PT Hi Cloud Logo

Apa itu serangan DDoS? Bagaimana cara melawan serangan ini?

2023/05/26 | 7 mins read

Awal tahun ini, CloudFlare mendeteksi dan menggagalkan serangan DDoS yang paling besar. Serangan ini memecahkan rekor dengan permintaan per detik mencapai 71 juta. Inilah serangan DDoS terbesar, melampaui serangan DDoS 46 juta rps yang dicatat Google pada tahun 2022.

Tapi, apa sebenarnya serangan DDoS itu? Bagaimana serangan itu bisa mengancam keamanan dunia maya kita? Apa yang harus kita lakukan ketika kita mengalami serangan DDoS? Dalam postingan blog ini, kami akan mencermati salah satu ancaman keamanan yang paling umum, sekaligus menjawab pertanyaan-pertanyaan ini untuk membantu Anda membangun perlindungan diri dari serangan DDoS secara lebih baik.

Apa itu serangan DDoS?

DDoS singkatan dari “Distributed Denial-of-Service". DDos dapat diterjemahkan menjadi "Penolakan Layanan Terdistribusi". Dalam serangan DDoS, penyerang memanipulasi banyak perangkat yang terhubung ke internet untuk membanjiri server, dan membuat server ‘tidak tersedia’ bagi pengguna. Bayangkan, ibarat banyak sekali orang (bahkan jutaan) yang coba memadati sebuah ruangan kecil. Ruangan akan segera penuh dan tidak ada yang bisa berjalan melewati koridor. Demikianlah cara kerja serangan DDoS. Serangan ini membanjiri server target dengan sejumlah besar permintaan.

Kita juga dapat menganggap serangan DDoS ini sebagai kemacetan lalu lintas. Kemacetan ini menghentikan lalu lintas umum dalam usaha mencapai tujuannya. Kemacetan ini menyumbat jalan raya. Secara umum, serangan DDoS paling sering terjadi pada Layer 3, 4, 6, dan 7 dari model OSI.

OSI model

💡 Apa itu permintaan (web)? Permintaan web adalah perintah pengguna yang diberikan ke komputer atau system. Misalnya, jika Anda mengklik tautan, mengklik tombol, atau memasukkan teks, itu berarti Anda mengirimkan permintaan. Sistem kemudian akan memproses permintaan Anda dan meresponnya sesuai perintah, misalnya menampilkan halaman web tertentu, menyimpan data, dan membuka aplikasi.

Cara kerja serangan DDoS

Kita mengetahui bahwa serangan DDoS sedang terjadi dari pergerakan lalu lintas yang muncul dalam jumlah besar. Namun, dari mana lalu lintas itu datang? Bagaimana penyerang dapat mengirim permintaan dalam jumlah besar secara bersamaan? Penyerang pertama-tama menginfeksi komputer atau perangkat lain yang terhubung ke internet dengan virus jahat. Contoh perangkat yang dapat diinfeksi misalnya mobil yang terhubung dengan internet dan IoT. Virus jahat itu memanipulasi komputer dan/atau perangkat orang lain. Penyerang kemudian akan menggunakan komputer dan perangkat yang disusupi untuk mengirim permintaan. Perangkat yang terinfeksi kita sebut sebagai bot atau zombie.

Server target akan menyerah dan statusnya menjadi ‘tidak tersedia’. Karena permintaan ini berasal dari perangkat yang sah, maka kita cenderung mengalami kesulitan dalam membedakan mana lalu lintas normal dan mana lalu lintas berbahaya.

Jenis serangan DDoS

Ada berbagai jenis serangan DDoS. Serangan-serangan tersebut menargetkan layer/lapisan yang berbeda. Serangan DDoS dapat dibagi menjadi beberapa tipe berikut:

  • Serangan lapisan infrastruktur
  • Serangan lapisan aplikasi

Serangan lapisan infrastruktur menargetkan Lapisan 3 dan 4, dan terjadi secara lebih sering. Serangan ini berusaha membanjiri server dengan data dalam jumlah besar. Banjir SYN dan banjir UDP adalah dua contoh umum serangan lapisan infrastruktur.

Serangan lapisan aplikasi, di sisi lain, fokus pada Lapisan 6 dan 7. Serangan ini lebih rumit. Jenis serangan DDoS ini menargetkan bagian tertentu dari aplikasi agar tidak tersedia bagi pengguna.

Serangan DDoS yang umum terjadi

Serangan banjir ICMP

Dalam serangan “Protokol Pesan Kontrol Internal” (Internal Control Message Protocol / ICMP), ping ICMP, atau paket permintaan gema digunakan untuk membanjiri server atau jaringan.

Serangan banjir UDP

Paket IP yang berisi paket User Datagram Protocol (UDP) adalah alat utama yang digunakan penyerang untuk membanjiri port di host.

Serangan banjir SYN

pada serangan banjir SYN, penyerang memulai akses, namun tidak menyelesaikan koneksi ke server dengan cepat. Server akhirnya harus menunggu koneksi setengah terbuka, yang menyebabkan pemborosan sumber daya dan tidak dapat merespons lalu lintas yang sah.

Serangan banjir HTTP

pada bentuk serangan DDoS ini, penyerang menggunakan HTTP GET atau POST yang tampaknya sah di server atau aplikasi target.

Serangan Slowloris

Penyerang yang memilih serangan Slowloris mulai membuka koneksi antara komputer dan server web target dengan permintaan HTTP parsial. Penyerang kemudian menjaga koneksi agar tetap terbuka selama mungkin, Tujuannya adalah untuk memperlambat target.

Serangan amplifikasi DNS

Penyerang membuat kueri yang awalnya kecil menjadi sangat besar dengan mengeksploitasi server DNS terbuka. Dengan demikian, penyerang menurunkan server target.

Serangan amplifikasi NTP

Penyerang membanjiri target mereka dengan jumlah lalu lintas UDP yang diperkuat menggunakan server Network Time Protocol (NTP) yang dapat diakses oleh publik di NTP.

Bagaimana cara mengidentifikasi serangan DDoS

Serangan DDoS pada dasarnya adalah lalu lintas yang diterima server atau sistem jaringan. Oleh karena itu, tidak mudah untuk mendeteksi serangan ini. Namun, jika Anda mengalami gejala berikut, mungkin Anda sedang mengalami serangan DDoS:

  • Jaringan sangat lambat (saat membuka file atau mengakses situs web)
  • Tidak dapat mengakses situs web apa pun atau situs web tertentu
  • Spam meningkat
  • Masalah koneksi yang tidak biasa
  • Masalah pemutusan server, kelambatan, dan latensi
  • Akses ditolak dalam jangka waktu yang lama

Terkadang gejala ini tampak mirip dengan masalah ketersediaan. Kita perlu menyelidiki dan menganalisis lalu lintas lebih lanjut untuk menentukan apakah serangan DDoS sedang terjadi. Tanda-tanda lalu lintas berikut menunjukkan adanya serangan DDoS:

  • Jumlah lalu lintas yang luar biasa besar dari satu alamat IP atau rentang IP
  • Jumlah lalu lintas yang luar biasa besar dari pengguna yang memiliki pola serupa (mis. menggunakan jenis perangkat yang sama, berbagi geolokasi yang sama, atau memiliki versi browser web yang sama, dll.)
  • Peningkatan permintaan yang tidak dapat dijelaskan ke halaman atau titik akhir tertentu
  • Pola lalu lintas yang tidak biasa (mis. lalu lintas melonjak pada jam-jam ganjil atau setiap 30 menit)

Bagaimana cara mengurangi serangan DDoS?

Sayangnya, jika Anda melihat tanda-tanda yang disebutkan di atas, Anda mungkin ingin mengambil tindakan pengurangan serangan DDoS secara langsung. Tapi, bagaimana Anda dapat melakukannya?

Secara umum, ada 5 cara untuk melindungi diri dari serangan DDoS:

  • Membedakan lalu lintas berbahaya dari lalu lintas yang sah
  • Mengurangi area permukaan serangan
  • Menskalakan sumber daya
  • Mengarahkan lalu lintas ke pusat scrubbing
  • Melakukan konfigurasi WAF

Membedakan lalu lintas berbahaya dari lalu lintas yang sah

Sekalipun membatasi lalu lintas masuk nampaknya merupakan solusi logis, namun, hal itu akan membuat server web atau layanan Anda tidak tersedia untuk pengguna yang sah sehingga merusak bisnis Anda. Hal pertama yang perlu Anda lakukan adalah menganalisis lalu lintas dan membedakan lalu lintas berbahaya dari lalu lintas yang sah, serta membandingkan lalu lintas yang biasanya dapat ditangani oleh server Anda dengan lalu lintas yang tidak biasa.

Mengurangi area permukaan serangan

Untuk memitigasi serangan DDoS, cukup batasi opsi yang dimiliki penyerang dengan mengurangi area permukaan yang rentan terhadap serangan. Pastikan untuk tidak mengekspos aplikasi atau sumber daya untuk meminimalkan kemungkinan titik serangan. Misalnya, Anda dapat menggunakan CDN atau load balancer untuk menghindari lalu lintas langsung ke server Anda.

Menskalakan sumber daya

Kapasitas transit dan kapasitas server memiliki resiko terkena serangan DDoS. Untuk bertahan dari serangan DDoS, Anda dapat meningkatkan kapasitas tersebut demi mengurangi kemungkinan server/layanan Anda menjadi ‘tidak tersedia’. Konektivitas dan sumber daya internet yang berlebihan juga dapat memberi Anda waktu untuk menyelidiki lebih lanjut lalu lintas berbahaya dan melawannya dengan tindakan yang lebih spesifik.

Arahkan lalu lintas ke pusat scrubbing

Pusat scrubbing digunakan untuk mengurangi lalu lintas berbahaya, melawan serangan, dan mengembalikan lalu lintas bersih untuk kembali ke jaringan atau server. Hal- hal tersebut dapat bertahan secara efektif dari serangan DDoS.

Konfigurasikan WAF

Firewall Aplikasi Web (WAF/ Web App. Firewall) dapat bertindak sebagai proxy terbalik untuk melindungi server yang diserang dari beberapa jenis lalu lintas berbahaya saat diatur antara internet dan server asli. Sistem ini biasanya digunakan untuk mitigasi serangan DDoS Layer 7, filter WAF, dan memblokir permintaan berdasarkan aturan tertentu.

Mari gunakan pencegahan DDoS bersama-sama

Walau terdengar menakutkan, namun, sesungguhnya serangan DDoS dapat digagalkan dengan alat yang tepat. Kami dapat membantu Anda merencanakan perlindungan anti-DDoS karena kami bermitra dengan penyedia cloud besar. Kami menyediakan perlindungan anti-DDoS dengan produk seperti AWS Shield, Azure DDoS Protection, dan Google Cloud Armor, demi memenuhi kebutuhan khusus Anda. Hubungi pakar keamanan cloud kami dan berkonsultasilah secara gratis sekarang.

# DDoS Attacks# Cyber Security
Drop us a message
Loading ...
Blog Terkait

blog yang mungkin Anda sukai

cover image
2023/06/27  |   Information Security

Apa itu SSL? Mengapa sertifikat SSL penting? Definisi dan penjelasan

cover image
2023/06/12  |   Information Security

Apa itu ransomware?

cover image
2023/06/02  |   Data Management and Analysis

Apa itu cloud logging? Bagaimana cara memaksimalkannya?