SERANGAN JARINGAN KOMPUTER

ABDUL HARIS NST

FEBRUARY 16, 2016 LP3I GAJAHMADA Jl. Gajahmada No.15 Medan

Pendahuluan ...

Tidak ada yang bisa menjamin perilaku dari setiap orang yang terkoneksi ke Internet, terdapat

banyak perilaku di internet dari yang berhati baik sampai yang berhati buruk, dari yang

mencari informasi umum sampai mencari informasi kartu kredit orang lain. Karena sifatnya

yang publik atau umum maka muncul masalah baru yaitu masalah keamanan data dan informasi di Internet terutama informasi-informasi yang bersifat krusial dan konfiden.

Pada saat sebuah perusahaan telah atau akan mengintegrasikan jaringannya secara terpusat

dengan menggunakan komunikasi data via jaringan private atau sewa seperti Leased Channel,

VSAT , VPN atau bahkan menggunakan jaringan publik (Internet), Maka ada suatu permasalahan

lain yang sangat krusial yaitu ”Keamanan atau Security”. Karena tidak ada yang sistem yang

aman didunia ini selagi masih dibuat oleh tangan manusia, karena kita hanya membuat

meningkatkan dari yang tidak aman menjadi aman dan biasanya keamanan akan didapat

setelah lubang / vurnability system diketahui oleh penyusup.

Ancaman masalah keamanan ini banyak sekali ditemui oleh pengguna seperti Virus, Trojan,

Worm, DoS, hacker, sniffing, defaced, Buffer Overflow, dan sebagainya dengan apapun istilah

underground yang banyak sekali saat ini, yang pasti akan menyusahkan kita pada saat

ancaman-ancaman ini ”menyerang”. Metode serangan saat ini sangat beragam, dari yang

sederhana yang dilakukan para pemula atau script kiddies sampai dengan serangan dengan

menggunakan metode terbaru. Karena akan semakin kompleksnya administrasi dari jaringan

skala luas (WAN) maka diperlukan suatu mekanisme keamanan dan metode untuk dapat

mengoptimalkan sumber daya jaringan tersebut, semakin besar suatu jaringan maka makin

rentan terhadap serangan dan semakin banyak vurnability yang terbuka.

Ada banyak model serangan yang dapat diketahui saat ini, namun semakin hari model serangan semakin beragam baik dari pengembangan model sebelumnya atau model-model baru yang telah dicoba-coba dan dilakukan oleh penyerang.

Serangan Dos & DDoS

Denial of Services / Distributed DoS, yaitu serangan yang akan Melumpuhkan sistem agar pengguna yang sah tidak dapat mengakses sistem tersebut, ada banyak Metode yang digunakan,seperti Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK (3 way handshake) dan akhirnya Membuat server ‘bingung’ hingga down

Serangan ini Sering dilakukan “script kiddies” yang tidak dapat masuk ke sistem atau hanya

sakit hati di komunitas SYN Flood & UDP Flood, metode yang dilakukan oleh penuerang yang membuat sebuah server di penuhi dengan permintaan dari paket-paket SYN yang tidak lengkap, Akhirnya akan membuat overhead pada server dan hasilnya adalah DoS, sedangkan UDP bersifat connectionless, tidak memperhatikan apakah paket telah diterima atau tidak mirip dengan ICMP flood, UDP flood dikirim dengan tujuan untuk memperlambat sistem sampai dengan sistem tidak bisa mengendalikan koneksi yang valid

Serangan ini umumnya Membanjiri syn (TCP/UDP syn Flood) hingga tidak bisa mengirimkan ACK (3 way handshake). Proses 3 way handshake seperti gambar 1 adalah proses yang terjadi pada saat sumber dan tujuan melakukan komunikasi dimana proses ini menggunakan protocol TCP yang akan membagi-bagi paket data yang akan ditransmisikan sesuai dengan kesepakatan antara sumber dan tujuan.

Gambar 1. metode 3 way handshake (cisco.com)

Serangan dilakukan dengan mesin lain yang disebut zombie, zombie adalah mesin server yang

telah dikuasai sebelumnya oleh penyerang untuk menyerang mesin server target lain, hal ini

dilakukan agar jejak yang berupa IP address di internet dapat ditutupi dengan menggunakan

mesin zombie tersebut.

Serangan DoS akan membuat mesin menjadi bingung karena banyaknya paket data SYN yang

datang sedangkan mesin tidak mengetahui mesin asal untuk mengembalikan ACK, akibatnya

mesin yang diserang disibukan dengan paket-paket data tersebut yang datangnya bertubi-tubi dan banyak.

Akibatnya user yang absah yang akan benar-benar memanfaatkan resources pada server tersebut misalnya mail/ web menjadi tidak dapat dilayani karena mesin tersebut sedang sibuk melayani paket-paket serangan tadi, makanya DoS sering disebut SYN FLOOD.

Gambar 2. mesin zombie menyerang server

Serangan yang lebih besar dari DoS adalah Destributed Denial Of Services (DdoS), dimana DDoS

menggunakan banyak mesin zombie untuk menyerang server tujuan. Akibatnya tidak hanya

server tujuan menjadi down bahkan beberapa kasus provider / telco yang memberikan jasa

koneksi internet bagi server tersebut juga terkena imbasnya sperti gambar di bawah ini.

Gambar 3. Serangan metode DdoS

Serangan DDoS ini biasanya menggunakan mesin zombie yang tersebar dan diatur untuk

menyerang secara serentak atau dalam jeda waktu tertentu. DdoS biasanya dilakukan oleh para penyerang bukan amatiran karena penyerang mempunyai banyak mesin zombie yang tersebar diseluruh dunia. Biasanya serangan model ini menyerang server-server pada perusahaan / penyedia jasa yang besar, tercatat seperti Yahoo, e-bay, dan lain-lain telah pernah di DdoS yang tentu saja efeknya mendunia dimana banyak para user yang tidak dapat masuk ke layanan mereka.

Gambar 4. overload pada ISP pada serangan DDoS.

Metode penanganan DoS dan DDoS

Ada beberapa cara penanganan untuk serangan ini, seperti ;

1. Lihat ip source dan destination yang diserang, hal ini dilakukan untuk mengetahui ip

address dari penyerang dan yang diserang. Untuk melihat ip source dan destinationsnya

bisa dilakukan di server /router kita dengan memberikan command tertentu.

Contoh :

show log /var/tmp/sample | match 222.73.238.152

# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 33945 33903

# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 51457 33903

# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 1315 33903

# Oct 17 15:34:04 202.xxx.xxx.xx 222.73.238.152 38455 33903

IP Destinations IP Source Port

2. Block IP address source & Port yang digunakan oleh penyerang dari mesin firewall /

router kita, pada saat serangan berlangsung pastilah terdapat ip address penyerang dan

port yang digunakan oleh penyerang seperti contoh diatas.

3. Block IP address source dari Firewall, contoh

iptables -I FORWARD -s 222.73.238.152/32 -d 0/0 -j DROP

iptables -I FORWARD -s 67.18.84.0/24 -d 0/0 -j DROP

Gambar 5. metode block port dan ip address di router / server

4. Kontak Provider untuk membantu block port dan ip source yang menyerang, makanya

kontak teknis provider harus diketahui dan sangat berguna jika kita sewaktu-waktu kita

membutuhkannya, kontak bisa berupa telpon langsung ke NOC/Admin atau bisa

dilakukan dengan chat dari YM.

5. Amati model serangan berikutnya, pengamatan ini dilakukan untuk melihat model

serangan berikutnya dan mungkin saja ip address lain dari sumber daya jaringan kita

6. Laporkan ke abuse@xxx.xx pemilik IP address tersebut, jadi pada saat kita mengetahui

IP Address sumber serangan maka secepatnya mengirimkan abuse ke pemilik IP

tersebut agar bisa ditindaklanjuti lebih jauh. Untuk mengetahui pemilik IP address

tersebut bisa klik http://wq.apnic.net/apnic-bin/whois.pl dan masukan IP tersebut,

contoh :

% [whois.apnic.net node-1]

% Whois data copyright terms

http://www.apnic.net/db/dbcopyright.html

inetnum: 222.64.0.0 - 222.73.255.255

netname: CHINANET-SH

descr: CHINANET shanghai province network

descr: China Telecom

descr: No1,jin-rong Street

descr: Beijing 100032

country: CN

admin-c: CH93-AP

tech-c: XI5-AP

changed: hm-changed@apnic.net 20031024

mnt-by: APNIC-HM

mnt-lower: MAINT-CHINANET-SH

mnt-routes: MAINT-CHINANET-SH

status: ALLOCATED PORTABLE

source: APNIC

person: Chinanet Hostmaster

nic-hdl: CH93-AP

e-mail: anti-spam@ns.chinanet.cn.net

address: No.31 ,jingrong street,beijing

address: 100032

phone: +86-10-58501724

fax-no: +86-10-58501724

country: CN

changed: dingsy@cndata.com 20070416

mnt-by: MAINT-CHINANET

source: APNIC

person: Wu Xiao Li

address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC

country: CN

phone: +86-21-63630562

fax-no: +86-21-63630566

e-mail: ip-admin@mail.online.sh.cn

Trend keamanan dan Serangan komputer| ver 1 8

7. Lakukan kerjasama dengan admin pemilik IP add penyerang dan lakukan cek dan ricek

sebelum membuat statement kalau memang IP Address tersebut adalah penyerangnya

karena bisa saja itu adalah mesin zombie.

8. Catat semua kejadian untuk menjadi pembahasan untuk pembelajaran metode

serangan dan dokumentasi jika nanti diperlukan pada saat penyelesaian secara hukum.

9. Edukasi user untuk memperhatikan “etika” di internet, etika diinternet misalnya ;

• Jangan pernah mendownload dari stus-situs yang tidak terpecaya

• Jangan melakukan kegiatan hacking dan lainnya dari internal jaringan kita

• Pada saat dikomunitas milist / forum jangan pernah memancing kemarahan

pihak lainnnya.

Kegiatan Port Scanning

Mencoba-coba untuk mengetahui port / layanan yang tersedia di server, dengan harapan sistem akan menjawab request, dengan menggunakan tools script kiddies biasanya penyerang melakukan scanning terlebih dahulu mesin tujuan, untuk mengetahui layanan apa saja yang tersedia. Berguna untuk mengetahui port/ daemon/ aplikasi aktif yang berguna untuk mencari celah. Kegiatan ini diibaratkan ”mengedor” pintu jaringan kita dengan harapan ada jawaban dari dalam jaringan kita. Penangananya kita dapat menggunakan IDS yang akan dijelaskan nanti dan catat dari log system serta Tutup / close layanan yang tidak digunakan.

Gambar 6. port scanning yang dilakukan

Social Engineering

Metode serangan ini termasuk kategori non teknis karena ”serangannya” melalui penetrasi

secara sosial, metode ini Memanfaatkan human error karena erhubungan dengan psikologis

manusia, interaksi manusia & sifat dasar manusia, secara sosial manusia akan menjawab pada saat ditanya oleh penanya apalagi dengan sikap dan atitude orang yang diajak bicara dengan sopan secara alami kita akan merespon si penanya.

Cara ini biasanya untuk mendapatkan informasi (seperti password id) dari seseorang tanpa

melakukan penetrasi terhadap sistem komputer, Umumnya cara yang dilakukan tidak langsung menanyakan informasi yang diinginkan tetapi dengan cara mengumpulkan kepingan informasi yang jika sendiri-sendiri kelihatannya tidak bersifat rahasia. Biasanya kegiatan ini melakukan seperti ;

• Bertanya password ke pegawai via telp

• Mencuri dari “kotak sampah”

• Mencuri data/informasi dengan berpura-pura sebagai tamu, pegawai, atau inspektorat

• Berlagak seperti “orang penting” dengan penetrasi orang

• Menggunakan media telp, surat, email

Para penyusup yang menggunakan cara ini biasanya menggunakan beberapa langkah,

diantaranya ;

• Information gathering, mengumpulkan sebanyak mungkin informasi awal

• Development of relationship, melakukan pengenalan diri dan pendekatan secara pibadi

lewat telpon, chat, mail...

• Exploitation of relationship, mencari informasi yang dibutukan, ex : password,

kekuatan server, jenis server, ...

• Execution to Archive Objective, pelaksanaan aksi

Ping Of Death

Kegiatan yang mengirinkan ICMP dengan paket tertentu yang besar dengan harapan membuat sistem akan crash, hang, reboot dan akhirnya DoS, tapi metode ini sangat gampang dicegah dengan memasukan rules ICMP syn request di proxy/firewall/router. Misalnya rulesnya hanya boleh melakukan ping ke subnet tertentu.

Java / Active X

Saat ini sejak berkembangnya Web 2.0 banyak sekali varian content yang beragam. Konsep

client-server yang digunakan di internet saat ini semakin beragam, penggunaan konsep clientserver ini juga yang banyak digunakan oleh para pembuat virus/trojan/cracker untuk masuk dan melakukan penetrasi sistem. Komponen ActiveX yaitu executable program yang built-in pada situs web, jadi jika masuk ke web site ini maka browser akan me-load halaman web ini beserta built-in component-nya, dan menjalankannya pada komputer kita. Contoh real dari client-server ini adalah Game online dari sites tidak terpecaya

Gambar 7. metode client-server melakukan koneksi ke server

Pada saat content sebuah web di load ke browser client, ada beberapa script yang di execute disisi client. Script ini nantinya yang akan digunakan untuk dapat bertukar data data dengan server misalnya saja kasus games-games online yang dibuat dengan flash script. Dimana script di load sepenuhnya di client namun pada saat score/pergantian karakter dan sebagainya akan diberikan dan diproses oleh server. Hal inilah yang memungkinkan sebuah malcode jahat bisa mencuri informasi dari pc client dan diberikan ke server tujuan.

Gambar 8. Contoh popup untuk menjebak user

Sniffing Packet Melakukan “mata-mata” paket data yang lewat pada jaringan lokal tertentu dalam satu collision dan broadcast, biasanya untuk mendapatkan password. Metode ini Biasanya ditanam pada server di NIC tertentu atau pada sebuah pc pada sebuah network. Serangan ini dapat berhasil dengan baik jika jaringan kita menggunakan perangkat Hub.

Gambar 9. contoh penggunaan dsniff yang berguna capture paket data

Input Systems

Saat ini Web yang semakin beragam dan dinamis,trend ini menuju ke Content Web 2.0 yang bersifat jejaring dan full interaksi antara pengunjung dan web tersebut. Sudah menjadi trend dan menjadi hal yang biasa saat ini perusahaan/ institusi dan lain-lain mempunyai website dari sekedar cuman menampilkan company profile sampai dengan system informasi yang berbasis online, hal ini disebabkan karena Web yang bersifat cross platform yang dapat diakses dari mana saja dengan perangkat apa aja asal menggunakan browser. Beberapa serangan yang dapat dikategorikan sebagai Input Systems.