bab iii metodologi penelitian 3.1 identifikasi masalaheprints.umm.ac.id/64157/4/bab iii.pdf · cara...
TRANSCRIPT
-
14
BAB III
METODOLOGI PENELITIAN
3.1 Identifikasi Masalah
Pada tahap identifikasi masalah diambil dari permasalahan keamanan
jaringan yang ada saat ini. Software Defined Network (SDN) merupakan
struktur jaringan yang dapat memisahkan antara control plane dan data plane.
Tujuan dari jaringan SDN adalah agar sistem yang ada pada jaringan menjadi
fleksibel dan mudah dalam pengoperasiannya karena pada jaringan ini
controller yang menjadi pusat pengontrol jaringan. Tetapi controller juga
menjadi sasaran utama ketika ada user yang tidak sah mengirim paket. Sehingga
ketika terjadi serangan DDoS dengan protokol icmp flood dengan pengiriman
banyak paket akan mengurangi resource yang ada dan sistem pada jaringan ini
menjadi down.
3.2 Analisis Sistem
Pada analisis sistem ini, dijelaskan tentang simulasi serangan DDoS yang
dilakukan pada jaringan SDN. Simulasi serangan DDoS dilakukan dengan cara
mengirimkan paket icmp dalam bemtuk icmp flood. Icmp flood dilakukan dengan
cara mengirimkan serangan dalam jumlah banyak ke host tujuan di jaringan
SDN.
Dalam penelitian ini digunakan honeypot untuk mendapatkan data serangan
dengan cara membuat sistem atau server palsu yang dibuat seperti sistem
sebenarnya. Attacker akan tertarik pada sistem ini karena port yang ada di
honeypot terbuka, sehingga mudah dalam pengiriman serangan. Ketika terdapat
banyak paket yang masuk dengan cara bersamaan, honeypot akan mengenali
pola serangan tersebut dan log aktifitas serangan dimonitoring di sistem open
source Modern Honey Network (MHN).
Solusi yang akan digunakan dalam mengatasi serangan DDoS adalah
menggunakan metode yang dapat mendeteksi serangan icmp flood. Metode yang
digunakan pada penelitian ini adalah Bloom Filter. Metode Bloom Filter
digunakan untuk menghitung nilai hash dari ip yang masuk dan menyimpan
informasi data penyerang, kemudian untuk mendeteksi serangan icmp flood
-
15
digunakan algoritma CUSUM. Variabel yang digunakan metode ini adalah IP
Source dan Protokol. Jika paket yang masuk termasuk paket serangan maka akan
dilakukan mitigasi pada protokolnya. Berdasarkan data yang diperoleh, IP yang
sering muncul mengirim paket dengan protokol yang sama akan diblokir oleh
sistem.
3.3 Spesifikasi Kebutuhan Sistem
Spesifikasi kebutuhan sistem dibagi menjadi 2 yaitu, perangkat keras dan
perangkat lunak untuk dapat mengimplementasikan jaringan SDN dengan baik.
a. Perangkat keras
Perangkat keras yang akan digunakan dalam penelitian ini sebagai berikut.
Tabel 3.1 Spesifikasi Perangkat Keras
No Jenis Spesifikasi
1. Processor Intel core i5 N4050
2. RAM 4 GB
3. Mikrotik RouterBoard 750
4. Kabel Lan Rj45 Straight
b. Perangkat lunak
Perangkat lunak yang akan digunakan dalam penelitian ini sebagai berikut.
Tabel 3.2 Spesifikasi Perangkat Lunak
No Jenis Spesifikasi
1. Sistem Operasi Linux Ubuntu 18.04 LTS 64bit
2. Controller Ryu
3. Build Paket Scapy
4. Pengirim Paket TcpReplay
5. Aplikasi Mikrotik Winbox 64 bit
6. Aplikasi Text Editor Sublime Text
3.4 Skenario Serangan
Skenario serangan berisi tentang penelitian yang dilakukan untuk
mendeteksi serangan Distributed Denial of Service (DDoS). Attacker akan
-
16
menyerang jaringan Software Defined Network (SDN) dengan mengirim paket
dalam jumlah yang banyak ke host tujuan.
3.4.1 Arsitektur Jaringan
Dalam tahap arsitektur jaringan, akan dilakukan dengan membangun
jaringan Software Defined Network (SDN) secara langsung untuk membuat
rancangan topologi tree, depth 3 dan fanout 2. Dalam penelitian ini digunakan
topologi tree, karena topologi ini paling cocok diterapkan pada jaringan Software
Defined Network (SDN).
Gambar 3.1 Arsitektur Jaringan
Arsitektur jaringan pada Gambar 3.1, digunakan 1 buah controller yaitu
ryu controller, 3 buah switch, switch yang digunakan adalah mikrotik switch dan
4 buah komputer sebagai host. Topologi yang digunakan dalam penelitian ini
mempunyai fungsi masing-masing.
Controller digunakan sebagai pusat pengontrol jaringan SDN. Controller
disebut sebagai control plane, karena controller dapat mengatur lalu lintas serta
mengambil keputusan sesuai keadaan. Penggunaan OpenFlow untuk
-
17
membangun komunikasi antara controller dan switch. Ketika menggunakan
OpenFlow, controller dapat menentukan, menangani aliran paket dan mengelola
flow table. Dalam flow table, terdapat flow rule yang berguna untuk pemetaan
paket berupa informasi IP dan MAC Address. Controller yang digunakan pada
penelitian ini adalah ryu controller.
Switch digunakan sebagai jembatan penghubung antara host dan controller
dalam berkomunikasi. Fungsi dari switch adalah untuk meneruskan paket dari
asal ke tujuannya. OpenFlow akan memproses paket dan menambahkan aturan
traffic ke switch. Dengan OpenFlow di tempatkan pada sebuah switch, maka
dapat dilakukan flow forwarding. Setiap ada paket baru yang masuk melalui
switch, paket akan dikirim ke controller untuk diproses lebih lanjut. Switch yang
digunakan adalah mikrotik switch. Jadi fungsi dari switch adalah untuk
meneruskan paket ke host tujuannya atau tidak meneruskan paket (paket diblok).
Host digunakan sebagai penerima dan pengirim paket. Penelitian ini
digunakan 4 host. Host 1 berperan sebagai penyerang (attacker), tools yang
digunakan untuk menyerang adalah tcp replay. Host 1 akan mengirim paket
dengan jumlah banyak ke host tujuan. Jenis serangan yang digunakan host 1
adalah icmp flood. Host 2 berperan sebagai user normal. Host 2 mengirim paket
ke host tujuannya. Host 3 juga berperan sebagai user normal. Host 3 mengirim
paket ke host tujuannya. Dan host 4 berperan sebagai Honeypot. Fungsi
honeypot adalah untuk menjebak penyerang agar penyerang tertarik mengirim
serangan ke honeypot. Sensor yang digunakan oleh Honeypot adalah sensor
suricata. Host 4 juga telah terinstall Modern Honey Network (MHN), yang
berguna untuk memonitoring log aktifitas paket yang masuk dan akan disimpan
di database mongoDB.
3.4.2 Rancangan Serangan DDoS
Dalam rancangan serangan DDoS ini dijelaskan tentang serangan yang
dilakukan oleh attacker. Pada penelitian ini attacker digunakan tools untuk
mengirim serangan ke jaringan SDN. Tools Scapy digunakan untuk membuat
paket serangan. Kemudian digunakan tools Tcpreplay untuk mengirim paket
dengan menentukan berapa ip yang dibutuhkan dan berapa paket yang dikirim
-
18
tiap IP. Attacker mengirim serangan dalam jumlah yang banyak secara acak
yang isinya berupa IP Source dan Protokol. Host yang akan mengenali serangan
DDoS adalah host 4 yang terdapat honeypot. Honeypot akan mengenali pola
serangan yang masuk dan dapat dilihat log aktifitas serangan pada host 4 yang
juga terinstall Modern Honey Network (MHN). Selanjutnya paket yang telah
masuk di log MHN akan disimpan di database mongoDB, dan icmp flood dapat
terdeteksi menggunakan metode Bloom Filter dan algoritma CUSUM jika nilai
g+ > threshold.
3.5 Rancangan Sistem Deteksi
Rancangan sistem deteksi yang akan dilakukan adalah membuat rancangan
serangan DDoS. Pada penelitian ini, attacker akan mengirim serangan DDoS
dalam jumlah banyak. Penggunaan honeypot dan MHN dalam jaringan Software
Defined Network (SDN) dan metode yang digunakan dalam mendeteksi
serangan DDoS.
3.5.1 Honeypot dan Modern Honey Network (MHN)
Honeypot adalah sebuah server palsu yang digunakan untuk menjebak
attacker yang ingin menyerang jaringan Software Defined Network (SDN).
Honeypot seolah-olah menjadi sistem yang berhasil diserang oleh attacker, tetapi
kenyataannya attacker tidak dapat mengakses sistem yang sebenarnya, sehingga
honeypot terlihat menarik bagi attacker karena port nya terbuka. Untuk
mengenali pola serangan, honeypot memerlukan berbagai sensor sesuai dengan
kebutuhan yang diperlukan. Pada penelitian ini, untuk mengimplementasikan
honeypot digunakan sensor Suricata untuk mengenali pola serangan DDoS.
Fungsi dari sensor ini adalah untuk mendeteksi waktu real dan pemantauan
keamanan jaringan. Honeypot dan sensor Suricata dapat digunakan di halaman
Modern Honey Network (MHN). Setelah honeypot mengenali pola serangan,
selanjutnya kinerja dari MHN adalah dapat memonitor serangan yang terjadi,
dan dapat dilihat log aktifitasnya.
-
19
Gambar 3.2 Modern Honey Network (MHN)
Berdasarkan Gambar 3.2 dilakukan pengiriman paket normal atau
DDoS. Langkah awal yang dilakukan yaitu, switch akan menerima paket yang
masuk. Selanjutnya paket yang masuk akan dilakukan pengecekan paket pada
flow rule yang sudah didefinisikan. Jika paket yang masuk sesuai flow rule maka
paket tersebut akan dijalankan sesuai dengan traffic treatment-nya, seperti
forward paket atau drop paket. Jika paket yang masuk tidak sesuai dengan flow
rule. maka paket tersebut termasuk paket baru karena belom terdapat pemetaan
IP dan MAC address nya. Kemudian paket baru tersebut akan dikirim ke
controller dalam bentuk pesan OFPT paket_in, lalu akan dienkapsulasi dalam
bentuk pesan OFPT paket_out (broadcast paket) ke host tujuannya. Ketika paket
yang dikirim masuk ke Honeypot, honeypot akan mengenali paket tersebut
dengan digunakannya sensor Suricata yang terletak di laman Modern Honey
Network (MHN). Modern Honey Network (MHN) dapat mengumpulkan dan
-
20
memonitor data serangan dari Honeypot. Data serangan tersebut disimpan di
dalam database mongoDB, kemudian data tersebut akan diexpor dalam bentuk
csv dan filter sesuai dengan yang dibutuhkan untuk dilakukan pendeteksian.
3.5.2 Bloom Filter
Bloom Filter adalah metode statistik yang digunakan untuk mencari nilai
hash dalam menangani terjadinya serangan DDoS. Serangan DDoS yang
digunakan pada penelitian ini yaitu icmp flood. Serangan ini dilakukan dengan
cara mengirim paket yang banyak dalam rentang waktu per detik. Pengiriman
paket icmp flood menggunakan tools tcp replay. Data yang digunakan pada icmp
flood adalah IP Source yang berbeda-beda. Perhitungan bloom filter diawali
dengan menghitung nilai hash-nya. Ketika ada paket yang masuk dalam rentang
waktu per detik akan dilakukan pengecekan nilai hash tiap ip yang masuk. Nilai
hash ini menghasilkan posisi index elemen array. Setelah mendapatkan nilai
hash, maka akan dilakukan perhitungan Counting Bloom Filter (CBF).
Perhitungan ini menghasilkan nilai array dari beberapa IP Source yang masuk
dengan posisi index yang telah dicari hash-nya. Jika terdapat posisi index array
yang sama dengan ip lain, maka nilai IP tersebut akan di increment.
Gambar 3.3 Bloom Filter
-
21
Berdasarkan Gambar 3.3, dijelaskan tentang alur penyimpanan nilai
hash variabel IP Source dan Protokol ke array Bloom Filter. Langkah awal untuk
penggunaan metode Bloom Filter yaitu, pembuatan array kosong. Untuk
pendeteksian DDoS digunakan variabel IP Source dan Protokol. Nilai IP Source
dan Protokol didapatkan dari ekspor data dari setiap paket data yang masuk ke
dalam log honeypot. Setelah nilai IP Source dan protokol telah diekspor, maka
akan dilakukan pencarian hash-nya. Hasil dari hash menunjukkan posisi index
array. Kemudian nilai hash tersebut akan dimasukkan di array Counting Bloom
Filter (CBF) sesuai dengan posisi yang ditunjukkan hash. Jika ada ip yang
menempati posisi index array yang sama dengan ip lain maka akan diincrement.
3.5.3 Algoritma Cumulative Sum (cusum)
Algoritma Cumulative Sum (CUSUM) adalah suatu algoritma yang
digunakan untuk mendeteksi suatu titik perubahan, seperti perubahan yang
terjadi ketika terdapat serangan DDoS. Serangan DDoS yang digunakan dalam
penelitian ini adalah icmp flood. Perhitungan Cumulative Sum (CUSUM) dapat
diambil dari nilai yang paling tinggi pada array Counting Bloom Filter (CBF).
CUSUM dihitung dengan menggunakan rumus, rumus yang pertama
menghitung jumlah paket yang masuk, rumus yang kedua menghitung nilai 𝑔+.
Nilai dari 𝑔+ ini dapat menentukan apakah paket yang masuk termasuk DDoS
atau nomal, dengan acuan nilai 𝑔+[t] > Threshold.
Gambar 3.4 Cumulative Sum (CUSUM)
-
22
Berdasarkan Gambar 3.4, dijelaskan tentang alur yang digunakan untuk
mendeteksi jenis paket yang masuk. Langkah awal untuk mendeteksi serangan
DDoS yaitu, paket yang masuk akan dihitung dengan Bloom Filter sehingga
menghasilkan nilai array CBF. Hasil nilai array CBF akan diambil nilai yang
paling tinggi. Kemudian akan dihitung dengan rumus cusum. Setelah
perhitungan CUSUM akan mendapatkan nilai 𝑔+. Nilai ini menentukan apakah
paket yang masuk adalah serangan atau bukan serangan. Untuk mengetahui jenis
paket, maka digunakan penentuan nilai threshold, jika nilai 𝑔+[t] < Threshold
maka paket yang masuk adalah paket normal, dan sebaliknya, jika nilai 𝑔+[t] >
Threshold maka paket yang masuk adalah DDoS. Untuk penentuan threshold,
dapat dilihat dari penelitian yang berjudul Lightweight Detection of DoS Attacks
in Cloud Computing Environment [8]. Pada penelitian tersebut, rentang waktu
yang digunakan adalah 1 menit dengan mengirimkan icmp flood puluhan ribu.
Nilai threshold ditentukan dari hasil perhitungan nilai G+ dengan pengiriman
paket icmp yang masuk dalam rentang waktu sekian detik. Dalam penelitian ini
diasumsikan digunakan nilai threshold 773, penentuan nilai ini dilihat dari
pengiriman 15000 paket icmp dengan IP Source yang sama dalam rentang waktu
10 detik. Penentuan rentang waktu 10 detik ini digunakan agar pendeteksian
serangan dapat terdeteksi dengan lebih cepat.
3.6 Rancangan Mitigasi Serangan DDoS
Dalam rancangan mitigasi ini dijelaskan tentang proses mitigasi yang dilakukan.
Setelah dilakukan perhitungan menggunakan metode Bloom Filter dan algoritma
CUSUM maka akan diketahui hasilnya apakah paket yang masuk termasuk
paket anomali atau paket normal. Jika paket yang masuk merupakan paket
anomali maka akan dilakukan pencarian protokol yang sering muncul dan
protokol tersebut akan dilakukan mitigasi. Setelah itu akan menginstal flow
mitigasi untuk meningkatkan keamanan ketika paket anomali dengan tipe
protokol yang sama masuk ke jaringan akan langsung diblokir.
-
23
Gambar 3.5 Mitigasi DDoS
Berdasarkan Gambar 3.5 dilakukan mitigasi serangan DDoS. Langkah
awal yang dilakukan yaitu, ketika switch menerima paket kemudian paket
tersebut dilakukan pengecekan paket DDoS. Apabila paket tersebut
diidentifikasi paket DDoS maka akan dibuat Flow_MOD dengan rest API ryu
agar dapat menginstall flow mitigasi DDoS. Apabila telah terinstall flow mitigasi
DDoS, maka paket yang sering muncul dengan protokol yang sama akan di
blokir. Dan sebaliknya, apabila paket tersebut diidentifikasi paket normal maka
kembali lagi ke awal, switch menerima paket masuk.
3.7 Skenario Pengujian
Pengujian ini dilakukan untuk mendeteksi serangan menggunakan metode
CUSUM yang diterapkan pada Modern Honey Network (MHN). Skenario
pengujian ini berdasarkan topologi pada Gambar 3.1 yaitu h1 yang berperan
sebagai attacker akan menyerang h4 yang terdapat honeypot dengan sensor
Suricata. Jenis pengujian yang akan dilakukan pengujian sebagai berikut:
a. Pengujian pendeteksian serangan
Jenis pengujian ini adalah untuk mendeteksi serangan DDoS dan DoS pada
jaringan SDN dengan menggunakan metode bloom filter dan algoritma cusum.
Proses pendeteksian ini dimulai dari pencarian nilai hash. Nilai hash yang
sudah di dapat menunjukkan penempatan posisi array dan dimasukkan di array
-
24
counting bloom filter (CBF). Kemudian, nilai tersebut dihitung menggunakan
algoritma CUSUM untuk mengetahui apakah paket yang masuk termasuk
serangan atau bukan.
b. Pengujian CPU usage
Pengujian ini dilakukan untuk melihat penggunaan resource CPU ketika
dilakukan proses komputasi pendeteksian serangan DDoS.
c. Pengujian Memory usage
Pengujian ini dilakukan untuk melihat penggunaan resource CPU Ketika
dilakukan proses komputasi pendeteksian serangan DDoS.
d. Pengujian waktu install flow mitigasi
Pengujian ini dilakukan untuk menghitung waktu install flow mitigasi
serangan icmp flood. Pada pengujian ini dilihat waktu yang digunakan untuk
mendeteksi serangan icmp flood.