DDoS attack adalah ketika penyerang, atau penyerang, berusaha membuat layanan tidak mungkin diberikan. Ini dapat dicapai dengan menghalangi akses ke hampir semua hal: server, perangkat, layanan, jaringan, aplikasi, dan bahkan transaksi tertentu dalam aplikasi. Dalam serangan DoS, itu adalah salah satu sistem yang mengirimkan data atau permintaan berbahaya; serangan DDoS berasal dari beberapa sistem.
Umumnya, serangan ini bekerja dengan menenggelamkan sistem dengan permintaan data. Hal ini dapat mengirim server web begitu banyak permintaan untuk melayani halaman sehingga crash di bawah permintaan, atau bisa juga database dipukul dengan volume permintaan yang tinggi.
Akibatnya bandwidth internet yang tersedia, kapasitas CPU dan RAM menjadi kewalahan.
Dampaknya dapat berkisar dari gangguan kecil dari layanan yang terganggu hingga mengalami seluruh website, aplikasi, atau bahkan seluruh bisnis yang offline.
Bagaimana cara kerja serangan DDoS?
Botnet DDoS adalah inti dari setiap serangan DDoS. Botnet terdiri dari ratusan atau ribuan mesin, yang disebut zombie atau bot, yang dikendalikan oleh peretas jahat. Penyerang akan memanen sistem ini dengan mengidentifikasi sistem rentan yang dapat mereka infeksi dengan malware melalui serangan phishing, serangan malvertising, dan teknik infeksi massal lainnya.
Mesin yang terinfeksi dapat berkisar dari PC rumahan atau kantor biasa hingga perangkat DDoS botnet Mirai yang terkenal mengatur pasukan kamera CCTV yang diretas dan pemiliknya hampir pasti tidak tahu bahwa mereka telah disusupi, karena mereka terus berfungsi normal di sebagian besar hormat.
Mesin yang terinfeksi menunggu perintah jarak jauh dari apa yang disebut server perintah dan kontrol, yang berfungsi sebagai pusat komando untuk serangan dan seringkali merupakan mesin yang diretas. Setelah dilepaskan, semua bot mencoba mengakses beberapa sumber daya atau layanan yang disediakan oleh korban secara online.
Secara individual, permintaan dan lalu lintas jaringan yang diarahkan oleh setiap bot ke korban tidak akan berbahaya dan normal.
Tetapi karena jumlahnya sangat banyak, permintaan sering kali melebihi kapasitas sistem target dan karena bot umumnya adalah komputer biasa yang didistribusikan secara luas di internet, mungkin sulit atau tidak mungkin untuk memblokir lalu lintas mereka tanpa memutus pengguna yang sah di waktu yang sama.
Ada tiga kelas utama DDoS attack, yang dibedakan terutama berdasarkan jenis lalu lintas yang mereka lontarkan ke sistem korban:
- Serangan berbasis volume menggunakan sejumlah besar lalu lintas palsu untuk membanjiri sumber daya seperti website atau server. Mereka termasuk ICMP, UDP dan serangan banjir paket palsu. Ukuran serangan berbasis volume diukur dalam bit per detik (bps).
- Protokol atau DDoS attack lapisan jaringan mengirim sejumlah besar paket ke infrastruktur jaringan yang ditargetkan dan alat manajemen infrastruktur. Serangan protokol ini termasuk banjir SYN dan Smurf DDoS, antara lain, dan ukurannya diukur dalam paket per detik (PPS).
- Serangan lapisan aplikasi dilakukan dengan membanjiri aplikasi dengan permintaan yang dibuat dengan jahat. Ukuran serangan lapisan aplikasi diukur dalam permintaan per detik (RPS).
Teknik penting yang digunakan dalam semua jenis serangan DDoS meliputi:
- Spoofing: Penyerang memalsukan paket IP ketika mereka mengubah atau mengaburkan informasi di headernya yang akan memberi tahu Anda dari mana asalnya. Karena korban tidak dapat melihat sumber sebenarnya dari paket, ia tidak dapat memblokir serangan yang datang dari sumber tersebut.
- Refleksi: Penyerang dapat membuat alamat IP yang dipalsukan sehingga sepertinya alamat tersebut benar-benar berasal dari korban yang dituju, kemudian mengirimkan paket tersebut ke sistem pihak ketiga, yang “membalas” kembali ke korban. Ini membuat target semakin sulit untuk memahami dari mana serangan itu sebenarnya berasal.
- Amplifikasi: Layanan online tertentu dapat ditipu untuk membalas paket dengan paket yang sangat besar, atau dengan beberapa paket.
BACA JUGA : Apa itu Scareware? Cara Mengidentifikasi dan Mencegahnya
Bagaimana mengidentifikasi DDoS attack
Serangan DDoS bisa sulit untuk didiagnosis. Lagi pula, serangan itu secara dangkal menyerupai banjir lalu lintas dari permintaan yang sah dari pengguna yang sah. Tetapi ada beberapa cara Anda dapat membedakan lalu lintas buatan dari serangan DDoS dari lalu lintas yang lebih “alami” yang Anda harapkan dari pengguna nyata. Berikut adalah empat gejala serangan DDoS yang harus diperhatikan:
- Terlepas dari teknik spoofing atau distribusi, banyak serangan DDoS akan berasal dari rentang alamat IP yang terbatas atau dari satu negara atau wilayah—mungkin wilayah yang biasanya tidak banyak lalu lintasnya Anda lihat.
- Demikian pula, Anda mungkin memperhatikan bahwa semua lalu lintas berasal dari jenis klien yang sama, dengan OS dan browser web yang sama muncul dalam permintaan HTTP-nya, alih-alih menunjukkan keragaman yang Anda harapkan dari pengunjung sebenarnya.
- Lalu lintas mungkin terjadi di satu server, port jaringan, atau halaman web, daripada didistribusikan secara merata di seluruh website Anda.
- Lalu lintas bisa datang dalam gelombang atau pola dengan waktu yang teratur
Bagaimana cara menghentikan serangan DDoS
Mengurangi serangan DDoS itu sulit karena, seperti yang disebutkan sebelumnya, serangan itu berbentuk lalu lintas web yang sama dengan yang digunakan pelanggan sah Anda. Akan mudah untuk “menghentikan” serangan DDoS di website Anda hanya dengan memblokir semua permintaan HTTP, dan memang hal itu mungkin diperlukan agar server Anda tidak mogok.
Tetapi melakukan itu juga memblokir orang lain untuk mengunjungi website Anda, yang berarti penyerang Anda telah mencapai tujuan mereka.
Jika Anda dapat membedakan lalu lintas DDoS dari lalu lintas yang sah seperti yang dijelaskan di bagian sebelumnya, itu dapat membantu mengurangi serangan sambil menjaga layanan Anda setidaknya sebagian online: misalnya, jika Anda tahu lalu lintas serangan berasal dari sumber Eropa Timur, Anda dapat memblokir Alamat IP dari wilayah geografis tersebut.
Teknik pencegahan yang baik adalah dengan menutup layanan publik yang tidak Anda gunakan. Layanan yang mungkin rentan terhadap serangan lapisan aplikasi dapat dimatikan tanpa memengaruhi kemampuan Anda untuk menyajikan halaman web.
Namun, secara umum, cara terbaik untuk mengurangi serangan DDoS adalah dengan hanya memiliki kapasitas untuk menahan lalu lintas masuk dalam jumlah besar. Bergantung pada situasi Anda, itu mungkin berarti meningkatkan jaringan Anda sendiri, atau memanfaatkan jaringan pengiriman konten (CDN), layanan yang dirancang untuk mengakomodasi lalu lintas dalam jumlah besar.
Penyedia layanan jaringan Anda mungkin memiliki layanan mitigasi sendiri yang dapat Anda manfaatkan.
BACA JUGA : Cara Menemukan Backdoor di WordPress yang Diretas dan Memperbaikinya
Alasan serangan DDoS
DDoS adalah instrumen serangan yang tumpul. Tidak seperti infiltrasi yang berhasil, itu tidak memberi Anda data pribadi apa pun atau membuat Anda mengontrol infrastruktur target Anda. Itu hanya membuat infrastruktur cyber mereka offline. Namun, di dunia di mana kehadiran web adalah suatu keharusan untuk hampir semua bisnis, serangan DDoS bisa menjadi senjata penghancur yang ditujukan kepada musuh.
Orang mungkin meluncurkan serangan DDoS untuk melumpuhkan saingan bisnis atau politik secara offline botnet Mirai dirancang sebagai senjata dalam perang di antara penyedia server Minecraft, dan ada bukti bahwa layanan keamanan Rusia pernah mempersiapkan serangan serupa.
Dan sementara serangan DDoS tidak sama dengan serangan ransomware, penyerang DDoS terkadang akan menghubungi korban mereka dan berjanji untuk mematikan firehose paket dengan imbalan sejumlah Bitcoin.