) yang tersedia

pada header dan muatan. Deteksi kesalahan pada UDP hanya

bersifat opsional. Transmisi data yang realible, dilakukan ditingkat

aplikasi. Tidak bisa dikerjakan ditingkat protokol UDP.

Gabar 2.7 UDP Header (Dostalek, Kabelova, 2006)

17

Gambar 2.7 menunjukkan UDP header yang berisi jumlah

kedua sumber dan port tujuan sama dengan TCP. Nomor port dari

protokol UDP tidak ada hubungannya dengan nomor port TCP.

UDP menggunakan himpunan independent nomor port. Panjang

field UDP menunjukkan panjang datagram UDP (panjang header +

panjang data). Panjang minimum adalah 8 bytes, sebuah datagram

UDP hanya berisi header dan tidak ada data.

Layanan yang menggunakan UDP yaitu transmisi audio/video,

seperti : VoIP, audio/video streaming. UDP tidak cocok untuk

pengiriman paket data berukuran besar karena peluang jumlah paket

yang hilang/rusak sangat besar.

2.3 Serangan DoS (Denial of Service)

2.3.1 Definisi DoS (Denial of Service) dan DDoS (Distributed

Denial of Service)

Denial of Service (DoS) merupakan upaya untuk mencegah

pengguna yang sah mengakses layanan yang tersedia (Stallings,

2011). DoS menurunkan kinerja sebuah web site dengan terus-

menerus mengulang request ke server. Serangan ini mengakibatkan

server korban menjadi sibuk melayani request yang terkirim dan

berakhir dengan menghentikan aktivitas atau berhenti dengan

sendirinya karena tidak mampu melayani request.

DDoS (Distributed Denial of Service) adalah serangan

terkordinasi dari banyak sumber yang ditujukan untuk

menghabiskan sumberdaya target sehingga tidak bisa menyediakan

layanan bagi pengguna sah (Stallings, 2011). Penyerang menjadikan

18

beberapa komputer yang terhubung dalam jaringan sebagai zombie

atau secondary victim untuk melakukan serangan terhadap target.

Serangan DDoS menggunakan banyak komputer untuk

mengkoordinasi serangan DoS ke satu atau lebih target. Penggunaan

teknologi client/server attacker dapat mengefektifkan serangan DoS

dengan memanfaatkan sumberdaya dari bagian komputer yang tanpa

disadari bertindak sebagai platform serangan.

Gambar 2.8 Skema Serangan DDoS (Stallings, 2011)

Gambar 2.8 merupakan ilustrasi dari serangan yang

mengkonsumsi transmisi data sumber daya, berikut langkah-langkah

penyerangan (Stallings, 2011) :

1. Penyerang mengambil kendali dari beberapa host melalui

Internet, menginstruksikan mesin yang terhubung di dalam

jaringan untuk mengirim ICMP ECHO packets ke target dengan

alamat palsu ke kelompok host yang bertindak sebagai reflektor,

seperti yang dijelaskan selanjutnya.

19

2. Node di situs yang dijadikan sebagai perantara menerima

permintaan palsu berganda dan merespon dengan mengirim

paket balasan echo ke situs target.

3. Router target dibanjiri oleh paket-paket dari situs yang dijadikan

perantara, tanpa meninggalkan kapasitas transmisi data untuk

lalu lintas data yang sah.

2.3.2 Jenis Serangan DDoS

DDoS mempunyai dua tipe serangan yaitu model Agent-

Heandler dan model IRC-based.

Gambar 2.9 Jaringan Serangan DDoS (Specht dan Lee, 2003)

Gambar 2.9 menunjukkan jaringan serangan DDoS yang

terbagi menjadi dua bagian Agent-Handler dan IRC-Based, masing-

masing bagian mempunyai jenis serangan yang berbeda-beda.

berikut akan dibahas lebih rinci mengenai kedua model serangan

tersebut.

1. Model Agent-Handler

Serangan DDoS model Agent-Handler terdiri atas clients,

handler, dan agents. Client adalah dimana penyerang berkomunikasi

20

dengan sistem serangan DDoS lainnya. Handlers adalah paket-paket

software yang terletak diseluruh jaringan Internet yang digunakan

oleh client penyerang untuk berkomunikasi dengan agents. Serangan

DDoS model Agent-Handler ditunjukkan pada Gambar 2.10.

Gambar 2.10 Serangan DDoS Model Agent-Handler

(Specht dan Lee, 2003)

Software agent yang berada dalam sistem dikoordinasi untuk

melakukan serangan. Penyerang berkomunikasi dengan sejumlah

handler untuk mengidentifikasi agents mana saja yang sedang

berjalan, kapan untuk menjadwalkan serangan-serangan, atau kapan

untuk meng-upgrade agents. Pemilik dan pengguna sistem tidak

mengetahui bahwa sistem mereka turut ambil bagian dalam sebuah

serangan DDoS. Penyerang akan mencoba meletakkan software

handler pada router yang berhasil dikuasai atau server jaringan yang

menangani lalu lintas data dalam jumlah besar. Hal ini membuat

lebih sulit untuk mengidentifikasi pesan-pesan antara client dan

handler, dan antara handler dan agent. Komunikasi antara

penyerang dan handler dan antara handler dan agents dapat melalui

protokol TCP, UDP atau ICMP (Specht dan Lee, 2003).

21

Dalam suatu jaringan serangan DDoS, sistem yang telah

dimasukkan software agent disebut sebagai korban sekunder.

Korban primer adalah sistem yang menjadi target serangan DDoS.

Setiap program agent hanya menggunakan beberapa sumberdaya

(memori dan bandwith) ketika berpartisipasi dalam sebuah serangan.

Akan tetapi, software agent dirancang dengan baik menggunakan

sumberdaya dalam jumlah kecil agar para pengguna program

sekunder mengalami sedikit perubahan dalam performa sistem

mereka.

2. Model IRC-based

IRC adalah sistem chating online multiple user. IRC

mengijinkan para pengguna komputer untuk membuat interkoneksi

dua pihak atau lebih dan menulis pesan-pesan secara realtime satu

sama lainnya. Arsitektur jaringan IRC terdiri dari sejumlah server

IRC yang terdapat di seluruh internet dengan kanal-kanal untuk

saling berkomunikasi melalui Internet. Jaringan-jaringan chat IRC

mengijinkan para penggunanya untuk membuat kanal-kanal publik,

rahasia dan private. Kanal-kanal publik adalah kanal-kanal dimana

banyak pengguna dapat chat dan berbagi pesan dan file. Kanal

publik mengijinkan pengguna kanal tersebut untuk melihat semua

nama-nama IRC dan pesan-pesan user yang ada di dalam kanal

tersebut. Kanal-kanal private dan rahasia dibuat oleh pengguna

untuk berkomunikasi hanya dengan pengguna lainnya yang telah

ditentukan. Baik kanal private ataupun kanal rahasia melindungi

nama-nama dan pesan-pesan para penggunanya dari users lainnya

yang tidak memiliki akses ke kanal tersebut. Walaupun content dari

kanal private tersembunyi, perintah tertentu untuk mencari kanal

22

akan mengijinkan para pengguna yang tidak berada dalam kanal

untuk mengidentifikasi keberadaan kanal tersebut sedangkan kanal-

kanal rahasia lebih sulit untuk dicari kecuali penggunanya adalah

pengguna dari kanal tersebut.

Gambar 2.11 Serangan DDoS Model IRC-Based (Specht dan Lee, 2003)

Gambar 2.11 menunjukkan model serangan berbasis IRC.

Arsitektur serangan DDoS berbasis IRC mirip dengan model

serangan DDoS Agent-Handler. Perbedaannya bahwa model IRC

tidak menggunakan program handler yang terinstal di sebuah server

jaringan, tetapi menggunakan sebuah kanal komunikasi IRC untuk

menghubungkan client ke agent-agent. Dengan menggunakan kanal

IRC, penyerang yang menggunakan jenis arsitektur serangan DDoS

ini mempunyai keuntungan tambahan. Sebagai contoh, penyerang

dapat menggunakan port-port IRC yang sah untuk mengirimkan

pesan-pesan kepada para agent. Hal ini membuat pelacakan perintah

DDoS menjadi lebih sulit. Selain itu sejumlah server IRC cenderung

memiliki volume traffic yang besar yang memudahkan penyerang

untuk menyembunyikan keberadaannya dari administrator jaringan.

Keuntungan lainnya adalah penyerang tidak perlu untuk memelihara

23

sebuah daftar dari agent-agent karena penyerang cukup masuk ke

server IRC dan melihat daftar dari semua agent yang ada.

Software agent yang terinstal dalam jaringan IRC biasanya

berkomunikasi dengan kanal IRC dan memberitahukan penyerang

ketika agent berjalan.

2.3.3 Taksonomi Serangan DDoS

Ada berbagai macam teknik serangan DDoS. Ada dua kelas

utama dari serangan DDoS, yaitu bandwith depletion dan resource

depletion attacks.

Gambar 2.12 Taksonomi Serangan DDos (Specht dan Lee, 2003)

Gambar 2.12 menunjukkan taksonomi dari serangan DDoS,

yang terbagi menjadi dua bagian, berikut penjelasannya :

24

2.3.3.1 Serangan untuk menguras bandwith (bandwith depletion

attacks)

Serangan DDoS untuk menguras bandwidth adalah serangan

yang dirancang untuk membanjiri jaringan korban dengan traffic

yang tidak diinginkan untuk mencegah lalu lintas yang sah

mencapai sistem korban (primer). Bandwith Depletion dibagi

menjadi dua kelas. Sebagai berikut :

a. Flood attacks

Sebuah flood attack melibatkan secondary victim dengan

mengirimkan banyak data pada traffic menuju sistem korban, untuk

memenuhi bandwidth pada sistem korban. Besarnya jumlah paket

yang dikirim oleh secondary victim ke sistem korban membuat

sistem korban menjadi lambat, membuat sistem crash atau

memenuhi bandwith. Hal ini mencegah pengguna-pengguna yang

sah untuk mengakses sumberdaya-sumberdaya korban.

1) UDP Flood attacks. User Datagram Protocol (UDP) adalah

protokol connectionless. Paket data yang dikirimkan melalui

UDP tidak membutuhkan handshaking antara pengirim dan

penerima, dan sistem penerima hanya akan menerima paket itu

dengan diproses. Paket UDP yang dikirim dalam jumlah besar

ke sistem korban dapat menjenuhkan jaringan, menghabiskan

Bandwidth yang tersedia untuk permintaan layanan yang sah

ke sistem korban. Dalam serangan DDoS UDP flood, serangan

ini dirancang untuk menyerang korban secara acak.

Menyebabkan sistem korban memproses data yang masuk dan

mencoba menentukan aplikasi data yang diminta, jika sistem

korban tidak berjalan di aplikasi pada port sasaran, maka sistem

25

korban akan mengirimkan sebuah paket ICMP untuk sistem

pengiriman menunjukkan pesan "destination port unreachable".

DDoS tool penyerang juga akan men-spoof alamat IP address

sumber dari paket serangan. Hal ini membantu

menyembunyikan identitas korban sekunder dan menjamin

bahwa paket-paket dari sistem korban tidak dikirim kembali ke

secondary victim, tapi ke komputer lain dengan alamat palsu.

2) ICMP Flood attacks. Paket ICMP (Internet Control Message

Protocol) yang dirancang untuk fitur manajemen jaringan

seperti lokasi peralatan jaringan dan menentukan jumlah hop

atau round-trip-time untuk mendapatkan lokasi sumber ke

tujuan.

b. Serangan amplifikasi

Suatu serangan amplifikasi DDoS bertujuan untuk

menggunakan fitur alamat IP broadcast yang terdapat pada

kebanyakan router untuk menguatkan dan memantulkan serangan.

Gambar 2.13 Serangan Amplification (Specht dan Lee, 2003)

26

Gambar 2.13 menunjukkan serangan amplifikasi. Fitur ini

mengijinkan suatu sistem pengirim untuk menentukan sebuah alamat

IP broadcast sebagai alamat tujuan dari suatu alamat spesifik. Hal

tersebut menginstruksikan router-router yang melayani paket-paket

di dalam jaringan untuk menduplikasi paket-paket dan mengirimkan

semuanya ke alamat-alamat IP yang ada dalam jangkauan alamat

broadcast. Dua jenis serangan amplifikasi, yaitu serangan smurf dan

serangan fraggle (Specht dan Lee, 2003) :

1) Dalam serangan DDoS Smurf, penyerang mengirimkan paket ke

network amplifier (sistem pendukung pengalamatan broadcast).

Dengan alamat pengirim palsu untuk alamat IP korban. Paket

menyerang biasanya ICMP ECHO REQUESTs, paket (mirip

dengan "ping") permintaan penerima untuk menghasilkan suatu

paket ICMP ECHO REPLY. Penguat mengirimkan paket

ICMP ECHO REQUEST ke semua sistem dalam rentang

alamat broadcast, dan masing-masing system akan

mengembalikan ICMP ECHO REPLY ke alamat IP korban.

2) Sebuah serangan DDoS fraggle mirip dengan serangan smurf

bahwa penyerang mengirimkan paket ke network amplifier.

Perbedaan fraggle dari smurf terletak pada fraggle

menggunakan paket UDP ECHO bukan paket ICMP ECHO.

Ada variasi dari serangan fraggle dimana paket-paket UDP

ECHO dikirim ke port yang mendukung membangkitkan

karakter, dengan alamat pengirim palsu ke layanan echo

korban menciptakan infinite loop.

27

2.3.3.2 Serangan untuk menghabiskan sumberdaya (Resource

Depletion Attacks)

Suatu serangan yang menghabiskan sumber daya adalah

serangan yang ditujukan pada sebuah server atau proses di sistem

korban sehingga sistem tersebut tidak dapat memproses permintaan-

permintaan layanan yang sah.

a. Protocol Exploit Attacks

Serangan protocol exploit dibagi menjadi dua bagian yaitu

serangan TCP SYN dan serangan PUSH+ACK.

1) Serangan TCP SYN. Transfer Control Protocol (TCP)

melakukan proses handshake penuh diantara pengirim dan

penerima, sebelum paket-paket data dikirim. TCP

Synchronization ditunjukkan pada Gambar 2.14 (a).

(a) TCP Synchronization (b) TCP Syn Attack

Gambar 2.14 Serangan yang memanfaatkan kelemahan protocol TCP

(Specht dan Lee, 2003)

Gambar 2.14 (b) menunjukkan TCP Syn Attack. Sistem

penerima mengirimkan sebuah ACK (Acknowledgement)

dengan permintaan SYN-nya sendiri. Sistem pengirim

kemudian mengirim kembali ACK-nya dan komunikasi dapat

28

dimulai di antara kedua system, jika sistem penerima dikirimi

sebuah paket SYNx tetapi tidak menerima sebuah ACKY+1

untuk SYNy yang dikirim balik ke pengirim,penerima akan

mengirim ulang sebuah ACK+ SYN yang baru setelah beberapa

saat. Sumber daya prosessor dan memori pada sistem penerima

dipesan untuk permintaan TCP SYN tersebut hingga batas

waktu (timeout) terjadi.

Dalam suatu serangan TCP SYN DDoS, penyerang

memerintahkan zombie-zombie untuk mengirimkan

permintaan-permintaan TCP SYN palsu ke suatu server korban

untuk melumpuhkan sumber daya prosessor server. hal ini

mencegah server untuk merespon kepada permintaan-

permintaan yang sah. Serangan TCP SYN mengeksploitasi

proses handshake three-way diantara system pengirim dan

sistem penerima dengan mengirimkan paket-paket TCP SYN

dalam jumlah besar ke sistem korban dengan alamat IP

address asal yang dipalsukan, sehingga sistem korban

merespon ke suatu sistem yang tidak me-request dengan

ACK+SYN. Ketika request SYN diproses dalam jumlah besar

oleh sebuah server dan tidak ada satu pun respon ACK+SYN,

server akan mulai kehabisan sumber daya prosessor dan

memori.

2) Serangan PUSH + ACK mirip dengan serangan TCP SYN

dimana tujuannya adalah untuk menguras sumber daya sistem

korban. Beberapa agent penyerang mengirimkan paket-paket

TCP dengan bit-bit PUSH dan ACK di-set ke satu. Paket-paket

ini memerintahkan sistem korban untuk membongkar semua

29

data di dalam buffer TCP (terlepas dari apakah buffer penuh

atau tidak) dan mengirimkan suatu acknowledgement ketika

selesai. Apabila proses ini diulang dengan beberapa agent,

sistem penerima tidak dapat memproses paket-paket yang

masuk dalam jumlah besar dan sistem korban akan crash.

b. Malformed Packet Attacks

Suatu serangan Malformed adalah serangan dimana penyerang

memerintahkan zombie-zombie untuk mengirim paket-paket IP yang

salah ditujukan ke sistem korban untuk membuat sistem korban

crash. Ada dua jenis serangan paket Malformed. Dalam suatu

serangan IP address, paket berisi alamat IP asal dan alamat IP tujuan

yang sama. Hal ini dapat membingungkan sistem operasi dari sistem

korban dan mengakibatkan sistem korban crash. Dalam serangan IP

packet options, suatu paket malformed dapat mengacak field-field

pilihan di dalam sebuah paket IP dan men-set semua bit Quality of

Service (QoS) ke satu agar sistem korban harus menggunakan

tambahan waktu pemprosesan untuk menganalisa trafik. Apabila

serangan ini diperbanyak dengan menggunakan jumlah agent yang

cukup, serangan ini dapat mematikan kemampuan pemprosesan dari

sistem korban.

2.3.4 Taksonomi untuk Mengatasi Serangan DDoS

Saat ini ada sejumlah solusi tersedia untuk mengurangi efek

dari serangan DDoS, tetapi tidak ada metode yang komprehensif

untuk melindungi terhadap semua bentuk yang dikenal serangan

DDoS. Banyak derivatif serangan DDoS yang terus-menerus

30

dikembangkan oleh penyerang untuk mem-baypass setiap ada

penanggulangan baru.

Gambar 2.15 Taksonomi Penanggulangan Serangan DDoS

(Specht dan Lee, 2003)

Gambar 2.15 menunjukkan taksonomi penanggulangan

serangan DDoS. Pada gambar diatas penanggulangan serangan

DDoS dibagi menjadi enam bagian dan dapat diklasifiksikan

menjadi dua bagian yaitu sebelum serangan terjadi dan saat serangan

terjadi.

a. Sebelum serangan DDoS terjadi

Sebelum serangan DDoS terjadi penanggulangan dilakukan

dengan cara mendeteksi dan menetralisir potensi serangan. Teknik

yang digunakan terdiri dari tiga sub kelompok yaitu mendeteksi dan

menetralisir handler, mencegah serangan sekunder, dan mencegah

potensi serangan.

31

b. Selama serangan DDoS terjadi

Saat serangan DDoS terjadi penanggulangan dilakukan dengan

cara menghentikan serangan atau membelokkan serangan. Teknik

yang digunakan terdiri dari tiga sub kelompok yaitu menghentikan

serangan, membelokkan serangan, dan forensik. Penelitian ini

menggunakan teknik yang termasuk sub kelompok forensik yaitu IP

traceback.

IP traceback menyimpan pola lalu lintas data selama

serangan DDoS terjadi dengan memberi tanda pada paket (packet

marking). Paket yang sudah ditandai tadi kemudian dianalisis untuk

menemukan sumber serangan.

2.4 Packet Marking

Teknik penandaan paket bergantung pada router sepanjang

jalur serangan untuk menandai paket dengan informasi

mengidentifikasi diri. Router menghasilkan paket tambahan

berdasarkan ICMP atau langsung memasukkan informasi tersebut

dalam paket header.

2.4.1 ICMP Packet Marking

Ketika router atau host tujuan menginformasikan sesuatu

kerusakan pada IP datagram, protokol yang digunakan adalah ICMP.

Karakteristik dari ICMP antara lain :

- ICMP menggunakan IP

- ICMP melaporkan kerusakan

32

- ICMP tidak dapat melaporkan kerusakan dengan menggunakan

pesan ICMP, tetapi untuk menghindari pengulangan.

- Untuk data yang terfragmentasi, pesan ICMP hanya mengirimkan

pesan kerusakan pada fragmentasi pertama.

- Pesan ICMP tidak merespon dengan mengirimkan data secara

broadcast atau multicast.

- ICMP tidak akan merespon kepada IP datagram yang tidak

memiliki header IP pengirim.

- Pesan ICMP dapat membuat proses kerusakan pada datagram.

Gambar 2.16 ICMP Traceback (Devasundaram, 2006)

Gambar 2.16 menunjukkan ilustrasi penandaan paket yang

melewati router dengan IP traceback. Korban menerima tambahan

informasi secara tetap dari paket yang datang. Pesan ini berisi

sebagian kecil informasi yang menunjukkan dari mana paket datang,

kapan paket dikirim, dan membuktikan keaslian paket. Untuk

mengurangi overhead dalam penambahan pengiriman paket tersebut

maka router akan memberikan satu pesan ICMP traceback untuk

setiap 20.000 paket yang melewati router.

2.4.2 IP Header Packet Marking

Metode penandaan paket pada IP traceback telah menarik

banyak perhatian. Paket data ditandai dengan informasi penting oleh

33

router sepanjang jalan. Korban menggunakan informasi yang

tersimpan di dalam IP header untuk merekonstruksi jalur serangan.

Dalam metode ini, rekonstruksi jalur serangan bergantung pada

banyaknya paket yang telah ditandai dan dikumpulkan oleh korban.

Probabilistic Packet Marking memperoleh perhatian yang luas

karena mengeluarkan biaya yang rendah dalam hal pemprosesan

router dan waktu rekonstruksi.

Mengacu pada Gambar 2.4 yang menunjukkan IP datagram

yang belum menyimpan informasi penandaan paket. Bagaimana dan

dimana IP datagram akan menyimpan informasi penandaan paket

terletak pada identification field dalam IP header.

Dua fields yang memungkinkan dapat terjadi overloaded

pada saat penulisan informasi penandaan paket adalah options field

dan identification field. Options field dalam paket IP header

digunakan untuk menambahkan informasi tambahan untuk

pengolahan tambahan seperti pengujian, debugging, dan keamanan.

Namun, penandaan pada options field, menimbulkan beberapa

masalah. Penandaan di options field memperbesar ukuran paket,

yang dapat menyebabkan paket IP akan terbagi di sepanjang jalan.

Options field adalah field yang tidak sesuai digunakan untuk

penandaan karena akan menimbulkan masalah saat merekonstruksi

jalur serangan karena terdapat kemungkinan bahwa penyerang dapat

memodifikasi jalur data dan memalsukan informasi (Devasundaram,

2006).

34

Gambar 2.17 Alur Kerja Probabilistic Packet Marking

(Devasundaram, 2006)

Gambar 2.17 menunjukkan proses penandaan paket.

Identification field dalam paket IP header dirancang untuk

menyimpan identitas paket yang terbagi. Ini membedakan potongan

paket IP dan memungkinkan dapat digabungkan kembali dengan

benar pada sisi penerima.

Menurut penelitian bahwa kurang dari 0,25% paket di

Internet terbagi menjadi beberapa bagian, sehingga mengandalkan

pada identification field. Penelitian tersebut merupakan suatu

penegasan yang berfungsi sebagai pembenaran bahwa identifikasi

field lebih tepat digunakan untuk menyimpan informasi penandaan

paket (Davasundaram, 2006).

Savage pertama kali menjelaskan dan mengimplementasikan

pengambilan sampel probabilistik dengan probabilitas 1/25 untuk

menghindari overhead yang berlebihan pada penandaan paket di

router. Selanjutnya, setiap paket menyimpan informasi sebagian

jalur, bukan jalur lengkap. Menggunakan pendekatan ini bersama

35

dengan teknik kompresi dan bidang tambahan dapat mencegah

penipuan informasi routing. Savage mengusulkan untuk

menggunakan IP header 16-bit dalam identification field untuk

menyimpan informasi router (Devasundaram, 2006).

Gambar 2.18 Overloaded IP Header dari Savage (Devasundaram, 2006)

Gambar 2.18 menunjukkan overloaded IP header.

Identification field terbagi menjadi offset, distance dan edge

fragment yang digunkan untuk menyimpan informasi penandaan

paket.

Pembagian identification field lebih detail dapat dilihat pada

Gambar 2.19. Identification field 16 bit dibagi menjadi tiga bagian

dengan pembagian Offset 3 bit menyatakan 8 macam fragmen yang

mungkin ada, 5 bit menyatakan distance, dan 8 bit menyatakan

fragmen edge (Savage, 2000).

Gambar 2.19 Pembagian Identification Field untuk Penandaan Paket

(Savage, 2000)

36

Down Song dan Adrian Perrig memodifikasi edge-

identification berbasis PPM dari untuk lebih mengurangi kebutuhan

penyimpanan, dengan menyimpan hash dari setiap IP address bukan

dari alamat itu router itu sendiri. Pendekatan ini beranggapan korban

memiliki peta jaringan lengkap dari semua router upstream. Setelah

edge-fragment reassembly, metode ini membandingkan hash IP

address yang dihasilkan untuk hash IP address router yang berasal

dari peta jaringan. Metode dimodifikasi untuk menjadi lebih efektif

terhadap serangan DDoS dari pada metode sebelumnya. (untuk

memfasilitasi rekonstruksi jalur serangan). Overloaded IP header

dari Song dan Perrig ditunjukkan pada Gambar 2.20.

Gambar 2.20 Overloaded IP Header dari Song dan Perrig

(Devasundaram, 2006)

Gambar 2.21 Paket Marking dalam IP Header (Song dan Perrig, 2001)

Gambar 2.21 menunjukkan paket marking dalam IP header,

dimana alamat IP router dikodekan dan nilai hash disimpan dalam

header. Sskema ini menunjukkan bahwa, 16 bit field identifikasi IP

37

dibagi menjadi distance 5 bit, dan edge 11 bit dengan menggunakan

hash.

2.4.3 Algoritma

Pada penulisan ini algoritma yang digunakan adalah

algoritma Efficient Probabilistic Packet Marking yang merupakan

modifikasi dari algoritma Probabilistic Packet Marking.

2.4.3.1 PPM (Probabilistic Packet Marking)

Algoritma PPM (Probabilistic Packet Marking) digunakan

untuk memecahkan masalah IP traceback. PPM digunakan untuk

menemukan peta Internet atau sebuah grafik serangan selama

serangan Distributed Denial of Service (DDoS). Algoritma PPM

terdiri dari dua prosedur yaitu prosedur penandaan paket dan

prosedur rekonstruksi grafik. Dalam prosedur penandaan paket,

paket-paket secara acak menyandikan setiap sisi pada grafik

serangan dan memperoleh prosedur rekonstruksi grafik, grafik

dibangun dari informasi yang dikodekan.

a. Prosedur Packet Marking

Dalam penerapkan layanan IP Traceback yang harus

dilakukan adalah mengalokasikan ruang yang cukup dalam paket IP

header sehingga ruang ini dapat digunakan untuk mencatat jalur

yang dilintasi sebuah paket. Misalnya, setiap router, di samping

melakukan forwarding paket dan fungsi routing, mencatat atau

menambahkan ID-nya sendiri di ruang pra-dialokasikan pada paket

header. Dalam analogi ini ketika korban menerima paket yang telah

ditandai, korban dapat memeriksa paket header dan mendapatkan

38

secara lengkap informasi jalur yang dilalui paket yang ditandai. Satu

masalah besar tentang pendekatan ini adalah bahwa panjang jalur

yang dilalui (misalnya, jumlah hop) dari sebuah paket tidak tetap.

Sehingga mustahil untuk pra-mengalokasikan diawal untuk jumlah

yang cukup dalam ruang paket header. Kesulitan lain teknik

pencatatan jalur informasi yang lengkap dari setiap paket ke korban

adalah bahwa jika penyerang berpotensi dapat memanipulasi

informasi jalur dan mengisinya dalam proses identifikasi router

yang palsu di dalam paket header dapat menyesatkan korban.

Router mengkodekan informasi dalam tiga field yang

menandai serangan paket yaitu awal, akhir, dan jarak. Field awal

dan akhir menyimpan alamat IP untuk dua router pada titik akhir

tepi yang ditandai. Field jarak mencatat jumlah hop diantara kedua

sisi yang ditandai dan lokasi korban (Savage, 2000).

Marking prosedure at router R

for each packet w

let x be a random number from [0..1]

if x < Pm then

write R into w.start and 0 into w.distance

else

if w.distance = 0 then

write R into w.end

increment w.distance

Gambar 2.22 Algoritma Packet Marking (Bhavani dan Reddy, 2010)

Gambar 2.22 menunjukkan algoritma Packet Marking dimana

di dalam PPM paket menyimpan informasi pada tepi dalam header

IP. Router menentukan bagaimana paket dapat diproses tergantung

pada bilangan acak yang dihasilkan. Jika x lebih kecil dari yang

39

telah ditetapkan kemungkinan untuk menandai pm, router memilih

untuk memulai pengkodean sebuah sisi. Router menetapkan field

awal dari paket yang masuk ke alamat router dan mengatur ulang

field jarak ke nol. Jika x lebih besar dari pm, router memilih untuk

mengakhiri pengkodean sebuah sisi dengan menetapkan alamat

router di bidang akhir.

Menurut Algoritma Probabilistic Packet Marking, setiap paket

dapat menandai atau menghapus tanda edge field dengan beberapa

kemungkinan. Misalkan Pm(d) menyatakan bahwa sebuah sisi

ditandai, dan itu adalah (d) hop jauh dari lokasi korban. Rumus PPM

ditunjukkan pada Persamaan 2.2 (Bhavani dan Reddy, 2010).

Pm(d) = p(1-p)d d≥0 (2.2)

b. Prosedur rekonstruksi grafik

Setelah paket ditandai (marked) oleh router, korban dapat

merekonstruksi jalur serangan untuk mengetahui asal penyerang.

Algoritma untuk merekonstruksi jalur diperlihatkan pada Gambar

2.23.

let G be a tree with root being victim V ;

let edges in G be tuples(start,end,distance);

for (each received marked packet w)

{

if (w.distance==0) then

insert edge (w.start,V,0) into G ;

Else

insert edge (w.start, w.end, w.distance) into G ;

}

remove any edge (x,y,d) with d ≠ distance from x to V in G ;

extract path (Ri…Rj) by enumerating acyclic paths in G ;

Gambar 2.23 Algoritma Grafik Rekonstruksi Jalur (Bhavani dan Reddy, 2010)

40

Setelah korban menerima paket, pertama perlu filtering paket

yang tanpa tanda (karena korban tidak memuat informasi apapun

dalam membuat grafik serangan). Pihak korban menjalankan

algoritma konstruksi grafik untuk seluruh paket yang telah ditandai

yang dikumpulkan kembali dan membangun grafik yang

menggambarkan serangan.

2.4.3.2 EPPM (Efficient Probabilistic Packet Marking)

PPM mempunyai banyak fitur yang diinginkan. Sebagai

contoh, router yang jauh dari korban memiliki peluang yang sangat

rendah untuk menyampaikan informasi penandaan paket kepada

korban. Sebab, informasi dari router sebelumnya (upstream routers)

ditimpa oleh router sesudahnya (downstream routers) yang

mengakibatkan hilangnya informasi penandaan paket yang ditulis

oleh router yang terletak jauh dari korban.

Untuk mengatasi masalah di atas, maka algoritma PPM perlu

dimodifikasi untuk meningkatkan efektifitasnya. Hasil modifikasi ini

disebut Efficient Probabilistic Packet Marking (EPPM).

Gambar 2.24 menunjukkan algoritma efficient probabilistic

packet marking. EPPM menggunakan field tambahan yang disebut

sebagai flag yang membutuhkan salah satu dari nol atau satu. Nilai

flag pada awalnya dibuat nol. Jika paket sudah diberi tanda maka

flag bernilai satu (Bhavani dan Reddy, 2010).

41

for (each packet w received by the router)

{

generate a random number x between [0..1];

If (x < Pm and flag=0) then

/* router starts marking. flag 0 implies that the packet is not encoded

previously */

write router's address into w.start and 0 into w.distance

Else

{

If ( w.distance = 0 ) then

write router address into w.end and 1 into flag

}

/* flag 1 implies that the packet has encoded an edge and no other

successive router start encoding */

If (flag = 1) then

Increment w.distance by 1

/*w.distance represents the distance of the encoded edge from the

victim V */

}

}

Gambar 2.24 Algoritma Efficient Packet Marking Prosedure (Bhavani

dan Reddy, 2010)