Ethical Hacking

ILKOM 2009/2010

Denial Of Service

• DOS : serangan yang membuat sebuah

sistem menjadi tidak dapat digunakan,

dengan kata lain “slow down” sistem

dari pengguna sah dengan memenuhi

sumber daya.

• Tujuan dari DOS adalah untuk merusak

sistem atau mencegah pengguna yang

sah.

Serangan DOS

• attempt to "flood" a network, thereby

preventing legitimate network traffic.

(gateway)

• attempt to disrupt connections between

two machines, thereby preventing

access to a service. (switch)

• attempt to prevent a particular individual

from accessing a service. (individu)

• attempt to disrupt service to a specific

system or person. (sistem)

DoS Attack Classification

• Smurf

• Buffer Overflow Attack

• Ping of death

• Teardrop

• SYN

• Tribal Flow Attack

• Smurf

– Mengirimkan data besar dari ICMP echo

ke broadcast sebuah jaringan yang alamat

pengirim adalah alamat target atau korban.

– Hasil dari ICMP request akan

mendapatkan ICMP reply sebesar data

yang diminta dan mem-flooding menuju

alamat korban.

– Pembengkakan ping reply membuat

kewalahan jaringan korban.

• Buffer over– Buffer over flow terjadi jika program atau proses

berusaha untuk menyimpan data melebihi data di

dalam buffer (penyimpanan data sementara.

Sehingga dapat mengakibatkan masalah hingga

sistem error.

– Dalam serangan BOF, data yang dikirim

mengandung code dengan aksi tertentu dan

memberikan efek untuk melakukan instruksi

kepada komputer yang terserang. sprt

menghancurkan file, mengubah data atau

membuka informasi penting.

• Ping of Death Attack– The attacker deliberately sends an IP packet

larger than the 65,536 bytes allowed by the IP

protocol.

– Fragmentation allows a single IP packet to be

broken down into smaller segments.

– The fragments can add up to more than the

allowed 65,536 byte.

– freezes, reboots or simply crashes.

– The identity of the attacker sending the oversized

packet can be easily spoofed.

• Teardrop Attack– Permintaan IP yang besar kepada router untuk

membagi-bagi (fragment) nilainya. Kemudian

penyerang memberikan nilai membingungkan dari

fragment tersebut. SO yang menerima frament

paket tersebut bisa berakibat crash dan down.

– Paket yang diberikan yaitu paket UDP.

• SYN Attack

– Penyerang mem-flood korban dengan TCP

SYN paket dan korban akan

mengalokasikan sumber daya untuk

menerima koneksi yang diminta. Bila

permintaan koneksi terlalu banyak maka

koneksi korban akan kewalahan.

• Tribal flood Attack

– Pernah terjadi membuat down YAHOO in

2000.

– Merupakan paralel dari teardrop attact.

DDoS

• Distributed Denial Of Service : yaitu

multi sistem yang bersama-sama

melakukan serangan DOS sebuah

sistem target. Disebut juga dengan

“Zombie”.

• DDOS dapat berakibat pada shutdown,

denying system hingga crashing

hardware.

DDoS

• Dengan berkoordinasi skala besar

melakukan serangan terhadap service

yang terbuka pada sistem target

korban.

• Service yang menjadi target serangan

merupakan “korban utama”, sedangkan

sistem yang digunakan untuk

mengirimkan serangan disebut “korban

kedua”

DDoS

• Serangan ini sangat sulit di deteksi

karena terdiri dari berbagai IP dan sulit

dibendung karena dari ratusan/ribuan

IP.

• Bandwidth depletion attacks

– Flood attack

– UDP and ICMP flood

• Amplification attack

– Smurf and Fraggle attack

DOS tools

• Jolt2

– Causes the target machines to consume

100% of the CPU time processing illegal

packets. Serangan dapat menuju pada

mesin windows dan cisco router.

• Bubonic.c

– Bubonic.c is a DoS exploit that can be run

against Windows 2000 machines.

– Bekerja dengan mengirimkan paket TCP

secara acak sehingga meningkatkan load

target.

DDOS tools• Trinoo

– Meluncurkan denial flood UDP secara

bersama-sama dari berbagai sumber daya.

– Penyerangan menginstruksikan Trinoo

untuk mengirimkan DOS menyerang IP

atau byk IP.

– Master menginstruksikan daemon untuk

menyerang satu atau lebih IP pada periode

waktu tertentu, trinoo ini menginstall trinoo

agent ke dalam sistem agent yang diambil

alih melalui remote buffer overrun

exploitation.

DOS tools• Tribal Flood Network

– Melakukan serangan dengan mengandalkan

dua hal yaitu kemampuan seluruh bandwith

dan seluruh sumberdaya yang dimiliki

penyerang.

– Menggunakan UDP dan ICMP flooding seperti

halnya TCP SYN dan smurf.

• Stacheldraht

– Like TFN, it includes ICMP flood, UDP flood,

and TCP SYN attack options.

– Stacheldraht memiliki secure telnet connection

via symmetric key encryption antara penyerang

dengan sistem yang di ambil alih.

DDOS tools• Shaft

– Menggunakan komunikasi UDP antara

penyerang dan agent.

– Shaft memiliki statistik serangan sehingga

mengetahui bilamana target serangan

telah down dan menghentikan serangan.

– One interesting signature of Shaft is that

the sequence number for all TCP packets

is 0x28374839.

DDoS Countermeasures• Three essential components

– preventing secondary victims and

detecting, and neutralizing, handlers.

– detecting or preventing the attack,

mitigating or stopping the attack, and

deflecting the attack.

– the post-attack component which involves

network forensics.

• Selalu berhati-hati pada isu security dan

mencegah segala teknik dari semua

pengguna internet.

DDoS Countermeasures• Install anti-virus dan anti-trojan yang

selalu up-to-date sehingga mencegah

diinstallnya program agent.

• Scanning pada header paket IP yang

meninggalkan jaringan.

• Menempatkan firewall atau paket sniffer

di dalam sub-jaringan yang memfilter

semua lalu lintas jaringan keluar tanpa

keaslian IP address.

Network Defense• kunci pokok dalam keamanan jaringan:

– Authorization and availability

– Authentication

– Confidentiality

– Integrity

– Non-repudiation

Network Defense• Authorization and availability

– Jaminan bahwa kebutuhan akses dapat

terpenuhi, informasi dan komunikasi servis

siap di gunakan saat dibutuhkan. Dan

mengontrol yang mengakses.

• Authentication

– Jaminan identitas pengguna, peralatan dan

entitas lain sebagai prasyarat untuk dapat

mengakses sumber daya sistem.

Network Defense• Confidentiality

– Jaminan bahwa informasi untuk tetap rahasia dan

aman serta terbatas hanya dapat diakses oleh

pihak tertentu

• Integrity

– Prinsip yang memastikan data akurat secara terus

menerus yang tertuang di dalam jaringan. Yang

utama adalah integritas data secara kontinu.

• Non-repudiation

– Jaminan bahwa sebuah koneksi dan data terjalin

dari identitas pengirim dan penerima yang benar

dan terotorisasi.

Firewall• Metodologi firewall:

– Packet filtering

– Proxy server (application gateway)

• Packet filtering : menggunakan kemampuan router

utk membaca header paket. kemampuan untuk

memperbolehkan atau melarang sebuah paket

berdasarkan aturan header paket yang dibuat

administrator.

• Keterbatasan Packet filtering : hanya pada informasi

header dari paket secara general tetapi dari

command tertentu tidak dapat difilter.

Firewall• Proxy server : menggunakan software mencegat lalu

lintas jaringan, sehingga mampu memperbolehkan

atau melarang berdasarkan data aktual dalam paket.

Mengetahui komunikasi dan bukan hanya membuka

dan menutup port koneksi.

Firewall cannot do• Viruses : meskipun beberapa firewall dapat

mendetect virus traffic, tetapi byk macam virus yang

firewall tidak kenali. Selalu gunakan antivirus.

• Kesalahan pengguna : pengguna biasa melakukan

hal yang tidak diketahuinya. Membalas palsu, run

program dari teman dan merasa dirinya aman

padahal tidak.

• Koneksi kedua : jika pengguna menggunakan

koneksi modem sendiri pada komputernya maka

koneksi ini selain tidak berguna tp bila ada device

yang di sharing dengan komp mereka maka hal ini

dapat berakibat merugikan.

Firewall cannot do• Social engineering : jika pengguna memberikan

informasinya kepada orang lain maka hal ini tidak

biasa ditangani oleh firewall.

• Poor policy : tanpa aturan firewal yang baik maka

sulit utk mengkonfigurasi firewall dengan tepat sesuai

kebutuhan.

Firewall filter• Ip address filter : memfilter ip address pada spesifik

alamat yang dilarang. Tetapi ada kemungkinan

byknya filter yang harus dibuat dan memakan waktu

lama. Lebih efektif/efisien utk memfilter berdasarkan

ip address yang diperbolehkan. Walau penyerang

dapat melakukan spoof bila rule ip address yang

diperbolehkan tersebut telah di ketahui oleh

penyerang.

• TCP/UDP port number : menggunakan port

TCP/UDP untuk memfilter packet sangat efektif.

Seperti halnya ip address filter bahwa lebih mudah

untuk memfilter port yang diperbolehkan dari pada

filter port yang dilarang.

Firewall filter• Protocol filtering : selain fiter terhadap TCP/UDP juga

dilakukan filter terhadap header paket. Beberapa

diantaranya yaitu TCP, UDP, ICMP, IGMP.

• Fragmentation : pengembangan jaringan dan routing

maka adanya fragment terhadap file besar dengan

bandwith kecil dan paket file yang terkirim dibagi-

bagi. Fragment dengan nilai 0 yang diperbolehkan

karena mengandung info port number, protocol type,

ip address. Sedangkan fragment 1 tanpa info

tersebut di block.