Perkembangan teknologi jaringan internet kini semakin pesat. Layanan atau fitur- fitur yang disediakan dalam jaringan internet juga begitu beragam. Mulai dari web server, File Transfer Protocol (ftp), layanan E-mail, sampai feature-feature yang berhubungan dengan layanan transaksi yang semakin marak di dalam jaringan internet.
Layanan tersebut antara lain adalah E- Commerce, E-Banking, E-Goverment dan lainnya. Karena internet yang begitu banyak memberikan manfaat dan bersifat publik, maka dibutuhkan suatu sistem keamanan dalam menjaga informasi dan data yang ada di internet supaya tidak dirusak oleh pihak-pihak yang tidak bertanggung jawab yang potensial melakukan pengrusakan seperti hacker dan cracker.
Sudah banyak perusahaan yang menggunakan internet sebagai sarana dalam melaksanakan aktifitas rutin perusahaan dan aktifitas rutin lainnya. Kecenderungan penggunaan internet ini disebabkan oleh dengan adanya internet akan didapatkan kemudahan dalam hal komunikasi dan transfer data.
semua sistem informasi teknologi terutama yang berbasis aplikasi dan produktifitas sudah dipastikan menggunakan server, baik server aplikasi, server basis data dan server jaringan, tidak jarang banyak organisasi mengalami permasalahan interkoneksi melambat atau bahkan down ! tidak dapat diakses, tentu saja ini banyak faktor penyebabnya.
di dalam tulisan ini, saya akan mencoba menjelaskan salah satu penyebab sebuah server lambat atau bahkan saat diakses diantaranya dikarenakan Data Flooding !, apa itu Flooding ?
ada beberapa ahli yang mendeskripsikan data flooding, Traffic data yang ada dalam suatu jaringan akan mengalami turun naik selama pemakaiannya. Baik data yang akan dikirim maupun data yang akan datang akan mengalami antrian data yang mengakibatkan kelambatan dalam pengiriman dan penerimaan data. Pengiriman data tersebut dapat mengakibatkan lambatnya jalur traffic yang ada dalam jaringan, dan juga bisa mengakibatkan kerugian lain yang cukup berarti. Pengiriman data yang berlebihan baik dari besar paket maupun jumlah paket kedalam suatu jaringan dan umumnya merupakan data yang tidak berguna biasa disebut flood. (Pratama, 2010).
Data flooding merupakan suatu kejadian di dalam jaringan dimana dalam jaringan tersebut terjadi suatu transfer data dalam jumlah yang besar sehingga mengganggu kinerja komputer yang terhubung di dalam jaringan
tersebut, hal ini kemungkinan bisa disebabkan adanya serangan dari luar yang biasa disebut dengan DOS/DDOS (Denial of Service/ Distributed Denial of Services) yaitu serangan pada jaringan komputer yang berusaha untuk menghabiskan sumber daya sebuah peralatan komputer, sehingga jaringan komputer menjadi terganggu. (Utomo, 2011:93).
Sedangkan teori lain menyatakan serangan SYN flood adalah serangan yang terjadi saat sebuah jaringan dipenuhi paket-paket SYN yang menginisiasi koneksi-koneksi yang tidak lengkap dan jaringan ini tidak dapat memproses koneksi yang sah. (Thomas, 2005 : 46).
JENIS ANCAMAN JARINGAN
- DOS/DDOS, Denial of Services dan Distributed Denial of Services adalah sebuah bentuk serangan yang bertujuan untuk menghabiskan sumber daya sebuah peralatan jaringan komputer sehingga layanan jaringan komputer menjadi terganggu. Salah satu bentuk serangan ini adalah 'SYN Flood Attack', yang mengandalkan kelemahan dalam sistem 'three-way-handshake'. 'Threeway-handshake' adalah proses awal dalam melakukan koneksi dengan protokol TCP. Proses ini dimulai dengan pihak klien mengirimkan paket dengan tanda SYN. Lalu kemudian pihak server akan menjawab dengan mengirimkan paket dengan tanda SYN dan ACK. Terakhir, pihak klien akan mengirimkan paket ACK. (Utomo, 2002 : 93)
- Micro-blocks, Ketika ada sebuah host menerima paket inisiasi, maka host akan mengalokasikan ruang memori yang sangat kecil, sehingga host tersebut bisa menerima koneksi lebih banyak. Diharapkan ruang memori dapat menampung semua koneksi yang dikirimkan, sampai terjadi connection-time- out, dimana koneksi-koneksi yang stale, yaitu koneksi yang tidak menyelesaikan proses 'three- way-handshake' atau sudah lama tidak ada transaksi data, akan dihapuskan dari memori dan memberikan ruang bagi koneksi-koneksi baru. Metode ini tidak terlalu efektif karena bergantung pada kecepatan serangan dilakukan, apabila ternyata kecepatan paket serangan datang lebih cepat daripada lamanya waktu yang perlu ditunggu agar terjadi connection-time-out pada paket-paket yang stale, make ruang memori yang dapat dialokasikan akan tetap habis. (Utomo, 2003 : 98)
- Packet Sniffing, Packet Sniffing adalah sebuah metode serangan dengan cara mendengarkan seluruh paket yang lewat pada sebuah media komunikasi, baik itu media kabel maupun radio. Setelah paket-paket yang lewat itu didapatkan, paket-paket tersebut kemudian disusun ulang sehingga data yang dikirimkan oleh sebuah pihak dapat dicuri oleh pihak yang tidak berwenang. Hal ini dapat dilakukan karena pada dasarnya semua koneksi ethernet adalah koneksi yang bersifat broadcast, di mana semua host dalam sebuah kelompok jaringan akan menerima paket yang dikirimkan oleh sebuah host. Pada keadaan normal, hanya host yang menjadi tujuan paket yang akan memproses paket tersebut sedangkan host yang lainnya akan mengacuhkan paketpaket tersebut. Namun pada keadaan tertentu, sebuah host bisa merubah konfigurasi sehingga host tersebut akan memproses semua paket yang dikirimkan oleh host lainnya. (Utomo, 2003 : 99).
- SYN Cookies, Ketika menerima paket inisiasi, host penerima akan mengirimkan paket tantangan yang harus dijawab pengirim, sebelum host penerima mengalokasikan memori yang dibutuhkan. Tantangan yang diberikan adalah berupa paket SYN-ACK dengan nomor urut khusus yang merupakan hasil dari fungsi hash dengan input alamat IP pengirim, nomor port, dan lain-lain. Jawaban dari pengirim akan mengandung nomor urut tersebut. Tetapi untuk melakukan perhitungan hash membutuhkan sumber-daya komputasi yang cukup besar, sehingga banyak server-server yang aplikasinya membutuhkan kemampuan komputasi tinggi tidak mempergunakan metode ini. Metode ini merubah waktu pengalokasian memori, yang tadinya pada awal dari proses 'threeway- handshake', menjadi diakhir dari proses tersebut. (Utomo, 2003 : 98)
DETEKSI FLOODING
lalu bagaimana kita mengindentifikasi data flooding serta menganalisanya ? Langkah awal untuk meminimalisir terjadinya serangan flooding adalah kemampuan untuk mendeteksi serangan dengan menggunakan Intrusion Detection System (IDS). Snort merupakan salah satu tool yang dapat digunakan untuk mendeteksi serangan flooding. Snort memiliki kemampuan untuk mendeteksi serangan flooding secara real time dengan menerapakan rule khusus untuk menghasilkan suatu file log yang mencatat aktivitas yang dianggap berbahya.
File log yang merupakan barisan data untuk menyimpan informasi mengenai segala tindakan, kejadian dan aktifitas yang terjadi di dalam sebuah sistem jaringan. Selanjutnya digunakan untuk proses investigasi analisis forensic jaringan (network forensic) yang merupakan ilmu keamanan komputer berkaitan dengan tahap-tahap untuk menemukan sumber serangan. Investigasi yang digunakan berupa model proses forensik.
Terdiri dari tahap pengkoleksian, pemeriksaan, analisis dan pelaporan untuk mendapatkan bukti-bukti serangan yang bersumber dari file log. Hasil penelitian yang telah dilakukan pemasangan Intrusion Detection System (IDS) Snort mampu mendeteksi serangan flooding. Sejumlah 15 IP address yang melakukan tindakan illegal ke dalam web server. Hasil analisis penelitian flooding dapat menemukan barang bukti investigasi menggunakan Intrusion Detection System (IDS) Snort.
SOLUSI MENGATASI FLOODING
Untuk solusi mengatasi flooding tentu saja ada beberapa teknik dari yang paling sederhana sampai tingkat menengah.
- cara paling sederhana adalah dengan melihat Led pada Ethernet port yang terdapat pada PC/Hub/Router yang kita miliki. dan setelah di sambungkan dengan kabel Led tersebut menyala-redup (nge-blink/berkedip) dengan cepat, besar kemungkinan memang sedang terdapat flooding pada koneksi di port tersebut. Solusi untuk lebih meyakinkan, apakah sumber flooding dari port tersebut atau bukan, kita buka MRTG (grafik traffic bandwidth), kita lihat traffic pada jaringan yang kita miliki. setelah termonitoring , kita coba lepas / cabut RJ45 pada port yang sebelumnya kita curigai terjangkit flooding. kemudian kita lihat pada MRTG, apabila setelah di cabut kondisi bandwidth pada jaringah kita normal kembali, berarti mamang sumber flooding dari port tersebut.
- Memvalidasi data, berikutnya adalah Memvalidasi Data Sebuah program yang berjalan dengan privilge tinggi, mengharuskan untuk melindungi semua data dan harus menganggap semua data yang masuk dicurigai.
- Buffer Non-Executable, Konsepnya adalah membuat segment data sebuah program tidak dapat dieksekusi. Dengan menjadikannya tidak dapat dieksekusi, maka tidaklah mungkin bagi penyerang untuk mengeksekusi kode yang mereka masukkan ke buffer input program korban. Cara ini digunakan pada sistem operasi komputer lama, tetapi pada sistem operasi UNIX dan MS Windows teknik ini tidak digunakan, karena keduanya tergantung pada kemampuan memasukkan kode dinamis ke dalam segment data program untuk mendukung berbagai optimisasi kinerja.
- Array Bounds Checking, Meskipun memasukkan kode adalah sebuah tindakan pilihan bagi serangan buffer overflow, pengkorupsian aliran kendali merupakan hal yang penting. Dengan menggunakan metode array bound checking akan menghentikan vunerability dan serangan buffer overflow. Jika sebuah array tidak dapat di-overflow, maka array tidak dapat digunakan untuk mengkorupsi program yang terletak di alamat memori berikutnya. Untuk mengimplementasikan metode ini, semua pembacaan dan penulisan ke array yang harus diperiksa untuk memastikan bahwa mereka tidak melampaui batasan array.
- Memeriksa Index, Indeks yang digunakan untuk memanipulasi sebuah array harus diperiksa dengan teliti.
Post a Comment