TREN KEAMANAN SISTEM KOMPUTER

KONSEP dan PENCEGAHAN

DoS

Serangan DoS (denial-of-service attack) adalah jenis serangan terhadap

sebuah komputer atau server di dalam jaringan internet dengan cara
menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut
sampai komputer tersebut tidak dapat menjalankan fungsinya dengan
benar sehingga secara tidak langsung mencegah pengguna lain untuk
memperoleh akses layanan dari komputer yang diserang tersebut.

Dalam sebuah serangan Denial of Service, si penyerang akan mencoba

untuk mencegah akses seorang pengguna terhadap sistem atau jaringan
dengan menggunakan beberapa cara, yakni sebagai berikut:

• Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu

lintas jaringan yang datang dari pengguna yang terdaftar menjadi
tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut
sebagai traffic flooding.
• Membanjiri jaringan dengan banyak request terhadap sebuah
layanan jaringan yang disedakan oleh sebuah host sehingga request
yang datang dari pengguna terdaftar tidak dapat dilayani oleh
layanan tersebut. Teknik ini disebut sebagai request flooding.
• Mengganggu komunikasi antara sebuah host dan kliennya yang
terdaftar dengan menggunakan banyak cara, termasuk dengan
mengubah informasi konfigurasi sistem atau bahkan perusakan fisik
terhadap komponen dan server.

20
Bentuk serangan Denial of Service awal adalah serangan SYN Flooding
Attack, yang pertama kali muncul pada tahun 1996 dan mengeksploitasi
terhadap kelemahan yang terdapat di dalam protocol Transmission Control
Protocol (TCP). Serangan-serangan lainnya akhirnya dikembangkan untuk
mengeksploitasi kelemahan yang terdapat di dalam sistem operasi,
layanan jaringan atau aplikasi untuk menjadikan sistem, layanan jaringan,
atau aplikasi tersebut tidak dapat melayani pengguna, atau bahkan
mengalami crash. Beberapa tool yang digunakan untuk melakukan
serangan DoS pun banyak dikembangkan setelah itu (bahkan beberapa
tool dapat diperoleh secara bebas), termasuk di antaranya Bonk, LAND,
Smurf, Snork, WinNuke, dan Teardrop.

Meskipun demikian, serangan terhadap TCP merupakan serangan DoS

yang sering dilakukan. Hal ini disebabkan karena jenis serangan lainnya
(seperti halnya memenuhi ruangan hard disk dalam sistem, mengunci
salah seorang akun pengguna yang valid, atau memodifikasi tabel routing
dalam sebuah router) membutuhkan penetrasi jaringan terlebih dahulu,
yang kemungkinan penetrasinya kecil, apalagi jika sistem jaringan
tersebut telah diperkuat.

Serangan ini sering dilakukan “script kiddies” yang tidak dapat masuk ke
sistem atau hanya sakit hati di komunitas.
SYN Flood & UDP Flood, metode yang dilakukan oleh penyerang yang
membuat sebuah server dipenuhi dengan permintaan dari paket-paket
SYN yang tidak lengkap, Akhirnya akan membuat overhead pada server
dan hasilnya adalah DoS, sedangkan UDP bersifat connectionless, tidak
memperhatikan apakah paket telah diterima atau tidak mirip dengan ICMP
flood, UDP flood dikirim dengan tujuan untuk memperlambat sistem
sampai dengan sistem tidak bisa mengendalikan koneksi yang valid.
Serangan ini umumnya Membanjiri syn (TCP/UDP syn Flood) hingga tidak
bisa mengirimkan ACK (3 way handshake).

20
Proses 3 way handshake seperti pada gambar adalah proses yang terjadi
pada saat sumber dan tujuan melakukan komunikasi dimana proses ini
menggunakan protocol TCP yang akan membagi-bagi paket data yang
akan ditransmisikan sesuai dengan kesepakatan antara sumber dan
tujuan.

Serangan dilakukan dengan mesin lain yang disebut zombie, zombie

adalah mesin server yang telah dikuasai sebelumnya oleh penyerang
untuk menyerang mesin server target lain, hal ini dilakukan agar jejak
yang berupa IP address di internet dapat ditutupi dengan menggunakan
mesin zombie tersebut. Pada gambar 2 dapat dilihat, penyerang
menguasai mesin server lain dahulu yang akan dijadikan zombie, dimana
server zombie dipilih oleh penyerang biasanya yang berada di backbone
Amerika, kenapa backbone amerika ? karena bandwidth yang berada di

20
backbone amerika pasti besar. Hal ini merupakan syarat mutlak untuk
menyerang server tujuan, jika bandwidth mesin zombie kecil atau sama
dengan bandwidth server yang akan diserang maka serangan DoS ini akan
dapat dicegah oleh mesin firewall.

Serangan DoS akan membuat mesin menjadi bingung karena banyaknya

paket data SYN yang datang sedangkan mesin tidak mengetahui mesin
asal untuk mengembalikan ACK, akibatnya mesin yang diserang disibukan
dengan paket-paket data tersebut yang datangnya bertubi-tubi dan
banyak. Akibatnya user yang absah yang akan benar-benar
memanfaatkan resources pada server tersebut misalnya mail/ web
menjadi tidak dapat dilayani karena mesin tersebut sedang sibuk melayani
paket-paket serangan tadi, makanya DoS sering disebut SYN FLOOD.

mesin zombie menyerang server

20
DDoS

Serangan yang lebih besar dari DoS adalah Destributed Denial Of Services
(DdoS), dimana DDoS menggunakan banyak mesin zombie untuk
menyerang server tujuan. Akibatnya tidak hanya server tujuan menjadi
down bahkan beberapa kasus provider / telco yang memberikan jasa
koneksi internet bagi server tersebut juga terkena imbasnya seperti
gambar, hal ini dikarenakan bandwidth serangan dari zombie akan
menyebabkan bootleneck dari aliran bandwidth ke server tujuan.
Misalnya, sebuah mail/web server yang berada di server farm sebuah
perusahaan, dimana perusahaan ini menyewa pada sebuah ISP A.
Bandwidth yang disewa kepada ISP A adalah 512 kbps. Pada saat
serangan datang dengan bandwidth misalnya saja totalnya 200 mbps
maka serangan tersebut tidak hanya mematikan server perusahaan
tersebut tapi juga akan mengganngu distribusi bandwidth di ISP A, apalagi
jika ISP A mempunyai bandwidth lebih kecil dari bandwidth serangan.
Namun jika bandwidth serangan lebih kecil dari bandwidth yang disewa ke
ISP A atau total bandwidht ISP A lebih besar dariserangan maka serangan
tersebut dapat dengan mudah dilumpuhkan dengan mesin firewall.

20
 Serangan metode DDoS

Hacker yang melancarkan serangan DDoS harus mempunyai banyak

komputer yang siap diperintah. Komputer inilah yang disebut sebagai
Zombie, Slave, atau Budak.
Hacker akan memerintahkan kepada komputer Zombie melalui komputer
perantara yang bertindak sebagai master atau komputernya si Hacker.
Ketika si Hacker ingin melakukan serangan DDoS,ia hanya perlu masuk ke
komputer yang bertindak sebagai master tadi. Nah,dari sana,si hacker
memberikan perintah kepada zombie-zombie. Semua komputer zombie
yang mendengarkan perintah tersebut akan segera melakukan serangan
terhadap komputer korban yang telah ditentukan oleh si Hacker.

Serangan DDoS ini biasanya menggunakan mesin zombie yang tersebar

dan diatur untuk menyerang secara serentak atau dalam jeda waktu
tertentu. DDoS biasanya dilakukan oleh para penyerang bukan amatiran
karena penyerang mempunyai banyak mesin zombie yang tersebar

20
diseluruh dunia. Biasanya serangan model ini menyerang server-server
pada perusahaan / penyedia jasa yang besar, tercatat seperti Yahoo,
e-bay, dan lain-lain telah pernah di DDoS yang tentu saja efeknya
mendunia dimana banyak para user yang tidak dapat masuk ke layanan
mereka.

overload pada ISP pada serangan DDoS

Serangan DDoS ini menggunakan teknik yang lebih canggih dibandingkan

dengan serangan Denial of Service yang klasik, yakni dengan
meningkatkan serangan beberapa kali dengan menggunakan beberapa
buah komputer sekaligus, sehingga dapat mengakibatkan server atau
keseluruhan segmen jaringan dapat menjadi "tidak berguna sama sekali"
bagi klien.

Serangan DDoS pertama kali muncul pada tahun 1999, tiga tahun setelah
serangan Denial of Service yang klasik muncul, dengan
menggunakan serangan SYN Flooding, yang mengakibatkan beberapa
server web di Internet mengalami "downtime". Pada awal Februari 2000,
sebuah serangan yang besar dilakukan sehingga beberapa situs web

20
terkenal seperti Amazon, CNN, eBay, dan Yahoo! mengalami "downtime"
selama beberapa jam. Serangan yang lebih baru lagi pernah dilancarkan
pada bulan Oktober 2002 ketika 9 dari 13 root DNS Server diserang
dengan menggunakan DDoS yang sangat besar yang disebut dengan
"Ping Flood". Pada puncak serangan, beberapa server-server tersebut
pada tiap detiknya mendapatkan lebih dari 150000 request paket Internet
Control Message Protocol (ICMP). Untungnya, karena serangan hanya
dilakukan selama setengah jam saja, lalu lintas Internet pun tidak terlalu
terpengaruh dengan serangan tersebut (setidaknya tidak semuanya
mengalami kerusakan).

Tidak seperti akibatnya yang menjadi suatu kerumitan yang sangat tinggi
(bagi para administrator jaringan dan server yang melakukan perbaikan
server akibat dari serangan), teori dan praktek untuk melakukan serangan
DDoS justru sederhana, yakni sebagai berikut:

1. Menjalankan tool (biasanya berupa program (perangkat lunak)

kecil) yang secara otomatis akan memindai jaringan untuk
menemukan host-host yang rentan (vulnerable) yang terkoneksi ke
Internet. Setelah host yang rentan ditemukan, tool tersebut dapat
menginstalasikan salah satu jenis dari Trojan Horse yang disebut
sebagai DDoS Trojan, yang akan mengakibatkan host tersebut
menjadi zombie yang dapat dikontrol secara jarak jauh (remote)
oleh sebuah komputer master yang digunakan oleh si penyerang
asli untuk melancarkan serangan. Beberapa tool (software) yang
digunakan untuk melakukan serangan serperti ini adalah TFN,
TFN2K, Trinoo, dan Stacheldraht, yang dapat diunduh (download)
secara bebas di Internet.
2. Ketika si penyerang merasa telah mendapatkan jumlah host
yang cukup (sebagai zombie) untuk melakukan penyerangan,

20
 penyerang akan menggunakan komputer master untuk memberikan
sinyal penyerangan terhadap jaringan target atau host target.
Serangan ini umumnya dilakukan dengan menggunakan beberapa
bentuk SYN Flood atau skema serangan DoS yang sederhana, tapi
karena dilakukan oleh banyak host zombie, maka jumlah lalu lintas
jaringan yang diciptakan oleh mereka adalah sangat besar,
sehingga "memakan habis" semua sumber dayaTransmission
Control Protocol yang terdapat di dalam komputer atau jaringan
target dan dapat mengakibatkan host atau jaringan tersebut
mengalami "downtime".

Hampir semua platform komputer dapat dibajak sebagai

sebuah zombie untuk melakukan serangan seperti ini. Sistem-sistem
populer, semacam Solaris, Linux, Microsoft Windows dan beberapa
varian UNIX dapat menjadi zombie, jika memang sistem tersebut atau
aplikasi yang berjalan di atasnya memiliki kelemahan yang dieksploitasi
oleh penyerang.

Beberapa contoh Serangan DDoS lainnya adalah adalah:

 Serangan Buffer Overflow, mengirimkan data yang melebihi kapasitas

sistim, misalnya paket ICMP yang berukuran sangat besar.
 Serangan SYN, mengirimkan data TCP SYN dengan alamat palsu.
 Serangan Teardrop, mengirimkan paket IP dengan nilai offsetyang
membingungkan.
 Serangan Smurf, mengirimkan paket ICMP bervolume besar dengan
alamat host lain.
 ICMP Flooding

Untuk melakukan serangan DDoS,harus memiliki banyak zombie (pasukan

20
zombie). Semakin banyak pasukan zombie, maka kekuatannya akan
semakin besar.Sederhananya begini coba lakukan ini,masuk ke Command
Prompt kemudian ketikan :

Ping -t www.situsyangdituju.com

atau bisa juga Start, Run , Ping -t www.situsyangdituju.com

Kemudian komputer akan mengirimkan paket informasi ke situs yang di

tuju tadi, pada dasarnya dengan perintah tersebut komputer mengirimkan
ucapan "Oi,ada orang di sana ? " , ke situs yang di tuju tadi.

Kemudian server situs yang di tuju tadi mengirimkan jawaban balik

dengan mengatakan : "ya, di sini ada orang"

Sekarang bayangkan, jika ada ribuan komputer, dalam waktu bersamaan

melakukan perintah tersebut di situs yang di tuju. 1 komputer
mengirimkan data sebesar 32 bytes / detik ke situs yang di tuju.

Jika ada 10.000 komputer yang melakukan perintah tersebut secara

bersamaan, itu artinya ada kiriman data sebesar 312 Mega Bytes/ detik
yang di terima oleh situs yang di tuju tadi.

Dan server dari situs yang di tuju tadi pun harus merespon kiriman yang
di kirim dari 10.000 komputer secara bersamaan. Jika 312 MB/ detik data
yang harus di proses oleh server, dalam 1 menit saja, server harus
memproses kiriman data sebesar 312 MB x 60 detik = 18720 MB. Bisa di
tebak, situs yang di serang dengan metode ini akan mengalami Over
Load / kelebihan data, dan tidak sanggup memproses kiriman data yang
datang sehingga menyebabkan situs tersebut down.

20
Serangan DDoS ini adalah serangan yang paling menakutkan dari banyak
jenis serangan lain.Situs-situs besar sekalipun tidak bisa menghindari
serangan ini.

Metode penanganan DoS dan DDoS

Ada beberapa cara penanganan untuk serangan ini, seperti ;

1. Lihat ip source dan destination yang diserang, hal ini dilakukan

untuk mengetahui ip address dari penyerang dan yang diserang.
Untuk melihat ip source dan destinationsnya bisa dilakukan di
server/router kita dengan memberikan command tertentu.

Contoh :

show log /var/tmp/sample | match 222.73.238.152

# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 33945 33903
# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 51457 33903
# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 1315 33903
# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 38455 33903

2. Block IP address source & Port yang digunakan oleh penyerang dari

mesin firewall/router kita, pada saat serangan berlangsung pastilah

terdapat ip address penyerang dan port yang digunakan oleh
penyerang seperti contoh diatas.

Block IP address source dari Firewall, contoh

iptables -I FORWARD -s 222.73.238.152/32 -d 0/0 -j DROP
iptables -I FORWARD -s 67.18.84.0/24 -d 0/0 -j DROP

20
 metode block port dan ip address di router/server

3. Kontak Provider untuk membantu block port dan ip source yang

menyerang, makanya kontak teknis provider harus diketahui dan

sangat berguna jika kita sewaktu-waktu kita membutuhkannya,
kontak bisa berupa telpon langsung ke NOC/Admin atau bisa
dilakukan dengan chat dari YM.

4. Amati model serangan berikutnya, pengamatan ini dilakukan untuk

melihat model serangan berikutnya dan mungkin saja ip address lain
dari sumber daya jaringan kita.
5. Laporkan ke abuse@xxx.xx pemilik IP address tersebut, jadi pada

saat kita mengetahui IP Address sumber serangan maka secepatnya

mengirimkan abuse ke pemilik IP tersebut agar bisa ditindaklanjuti
lebih jauh. Untuk mengetahui pemilik IP address tersebut bisa klik
http://wq.apnic.net/apnic-bin/whois.pl dan masukan IP tersebut,
contoh :
% [whois.apnic.net node-1]
% Whois data copyright terms

20
 http://www.apnic.net/db/dbcopyright.html
inetnum: 222.64.0.0 - 222.73.255.255
netname: CHINANET-SH
descr: CHINANET shanghai province network
descr: China Telecom
descr: No1,jin-rong Street
descr: Beijing 100032
country: CN
admin-c: CH93-AP
tech-c: XI5-AP
changed: hm-changed@apnic.net 20031024
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-SH
mnt-routes: MAINT-CHINANET-SH
status: ALLOCATED PORTABLE
source: APNIC
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: dingsy@cndata.com 20070416
mnt-by: MAINT-CHINANET
source: APNIC
person: Wu Xiao Li
address: Room 805,61 North Si Chuan
Road,Shanghai,200085,PRC
country: CN
phone: +86-21-63630562
fax-no: +86-21-63630566
e-mail: ip-admin@mail.online.sh.cn

6. Lakukan kerjasama dengan admin pemilik IP add penyerang dan

lakukan cek dan ricek sebelum membuat statement kalau memang
IP Address tersebut adalah penyerangnya karena bisa saja itu
adalah mesin zombie.

7. Catat semua kejadian untuk menjadi pembahasan untuk

pembelajaran metode serangan dan dokumentasi jika nanti
diperlukan pada saat penyelesaian secara hukum.

20
 8. Edukasi user untuk memperhatikan “etika” di internet, etika
diinternet misalnya ;
• Jangan pernah mendownload dari stus-situs yang tidak
terpecaya
• Jangan melakukan kegiatan hacking dan lainnya dari internal
jaringan kita
• Pada saat dikomunitas milist / forum jangan pernah
memancing kemarahan pihak lainnnya.

Kegiatan Port Scanning

Mencoba-coba untuk mengetahui port / layanan yang tersedia di server,

dengan harapan sistem akan menjawab request, dengan menggunakan
tools script kiddies biasanya penyerang melakukan scanning terlebih
dahulu mesin tujuan, untuk mengetahui layanan apa saja yang tersedia.
Berguna untuk mengetahui port/ daemon/ aplikasi aktif yang berguna
untuk mencari celah. Kegiatan ini diibaratkan ”mengedor” pintu jaringan
kita dengan harapan ada jawaban dari dalam jaringan kita. Penangananya
kita dapat menggunakan IDS yang akan dijelaskan nanti dan catat dari log
system serta Tutup / close layanan yang tidak digunakan.

20
 port scanning yang dilakukan

Serangan XSS

XSS adalah singkatan dari kata Cross-Site Scripting yang artinya script
yang dijalankan dengan memanfaatkan perantara. XSS tidak menyerang
korban secara langsung namun memanfaatkan perantara untuk
melakukannya.
Jika selama ini serangan yang dilakukan seringkali menargetkan server,
namun serangan XSS menargetkan client atau pengunjung sebagai
sasarannya.

Permasalahan XSS
Permasalahan XSS diakibatkan karena aplikasi server, mengambil dan
menampilkan script yang dikirimkan oleh hacker tanpa melakukan
encoding atau perubahan sehingga script tersebut akan dijalankan

20
layaknya script yang memang disediakan oleh aplikasi web tersebut.

Teknik Serangan XSS

Serangan yang sebenarnya dengan XSS, tentunya ditujukan untuk korban

dan bukan untuk diri sendiri atau server. Hacker bisa membuat link yang
disertakan didalam sebuah email penipuan, dan ketika korban mengklik
link tersebut, serangan XSS akan dilancarkan. Hacker bisa mengambil
cookie dari korban dan mengambil alih account email, mengambil alih
account internet banking dan mengambil uangnya.

20
Stored XSS

20
Serangan XSS tidak harus selalu aksi melalui penipuan dengan meminta
korban untuk mengklik link/URL yang telah dibuat oleh Hacker.
Kelemahan yang sering dikategorikan sebagai stored XSS sama sekali
tidak membutuhkan aksi penipuan ataupun interfensi dari Hacker maupun
korban. Permasalahan ini biasanya terjadi karena situs yang mengalami
masalah XSS tersebut memperbolehkan pengunjung memposting artikel
ataupun informasi lainnya yang akan ditampilkan pada halaman web.
Sebagai contoh, situs yang memperbolehkan pengunjung memposting
komentar, situs yang memperbolehkan pengunjung memposting artikel
atau situs yang memperbolehkan user memposting link/URL yang telah
dimodifikasi sedemikian rupa adalah sangat rawan terkena serangan XSS.
Hal ini telah dibuktikan oleh berbagai serangan yang pernah terjadi pada
situs MySpace.

Metode pencegahan XSS

1. Pengkodekan Karakter Special Pada Link

Untuk men-non aktifkan kode script yang diinjeksikan, kita perlu
membuat aplikasi yang mampu mengkodekan karakter tersebut,
sehingga karakter tersebut tidak dapat dimengerti oleh browser
yang digunakan. Proses pengkodean juga harus mencakup HTML
escape code (%hexnumber). Gambar berikut menunjukkan web
dengan proses pengkodean yang baik. Link yang dimasukkan pada
field address dari browser adalah:

20
2. Hilangkan Kemampuan Scripting
Cross site scripting disebabkan keberhasilan penyerang menginjeksi
kode pada halaman web yang dihasilkan. Jika kode yang
diinjeksikan tersebut tidak dapat diinterpretasikan, halaman web
dapat ditampilkan dengan aman. Kekurangan metoda ini tentu saja
kegagalan fungsi-fungsi yang ditulis dengan mengunakan script
untuk bekerja.

3. HTTP-Only Cookie
Metoda ini membatasi akses yang dapat dilakukan terhadap cookie.
Dengan menggunakan HTTP-only cookie, browser pengguna masih
dapat menerima cookie yang dikirimkan oleh penyedia layanan.
Namun cookie tidak dapat diakses melalui script yang dieksekusi
pada browser pengguna. Jadi script yang diinjeksikan kepada
browser pengguna tidak akan dapat melakukan transfer cookie yang
ada. Metoda ini tersedia pada browser Internet Explorer 6 Service
Pack 1. Untuk menggunakan metoda, pada kepala HTTP response
tambahkan atribut HttpOnly.

20
4. Ikuti Link Utama
Metoda ini ditujukan bagi pengguna layanan yang menggunakan
halaman web dinamis. Kebiasaan yang baik utuk mengikuti link yang
berasal dari link utama yang disediakan oleh penyedia layanan. Link
– link selain daripada link utama sebaiknya dihindari.

20
KESIMPULAN
Cross site scripting merupakan kelemahan yang dapat dieksploitasi
dengan mudah. Pemilihan metoda pencegahan disesuiakan dengan
kebutuhan dari penyedia layanan yang ada. Yang terpenting, penyedia
layanan mampu menjamin keamanan data dari pengguna yang ada.
Pengguna sebagai konsumen harus lebih waspada dalam melakukan
proses browsing. Selain itu pengguna juga harus proaktif, mencari
informasi lebih lanjut mengenai sistem keamanan dari penyedia layanan
yang akan atau sedang ia gunakan. Tindakan perbaikan terhadap sistem
yang berjalan sebaiknya tidak terjadi. Hal ini hanya akan membawa
kerugian baik bagi pengguna maupun penyedia layanan.

Kesimpulan adalah bahwa tidak memungkinkan untuk mengidentifikasi

sumber yang riil serangan DDoS dengan investigasi lewat metode
penelusuran. Menanggulangi serangan DDoS hanya dapat sukses dengan
implementasi pengamanan kerja sama antara ISP dan
perusahaan host IRC.

Daftar Pustaka
http://digilib.itb.ac.id/gdl.php?mod=browse&op=read&id=jbptitbpp-gdl-
muhammadna-25072
http://onecoder.wordpress.com/2009/06/11/about-xss/
http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-iv-the-
xss-filter.aspx
CCNA Module Exploration 1 Chapter 5

20