Dapatkan Info Terbaru

Metode Serangan DDoS

Aug, 01 2023|Sekretariat IDNIC

Berbagai macam alat dan teknik digunakan untuk meluncurkan serangan DoS. 

Serangan DoS yang paling sederhana terutama mengandalkan brute force, membanjiri target dengan fluks paket yang luar biasa, membanjiri bandwidth koneksinya atau menghabiskan sumber daya sistem target. Flood yang memenuhi bandwidth bergantung pada kemampuan penyerang untuk menghasilkan aliran paket yang luar biasa.Cara umum untuk mencapai hal ini hari ini adalah melalui penolakan-layanan-terdistribusi, menggunakan botnet.

1. Alat serangan

Dalam kasus seperti MyDoom dan Slowloris, alat tersebut tertanam dalam malware dan meluncurkan serangannya tanpa sepengetahuan pemilik sistem. Stacheldraht adalah contoh klasik alat DDoS. Ini menggunakan struktur berlapis di mana penyerang menggunakan program klien untuk terhubung ke penangan yang merupakan sistem yang dikompromikan yang mengeluarkan perintah ke agen zombie yang pada gilirannya memfasilitasi serangan DDoS. Agen disusupi melalui penangan oleh penyerang menggunakan rutinitas otomatis untuk mengeksploitasi kerentanan dalam program yang menerima koneksi jarak jauh yang berjalan pada host jarak jauh yang ditargetkan. Setiap penangan dapat mengontrol hingga seribu agen. 

Dalam kasus lain, mesin dapat menjadi bagian dari serangan DDoS dengan persetujuan pemiliknya, misalnya, dalam Operation Payback di organisir oleh grup AnonymousLow Orbit Ion Cannon biasanya digunakan dengan cara ini. Bersama High Orbit Ion Cannon sebuah berbagai macam alat DDoS tersedia saat ini, termasuk versi berbayar dan gratis, dengan fitur berbeda yang tersedia. Ada pasar bawah tanah untuk ini di forum terkait peretas dan saluran IRC.

2. Pemerasan DDoS 

Pada tahun 2015, botnet DDoS seperti DD4BC semakin menonjol, membidik lembaga keuangan. Pemeras dunia maya biasanya dimulai dengan serangan tingkat rendah dan peringatan bahwa serangan yang lebih besar akan dilakukan jika uang tebusan tidak dibayarkan dalam Bitcoin. Pakar keamanan merekomendasikan situs web yang ditargetkan untuk tidak membayar tebusan. Para penyerang cenderung melakukan skema pemerasan yang diperpanjang setelah mereka menyadari bahwa targetnya siap untuk membayar. 

3. Serangan Challenge Collapsar (CC) 

Sebuah Serangan Challenge Collapsar (CC) adalah serangan yang permintaan HTTP standar sering dikirim ke server web yang ditargetkan, di mana Uniform Resource Identifier (URI) memerlukan algoritma atau operasi database yang memakan waktu dan rumit, untuk menghabiskan sumber daya server web yang ditargetkan 

Pada tahun 2004, seorang peretas Tiongkok bernama KiKi menemukan alat peretasan untuk mengirim permintaan semacam ini untuk menyerang tembok api NSFOCUS bernama "Collapsar", dan dengan demikian alat peretasan itu dikenal sebagai "Challenge Collapsar", atau CC singkatnya. Akibatnya, serangan jenis ini mendapat nama "Serangan CC",

4. Nuke 

Sebuah Nuke adalah serangan denial-of-service kuno terhadap jaringan komputer yang terdiri dari paket ICMP yang terfragmentasi atau tidak valid yang dikirim ke target, dicapai dengan menggunakan utilitas ping yang dimodifikasi untuk berulang kali mengirim data yang rusak ini, sehingga memperlambat komputer yang terpengaruh hingga benar-benar berhenti. 

Contoh spesifik dari serangan Nuke yang menjadi terkenal adalah WinNuke, yang mengeksploitasi kerentanan dalam menangani NetBIOS di Windows 95. Sebuah string data out-of-band dikirim ke TCP port 139 dari mesin korban, menyebabkannya terkunci dan menampilkan Blue Screen of Death

5. Serangan peer-to-peer 

Penyerang telah menemukan cara untuk mengeksploitasi sejumlah bug di peladen peer-to-peer untuk memulai serangan DDoS. Serangan peer-to-peer-DDoS yang paling agresif ini mengeksploitasi DC++. Dengan peer-to-peer tidak ada botnet dan penyerang tidak harus berkomunikasi dengan klien yang dirusaknya. Sebaliknya, penyerang bertindak sebagai "dalang," menginstruksikan klien dari hub file sharing peer-to-peer besar untuk memutuskan koneksi dari jaringan peer-to-peer mereka dan untuk terhubung ke situs web korban sebagai gantinya. 

6. Serangan penolakan layanan permanen 

Permanent denial-of-service (PDoS), juga dikenal sebagai phlashing adalah serangan yang sangat merusak sistem sehingga memerlukan penggantian atau penginstalan ulang perangkat keras Berbeda dengan serangan penolakan layanan terdistribusi, sebuah serangan PDoS mengeksploitasi kelemahan keamanan yang memungkinkan administrasi jarak jauh pada antarmuka manajemen perangkat keras korban, seperti router, printer, atau perangkat keras jaringan lainnya. Penyerang menggunakan kerentanan ini untuk mengganti firmware perangkat dengan gambar firmware yang dimodifikasi, corrupt, atau rusak — sebuah proses yang bila dilakukan secara sah disebut sebagai flashing. Oleh karena itu, "brick" perangkat ini, membuatnya tidak dapat digunakan untuk tujuan aslinya hingga dapat diperbaiki atau diganti.

7. Serangan yang dipantulkan/dipalsukan

Serangan denial-of-service terdistribusi mungkin melibatkan pengiriman permintaan palsu dari beberapa jenis ke sejumlah besar komputer yang akan membalas permintaan tersebut. Menggunakan spoofing alamat Protokol Internet, alamat sumber diatur ke korban yang ditargetkan, yang berarti semua balasan akan masuk (dan membanjiri) target. (Bentuk serangan yang direfleksikan ini kadang-kadang disebut sebuah "DRDOS")

8. Botnet Mirai 

Serangan ini bekerja dengan menggunakan worm untuk menginfeksi ratusan ribu perangkat IoT di internet. Worm menyebar melalui jaringan dan sistem yang mengendalikan perangkat IoT yang dilindungi dengan buruk seperti thermostat, jam berkemampuan Wi-Fi, dan mesin cuci. Ketika perangkat terinfeksi biasanya pemilik atau pengguna tidak akan memiliki indikasi langsung. Perangkat IoT itu sendiri bukanlah sasaran langsung serangan tersebut, itu digunakan sebagai bagian dari serangan yang lebih besar. Perangkat yang baru saja diperbudak ini disebut budak atau bot. Setelah peretas mendapatkan jumlah bot yang diinginkan, mereka menginstruksikan bot untuk mencoba menghubungi ISP. Pada Oktober 2016, botnet Mirai menyerang Dyn yang merupakan ISP untuk situs-situs seperti Twitter, Netflix, dll. Begitu ini terjadi, situs web ini semua tidak dapat dijangkau selama beberapa jam. Jenis serangan ini tidak merusak secara fisik, tetapi pasti akan merugikan perusahaan internet besar yang diserang.

9. R-U-Dead-Yet? (RUDY) 

RUDY menyerang target aplikasi web dengan kekurangan sesi yang tersedia di server web. Mirip seperti Slowloris, RUDY membuat sesi berhenti menggunakan transmisi POST yang tidak pernah berakhir dan mengirimkan nilai header dengan panjang konten yang sewenang-wenang.

10. SACK Panic 

Memanipulasi Maximum segment size dan selective acknowledgement (SACK) itu dapat digunakan oleh peer jarak jauh untuk menyebabkan penolakan layanan oleh luapan integer di kernel Linux, bahkan menyebabkan Kernel panic. Jonathan Looney menemukan CVE-2019-11477, CVE-2019-11478, CVE -2019-11479 pada 17 Juni 2019. 

11. Serangan Shrew 

Serangan shrew adalah sebuah serangan denial-of-service pada Transmission Control Protocol di mana penyerang menggunakan teknik man-in-the-middle. Ini menggunakan semburan lalu lintas singkat yang disinkronkan untuk mengganggu koneksi TCP pada tautan yang sama dengan mengeksploitasi kelemahan dalam mekanisme batas waktu transmisi ulang TCP. 

12. Serangan Denial-of-Service Terdistribusi bandwidth rendah yang canggih

Serangan DDoS bandwidth rendah yang canggih adalah bentuk DoS yang menggunakan lebih sedikit lalu lintas dan meningkatkan efektivitasnya dengan mengarahkan ke titik lemah dalam desain sistem korban, contoh, penyerang mengirimkan lalu lintas yang terdiri dari permintaan rumit ke system. Pada dasarnya, serangan DDoS yang canggih berbiaya lebih rendah karena penggunaan lalu lintas yang lebih sedikit, ukurannya lebih kecil sehingga lebih sulit untuk diidentifikasi, dan memiliki kemampuan untuk merusak sistem yang dilindungi oleh mekanisme kontrol aliran. 

13. (S)SYN flood

Sebuah SYN flood terjadi ketika sebuah host mengirimkan banyak paket TCP/SYN, sering kali dengan alamat pengirim palsu. Masing-masing paket ini ditangani seperti permintaan koneksi, menyebabkan server membuat koneksi setengah terbuka, dengan mengirimkan kembali paket TCP/SYN-ACK (Mengakui), dan menunggu tanggapan paket dari alamat pengirim (tanggapan ke Paket ACK). Namun karena alamat pengirimnya dipalsukan, tanggapan tidak pernah datang. Koneksi setengah terbuka ini memenuhi jumlah koneksi yang tersedia yang dapat dibuat server, menjaganya agar tidak menanggapi permintaan yang sah sampai setelah serangan berakhir. 

14. Serangan Teardrop 

Sebuah serangan teardrop melibatkan pengiriman fragmen IP yang rusak dengan tumpang tindih, muatan yang terlalu besar ke mesin target. Ini dapat merusak berbagai sistem operasi karena bug dalam kode perakitan ulang fragmentasiTCP/IP mereka. Sistem operasi Windows 3.1xWindows 95 dan Windows NT, serta versi Linux sebelum versi 2.0.32 dan 2.1.63 rentan terhadap serangan ini.

(Meskipun pada bulan September 2009, kerentanan di Windows Vista disebut sebagai file "serangan teardrop", SMB2 yang ditargetkan ini yang merupakan lapisan lebih tinggi dari paket TCP yang menggunakan teardrop) 

Salah satu kolom di header IP adalah kolom "offset fragment", menunjukkan posisi awal, atau offset, dari data yang terkandung dalam paket terfragmentasi relatif terhadap data dalam paket aslinya. Jika jumlah offset dan ukuran satu paket terfragmentasi berbeda dari paket terfragmentasi berikutnya, paketnya tumpang tindih. Ketika ini terjadi, peladen yang rentan terhadap serangan teardrop tidak dapat memasang kembali paket - mengakibatkan kondisi penolakan-layanan.

15. Telephony denial-of-service (TDoS)

Menurut Biro Investigasi Federal AS, telephony denial-of-service (TDoS) telah muncul sebagai bagian dari berbagai skema penipuan:

Seorang penipu menghubungi bankir atau broker korban, meniru identitas korban untuk meminta transfer dana. Upaya bankir untuk menghubungi korban untuk verifikasi transfer gagal karena saluran telepon korban dibanjiri ribuan panggilan palsu, membuat korban tidak terjangkau. 

Seorang penipu menghubungi konsumen dengan klaim palsu untuk mengumpulkan pinjaman gaji yang belum dibayar untuk ribuan dolar. Saat konsumen keberatan, penipu membalas dengan membanjiri majikan korban dengan ribuan panggilan otomatis. Dalam beberapa kasus, ID penelepon yang ditampilkan dipalsukan untuk menyamar sebagai polisi atau lembaga penegak hukum. 

Seorang penipu menghubungi konsumen dengan permintaan penagihan utang palsu dan mengancam akan mengirim polisi; ketika korban menolak keras, penipu membanjiri nomor polisi lokal dengan panggilan di mana ID penelepon dipalsukan untuk menampilkan nomor korban. Polisi segera tiba di kediaman korban mencoba menemukan asal muasal panggilan tersebut.

TDoS berbeda dari gangguan telepon lainnya (seperti panggilan iseng dan panggilan telepon yang tidak senonoh) berdasarkan jumlah panggilan yang berasal; dengan menempati saluran terus menerus dengan panggilan otomatis berulang, korban dicegah untuk membuat atau menerima panggilan telepon rutin dan darurat.

Eksploitasi terkait termasuk serangan banjir SMS dan faks hitam atau transmisi loop faks.

16. Serangan kedaluwarsa TTL

Dibutuhkan lebih banyak sumber daya router untuk menjatuhkan paket dengan nilai TTL 1 atau kurang dari yang dibutuhkan untuk meneruskan paket dengan nilai TTL yang lebih tinggi. Saat paket dibuang karena TTL kedaluwarsa, CPU router harus menghasilkan dan mengirim waktu ICMP melebihi respons. Menghasilkan banyak respons ini dapat membebani CPU router. 

17. ARP-spoofing 

ARP spoofing adalah serangan DoS umum yang melibatkan kerentanan dalam protokol ARP yang memungkinkan penyerang mengaitkan alamat mac mereka ke alamat IP komputer atau gateway lain (seperti router), menyebabkan lalu lintas yang dimaksudkan untuk IP asli asli untuk dialihkan kembali ke yang dari penyerang, menyebabkan penolakan layanan.


Ahmad Alkazimy